From: Erhan Ekici (erhan@uzem.itu.edu.tr)
Date: Fri 15 Apr 2005 - 02:22:26 EEST
Merhabalar...
Bilgi olmasi acisindan bazi sorulari dilim dondugunce cevaplayayim.
Quoting Arda Cetin <arda@linux-sevenler.org>:
> 1. Bu açıklamanın tam olarak kaynağı nedir ve nerededir?
Bu aciklamanin kaynagi Veritest firmasidir.
Arastirmanin basligi ve ilgili baglanti bilgisi ise soyle:
Microsoft Windows Server 2003 vs. Red Hat Enterprise Linux AS 3.0: IT
Professionals Running a Production Environment (04/05)
http://www.veritest.com/clients/reports/microsoft/
Veritest firmasi test arastirmalari yapan bir firmadir. Musterileri arasinda
Sun Microsystems, Oracle ve (bu yilin basinda eklendi) Novell firmalari vardir.
Yalniz bu firmanin tamamen bagimsiz ve tarafsiz arastirmalar yaptigini soylemek
pek dogru olmaz. Arastirma ucretini, arastirma veya testi isteyen firma oder.
Boyle olunca da testin olcmesi gereken kriterleri kendi belirler. Ayrica test
sonucu istedigi gibi cikmaz ise testin yayinlanmasini istememe hakkina da
sahiptir.
> 2. Araştırma hangi şartlarda yapılmıştır ve güvenlik testleri nasıl
> gerçekleştirilmiştir?
Arastima ve test iki asamadan olusmaktadir. proaktif ve reaktif diye
niteleyebilecegimiz bu iki alanda Windows ve RHEL teste tabi tutulmustur.
18 Linux Sistem yoneticisi ve 18 Windows sistem yonetici kullanilmis , her iki
test sonucu bulunan verilerin ortalamasi alinmis ve sonuclar belirlenmistir.
Proaktif asamada update eksikleri bulunan, yama uygulanmamis, fakat calisir
vaziyette olan sunucular(Eposta, Dosya/Yazici, ve arakatman sunuculari) sistem
yoneticilerine verilmis ve bu sistemlerdeki eksikleri tamamlamalari, gerekli
duzenlemeleri yapmalari istenmis. Windows yoneticileri kendi sunucularini 4.5
saatte duzeltirken Linux sistem yoneticileri 5 saatte duzeltmislerdir.
Burada belirtmekte fayda var (Sanirim Ali Erdinc Koroglu sormustu):
Kulanilan sunucular HP ProLiant DL380 G3 sunucular yani RedHat Enterprise Linux
3.0 sertifikali sunucular.
(Bkz: http://hardware.redhat.com/hcl/?pagename=details&hid=5257)
Ayrica birinci asamada senaryo bazli bir yontem izlenmis:
Sistem yoneticilerine Active Directory ve OpenLDAP kaynakli sorunlari
duzeltmelerini gerektiren gorevler verilmis. Burada acik ara windows tarafi
basarili olmus. Linux Sistem yoneticileri OpenLDAP ayarlarinda bayagi
zorlanmislar. (O kadar zor olmasa gerek ama :))
> 3. Testi yapılan sistemlerine ne gibi güvenlik saldırıları
> yapılmıştır?
Tum senaryo yukariaki gibi. Ayrica buradaki guvenlik tam anlamiyla
anladigimizdan ziyade acik, yama gibi seylerin uygulanma (sistem yoneticileri
tarafindan) suresi uzun olan guvensiz kabul edilebiliyor.
> 4 Saldırıların tam olarak sonuçları nelerdir?
> 5. Neden Redhat Enterprise Server 4 sürümü varken RHEL 3 sürümü
> kullanılmıştır? Bu davranışta bir kasıt var mıdır?
Kasit yoktur. Bu gibi senaryo ve arastirmalarda piyasada en cok payi olan
versiyon/urun kullanilir. Standart prosedur boyledir.
> 7. Bu konunun sizinle alakası nedir? Bu araştırmayı bu listede duyurma
> sebebiniz nedir? Adı geçen şirketlerle herhangi bir alakanız var mı?
Suclayici ifadelerden kacinmamiz gerektigi kanisindayim. Bu bir sorudur. Bilen
aciklar, bilmeyen ogrenir.
Bu arastirmadan cikarilacak sonuc "Arastirma sonuclari dogru olabilir" ama
gozden kacirilmamasi gereken nokta bu ve benzeri arastirmalarda parayi veren
firma testi istedigi acilardan ve bilesenlerden olusturur. Active Directory
yonetimi ile OpenLDAP yonetimi ayni zorluk derecesinde degil. Bu teste zaman
onemli bir etken. Ama tutup baska testler ayni sistemlere uygulansa tahmin
edilir ki Linux sistemler guvenli cikar.
Linux herseyde superdir, soyledir boyledir gibi dar, fanatik bakislardan ziyade
gercegi gormek lazim. Amaciniz kolay kullanilabiir bir sistem ise
tercihinşz degisebilir. Amaciniz Saglam (robust) bir sistem ise
sececeginiz sistem yine degisir. Velhasil kelam olaylara/testlere hangi acidan
bakildigi onemlidir.
Bu firma boyle bakmis. Ha dogru mu bakmis peki? baktigi cervece sinirli oldugu
icin sonuclarini sasirtici bulmadigimi kisisel gorusum olarak da eklemis
olayim.
Sevgiler,
iyi calismalar,
Erhan Ekici
_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sohbet