![[LinuxFocus-icon]](../../common/images/logolftop_319x45.gif){kind=small} |
|
|
 |
|
| Bu makalenin farkl� dillerde bulundu�u adresler: English Castellano Deutsch Francais Nederlands Russian Turkce Polish |
![[Photo of the Author]](../../common/images/JoseGonzalez.jpg)
José Salvador González Rivera <jsgr(at)tec.com.mx> Yazar hakk�nda: José Salvador González Rivera Meksika Linux kullan�c�lar� grubunun aktif uyelerinden biridir. Serbest yaz�l�m ve �zellikle Linux kullan�m�n� te�fik eden etkinliklerde yer almaktad�r. Kendisi hen�z yeni Bilgisayar sistemleri mezunudur. Kendisiyle ileti�imde bulunmak isterseniz, jsgr(at)tec.com.mx or veya jsgr(at)linuxpuebla.org adreslerini kullanabilirsiniz. T�rk�e'ye �eviri: Erdal Mutlu <erdal(at)linuxfocus.org> ��erik:
|
Debian GNU/Linux ile sald�r� sezimleme![[debian]](../../common/images/debian.gif)
�zet:
G�n�m�zde bilgiler say�sal olarak elektronik
ortamlarda saklanmaktad�r ve durum b�yle olunca, onlara
bilgisayar a�lar� arac�l���yla kolayca eri�ilebilir.
Verilerin t�r� ister finanslal, ister y�netsel, ister askeri,
ister sanayi ve ister ticari olsun, bunlara uzaktan eri�mek art�k
�ok kolayd�r. Ne yaz�k ki, bunlar k�t� niyetli ki�ilerin verilere
eri�me veya onlar� yok etmek i�in kolayca hedef olmaktad�r. |
Linux da��t�m� se�imi yaparken, bir s�r� da��t�m� g�z�n�nde bulundurmam�z gerekir. Conectiva (Brazilya), Hispa (�spanya), Mandrake (Fransa), SuSE (Almanya), Caldera vs gibi RedHat tabanl�d�r ve RPM paket sistemini kullanan bir�ok Linux da��t�m� daha vard�r. Bir de geleneksel Unix'ler gibi sadece .tgz ar�ivlerini kullanan ve b�ylece onlara daha yak�n olmaya �al��an Slackware vard�r. Bunlar�n hemen hemen "hepsi" ticari �irketler taraf�ndan geli�tirilmektedir, ancak Debian i�in bu do�ru de�ildir. Debian �nternet'teki g�ncellemeleri denetleyen ve ba��ml�l�k denetimlerinde bulunabilen, DPKG ad�nda bir paket y�neticisi sunmaktad�r. B�ylece, hem sistem y�netimini kolayla�t�rmakta ve hem de g�venlik ile ilgili yamalar g�z�n�nde bulunduruldu�unda sistemin g�ncel kalmas�n� sa�lamaktad�r.
Debian ayr�ca birka� �nemli �zellik daha sunmaktad�r:
1) Ticari bir amac� yoktur ve pazar�n getirmi� oldu�u bask�lar�
izlememektedir.
2) �yi bir hata izleme sistemine sahiptir ve hatalar 48 saatten daha
k�sa bir s�re i�erisinde giderilmektedir.
3)Ba��ndan beri amac�, tam ve g�venilir bir i�letim sistemi
geli�tirmektir.
4) T�m d�nya �zerinde olan g�n�ll� geli�tiriciler taraf�ndan
geli�tirilmektedir.
Da��t�m�n her yeni s�r�m� yeni bir mimariyi daha desteklemektedir.
�u anda desteklenmekte olan mimariler �unlard�r:
Alpha, ARM, HP PA-RISC, Intel
x86, Intel IA-64, Motorola 680x0, MIPS, MIPS (DEC), Power PC, IBM
S/390, Sparc d�r. Sun UltraSparc ve Hitachi SuperH �zerindeki
�al��malar s�rmektedir. En fazla donan�m ortam�n� destekleyen sistem
Linux'dur.
Debian'�n var olan paketleri aras�nda, k�t� niyetli ba�lant�lar� ger�ek zamanl� olarak sezebilecek ara�lar da vard�r. Bunlar, a� �zerinden gelen sald�r�y� ve belli bir bilgisayar�n �al��mas�n� izleyen iki t�rd�r.
Ba�lant� noktalar� taray�c�lar�n� sezimlemek i�in PortSentry'yi, sistemdeki de�i�iklikleri sezimlemek i�in TripWire'� ve �etele dosyalar�n� incelemek i�in LogSentry'yi kullanmaktay�z. Bunlardan birincisi ve ���nc�s� Psionic Technologies �irketinin TriSentry �r�n�n�n bir par�as�d�r.
PortSentry sistemimizdeki ba�lant� noktalar�n�
izlemekte ve ba�lant� yap�lmas�n� istemedi�imiz bir
ba�lant� noktas�na ba�lant� kurmaya �al��an olursa,
buna kar�� belli bir i�lemi (genelde ba�lant�y� kesme) yerine
getirmektedir.
Program�n sanaldoku sayfas�
http://www.psionic.com/products/portsentry.html
adresindedir. Program, Solaris, BSD, AIX, SCO, Digital
Unix, HP-UX ve Linux alt�nda �al��maktad�r.
Debian'da program� y�klemek i�in a�a��daki komutlar� �al��t�rman�z
gerekmektedir:
apt-get install portsentry
classic, stealth ve advanced (geli�mi�) olmak �zere �� farkl� �al��ma kipi
se�ilebilir. Program�n yap�land�rma dosyas�
/usr/local/psionic/portsentry/portsentry.conf dur.
Ana se�enekleri, José Torres Luque'in ES Linux Magazine'de
yay�nlanan yaz�s�nda a�a��daki gibi buldum:
TCP_PORTS, ile ister classic isterse stealth kipinde
olsun, denetlenmesini istedi�iniz ba�lant� noktalar�
tan�mlanmaktad�r. Program� yazan ki�i, g�venlik seviyesine
g�re �� liste sunmaktad�r. Kullan�labilecek en fazla ba�lant� noktas�
64't�r.
UDP_PORTS, UDP ba�lant� noktalar� i�in olup, bir �nceki se�enek
gibidir.
ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, geli�mi� (advanced) kipinde
kullan�lacak en y�ksek ba�lant� noktas� numaras�n� belirtmektedir.
�nceden devre d��� b�rak�lanlar�n d���nda, bu say�lardan k���k numaraya
sahip her ba�lant� noktas� denetlenecektir. En b�y�k say� 65535
olabilir. Ancak, yanl�� uyar� olu�mas�na yol a�mamak i�in, 1024'�n �st�ndeki
say�lar� vermek pek �nerilmez.
ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP devre d��� b�rak�lacak
ba�lant� noktalar�n�n listesidir. Bu b�l�mde bulunan ba�lant�
noktalar� geli�mi� (advanced) kipte izlenmeyeceklerdir.
Genellikle buraya, uzaktan eri�im yapan istemcilerin ba�land�klar�
noktalar� ve ident gibi ger�ek servis olmayanlar� yazabilirsiniz.
IGNORE_FILE'da izleme s�ras�nda atlanacak IP'lerin yer ald���
dosyan�n yoltan�m� belirtiliyor. Yerel a� aray�z�, lo dahil
bu dosyada yer almal�d�r. E�er isterseniz, yerel IP numaras�n� da
ekleyebilrsiniz.
KILL_ROUTE'da sald�r�y� yapan bilgisayar� durdurmak i�in
�al��t�r�lmas� gereken komutu yazabiliriz. S�zgelimi : iptables -I
INPUT -s $TARGET$ -j DROP. Buradaki $TARGET$, sald�r�y�
ger�ekle�tiren bilgisayar� i�aret etmektedir.
KILL_RUN_CMD'de sald�rgan�n bilgisayar�ndan olan eri�imi
engellemeden �nce �al��t�r�lmas� gereken komut yer al�yor.
SCAN_TRIGGER'de uyar�y� �al��t�rmadan �nce yap�lmas� gereken deneme
say�s� belirtilmektedir.
PORT_BANNER, a��k olan ba�lant� noktalar�nda
ba�lanma kipinde iken bir ileti g�stermektedir.
Yap�land�rma bittikten sonra program�, a�a��daki �� �al��t�rma
kipinden birinde ba�latman�z gerekiyor. Bunun i�in kullanabilece�iniz
se�enekler: TCP i�in -tcp (temel kip), stealth kipi i�in -stcp
ve geli�mi� (advanced) kip i�in -atcp. UDP'ler i�in ise,
s�ras�yla -udp, -sudp ve -audp kullan�labilir.
TripWire, dosya sistemi b�t�n���� denetlemesi yapmaktad�r.
Program�n sanaldoku y�resini
http://www.tripwire.org
adresinde bulabilirsiniz. Program� Linux i�in paras�z ve Windows NT,
Solaris, AIX ile HP-UX i�in parayla elde edebilirsiniz.
Debian'da program� y�klemek i�in a�a��daki komutu �al��t�rman�z
yeterlidir:
apt-get install tripwire
Bilgileri saklamak i�in iki adet anahtara gerek vard�r.
Birinci anahtar ('site key') yap�land�rma dosya ve ilkeleri,
ikinci anahtar (yerel 'local key') ise, izlenmesi yap�lm��
dosya durum bilgilerini kodlamada kullan�lmaktad�r.
Yap�land�rmalar basit�e /etc/tripwire/twpol.txt dosyas�nda yap�lmakta ve
haz�r olundu�unda "y�klemek" i�in a�a��daki komut �al��t�r�l�r:
twadmin -m P /etc/tripwire/twpol.txt
Dosyalar�n son durumnu i�eren veritaban�n� ilk defa olu�tururken
a�a��daki komut �al��t�r�l�r:
tripwire -m i 2
Dosya sisteminin b�t�nl���n� denetlemek istenildi�inde a�a��daki
komut �al��t�r�l�r:
tripwire -m c
Hangi dosyalar�n de�i�ti�ini sald�rgan�n taraf�ndan ��renilmesini engellemek i�in
a�a��daki komut arac�l��� ile yap�land�rma dosyalar� silinebilir:
rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt
Gerekti�inde tekrar yaratmak i�in a�a��daki komut kullan�labilir:
twadmin -m p > /etc/tripwire/twpol1.txt twadmin -m f >
/etc/tripwire/twcfg.txt
LogCheck, LogSentry'nin bir par�as�d�r ve �etele
dosyalar�n ��z�mlenmesinde kullan�lmaktad�r ve bu i�i �ok
etkin bir �ekilde yapmaktad�r, ��nk� yap�lan etkinlikler ve
okunmas� gereken olu�mu� hatalar hakk�nda raporlar haz�rlamaktad�r.
D�rt farkl� �eteleme seviyesi sunmaktad�r: ignore (g�zard� et),
unusual activity (s�radan olmayan etkinlik), violation of security
(g�venli�in ihlali) ve attack (sald�r�).
Program�n sanaldoku sayfas�na
http://www.psionic.com/products/logsentry.html
adresinden ula�abilirsiniz. Program�n, Solaris, BSD, HP-UX ve Linux
i�in s�r�mleri vard�r.
Program� Debian'da y�klemek i�in a�a��daki komut �al��t�r�labilir:
apt-get install logcheck
Bu, ��z�mlenmi� dosyalar�n listesini tutabilmek i�in logtail program�n�
/usr/local/bin dizinine y�klemektedir. Ayr�ca, a�a��daki dosyalar
da y�klenmektedir:
Logcheck.sh,
temel yap�land�rmalar� i�eren betik program�d�r.
Logcheck.hacking,
etkinlik seviyelerinin tan�mland��� kurallar�n� i�erir.
Logcheck.ignore,
g�zard� edilecek ifadeleri i�erir.
Logcheck.violations,
g�venlik ihlali say�lacak ifadeleri i�erir.
Logcheck.violations.ignore,
bu dosyada yer alan ifadeler g�zard� edilecektir.
�etele dosyalar�n� saat ba�� denetlemek i�in cron tablosuna :
0 * * * * /bin/sh /usr/local/etc/logcheck.sh
sat�r� eklenebilir.
A� �zerinden gelecek sald�r�lar� sezimleyebilmek i�in Snort
kullan�yoruz. Snort'un sanaldoku y�resini
http://www.snort.org adresindedir
ve BSD, Solaris, AIX, Irix, MacOS ve Linux sistemleri i�in s�r�mleri
vard�r.
Debian'da program� y�klemek i�in a�a��daki komut �al��t�r�labilir:
apt-get install snort
Program �� farkl� kipte �al��maktad�r: sniffer (izleyici, dinleyici),
a� paketleri �etele tutucu ve sald�r� sezimleme.
A�a��daki parametreler kullan�labilir:
-l dizin
dosyalar�n sakland��� dizini g�stermektedir.
-h IP
denetlemek istedi�imiz a� IP numaras�n� belirtiyor.
-b
t�m a� paketlerini binary olarak yakalamaktad�r.
-r dosya
binary dosyay� incelemektedir.
�zleme (sniffer) kipinde, a� �zerinde dola�an paketler
ekranda g�r�nt�lenirken, �etele tutma (logger) kipinde ise,
veriler bir dizindeki dosyaya yaz�lmaktad�r.
Snort -v
IP ba�l�klar�n� g�stermektedir.
Snort -dv
Ayn� zamanda dola�makta olan verileri g�stermektedir.
Snort -dev
Daha ayr�nt�l� bilgi vermektedir.
Bu kipte snort, ba�lant� noktalar� taramas�, servisleri engelleme
sald�r�s� (DoS Deny of Service), g�venlik a��klar� vs gibi olaylar
hakk�nda bizi bilgilendirmektedir. snort /usr/local/share/snort
dosyas�nda yer alan kurallar�na dayanmaktad�r. Saat ba�� g�ncellenen bu dosyay�,
program�n �nternet sayfas�ndan indirebilirsiniz.
Sadece a� yap�land�rma ve �al��ma dizinleri bilgilerini
snort.conf yap�land�rma dosyas�nda belirterek ve �zerinde �e�itli
de�i�iklikler yaparak, program�n yap�land�r�lmas� kolayca
yap�lmaktad�r. Sadece IP numaras�n� de�i�tirin:
var HOME_NET IP
snort'u �al��t�rmak i�in a�a��daki komut kullan�labilir:
snort -c snort.conf
Sald�rganlar�n�n IP numaralar�n� de g�rebilece�imiz �etele dosyalar�
/var/log/snort dizininde saklanmaktad�r. Snort'la yapabilecekleriniz
bu kadar� ile s�n�rl� de�il tabii. Daha fazla bilgi i�in snort
hakk�ndaki yaz�lar� ve belgeleri okuman�z� �neririm. �e�itli
organizasyonlar�n, dergilerin ve g�venlik gruplar�n�n �o�u
sald�r� sezimleme sistemleri aras�nda her UNIX veya Windows i�in
snort'un en iyisi oldu�unu belirtmektedir. Silicon Defense ve Source
Fire gibi �irketler, ticari destek vermektedir. Sonu�lar� daha
�ekici bi�imde sergilemek i�in de grafik kullan�c� aray�zleri
de ortaya ��kmaktad�r.
Bazen bir an �nce ��z�lmesi gereken, �ng�r�lmemi� ve daha ayr�nt�l�
��z�mlenmesi gerekn acil durumlar ortaya ��kabilir.
Bu sorunlar k�t� niyetli insanlar veya o veya
bu nedenden dolay� sunucular�m�za eri�mek,
sistemde daha fazla eri�im haklar�na sahip olmak i�in
izleme veya root-kit'ler y�kleyerek o veya bu �ekilde
sunucular�m�za eri�mek ve
b�ylece verilerimizi �almak veya de�i�tirmek yada
bizim bilgisayarlar� kullanarak ba�kalar�na sald�r�da
kullanmak isteyen sald�rganlar taraf�ndan yap�lmaktad�r.
�zleyici (sniffer), a� aray�z�n� promiscuous kipine ge�irerek, t�m a� �zerindeki trafi�i izlemek veya dinlemek isteyen araca denir. A� aray�z�n�n t�m bilgilerini ifconfig komutyla ��renebilirsiniz.
eth0 Link encap:Ethernet HWaddr
00:50:BF:1C:41:59
inet addr:10.45.202.145 Bcast:255.255.255.255
Mask:255.255.128.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7180 errors:0 dropped:0 overruns:0 frame:0
TX packets:4774 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:8122437 (7.7 MiB) TX bytes:294607 (287.7 KiB)
Interrupt:10 Base address:0xc000
Ancak, ifconfig komutu de�i�tirildiyse veya izleyiciler a�'daki ba�ka bilgisayardan �al���yorlarsa, o zaman 'garip' adreslere e-ileti g�ndererek veya izleyicinin �etele dosyalar�n� bularak, d�� ba�lant�lar� denetlemek gerekecektir.
A�'daki promiscuous kipinde �al��an a� aray�zlerinin
varli�ini belirlemeye yarayan ve �spanyol k�r�c�lar taraf�ndan
tasarlanan neped ad�nda bir ara� vard�r. Bu Debian'n�n paketleri
aras�nda yoktur, ama �ntrenet'teki
ftp://apostols.org/AposTools/snapshots/neped/neped.c
adresinden indirebilirsiniz.
Not: Bu sunucu birka� haftad�r �al��m�yordu.
Bu program� �al��t�rd���n�zda, a�a��daki gibi bir ��kt� elde edilmektedir:
neped eth0
----------------------------------------------------------
> My HW Addr: 00:80:F6:C2:0E:2A
> My IP Addr: 192.168.0.1
> My NETMASK: 255.255.255.0
> My BROADCAST: 192.168.1.255
----------------------------------------------------------
Scanning ....
* Host 192.168.0.2, 00:C2:0F:64:08:FF **** Promiscuous mode
detected !!!
End.
191.168.0.1'den 192.168.0.2'ye bir IP paketi g�ndermek
istedi�imizde, onun MAC adresini bilmemiz gerekir. �lgili IP
numaras�n�n MAC adresini ��renmek i�in, a�'ya bir yay�m (broadcast)
paketi g�nderilmektedir. A�'daki t�m bilgisayarlar paketi ald�klar�
halde, sadece do�ru olan yani o IP numaras�na sahip olan
bilgisayar cevap vermektedir.
Bu durumda neped a�'daki her IP numaras�n� sorgulamaktad�r,
ancak yay�m paketi kullanmayarak, var olmayan bir IP
numaras� kullanmaktad�r. A� aray�zleri promiscuous kipinde
olan bilgisayarlar cevap verecektir, ��nk� sadece onlar bu paketi
g�rebilmektedir.
Bu program� casus sezimleme hakk�nda olan, �nternet'teki bir yaz�da okumu�tum.
Yaz�da benzer bir �rnek vard�. E�er, bu yaz�n�n adresini
biliyorsan�z, l�tfen bana bir ileti at�n, ��nk� yaz�y�
kaybettim:-)
Rootkit'ler s�radan kullan�c�lar�n sahip olduklar� eri�im haklar�ndan daha fazlas�n� elde etmeye yaramaktad�r. Genelde, sistemimizdeki �al��an programlar�, daha sonra sisteme eri�im sa�layacaklar� ba�kalar� ile de�i�tirmektedir. ��te bu y�zden, hala programlar�n as�llar�na sahip olup olmad���m�z� chkrootkit program�n� kullanarak denetlemek zorunday�z. Program� a�a��daki gibi y�kleyebilirsiniz:
apt-get install chkrootkit
www.chkrootkit.org adresinden program�n sanaldoku y�resine ula�abilirsiniz. Program�n denetledi�i dosyalar ise, �unlard�r:
aliens, asp, bindshell, lkm, rexedcs, sniffer,
wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname,
echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig,
inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof,
mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps,
pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd,
tar, tcpd, top, telnetd, timed, traceroute, w, write
Program� kullanmak i�in:
chkrootkit
komutu �al��t�r�l�r. B�ylece dosyalar denetlenmekte, bilinen izleyiciler ve
rootkitler aranmaktad�r. A� aray�z�n�n promiscuous kipinde �al���p
�al��mad���n� bize s�yleyen ifpromisc, �etele dosyalar�n�n
de�i�tirilip de�i�tirilmedi�ini denetleyen chkwtmp ve
chklastlog gibi ba�ka ara�lar da vard�r.
Man sayfalar�n� okuman�z� �neriyorum. Size kulland���m
baz� referanslar�n adresinini burada yaz�yorum. E-ileti
adresime
�neri ve d���ncelerinizi l�tfen e-ileti adresime g�ndermekten
�ekinmeyin.
|
|
G�rsely�re sayfalar�n�n bak�m�, LinuxFocus Edit�rleri taraf�ndan yap�lmaktad�r
© José Salvador González Rivera, FDL LinuxFocus.org |
�eviri bilgisi:
|
2004-07-09, generated by lfparser version 2.43