From: Can Erkin Acar (can.acar@pro-g.com.tr)
Date: Tue 12 Apr 2005 - 19:49:40 EEST
Mehmet Sahin wrote:
> Arkadaşlar herkese merhaba ben network üzerinde sniffer programlarının
> kullanılmasını önlemek istiyorum bu konu hakkında bilgisi olan
> arkadaşlar varsa yardımlarını bekliyorum teşekkür ederim...
Kullanıcıların bilgisayarlarında Administrator ve/veya root hakları
elde edebildiği ortamlarda, ağ üzerine bir kablo ve/veya access
point aracılığı ile dışarıdan bir bilgisayar bağlamanın mümkün olduğu
durumlarda "sniffer program kullanılmasını engellemek" mümkün değildir.
Ağ üzerinde birilerinin sniffer kullanmasına karşı önlem alabilmek için
sniff etme yöntemleri üzerinde biraz düşünmek gerek.
1. Hub kullanan networkler: Yeni bir network kurarken istenilse de
hub kullanmak pek mümkün değil. Hub kullanan 'eski' networklerde
ise sniff etmek için hiç bir çaba göstermeden tamamen pasif dinleme
yapmak mümkün. Bu şekilde yapılan dinlemelerin ise tespit edilmeleri
oldukça zor olabilir (anahtar kelime: antisniff).
2. 'Ucuz' switchler: Pek çok switch adres tabloları dolduğunda, veya
yoğun trafik altında pes edip hub gibi davranmaya başlar. Bu durum
saldırgana belirli bir zorlama sonrası Hub benzeri bir dinleme ortamı
sağlar.
3. MAC adres spoofing: Kullanıcı kendi ethernet MAC adresini
değiştirerek hedeflediği sistemin yerine geçebilir, ve bu sisteme
yönelen trafiği karşılayabilir, ancak diğer sisteme bağlantı
kesilecektir. Yönetilebilen switchler genellikle MAC adresinin
değişmesine izin vermeyecek şekilde ayarlanabilir.
4. Switch saldırıları: Switch yönetim erişimimi ele geçiren bir
kullanıcı, switch becerilerine bağlı olarak bütün trafiğin bir
kopyasını da kendisine yönlendirebilir. Bu da fazla akıllı switchler
ve akılsız sistem yöneticileri ile ilgili bir problemdir.
5. ARP spoofing: IP/MAC adres eşleşmesi için kullanılan ARP protokolünü
kullanarak iki hedef sistem arasına kendisini yerleştirebilir
(Man In The Middle, MITM saldırısı). Örneğin başka bir kullanıcının
bilgisayarı ile gateway makinası arasına geçerek patronun trafiğini
dinleyebilir. Bunun için kullanıcı ile aynı ağ üzerinde bulunması
yeterlidir (aynı switch şart değil).
6. DNS spoofing: Bir DNS sunucununu ele geçiren, veya onun yerine
(doğru zamanda, doğru yere) cevap gönderebilen bir saldırgan,
hedefinin internet bağlantılarını kontrol altına alabilir.
Bunun için aynı ağ üzerinde olması bile gerekmez (ancak
aynı ağ üzerinde olmak yardımcı olacaktır).
Peki sniff edilince neler ele geçebilir (anahtar kelime: dsniff)?
Parolalar, dosyalar, elektronik postalar vs vs vs
Peki nasıl korunacağız:
* Şifreli haberleşme: telnet/rlogin yerine SSH, web loginlerde HTTPS,
IMAP/POP3/SMTP nin SSL/TLS kullanan ayarları, genel olarak ağ üzerinde
IPSec, Wireless ağ üzerinde WPA (WEP öldü) veya IPSec.
* Ayrıca SSL ve SSH bağlantılarında şifreleme/güvenme ile ilgili
uyarıları 'tamam' deyip geçiştirmeden, gerekli kontrolleri yaparak.
* Ağ aktif cihazlarının yönetim erişimini sağlamlaştırarak: Tahmin
edilemeyecek parolalar seçip, telnet yerine SSH, HTTP yerine HTTPS
ile bağlanarak, SNMP kullanılmıyorsa kapatıp, kullanılıyorsa
tahmin edilemeyecek community isimleri kullanarak. SNMP trap
ayarlarını yapıp anormal durumlarda ağ cihazlarının sizi uyarmasını
sağlayarak.
* Switchlerde mümkünse port düzeyi güvenlik ayarlarını devreye alarak.
* Network üzerindeki trafik anormalliklerini raporlayabilen bir IDS
sistemi kullanarak.
vs vs vs ...
İyi çalışmalar
Can
-- Can E. Acar Pro-G Bilişim Güvenliği ve Araştırma Ltd. http://www.pro-g.com.tr/ _______________________________________________ Linux-ag mailing list Linux-ag@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-ag