Ara
Kullanıcı girişi
Gezinti
En son ağ günlüğü gönderileri
- Resmi Windows 7 Beta sürümü Torrent'e Düştü
- ISS X-Force vs Trend Micro
- iPhone 3G yellowsn0w yazılımı ile sim kilidi açma demo videosu
- Seadragon: Microsoft iPhone için ilk uygulamasını çıkardı
- Internet Explorer kullanıcıları dikkat!
- JS/Trojan downloader.Agent.NIN
- IBM'den Ubuntu ile Microsoft-suz PC
- iPhone'da Linux kullanmak
- VirusRemover2008 sinirleri zorlayan kurnaz yazılım
- Bilişim 2008'in Ardından
Son yorumlar
- arama motorlarının ne zaman web sitemi hangi saat aralıkları içe
1 hafta 2 gün önce - arama motorları hakkında
1 hafta 2 gün önce - zaafi amcayı da
2 hafta 3 saat önce - Re: Yılbaşı E-kart Virüslerine Dikkat
2 hafta 4 saat önce - Re: JS/Trojan downloader.Agent.NIN
2 hafta 18 saat önce - Re: JS/Trojan downloader.Agent.NIN
2 hafta 2 gün önce - Re: Re: GPO Üzerinden Administrative Template (.adm file) Uygula
2 hafta 4 gün önce - Re: GPO Üzerinden Administrative Template (.adm file) Uygulanmas
2 hafta 6 gün önce - server 2003 sifre kirma
2 hafta 5 gün önce - Re: Re: Yeni kurulan bir drupal modülünün testi nasıl yapılır
2 hafta 6 gün önce
En Çok Okunanlar
- Merkezi veya ISP Seviyesinde İçerik Filtreleme Çocuk Pornosu ve Zararlı Siteleri Engellemede Başarılı Olabilir mi? (34659)
- Uzak Masaüstü Bağlantısı - Remote Desktop Connection (26485)
- WINDOWS SERVER 2003 KURULUMU (19810)
- Yeni şifre kurtarma aracı tüm Office 2007 şifrelerini kırabiliyor (18110)
- VmWare WorkStation 6.0 (15110)
Kimler yeni
- utoptas
- checkmate
- maviblu
- Azad Korkmaz
- has1959
İçerik paylaşımı
Temel Dos Atakları
Temel DoS Atak Türleri
DoS ( Denial of Services - Servis Dışı Bırakma) atakları temel olarak sistem kaynaklarını veya bant genişliği tüketerek servislerin hizmet dışı bıraklımasıdır. Bu atakları 3 başlıkta toplamak mümkündür.
1. DoS - Denial Of Service :
-Paket direk olarak hedef sistem gönderilir.
-Tek bir kaynaktan tek bir hedefe yöneliktir.
2. DDoS - Distributed Denial of Service :
-Zombi kaynaklardan tek bir hedefe çoklu ataklardır.
-Anlık gönderilen paket sayısı zombilerin sayısı ile doğru orantılıdır.
-Çoğunlukla saldırıyı yapan kaynak tespit edilemez.
3. DRDoS - Distributed Reflective Denial of Service
-DDoS'tan farklı olarak daha sık ataklar için ek ağlar kullanır
Çeşitli Saldırı Formları:
Smurf
ICMP paketlerindeki kaynak adresi değiştirir.
ICMP paketlerini zombilere gönderir.
Zombiler paketleri hedefe yollar.
Hedef kendisinin göndermediği bir sürü cevap mesajları alarak şişer.
Fraggle
Smurf ile aynı mantıkta çalışır fakat ICMP yerine UDP paketlerini 7 ve 19 nolu portlara gönderir.
Ping Flood
Direk hedefe yöneltilen sonsuz sayıdaki ICMP paketleridir. (Gönderilecek paket sayısı belirlenebilir)
Ping-of-Death
Çok büyük boyuttaki (genelde 65,536 dan daha büyük) ICMP paketleri direk olarak hedefe gönderilir.
Paketin büyüklüğüne göre sistemin donmasına, çökmesine yada reset atmasına sebep olabilir.
SYN Flood
TCP'nin 3 yollu handshake açığını kullanır.
Kaynak (Saldıran) SYN paketlerini hedefe gönderir. (1. el sıkışma)
Hedef SYN paketine SYN ACK olarak cevap verir. (2. el sıkışma)
Kaynak gelen pakete cevap vermeden yeni bir SYN paketi yollar ve hedef sürekli cevap bekler konumda kalır.
Land Attack
Kaynak ve Hedef adresi değiştirilmiş paketlerdir.
Paket içerisindeki kaynak ve hedef gönderilecek hedef adresidir.
Paket hedefe ulaştığında hedef kendi paketini sürekli cevaplayarak çöker.
TearDrop
Parçalanmış UDP paketleri bozuk ofsetler ile hedefe gönderilir.
Hedef paketleri tekrar birleştirmeye çalıştığında bozuk veya hatalı bir paket üretmiş olur ve sistem çöker.
Dns Poisioning
Yanlış DNS bilgileri Birincil DNS suncuya tanıtılır.
Tüm istekler değiştirilmiş DNS sunucusuna yönlendirilir.
Buradaki bilgiler temel olarak verilmiştir. Her bir saldırı türünün kendine has bir modellemesi vardır. Gün geçtikçe kimisi geçerlliği yitirirken kimileri daha da güçlenmektedir. Bugün DoS saldırı için geliştirilmiş kesin bir yöntem mevcut değildir.
__________________________
Murat KAYA
Navigator İş ve Bilgi Hizmetleri Yönetimi A.Ş.
Bilgi Güvenliği ve Bilişimde Kalite
Comptia Security+
- Yorum göndermek için giriş yapın veya kayıt olun
Benzer yazılar
Etiketler
En son forum mesajları
Yaklaşan Aktiviteler
Şirket Network ve Sistemlerinin Korunması
Merhaba, İhsan bey, bir şirketin network ( ağ ) ve internet giriş çıkışlarını koruma altına almak aslında pek kolay birşey değildir. Nedeni ise en çok saldırı yüzeyini bilinçsiz ve eğitimsiz ( bilgi güvenliği konusunda ) çalışanlar oluşturmaktadır. Fakat minimal düzeyde bir koruma için sistemde sürekli olarak güncellenen ve doğru biçimde konfigürasyonu yapılmış router, switch ve anti-virus, anti-spyware yazılımları kullanılmalıdır.
Şirket ağınızı korumak için ;
1. IDS çözümünü implemente etmelisiniz. IDS ( Intrusion Detection System - Saldırı Tespit Sistemi) şirket ağınıza dışarıdan yapılacak olan saldırları tespit etmenize, kayıt altına almanıza ve saldırıya karşı aksiyon almanıza yardımcı olacak bir çözümdür. ayrıca NIPS ve HIPS olarak adlandırılarn ( Intrusion Prevention System) çözümlerde işiniz görecektir benzer mantıkta. Linux için SNORT, Windows için ise KFSensor, WinIDS olarabilir.
2. Firewall veya Router yardımı ile şirketinize yapılmak istenen izinsiz girişleri DROP veya REJECT ederek ağınızı istenmeyen aktivitelerden koruyabilirsiniz. Şirket içi trafiği kontrol altına alarak içerinden dışarıya veya dışarıdan içeriye veri transferlerini kısıtlayabilir veya yönlendirebilirsiniz. Bahsettiğiniz Winroute aslında buna örnek bir programdır.
3. Tek noktadan yönetilen proxy sunucular ve internet filtre yazılımları kullanmalısınız. Bu tür yazılımlar sayesinde şirketinizdeki çalışanların zararlı içerik bulunduran sitelere girmesini engelleyebilirsiniz. Şu anda bu konuda en iyilerinden birisi Websense yazılımıdır ayrıca linux ortamında çalışan Squid de gayet başarılıdır.
4. Her makineye ayrı ayrı Anti-virüs yazılımı kurup onları tek tek yönetmektense, tek bir noktadan yönetilen client-server mantığında yazılımlar tercih etmelisiniz. Proventia ve Symantec bunlara güzel örnektir. Kişisel makinenize yüklemek ister ve az saydıdaki bilgisayarı sunucu ortamı olmadan virüslerden korumak isterseniz "NOD32" veya "Kaspersky" yeterince şinizi görecektir.
5. İstemcilere Anti-Spyware ve Anti-Keylogger yazılımlarını yüklemelisiniz. Bu tarz programlar içerisinde "Ad-Aware" ve "S&D Search and Destroy" kişisel tercihlerimdir.
Özet olarak bir ağı korumak gerçekten planlı ve zahmetli bir iştir. Eğer ki yukarıdaki çözümleri sağlayamıyorsanız mutlaka her bilgisayarda S&D Search and Destroy ( Ücretsiz ve çok güçlü) ve Nod32 Anti-Virüs yazılımlarını bulundurun. Güncellemelerini yapın ve sürekli güncellendiğinden emin olun. Firewall olarak Sunbelt Personal Firewall (Ücretsiz fakat Register etmezseniz Web Filter çalışmaz) bugüne kadar kullandığım en iyi kişisel firewall yazılımlarından birisi, Linux için Comodo diyebilirim. Umarım bir nebze yardımcı olabilmişimdir.
__________________________Murat KAYA
Navigator İş ve Bilgi Hizmetleri Yönetimi A.Ş.
Bilgi Güvenliği ve Bilişimde Kalite
Comptia Security+
Re: Şirket Network ve Sistemlerinin Korunması
murat bey merhabalar;
yukarıda çok güzel açıklamışsınız ancak kafama takılan şu;
kurduğumuz sistemlerde nips ve hips hariç (firewall,antivirüs,antispy,idp) çözümlerini uygulamaktayız
nips ve hips'in sistemlerimiz için getirileri neler olacaktır?
bunları kısaca açıklarsanız çok sevinirim
teşekkürler
eğer aynı terimlerden
eğer aynı terimlerden bahsediyorsak
idp = nips
idp (intrusion detection & prevention), nips (network intrusion prevention system)
Zaten IDP uyguluyoruz dediğinize göre nips'i geçtik. HIPS = Host Intrusion Prevention System . Bu sistem de makineye local'den gerçekleştirilebilecek saldırılara karşı koruma sağlıyor. Fakat çoğu aynı zamanda network saldırılarını da tespit edip bloklayabiliyor. Eğer sisteminizde SSL kullanan bir web sunucusu varsa, ve IDP'nizde bu sunucunun sertifikasını kullanıp SSL trafiğini inceleme özelliği yoksa, HIPS kullanmanın önemi artar. Eğer dediğim özellik yoksa SSL üzerinden yapılan hiçbir saldırıyı (decrypt edemediği için) IDP göremez. Ek olarak HIPS makinede localde yapılan bazı işlemleri loglayarak hem audit trails desteği sağlar hemde local'den gerçekleştirilecek saldırıları da bloklayıp haber verir.
merhaba; cevabınız için
merhaba;
cevabınız için teşekkür ederim.
evet aynı terimlerden bahsediyoruz.local saldırılar için dediğiniz gibi hips kullanmam gerekli demek ki.kf sensör indirdim ve bu program ile ilgili bilginiz var mı acaba. veya önerebileceğiniz başka program.
hangi program olursa olsun hips ile ilgili hiç deneyimim olmadı. nelere dikkat etmeliyim nasıl kullanmalıyım.
yardımcı olursanız sevinirim.
HIPS için benim
HIPS için benim kullandıklarım arasında en iyisi ISS (IBM satın aldı) firmasının Real Secure Server Sensor ürünü. SQL Injectioni ve XSS için genel bazi signature lari ayarladığında artık kullandığın web uygulaması ister hazır portal olsun ister özel hazırlanmış olsun hepsine karşı koruma sağlar. Hazır web uygulamalarında yeni açıkların bulunması bir tehdit oluşturmaz. Eğer güvenlik politikasını iyi ayarlarsan makinanın başından giren birisinin bile elini kolunu bağlayarak kötü amaçlı işlemler yapmasını engelleyebilirsin. Aslında şu an Türkiye'deki çoğu firmanın web sitesinde tonlarca açık olmasına rağmen hack edilmemelerinin sebebi HIPS ürünleri kullanmaları. Buna çoğu kez denetimlerde şahit olduk.
Kapsamlı bir değerlendirme yapacak kadar uzman olmadığım için birkaç link vereyim, sen karşıaştırırsın:
IBM Proventia Server Intrusion Prevention System (IPS)
http://www.iss.net/products/Proventia_Server/product_main_page.html
IBM RealSecure Server Sensor
http://www.iss.net/products/RealSecure_ServerSensor/product_main_page.html
McAfee Host Intrusion Prevention for servers
http://www.mcafee.com/us/enterprise/products/host_intrusion_prevention/host_intrusion_prevention_server.html
Başka ürünleri de inceleme şansın olursa burada paylaşırsan seviniriz.
Kolay gelsin,
Re: HIPS için benim
ilgiliniz için çok teşekkürler
tabiki buraya ekleyebileceğim en ufak bilgi edindiğimde sizlerle paylaşacağım
iyi çalışmalar
BİR ŞİRKETİ KORUMAK
Merhaba murat hocam benim bir sıkıntım var,muşaviriliğini yapmış oldugum bi çok kurumsal firmam var bunların en kötüsünde 15 adet makine var ve bunları internet güvenliğini ve virüs saldırılarına karşı koruma altına almak istiyorum bu konuda hangi software kullanacağım korusunda kararsız kaldım "winroute firewall" kullandım ama açıkcası pek içime sinmedi ağır geldi daha değişik önereceğiniz bir program varmı varsa bu konuda aydınlatmanızı rica edicem nasıl bir yol,modelleme,ve mimari izlemem lazım şimdiden tşk ederim saygılarımla
İHSAN ÖD
__________________________OD-GROUP TEKNOLOJİ
ihsan ÖD