From: Serdar KOYLU (skoylu@altavista.com)
Date: Mon 05 Feb 2001 - 03:52:47 EET
Selamlar..
On Sun, 04 February 2001, Ugur Coskun wrote:
>
>
> selamlar
>
> Merhaba mesela ISP ile Bir lan arasinda bir firewall
> kuracaksiniz. Landaki kullanicilari bir IP uzerinde masq ile internete baglayacaksiniz. Fakat dokumanlarda okudugum kadari ile adamlari cok fazla sinirliyoruz. Mesela kurallari yazarken once tum Portlari kapatiyoruz sonra bizim istedigimiz IP'lerin istedigimiz porttan baglanmalarini istiyoruz. Fakat belkide firewallari daha anlayamadigimdan kaynaklanan bazi sorular var kafamda mesela adam internetten radyo dinlerken 1755 nolu portu kullaniyor. Ben o portu bana gelecek istek uzerine mi yeni kural yazarak ekleme yapacagim. Mesela MSN mesengerda sorun yasanmayacak
Firewall'inizde kurallari siz belirlersiniz. Mesela bir web serveriniz varsa, bunun dis agdan gelen Telnet veya ftp isteklerine kapatilmasini isteyebilirsiniz. Yada patron "elemanlar isi gucu birakip chat yapiyor" der, IRC'yi aga kapatirsiniz. Hic bir dokuman size hangi servisleri kapatmaniz gerektigini soyleyemez. Bunda ozgursunuz. Zira, size gerekli olan servisleri siz bilebilirsiniz sadece...
> mi? Aslinda kafamdaki esas sorulardan biride hala cevaplayamadigim su soru ki: Mesela adam 1500 tane paket gondermis ve her paketin buyuklugu 40 KB ve ben bu bombalamayi anlayip firewall un kendisi kural olusturmasini istiyorum. Bu nasil yapilabilir. Cevaplariniz icin tesekkur ederim. Iyi calismalar...
Aga PVC ile baglanmissaniz, buyuk ihtimalle MTU'nuz 9180 olabilir. Bu ise size bir defada en fazla 9180 Bayt buyuklugunde paket gelebilir anlamina gelir. Eger ethernet ile bagliysaniz bu deger en fazla 1518 olabilir. Bu durum size paketi yollayacak olanlar icin de gecerlidir. Ag uzerinde boyle 40000 Bayt gibi devasa paketlere raslanmaz. Ayrica boyle bir paket nizami bir pakettir. Art arda 1500 tane gelse bile. Tek mahsuru agi mesgul etmesi olabilir. Ama simdi biraz pratik dusunelim. Siz aga baglisiniz. Kendi alt aginiza boyle paketleri sokmamaniz agin yavaslamasini engellemez, cunku paket ayni kablodan ve ISP tarafindaki routerden gelmektedir, ISP ile anlasip bu cozumu onlara yaptirmaniz gerekir. Mesela onlarin BackBone girisinde bu paket kesilirse ancak pratik bir anlami olur. Yoksa kendi binanizda bunu yapmanizin bir esprisi olmaz.
Eger sozkonusu olan saldirilara karsi koymayi ogrenme konusu ise hangi saldirilardan demek daha uygun olur.. Mesela mail spamming icin sendmaili akillandirmaniz gerekir, SYN_COOKIE yiyorsaniz da firewall'i ogretmelisiniz. Yani, saldiri cesidine gore savunma araclari secilmelidir. Sel baskinina karsi dama cikarsiniz, deprem de ise binadan cikarsiniz. Oncelikle tum saldirilara deva bir firewall bulmanizin imkani yoktur. Tamamen uygun bir UDP paketi BIND (DNS) paketine girer, exploidi patlatir, DNS'iniz perisan olur. Firewall'in buna yapabilecegi pek bir sey yoktur. Cozum BIND'dedir. Bakin size basit bir saldiri yolu:
Paket 1=
IP Basligi
+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
| | ... | Fragment Offset = 0 | ... | |
+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
TCP Basligi
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Kaynak Portu | Hedef Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sekans numarası |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Paket 2=
IP Başlığı
+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
| | ... | Fragment Offset = 1 | ... | |
+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
TCP Başlığı
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Cevaplama Numarası |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Veri | |U|A|P|R|S|F| |
| Ofseti| |R|C|S|S|Y|I| Veri penceresi |
| | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
8 Baytlik iki paket. Bunlar arka arkaya router'e gelirse, router veya firewall bunlara karsi hazirlikli degilse, yol gecen hanina doner. Soylediginiz hic bir yaptirimi uygulamadan paketi kabul eder. Oysa basitce TCP icin 1. Parcada 8 Bayt ve kisa paketleri gecirme gibi yaptirimi varsa bu paket hedefe ulasmaz, boylece guvenlik saglanir: Ya paket SYN olarak isaretli ve Kaynak adresi uydurmaysa.. Belki bu tur normal boyda paketler firewall tarafindan durdurulabilir fakat bu kisa paketler direk aliciya giderse alici saldiriya ve sizma girisimlerine acik olur. Iste firewall'leri bile atlatabilecek basit bir saldiri metodu.. Allahtan Linux firewall'i bu tur paketleri durduracak sekilde duzenlenebilir. Simdi firewall'in ogrenmesinden bahsediyoruz fakat bu firewall boyle bir yaptirima sahip degilse bir saldiri oldugunun farkina dahi varmaz. Tum mesele oncelikle neyle saldirildigini bulmaktan baslar..
Eger saldirinin cinsini bilmiyorsaniz, veya siz, size nasil saldirabilecekleri konusunda bilgiye sahip degilseniz, hic bir firewall'le tam guvenlik saglayamazsiniz. Hepsini yaparsiniz, fakat sendmail'deki bir exploidi kullanan hacker, root vs. sifrenizi ele gecirir. Artik otesi kendi insafina kalir. Binlerce dolar olmasi, bir firewall in veya donanimin iyi oldugu anlamina gelmez. Cok iyi bir firewall almaniz sizi guvenli kilmaz. Firewall, Uygulamalar, router'ler, ISP'nizin donanimi hepsi bir butun olarak degerlendirilmelidir. Andreas Bey'in bir cumlelik ama cok anlamli bir sozu vardi: "Security is a process, not a product". Iste tum mesele bundan ibaret..
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/