From: Serdar Koylu (serdarkoylu@fisek.com.tr)
Date: Tue 10 Sep 2002 - 16:03:49 EEST
Selamlar..
Ben bir guvenlik uzmani degilim. Ama son donemdeki calismalarimizdan bu konuda bir hayli fikir sahibi olmus durumdayim. Oncelikle inline IDS ve alert sistemlerinin yeterince guvenilir olup olmadiklarina bakmak lazim.
Basitce Windows 98 hemen hemen en guvensiz isletim sistemlerinden biridir. Peki Windows kullanicilarinin hacklenmesi nasil olur ? Genellikle avanak Outlook'un basiretsizligi ile bulasan trojan ve viruslerden. Oysaki hemen her Windows kullanicisi bir antivirus'e sahiptir. Ama genede Nimda, RedCode, Klez yeterince bela olmustur. Neden ? Virusler daha temizleyiciler kendini tanimadan yeterince yayilmis olurlar ve yogun populasyon oranina ulasirlar. Sonrasinda uzun bir sure sistemleri etkilemeye devam ederler, antivirusler taniyor olsa bile. Yani kritik esik asilmis olur, belki savunma onlemini alanlar icin sorun olmaz, ama hergun bir yerlerden yeni virus vakalari gelir.
IDS'lerde buna benzer pasif savunma sistemleridir. Siz ister IDS'e bir if ve block rule eklemis olun, isterseniz tipik raporlama amaciyla kullanin, IDS sonucta bazi saldiri turlerinden mutlaka bihaber olacaktir. YEni RFC'lerden birisi Firewall enhancement protokol mu neydi onu anlatir. Zaten webservices, XML-RPC, .NET CLI vs. derken yarin gorecegimiz buyuk ihtimalle sadece bir tek HTTP portuna sahip olan makineler olacak. Gelen CLI kodunun (.NET'in onderlenmis object kodu, hedefte derlenip calistirilir) bir virus veya trojan olmadigini belirlemek ne kadar mumkun ? Bu tur pasif savunma, yani pattern tanima gibi islevlerin, bu paket su adresten mi geliyor gibi islevlerin aslinda gozleri bagli olarak bir fili tanimaya benzedigini gormek lazim.
Bir diger soruda saldiriyi tespit edecegim de ne olacak ? Askerlik yapanlar bilir, baskina filan ugrarsaniz, ilk anda sok atesi acarsiniz. Bu ates hedef gozeterek yapilmaz. Tahmini saldirgani rahatsiz ederek onun siper almasini saglayip size zaman kazandirir. yoksa keklik gibi avlanirsiniz. IDS bana yapilan saldiriyi bulmus. Gecenin 23:00'i ve ben kardesimin dugunundeyim. Oturup benden bir seyler yapmami bekliyorsa, beklemeye devam eder sadece. Yanisi, bir IDS, bir nobetciyse, oncelikle sok atesi yapabilmelidir. Yani saldirgani cekilmeye zorlayabilmelidir. Raporlama yapiyor olmasi benim icin cok bir anlam ifade etmez. Nasil olsa ertesi gun beni "hacklenmis siteler listeleri" filan yeterince guzel bir sekilde istatistiklerine alacaktir. Onemli olan IDS'in bir reaksiyon uretebilmesidir.
Guncel IDS'ler bir noktaya kadar bunu saglayabiliyor. Fakat bu sekilde pasif calisma cok fazla gelecek vaat etmiyor. Firewall aslinda bir salter sebekesi olarak dusunulmeli. Hangi baglantinin gecip gecmeyecegine yonelik olarak is yapiyor ve guzel yapiyor. Fakat onun isi bu kadar. Sirada proxy'ler geliyor. Ama onlarda bir yere kadar calisiyor. Sonunda application geliyor ki aslolan husus burasi. Bugune kadar uygulamalarin asil is yapan seyler oldugu, bilhassa ihmal edildi. Eger bir uygulama yeteri kadar guvenli ise, firewall, proxy vs. gerekmez (elbette bir yere kadar, ama bu yer guncel proxy ve firewall uygulamalarinin cogunu ihtiva eder). Oysaki OSI layer yapilandirmasi uygulamanin en sonunda Layer 6-7 filan olmasina yol aciyor. Sonucta, siz size gelen baglantinin ne oldugu hakkinda tam olarak fikre sahip olmuyorsunuz. Iyi bir savunma icin kalenin etrafina surlar orersiniz (firewall) kulelere gozculer koyarsiniz (IDS) fakat icerdeki ahaliyi serbest birakamazsiniz. Ahalinin bir saldiri durumu oldugunu anlama
si (sirenler calar) siginaklara girmesi, supheli vatandaslari ihbar etmesi vs. gerekir. Biz iste her zaman bu hususu atliyoruz. Firewall, IDS vs. koyuyoruz is bitti diyoruz. Oysaki, icerdeki ahali, "Yahu burada bir sey oldu. Bu adam nerden cikmis, burada olmamasi gerekiyor", "Yanimda calisan adam durdugu yerde geberdi. Ne oluyor ?", "Bu kilik kiyafet su sahsin fakat o boyle yurumezdi" gibisinden sistem guvenlik birimine haber vermeleri gerekliligi.
Iste bam teli burasi. Sistemler bir guvenlik birimine sahip degil. Temelde koordinasyonu yapilmamis (adminin konfig.leri var sadece) kendi basina hareket eden nobetciler, kapi bekcileri, gozculer filan ile calisiyor. Eger sistem yoneticisi biraz iyise SNORT, IPTABLES, SQUID vs. koordine ederek bir hayli etkili bir mekanizma olusturabiliyor. Fakat, bunlar aslen bir digerinden habersiz.
Bence yeni guvenlik modelinin oncelikle bir "Sistem ve Network" capinda guvenlik denetimi saglayan bir bilesene sahip olmasi sarti var. Bunun temel gorevi sistemden gelecek uyarilara gore sistemin dinamik olarak guvenlik yapilandirmasini saglamak olmali. Oysa bildigim hic bir sey bu ihtiyaci karsilamiyor.
Bence yeni donemde guvenlik uzmanlarinin bu konuya egilmeleri sart. Aksi halde bu sorun sonsuza kadar devam edebilir. Guvenlik gercekten bir butun olarak gorulmeli. Uygulamalar, Libraryler, OS, router'lar vs. her sey bunda etkin bir rol oynamali. Hangi tur saldiri karsisinda ne yapacaklari tanimlanmis olmali. Ama oyle degiller.
Saygi ve sevgiler..
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------