Re: [LINUX:612] Re: Nuke!

Baris Cenberci (Baris.Cenberci@RAKS.Net.tr)
Mon, 23 Feb 1998 19:07:19 +0000

Cihan Ozgen wrote:
>
> ?? nuke yemeyen makina yoktur linux dahil boink bonk jolt ssping newtear
> falan
> ?
> ?IPFwadm...
> ?
>
> bu meseleyi fazla uzatma taraftari degilim ama yonunu biraz kaydirirsak
> yarali bir seyler cikacagina inaniyorum.
>
> ilk once nuke meselelerine dair :
> (admin arkadaslar zaten bunu biliyorlardir fakat yeni baslayanlar icin
> tekrar ediyom)
> nuke ve diger saldiri programlari icin su anda kernel 2.0.33 un yeterli
> oldugunu NT nin ise
> yaklasik 4 fixten sonra adam oldugunu test edip onayladim. (bildigim tum
> yeni ve eski
> saldiri programlarini kullandim. jolt,bonk,teardrop,newtear,boink (bonk)
> ssping.........)
>
> irclerde kill etmek icin kullanilan icmp bomber turu programlar icin zaten
> yapacak
> pek birsey yok...(spoof haric..(proxy icinde teorik bir kac cozum aklima
> geliyor.) )
>
> asil mail atma sebebime gelelim...ben yukaridaki IPFWADM ye takildim....
> benim bildigim kadari ile IP Firewall Administration tool daha cok network
> un geride
> kalan kismini korumak yada kisitlamak icin kullaniliyor, yani ana makinamin
> zarar gormemesi
> icin fixleri kullanmam veya gereksiz servisleri kapatmam daha uygun
> degilmi..(tabi burada bir exploit ilk ciktigindada fixini mi bulacaksin ?..
> o zaman ne yapacaksin, gidip yazilim ureticine yalvaracakmisin yada tanriya
> bir fix icin duami
> edeceksin diyebilirsiniz. )
>
> Eger bu tur isler icin ipfwadm yada benzer isi yapan bir arkadas varsa
> bunun avantaj,
> dezavantaj,karsilasilan zorluklar gibi konularda genel (tabiki teknikde
> olursa daha hosuma gider)
> birseyler yazabilirmi..bizde bu sayede bu konu hakkinda az cok fikir sahibi
> oluruz...
> (aslimda dusunuce cok hos bir program...isterseniz pingler bile cevap
> vermeyen bir makinaniz olabiliyor... :) )
>
> bende bu aralar ipfwadm ilgileniyom ama daha bir comez sayilirim.. network
> nasil daha guvenli
> hale getirilir diye bir cok soru isareti var kafamda
>
> ..................

Yanlisim varsa duzeltin...

Internet protokolleri yIgIti, birden cok protokolu bir arada bulundugu
bir sistemdir... Bu protokolleri /etc/protocols altindan da
gorebilirsiniz... Bunlarin bazilari (TCP ve UDP) gibi cok kullanilan
protokoller olmalarina ragmen, bazilari end-user'i pek fazla
ilgilendirmeyen protokollerdir... GGP gibi...

TCP ve UDP protokolleri, baglantilari, port adi verilen yapilar
kullanarak gerceklestirir. Ornegin, 80. port http baglantilarinda
kullanilan bir port numarasidir... RFC'lerden port numaralarini
bulabilirsiniz...

Bu port denilen sey, aslinda, arkaplanda calisan ve gelen paketleri
"Acaba bana hitap ediyor mu" diye kontrol eden programlarin paketlerin
kendilerine gelip gelmedigini anladiklari numaralardan baska bir sey
degildir... Mesela bir web server, 80. port'a gelen istekleri
karsilamakla yukumludur.. Keza bir SMTP server'da 25. porta gelen
istekleri karsilar...

Simdik bu "nuke" denilen sey, genelde, bu portlari "dinleyen"
programlarin kaldiramayacagi kadar fazla yuk verilmesinden yararlanarak
sistemin ya da servisin cakmasini saglayan programlardir... Mantik cok
basittir: Eger, servis programi kotu yazilmissa ve kontrolleri eksikse,
diyelim ki 255 karakter aldiktan sonra, bir kontrolu olmadigi icin 256.
karakteri'i alinca cakiyorsa, 256 karakterlik bir string o porta
gonderilir ve porgram gocertilir... (Daha fazla anlatmayacagim.. :) )

Peki buna karsi ne yapilabilir:

1. Gereksiz portlar kapatilir... Yani o portlari dinleyen programlar
calistirilmaz.. Bu mantik iyi guzel ve genelde usengeclikten
kullanilmayan bir sistemdir... Ornek olarak Linux icin her slackware
kullanicisi genelde 25. port'u dinleyen bir sendmail calistirmaktadir..
Eger bir port'u dinlemezseniz, o porttan gelecek saldirilari otomatikman
kesersiniz...

2. Port'u dinleyen programdan once, bir tcpwrapper tipi program
kullanarak, gelen paketlerin test edilmesini saglayabilirsiniz..
Portlari, bir baska programa dinletirsiniz, bu program, gelen paketin
geldigi IP adresinin o portu kullanamaya yetkili olup olmadigini kontrol
eder, eger yetkiliyse, kullanima izin verir...

3. Bir firewall kurarsiniz... Mantik olarak aslinda yukaridaki iki
sistemden cok farkli degildir.. Ancak, global olarak yapilmis tanimlar
kullanildigindan, guvenlik artar.. Bunun nedeni, her makinada calisan
programlari denetleyememe ve her makina icin bu ayarlarin yapilmasi ve
kontrolunun zorlugudur... Bunun yerine kurulan bir firewall sistemi ile
kurulan guvenlik politikasi gerceklestirilir ve denetlemesi yapilir...

ipfwadm, yari firewall sayilabilecek bir programdir... Klasik tanimlara
pek uymaz, onun icin de bircok yerde, IP Forward Administrator olarak
gecer... Ancak, iyi bir bastion host kurulmasinda kullanilabilinecegini
dusunuyorum... Bu program, kendi arkasindaki network'e gelen paketleri
denetleyebilecegi gibi, ayni zamanda,kendine de gelen paketleri de
denetledigi icin, bu "nuke" tipindeki saldirilardan tek bir maiknanin
korunmasinda da kullanilabilinir...

Iyi calismalar...

B.C.