Yanlisim varsa duzeltin...
Internet protokolleri yIgIti, birden cok protokolu bir arada bulundugu
bir sistemdir... Bu protokolleri /etc/protocols altindan da
gorebilirsiniz... Bunlarin bazilari (TCP ve UDP) gibi cok kullanilan
protokoller olmalarina ragmen, bazilari end-user'i pek fazla
ilgilendirmeyen protokollerdir... GGP gibi...
TCP ve UDP protokolleri, baglantilari, port adi verilen yapilar
kullanarak gerceklestirir. Ornegin, 80. port http baglantilarinda
kullanilan bir port numarasidir... RFC'lerden port numaralarini
bulabilirsiniz...
Bu port denilen sey, aslinda, arkaplanda calisan ve gelen paketleri
"Acaba bana hitap ediyor mu" diye kontrol eden programlarin paketlerin
kendilerine gelip gelmedigini anladiklari numaralardan baska bir sey
degildir... Mesela bir web server, 80. port'a gelen istekleri
karsilamakla yukumludur.. Keza bir SMTP server'da 25. porta gelen
istekleri karsilar...
Simdik bu "nuke" denilen sey, genelde, bu portlari "dinleyen"
programlarin kaldiramayacagi kadar fazla yuk verilmesinden yararlanarak
sistemin ya da servisin cakmasini saglayan programlardir... Mantik cok
basittir: Eger, servis programi kotu yazilmissa ve kontrolleri eksikse,
diyelim ki 255 karakter aldiktan sonra, bir kontrolu olmadigi icin 256.
karakteri'i alinca cakiyorsa, 256 karakterlik bir string o porta
gonderilir ve porgram gocertilir... (Daha fazla anlatmayacagim.. :) )
Peki buna karsi ne yapilabilir:
1. Gereksiz portlar kapatilir... Yani o portlari dinleyen programlar
calistirilmaz.. Bu mantik iyi guzel ve genelde usengeclikten
kullanilmayan bir sistemdir... Ornek olarak Linux icin her slackware
kullanicisi genelde 25. port'u dinleyen bir sendmail calistirmaktadir..
Eger bir port'u dinlemezseniz, o porttan gelecek saldirilari otomatikman
kesersiniz...
2. Port'u dinleyen programdan once, bir tcpwrapper tipi program
kullanarak, gelen paketlerin test edilmesini saglayabilirsiniz..
Portlari, bir baska programa dinletirsiniz, bu program, gelen paketin
geldigi IP adresinin o portu kullanamaya yetkili olup olmadigini kontrol
eder, eger yetkiliyse, kullanima izin verir...
3. Bir firewall kurarsiniz... Mantik olarak aslinda yukaridaki iki
sistemden cok farkli degildir.. Ancak, global olarak yapilmis tanimlar
kullanildigindan, guvenlik artar.. Bunun nedeni, her makinada calisan
programlari denetleyememe ve her makina icin bu ayarlarin yapilmasi ve
kontrolunun zorlugudur... Bunun yerine kurulan bir firewall sistemi ile
kurulan guvenlik politikasi gerceklestirilir ve denetlemesi yapilir...
ipfwadm, yari firewall sayilabilecek bir programdir... Klasik tanimlara
pek uymaz, onun icin de bircok yerde, IP Forward Administrator olarak
gecer... Ancak, iyi bir bastion host kurulmasinda kullanilabilinecegini
dusunuyorum... Bu program, kendi arkasindaki network'e gelen paketleri
denetleyebilecegi gibi, ayni zamanda,kendine de gelen paketleri de
denetledigi icin, bu "nuke" tipindeki saldirilardan tek bir maiknanin
korunmasinda da kullanilabilinir...
Iyi calismalar...
B.C.