From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Thu 28 Jun 2001 - 12:41:08 EEST
> Bu noktada bazi muammalar var.. dediginiz bigi offline sertifika
> cozum gibi ama client tarafina offline sertifika onun sisteminin
> guvenligi kadar guvnelidir cunku kaydedildigi diskten
> calinabilirde... amac zaten client haklariyla serverda gezmek oldugu
> icin bence rahat yapilir.. (bkz.. yine hijacking ve mitm)
> >
> > ARP spoofing ve MAC spoofing farkli midir? Farkli ise farklari
> nedir?
MAC, bir sayi. ARP ise bir protokol. ARP, MAC'a ulasmak amacini degil,
paketin fiziksel olarak hangi arabirime gidecegiyle ilgilenir. Bu
nedenle ARP'i kandirmak daha kolaydir. MAC'i ise asla kandiramazsiniz.
Cunku o fiziksel bir sayidir. Bu nedenle aslen MAC Sppofing
yapamazsiniz. Fakat MAC yerine LLC (Modemler, bluetooth vs.) gibi
kullaniliyorsa bunu saglamak bazen cok basit olabilir. MAC'i
kandirmakta ancak soyle olabilir, Promiscous calismayan bir ethernet
kartina, kendine gelmeyen herhangi bir paketi kabul ettiremezsiniz.
Broadcast yapmadan bunu yapamazsiniz. Zaten bu MAC dedigimiz kavram
Local makinenin disina ulasmaz. ARP gibi tekniklerle bu adres
ogrenilir. Fakat ARP bir protokoldur, ulastigi makinenin eerom'una
bakarak degil gelen bilgiye bakarak cozum uretir. Bu nedenle de ARP'i
kandirmak hic zor degildir.
> Aslinda benim bildigim farkli, soyleki arp spoofingde switche
> (hublar artik gunumuzde yokta :-)) gonderilen datalarda IP oncesi ARP
> istegi gonderilir ve mac adresi sorulur... bu noktada hangi client
> once bu IP benim ve MACimde budur derse (Sahte olmasi sart degildir)
> baglanti onunla kurulur... ama MAC spoofingde fark sahte bir MAC
> adresiyle o MAC adresinin haklarina sahip olmaktan gecer...
> baglantiyi kimin kurdugu veya baslattigi onemli degildir.. cok
> benziyor.. :-)) ayni bile diyebilirsiniz... ben kendim anliyim diye
> ayiriyom bunlari ama benim disimda ayiran cok kiside var :-)...
>
> >
> > Ozde hemen her zayiflik icin bu zayifligi minimize edecek ve/veya
> ona
> > karsi cozum teskil edecek
> > islemler soz konusudur. Onemli olan zayifligi tespit etmek, dogru
> > algilamak ve dogru bicimde
> > riski minimize etmektir. Isin ozu risk yonetimi... :)
>
> Cok guzel bir soz.. riski minimize etmek... ayrica eklemek istedigim
> birsey daha var... eger reel riskleri bilirsek ve hasar tespiti ile
> hasar kurtarma raporlari hazirlarsak daha kotu sonuclari engellemis
> oluruz... yani haftada bir kendinize saldirin yada saldirtin sonra
> tabloyu inceleyin... politikaniz ihtiyaclar olcusunde
> sekilllenecektir..
Selamlar..
Cok guzel yorumlar. Benzeri yorumlarimi ve ilavelerimi iceren mail
aksam listara takilmis herhalde, gorunmuyor. Biraz toplamaya calisayim.
Bir web sitesine bazi clientler (IP Numarasina gore) dogrudan
girecekken, bazilari hic giremeyecek. Ag uzerinde IP numarasina bagli
olarak bu kadar cok acik varken, Apache uzerinden degilde bu
noktalardan yapilacak bir kontrol kafalari bir hayli karistiracak. Peki
Apache kodunu yamasak, boyle bir uygulamaya yonlendirsek, gerci gerek
yok, ASP, PHP bunlari halleder, guvenligi saglamis mi olacagiz ? Hayir,
gene boyle bir suru acik orada oyle duruyor olacak. Fakat bizim bu
durumda bu sistemi takviye eder halde gucbirligine goturme imkanimiz
olacak diger bilesenleri. Aksi durumda zincirin son halkasi, ki
saldirinin asil hedefi korunmasiz kalacak. Buradaki gibi karisik
guvenlik onlemleri icinde istatistik olarak mumkun olan eksikliklerden
birini yakalayip servere sizmak kolay olacaktir. Guvenlikte riski
minimuma dusurmek icin yapilmasi gereken en mantikli yollardan birisi
tutulacak kancalari tespit etmeyi zorlastirmaktir. Soyleki,
rastlantiyla bir acik kullanan ama serverdeki guvenlik nedeniyle
asamayan hacker, belki de bir acik yakaladiginin farkina varmadan,
servere ulasmak icin farkli metotlara dalacaktir. Bu esnada iyi bir
guvenlik takibi ile duruma mudahale edilebilir, o delikte
kapatilabilir.
Guvenlik onlemlerini en uctan baslayarak birbirini tamamlar sekilde
olusturmak gerekli oldugu cikiyor bu yorumlardan. Peki nereye kadar ?
Bakarsiniz guvenlik onlemlerine harcadiginiz, korudugunuz seyin kaybi
halinde edeceginiz zarardan daha fazla olmaya baslar. Hesap buna
dayandirilmali. Gidip 7121 inci portta calisip, ozel bir dogrulama kodu
gerektiren bir server uygulamasi yapip hat boyunca tum firewall ve
serverlerin cok etkili denetimini yapma imkaniniz olabilir. Hele
tamamen Linux kullaniyorsaniz, bu cok kolay olabilir. 3Com'un 3c905'i
gibi kartlar kullanip, aradaki kablonun uzunluguna bakarak bile etkili
koruma saglanabilir. Ama saydamlik yerine bulaniklik, donanima da asiri
bagimlilik getirir, yaygin kullanilacak bir cozume uygun olmaz.
Peki bu tur ucuk guvenlik onlemleri asilamaz mi ? Asilir elbet. Dikenli
teller ve mayin tarlalari dusmani durdurmaya degil, hizini kesmeye
yarar. Etkili bir gozlemle yavaslayan saldirganlari yakalama sansiniz
artar. Demekki gozlemi, log takibini, periyodik ve rasgele yapilacak
denetimleri vs. hic ihmal etmemek gerekir. Andreas Mueller'in bir sozu
vardi: "Guvenlik bir uygulama degil, bir surectir". Hepsi boyle
ozetlenebilir. Bir kaidede programciliktan, bir algoritma ne kadar
basitse o kadar iyidir. Eger ayni isi daha anlasilir yapan bir
algoritma varsa, daha hizli veya daha az kaynak saglamak icin bu
algoritmadan vazgecmeyin denir. Bunu buraya uygularsak, isi ne kadar az
teferruatla yaparsaniz, o kadar saglikli olacaktir.
Saygi ve sevgiler..
__________________________________________________
Do You Yahoo!?
Get personalized email addresses from Yahoo! Mail
http://personal.mail.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------