From: Serdar KOYLU (skoylu@altavista.com)
Date: Fri 02 Feb 2001 - 12:37:10 EET
Selamlar..
Bildigimiz kadari ile bir kac soruya cevap vermeye calisalim.
Oncelikle belirttiginiz olay gibi bir saldiri turu cok enteresan. IP-stack'ini sisirip patlatmak iyi bilinen bir yoldur. Fakat bu buyuk paketler degilde parca parca kucuk paketler gonderilerek yapilir. Paketleri birbirine eklemeye calisan stack, bir noktada tasar ve patlar. Zaten arabirimin MTU'sundan daha buyuk bir paket alinmasi ihtimali yoktur. Fakat routerlar bu tur saldirilari aynen gecirmeyi tercih ederler genelde. Sonucta server hedef olur. Ama eger sizin routerlariniz cokerten cinsten bir paket spamming varsa baska saldiri cinslerine bakmak lazim. En iyi firewall'ler bile bazi saldirilari taniyamaz, takilip kalir. Eger ping spamming'ten filan supheleniyorsaniz bunlar Linux kernel icin asilmasi zor sorunlar degildir ama Ayni spam sizin hemen onunuzdeki routeride vurup devre disi birakabilir.
On Thu, 01 February 2001, Ugur Coskun wrote:
> security ile ilgilenenlerden yardim alabileyim. benim sorunum cogu
> serverin basina gelen bir sorun : 5 veya 6 degisik bilgisayardan servera yuksek boyutlarda IP paketleri gonderiliyor. Bu IP paketlerinin toplami Bant genisligini sabote ediyor ve Serverin diger islemlere cevap vermesini engelliyor. Router veya server bu sira devre disi kaliyor. Bunu engellemek icin elle kurallar girip kendimiz elle kurallar girmemiz gerekmeden bilgisayarin anlayip kendi kendisine kurallar yaratmasini istiyorum. simdi bilgisayarin yapmasini istedigim seye geceyim.
1997 yilinda MS TCP/IP stackindaki bir guvenlik deligi, o donemde, bu turden gecerli ama kullanilamaz IP paketlerini sistemi cokertmesine yol acabiliyordu. Fakat 97'nin sonlarina dogru bu acik kapatildi. Buna out-of-band-data attack deniyordu. Ama gunumuz TCP/IP uygulamalari buna bagisikli. Eger inceleme sonucu teshisiniz bu yondeyse server/routerin bant genisligini isleyecek hizda olmadigi sonucuna ulasabiliriz. Buda finansal bir problem olabilir ama firewall problemi olmaz.
>
> * Eger serveri mesgul edecek belli bir surede paket sayisi asilirsa
> gonderilen IP paketleri gormezlikten gelinecek.
eql ile bant genisligini sinirlayarak bu sorunlara care bulabilirsiniz. Ama bir ag uzerinde transferler icin pek cok paket gonderilir ve alinir. Ornegin, Eger sizle birisi ftp yapiyorsa, ardi ardina pek cok paket alinip verilir. Bunun kotu niyetlimi, iyi niyetlimi oldugunu anlama ihtimali yoktur. Paketin max. buyuklugu yoldaki routerlerin MTU'larina baglidir. Soylediginiz sekilde cok buyuk paket gonderilmesi genelde mumkun degildir. MPUT * yazan birisi, kendi bant genisligi musaitse aginiza maximum seviyede paket gecebilir. Bu agi yavaslatir fakat soylediginiz sekilde tikanmasina sebep olmaz. Boyle olup olmadigina bakarak ta baglantiya kota koyamazsiniz, yoksa kendi elinizle servisinizi kapatmis olursunuz: Serverin fisini cekmek daha mantikli olabilir.
> soru1: bu konuda bir script bir bash veya benzeri birsey mi yazmam lazim
> ?
> soru2: Ipchains in yerine IPtable kullanamaya baslayan var mi?
> soru3: Source dan gelen paketi cozumleyerek Source'un mac adresini gorme ihtimalim olabildigini biliyorum bu nasil yapiliyor.
Internetten gelen bir paketin MAC adresini gorme imkaniniz olmaz. IP headerinde boyle bir bilgi mevcut degildir. OSI Layer 2 ile 3 bir cok noktada yalitilmis durumdadir. Ama yerel aginizdaki IP'lerin MAC Adreslerini system ARP tablosuna bakarak bulabilirsiniz. Linuxta
cat /proc/net/arp
> soru4: baska degisik ve ilginc olabilecek basa gelebilecek saldiri cesidi bilen var mi?
SYN_COOKIE, Connection killer, buffer owerflover vs. Bilhassa Win makineler genelde internal firewall'leri olmadigindan cok cesitli yollarla hacklenebilir.
> soru5: "Real secure (checkpoint) dedigin seyleri kendi basina
> yapiyor.Ayri bir server uzerinde calisarak tabi." cevabi uzerine bunun NT de calisan ve 10000$ oldugu soylendi bu bir program anladigim kadari ile. Bu program benim isime yarar mi?
Duruma bakilirsa, senin isine yarayabilecegini bilmiyorum, ama saticinin havai tatili problemini cozebilecek gibi gorunuyor. Cizdigin seviyedeki bir ag icin FreeBSD veya Linux'la kuracagin, iyi konfigure edilmis bir NAT firewall sorunlarini cozmeye yeter.
> soru6: snort ve portsentry benim isimi gorur mu?
> soru7: Firewall'a koydugum kurallar trafigimin dusmesine sebep olur mu?
Mutlaka. Her kural yeni bir islem demektir. Buda hizi bir miktar azaltir. Ama bolca RAM (128 MB gibi) ve soyle iyi bir CPU (PII 450 gibi) ile bu fark hissetmeyeceginiz seviyede olur.
> soru8: Firewallun trafige cevap verebilmesi icin ozel bir konfigurasyona sahip olmasi gerekli mi?
Bant genisligine bagli olarak buffer buyuklugu, buna bagli olarak da CPU hizi onemli olur. Ama guncel donanimlar icin degerler giris seviyesi civarinda kalir.
> soru9: Gecenin bu saatin de de dokuman okunur mu? :)
Biz cok okuduk. Aramiza hosgeldiniz.
Eger sisteminiz boyle ikide birde DoS durumunda kaliyorsa, pek cok etmenden suphelenmelisiniz. MS'de $a$iran bir routerin kendi agina saldirip MS'yi cumle aleme rezil ettigini unutmayin. Belki sorununuz kendi aginizdan kaynaklaniyor olabilir. Kestirmeden agin dis baglantisi yokken durumun nasil olduguna bakin. Birde Dis ag girisinin onune hallice bir Linux koyun. Bununla agi kolayca takip edersiniz. SYN_COOKIE gibi cok bilinen saldirilari bir hayli kolayca kesersiniz. Ayrica suphelendiginiz out-of-band problemlerinede kernelin otomatik fragmentation ozelligiyle cozum bulabilirsiniz. 10000$ yerine 1800 $'a filan patlar.
Bir hikaye: dial-up baglanan bir yerden saldiri oluyor sistem cokuyor diye cagrildik. Gittik 10 dakika sonra server hakikaten baglantiyi kaybediyor. Ugrastik ugrastik sonunda HUB arizali cikti. Asil meselede hub'a takilan kablonun 100 Mbit'e uygun baglanmamasiydi. 100 yerine 10 MBit hub taktik duzeldi, konnektoru degistirdik, eski HUB'u taktik tamam. Paketler CRC hatasi verip boyuna reply ediliyordu. Buda ag yukunu kendi kendine artirip serveri kesiyordu..
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/