From: fatih.ozavci@frontsite.com.tr
Date: Fri 09 Aug 2002 - 14:25:58 EEST
Benim tavsiyelerim biraz daha ozet aslinda....
1-) Sisteminizdeki acik olan portlari ve bunlari kullanan programlari=20
saptamak istiyorsaniz "netstat -nlp" komutunu vermelisiniz.. bu komut size =
unix socket'leri ve IP socketlerinin hangilerinin dinlendigini=20
gosterecektir.. buradaki acik portlara bakmaniz, daha sonra ise bu portu=20
dinleyen programa bakmaniz yeterlidir.. sisteminizde gereksiz olan bu tur=20
programlari mutlak kaldirin... /etc/inetd.conf dosyasi, /etc/xinetd=20
klasoru ve /etc/init.d/ klasoru bu programlarinin cogunun baslama=20
yerleridir.. buralardan gerekmeyen sunuculari mutlak kapatmalisiniz...
2-) Sisteminizde kullanmakta oldugunuz sunucu yazilimlarina hangi IP=20
araliklarindan yada hangi agdan erisilecegini kafanizda belirleyip bu=20
bilgileri o sunucunun conf dosyalarina eklemelisiniz.. boylece sunucunuz=20
gerekmiyor ise eth1'i yada ppp0'i dinlemeyecek, sadece eth1 gibi yerel=20
aginiza bagli ethernet kartindan gelen istekleri kabul edecektir...
3--) Iptables ile 2. maddede anlatilan kafanizda belirlediginiz bilgileri=20
bir kural listesi olarak olusturup kullanmaya baslamalisiniz... boylece 2=20
tarafli koruma saglamis olursunuz...
4-) Sisteminize Snort ve LIDS kurun, Snort ag temelli, LIDS ise sunucu=20
temelli saldiri tespitinde oldukca basarililar... biraz dokuman okuyarak=20
ne is yaptiklarini nasil kullanildiklarini ogrenebilirsiniz...
5-) Iptables, Snort, LIDS ve Sistem kayitlarini duzenli olarak inceleyerek =
anormallikleri degerlendirerek gerekli onlemleri alin, ornegin guvenlik=20
zayifligi bulunan bir sunucuyu yeni surume yukseltmek...
6-) Sisteminizde portlarin acik olmasinin bir anlam ifade etmedigini, o=20
portu dinleyen sunucunun bir zayifligi yoksa sorun olusturmayacagini=20
bilmeniz ve hizmet sundugunuz portlari dinleyen sunucularin yeri=20
surumlerini ve yamalarini kullanmaniz onemlidir. Bugtraq posta listesine=20
(online.securityfocus.com) uye olarak yada sik kullandiginiz linux=20
dagitimi ve sunucu yazilimlarinin listelerine uye olarak son guvenlik=20
zayifliklarini takip edip yamalari uygulamalisiniz...
Sanirim bu bilgiler bir sunucuya basitce koruyabilir, orta seviyede bir=20
saldirgan listelediklerimi yaparsaniz sisteminize pek bir zarar veremez... =
Ust duzey saldirganlardan bahsediyorsakta ne yaparsaniz yapin=20
engelleyemeyeceginizi unutmayin.. Kolay gelsin...
Fatih Ozavci
Security Analyst
Frontsite Bilgi Teknolojisi A.S.
http://www.siyahsapka.com
http://www.frontsite.com.tr
ozmalkoc@proda.com.tr
Sent by: linux-guvenlik-bounce@linux.org.tr
08/09/02 10:59 AM
Please respond to linux-guvenlik
=20
To: linux-guvenlik@linux.org.tr
cc:=20
Subject: [linux-guvenlik] Re: nmap ile ilgili
evet, sanirim oyle... bugun netstat -a -p komutu ile kontrol ettigimde, bu
portlari portsentry'nin kullandigini kesfettim. Dun aksam sanirim aceleden
panikledim azicik :-)) Neyse, ben portsentry'nin dinamik olarak iptables
kurali uretmesi ve /etc/hosts.deny dosyasina yazmasi konusuna yogunlassam
daha iyi olacak herhalde. icim biraz daha rahat su anda...
Tesekkurler.
-----------------------------------------------------------------------
Liste =FCyeli=F0iniz ile ilgili her t=FCrl=FC i=FElem i=E7in
http://liste.linux.org.tr adresindeki web aray=FCz=FCn=FC kullanabilirsiniz.
Listeden =E7=FDkmak i=E7in: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" k=FDsm=FDnda "unsubscribe" yazan bir e-posta g=F6nderiniz.
-----------------------------------------------------------------------
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------