From: Serdar Koylu (serdarkoylu@fisek.com.tr)
Date: Tue 10 Sep 2002 - 20:48:35 EEST
Selamlar..
10 Sep 2002 17:43 EEST tarihinde yazmışsınız:
> Saldiri tespiti salt tespit amaci ile cikmis olsa da yarin saldirilari
> durdurmak icin kullanilmamasi icin ozel bir neden yok. Saldiri tespit
> sistemleri bugun cok hata yapiyor olabilir, cok problemli olaiblirler
> ama bu yarin da boyle olmak zorunda degil; hatta olmamasi icin cok yogun
> bir arastirma gayreti suruyor.
DalNet'in bazi serverlerine port scan yapiyorsunuz. Derhal size nuke saliyorlar. Bazilarina exploit testi yapiyorsunuz, kline yemekten gecin aninda karsi atakta bulunuyorlar. Sizce bu bir IDS ile yapilmiyormu ? Kisacasi, guncel durumda IDS'ler sadece savunma degil, taaruza gececek sekilde bile yapilandirilabiliyor. Elbette henuz DAL'net adminlerinin elle yaptiklari ozel servis IDS yapilandirmasinin genelgecer olarak kullanilarak aktif savunma yapabilecek NIDS'ler ile tanisacagiz.
> Guvenlik duvarlari paketlerin gecip gecmeyecegine karar verirken paket
> ile ilgili belli alanlari inceler ve buna gore karar verirler. Bugun
> erisebildiginiz bir NIDS, bir paketin, erisebildiginiz tipik bir
> guvenlik duvarindan daha fazla alanina bakmaniza ve incelemenize izin
> verecektir. Incelemenize imkan verilen alan sayisi arttikca saldirilari
> tespit etmek ve durdurmak icin sahip oldugunuz imkanlar da artacaktir.
Zaten guncel firewall'lerde bunu yapiyor. Su meshur statefull olayi bile aslinda bir tur IP level proxy degil mi ?
> Savim, gelecegin guvenlik duvarlarinin kural dili olarak bugunun kural
> temelli saldiri tespit sistemlerinin dilleri ile benzer (ya da ayni)
> dilleri kullanacagidir. Kurallari tarif etmek icin kullandiginiz dil ve
> paket uzerinde baktiginiz alanlar birbirlerine yakinsadikca inline
> NIDS'ler ve firewall'lar arasindaki fark da giderek azalacaktir. Sonucta
> ortaya cikacak urun (bence) NIDS'e benzer bir firewall'dan cok firewall
> olarak da kullanilabilen bir NIDS olacaktir.
Biraz kavram karmasasi olusturuyor bu paragraf. Benim gorusum gelecekte firewall'lerin tam anlamiyla bir NIDS olacagi ve saldirilari onlemede bir tur baglanti kurulsun/kurulmasin gorevi yerine bu gorev yapilsin/yapilmasin mantigina yaklasacaklari. Fakat buda yanlis bir yaklasim. Hatali degil ama, guvenlik sorunlari icin cozumde degil.
> Bu nihai urun uzerinde ag katmaninda paket filtreleme kurallari
> tanimlanabilecek, uygulama katmaninda paket filtreleme kurallari
> tanimlayabilecek ve durum korumali inceleme yapilabilecektir. Bugun
> Snort ile bile paket filtreleme kurallari tanimlayabilir, istenmeyen
> iletisimlerin TCP-Kill, ICMP-Host-Unreachable vb. ile engellenmesini
> saglayabilirsiniz.
:)) Snort IPTABLES'a kural yazabiliyor.
> Saldiri tespit sistemlerinin genel olarak cok hata yapmasini vb. bir
> kenara birakin; altindaki kural temelli tespit motorunu dusunun
> yalnizca... Hic kuralsiz bicimde bile elinizde olsa bugunku
> firewall'lardan daha etkin bir firewall yapamaz miydiniz? En basit
> bicimi ile bir web sunucusuna yonelik CGI saldirilarinin gecmesini
> onleyemez miydiniz?
Guncel savunma anlayisinda en cok yapilan hata burada oluyor. Meshur laftir, hatti mudafaa yoktur, sathi mudafaa vardir. Bu firewall, NIDS, proxy yaklasimi vs. bir hatti mudafaa etmeye yariyor. Halbuki hacker'lar ucabilir. Parasutle savunmanin arkasina inebilir.
Size bir ornek. Yasnamis bir olay ama kisaltmak icin yasananlari ozetliyorum. En baba firewall'i koyarsiniz, en kral NIDS'i olusturursunuz. Ama avarenin birisi gider yerel aga bir modem takar. Dahasi buda bir UNIX sistemidir. Birde calisiyormu diye hat baglar. Hacker'da gelir sabahlara kadar brute force yapip bu modemden yerel aga oradan serverlere sizar..
Kisacasi hat savunmasi, olabilecek en kotu savunma metodudur. Eger taarruz altindaysaniz, tum alanda gerekli ve yeterli onlemleri almaniz gerekir. Iste o anda artik cephe olusturmaniz gerekmez. Bu durumdada her seyden once hem daha guvende, hemde daha ucuza is yapmis olursunuz. Mesela ise, Windows makineleri cope atmaktan baslayabilirsiniz. Bir tanesine virus bulasirsa, hele birde Nimda filansa....
Bugun hic kimse saldiri altinda degilim diyemez. Tipik olarak her kullanici ve server potansiyel bir hedeftir. Bizim dial-up calisan server acildiktan sonra ortalama 1 saat icinde ilk port taramasini yiyor. Gunde yaklasik 500 civarinda telnet girisimi oluyor. Yuzlerce Samba baglantisi DENY Ediliyor. En az iki uc gunde bir brute force deneniyor. Allahtan biraz usta olanlar bunun ugrasmaya degmeyecek bir sistem oldugunu farkedip uzerine gitmiyorlar. Ama script kiddie'ler SSH, FTP, WEB, DNS vs. ne varsa hazir kita bekleyen bu aleti bulunca maden bulmus gibi seviniyor olmalilar ki saatlerce ugrasiyorlar, bende PuTTY'nin basinda oturup seyrediyorum sadece..
> Butun bu vizyona ve imkanlara ragmen, inline NIDS ile yapilacak bir
> firewall ile tum saldirilarin engellenebilecegini iddia etmiyorum.
> Iddiam, nihai urunun bugun firewall diye bildigimiz ve ayarladigimiz
> aletlerin bana sundugundan daha fazla imkanin emrime sunulacagidir.
> Ayarlamasini bilirseniz bu imkan daha basarili bir guvenlik duvari
> uygulamasi yapmaniza imkan verir...
Hat mudafaasi metoduyla hic bir zaman guvende olamazsiniz. Her hattin bir zayif yeri vardir.
> Onceki mesajlarda anlatmaya calistigimi (belki de yanlis ifadeler
> sectigim icin) anlatamadim; umarim bu mesajda derdimi anlatmayi
> basarabilirim.
>
> Ag temelli ve kural tabanli saldiri tespit sistemleri yazilimla gelen
> genel kurallari kullanmaz ve kendi kurallarinizi kendiniz tanimlarsaniz
> cok basarili sonuclar elde edebilirsiniz. Ben soz konusu mimarinin
> oldugu gibi cope atilmasini ve yeniden/cok-farkli bir mimarinin ortaya
> konmasini savunmuyorum.
Fakat, benim sakalim yok. Dahasi Guvenlik Uzmani, Doc.Dr vs. de degilim. Sonucta kimse beni dinlemez saniyorum. Cephe savunma icin firewall'ler guncel durumda sadece aksesuar kadar onemli. Cunku saldirilan yerler firewall'in bloke etmedigi baglantilar. Bir noktada proxy serverler faydali olabiliyor fakat onlarin ACL imkanlari genis bir savunma saglayacak boyutta degil. Bu durumda en mantiklisi, NIDS benzeri sistemler kullanmak. Fakat buda cozum degil. Cunku yakinda eski gunlere geri donecegiz, RPC gunlerine. Dahasi sistemler uzerindeki kod yuku artacak. Otomatikman guvenlik aciklarida artacak. Bunlari yakalamak, takip etmek (AutoUpdate vs. hikayedir sadece) imkansiz hale gelecek. Birileri Explorer'in kesfedilmis ama hala yamanmamis 30 guvenlik aciginin 31'sini bulacak kiyamieti koparacak. Cogu adminin sistemini eline verecek. Bu bir hayal, karamsar bir kiyamet senaryosu degil. Artik cepheyi degil tum alani savunma kabiliyetleri gelistirilebilmeli. Yoksa Internet = Hackernet olacak.
Saygi ve sevgiler..
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------