From: Fatih Ozavci (fatih.ozavci@superonline.com)
Date: Thu 28 Jun 2001 - 17:53:14 EEST
Hadi bunlarda cozum olabilir gibi geliyorda ben bir noktaya daha parmak basmak istiyorum... bence uygulama seviyesinde de guvenlik cok fazla asilabilir... bugun neredeyse herkes tcp sequence number ataklari yapiyor.. hadi diyelim uygulamada IP guvenligi koydunuz... ip spoofing yada ip degistirme yapilir.. hadi diyelim ARP kayitlari ile ugrasacaksiniz... Arp spoofing yapiliyor... hatta bir adim daha ileri goturup paranoyak olalim... sistemlerde ARP spoofing ile iki sistemin arasina girmek ve bugun herkesin dilinde olan MITM (Man in the middle) ataklari yapiliyor.. yani data 3. bir makine uzerinden de akabiliyor.. hatta hijacking ile client birsey gormeden server'a bazi komutlar gonderilip ciktilari alinabilir ve clinetin oturumu devam ederken yapilir... hadi daha ileri gidelim.. hazir gaza geldik ya... dusunun ki ssh yada ssl kullaniyorsunuz... dsniff gibi bir aracla sshmitim ve webmitm parcalarini kullanarak ssh v.1 ve ssl kirilabilir... yani araya girilir clienta farkli sertifika gonderilir geneldede kimse
bakmayacagindan akan data ssl ile sifrelenmis sanilir ama alenen ortadadir... asmak icin ne yapilir... soru bu ise o zaman cevaplari tartisalim... switchlerde statik olarak her porta bir MAC adresini eslersiniz arp spoofing kismen onceleni... bu mac spoofingide onler.. ama mac flooding ile switch hafizasinin tasmasi ve datalarin frame de akmasi sonucu yapilan ataklar icin daha fazla onlem almak gerekir...
Fazla paranoyakca olundugunun bende farkindayim ne gerek var bunlara diyebilirsiniz... ihtiyaciniz olani kullanin... ornegin ssh v.2 en son takip ettigimde bu MITM ataklari onleyebiliyordu... mesela apache yada uygulamayi ssh v.2 ile tanistirip kardes ilan ederek bu sorunu cozebilirsiniz.. bu konularda sorular varsa hala belki yardimci olabilirim... programci degilim... ama guvenlik uzerine tecrubem var.. aktarmak isterim...
Not: Bence Win2000 magazin dergisinin ingilizcesinde biraz daha tarafsiz... ona guvenerek zaten 9 aydir filan her sayisini aldim ve okudum... ama turkcesi netsoft imtiyazlarinda oldugundan sanirim epey yanli cikiyor.. ama ornek verilen bu ayki sayidan 2 makale daha oneririm size... biri pazarda win2000 in durumu (Linuxun durumunu biraz daha gercekci ortaya koyuyor ama yetmiyor tabiii...) digeri ise anti-trust yasasi sebebiyle yazilan ve aslinda microsoft Office 2000-XP ile tekel ollusturuyor.. lisanslamasi abarti kacak kullanima yoneltir.. star office yukselir tarzindaki yazi... (Yargidan M$'a iyi haberler yazisini kastetmiyorum..) yazilar yeterince uzun oldugu icin burada yazamiyorum ozur... Tavsiyem elestireceginiz seyleride iyi inceleyin boylece daha cok +- bulur ve objektif olursunuz... bide tartisirken kirici olmayin birbirinize .. her taraf cicek, bocuk savasmayin, tartisin.. :-)))
Saygilar
Fatih Ozavci
sekurity spesyalist :-)
> Elbette oyle yapmakla sorunlar bitmiyor. Fakat guvenlik sorunlari tek
> kaynaga tasinir, izlenmesi, bakimi daha kolay olur gibime geliyor. IP
> blok kontrolu, tek basina cok etkili olabilir. Fakat su "Bu IP disindan
> gelenler, sifreyle girsin" istegi biraz can SIKIYOR. Soyleki, bu
> durumda iki farkli guvenlik proseduru uygulamak gerekiyor. Yarin IP
> blogunun genisletimesi vs. gerektikce sorun iyice dallanip
> budaklanabilir. Elbette isinizi SIKI tutarak, 20 farkli proseduru
> guzelce halledebilirsiniz. Fakat, uzatmanin ve basa dert acmanin
> fazlada bir esprisi yok elbette. Mesela: koridordan baktim, Ahmet Hoca
> gitmis. Dur bakiyim notuma, IP'si 1.2.3.3 imis. Gir static IP'yi.
> Hoop.. Asildi koruma. Bunu engellemek mumkun tabiiki, firewall uzerinde
> bir ARP testi eklenebilir. MAC adreslerini kaydet vs. Bir suru zahmet.
> Ama, zaten guvenlik icin gene bir sifre sistemi gelistirilecekse, tum
> herseyi oradan cozmek daha mantikli olmaz mi ?
>
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------