İş Ortamlarına Saldırı Tespit Sisteminin Kurulması

Merhabalar

İş ortamlarımızda, sahip olduğumuz yerel ağlarda, kablosuz ağlarda ve internet ağımızda zaman zaman teknik problemler gözlemleyebilir yada istemci/sunucu tabanlı saldırılarla karşılaşabiliriz. Genelde bu işler için saldırı tespit sistemleri ve log kolerasyon mekanizmaları kullanılır. Bu yazıda, ağınıza yapılan saldırıları gözlemlemenizi ve anormallikleri tespit etmenizi sağlayacak ve çeşitli opensource yazılımların bir arada yer aldığı SecurityOnion projesinden detaylarından bahsedeceğim.

Aşağıdaki iki linkten yazmış olduğum makaleye ulaşabilirsiniz.


İş Ortamlarına Saldırı Tespit Sisteminin Kurulması.pdf


 goo.gl/7y3Bi9

pfSense bant genişliği yönetimi (Bandwith)

Merhabalar;

Bu yazıda pfSense firewall üzerinde limitleme özelliğinden bahsedeceğim. Limitleme özelliğini kullanarak local ağ kullanıcıları için veya network aralığı için upload/download hızlarını belirleyerek sizin istediğiniz hız limitinde internette gezmelerini sağlayabilirsiniz.

İlk önce herhangi bir kullanıcı üzerinden internet upload/download hızlarını öğrenelim.

Source adresses : Kullanılan bandwidth değerini her kaynak ip adresine verir. Örneğin; ben geliyorum 2mbit alıyorum diğeri geliyor 2mbit alıyor gibi.)

Destination adresses: Kullanılan bandwith değerini network aralığına verir ve herkes verilen bandwidth değerinden azcık azcık kullanır. Kısacası güçlü olan kazanır.

Ana menüde bulunan Firewall > Traffic Shaper > Limiter > adımları takip edildikten sonra + butonuna tıklayarak yeni bir kural oluşturulur.

pfSense Kullanıcı Bazlı Web Filtreleme (URL Filtrer)

Merhabalar

Bu makalede pfSense 2.2 sürümü üzerinde URL filter nasıl yapılır detaylı bir şekilde anlatmaya çalışacağım. URL filter ile local ağınızdaki bilgisayarların belirli web sitelerine girmelerini veya belirli sitelere izin verilmesini sağlayabilirsiniz. URL filter kullanıcı, network, grup bazlı olarak kullanılabilir. Aşağıdaki başlık altındaki özellikler ve nasıl yapıldığından bahsedilecektir, pfSense üzerinde Squid ve SquidGuard paketlerini kurup yapılandırmanız gerekmektedir.

URL Filter;

General Settings

Common ACL

Groups ACL

Target categories

Times

Rewrites

Blacklist

Log

Önemli: URL Filter 'da yapılan değişikliklerin hemen aktif olmasını istiyorsanız yapılan her değişiklikten sonra General Settings sekmesini girip Apply butonuna tıklamanız gerekiyor.

Önemli: URL Filter özelliğinin transparent modda çalışması için Services > Proxy server > Transparent Proxy özelliğini aktif etmeniz gerekiyor.

Ana menüde Services > Proxy filter sekmesine giriş yaptıktan sonra genel ayarlar bölümüne girip Proxy servisinin çalıştığından emin olalım.

Linux sistemlerde Netcat (nc) aracının kullanımı

Netcat, TCP/IP üzerinden veri gönderme veya almaya yarayan açık kaynak kodlu bir araçtır. Netcat aracı ile herhangi bir portu dinleyebilir, port tarama, bağlantı oluşturma, shell oturumu, dosya transferi gibi birçok şey yapılabilir. Bu yazıda Netcat (nc) aracının temel kullanımından bahsedilecektir.

En temel kullanımı telnet gibi bir sunucu portuna bağlantı kurmaktır.
  # nc -v google.com 80   

Linux türevi sistemlerde saat ve tarih ayarlanması.

Linux tabanlı işletim sistemlerinde consol yardımıyla saat ve tarih ayarlarını yapmak oldukça basit. Aşağıdaki adımlar takip edilerek consol üzerinden saat ve tarih ayarlarınızı yapabilirsiniz.

Linux sisteminizde aşağıdaki komut yardımıyla mevcut saat ve tarihi görebilirsiniz.
 # date 

Sisteminizin saat ve tarih ayarlarını yapmak isterseniz aşağıdaki komut kullanılabilir. İkinci komut ile saniye cisinden ayarlama yapılabilir.
 # date -s "03/11/2015 21:30"  
 # date -s "03/11/2015 21:30:49" 

Kali ile Pentest Araçlarının Kullanımı

Merhabalar

Bu yazıda sizlere kali linux işletim sistemi üzerinde hazır kurulu olarak gelen birkaç araçtan bahsetmek istiyorum.

Dnsmap açık kaynak kodlu olup kullanımı oldukça basit, dnsmap komutu ile birlikte belirttiğiniz alan adına ait IPv4-IPv6 ip adresleri, alt alan adları gibi birçok bilgi elde edilebilir. Örnek kullanabileceğiniz "Internet Bankacılığın Güvensiz Bankası" olan bgabank.com alan adı hedef olarak belirtilebilir.  
 # dnsmap hedefsite.com  

Paylaşılmış Bir Dizinin Güvenliğini Sağlamak

Sorun
İçinde herkesin dosyaları yaratabildiği bir dizin istiyorsunuz ama bu dosyaları yalnızca dosya sahiplerinin silmesini ya da yeniden adlandırmasını da istiyorsunuz. (Örneğin, /tmp yada bir ftp dizini)

Vmware Workstation & Promiscuous Mode

Merhabalar;

Linux işletim sistemi altında vmware kullanıyorsanız Promiscuous moda her an ihtiyacınız olabilir. Fiziksel makina üzerinden sanal işletim sistemlerinizin trafiğini görebilirsiniz, ama iki sanal birbirinin trafiği görmek istediğinde malesef göremiyorlar, bunun nedeni vmware belirli bir sürümden sonra promiscuous modu kapatmasıdır, bu yazıda sizlere promiscuous mode aktif etmeyi ve detaylarından bahsedeceğim.

Promiscuous mode, hedefi neresi olursa olsun aynı subnetteki tüm paketlerin bir kopyasını kendi üzerine almasıdır. 

Grep komutu ile içerik araması yapmak.

Bu yazıda komut satırında en çok kullanılan komutlardan biri olan grep komutunu sizlerle paylaşmak istiyorum. Grep komutu genel olarak bir dosya içerisinde içerik arama gibi birçok işlemler için kullanılır.

Linux sistemlerde öntanımlı olarak grep kurulu olarak gelmektedir. Sisteminizde grep aracı kurulu değilse aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.
 # sudo apt-get install grep            (#Debian/Ubuntu)
 # sudo yum install grep                (#RHEL/CentOS/Fedora)

pfSense 2.2 ve Yenilikleri

23 Ocak 2015 tarihinde pfSense 2.2 kararlı sürümü yayımlandı.

Kararlı sürüme geçiş için bir çok iyileştirme yapılmıştır. Bunlardan 392 tane başvuru sonlandırılmış, 135 hata giderilmiştir.

pfSense 2.2 kararlı sürümde gördüğünüz yeni özellikler varsa ucribrahim@gmail.com mail adresine attığınız yeni özelliği makaleye ekleyebilirim.

Yenilikler ve Değişimler

İstisnasız her yeni özellik ve iyileştirme bizler için önemlidir, bana göre daha dikkat çekici ve diğerlerine göre kısmen daha önemli değişiklikleri sizlerle paylaşmak istiyorum.

pfSense ekibi, tüm geliştirmeleri ve iyileştirmeleri aşağıdaki adreste detayları ile açıklamaktadır.

https://doc.pfsense.org/index.php/2.2_New_Features_and_Changes

Tcptrack aracı ile network bağlantılarını dinlemek.

Merhabalar;

Linux sistemlerde kablolu yada kablosuz ağ arabirimlerine ait TCP bağlantılarının trafiğini izlemek için bazı pratik yöntemler ve araçlar vardır. Bu yazıda tcptrack aracı ile ağ arabiriminizin tcp bağlantılarını ve detaylarını nasıl izleyeceğinize değineceğim. Tcptrack aracı aslında iftop aracına benzer bir araçtır arasındaki fark iftop aracı ağ trafiğini gösteriyor, tcptrack aracı ise ağ içerisindeki TCP bağlantılarını gösteriyor.

Tcptrack aracını root yetkileriyle aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.
# sudo apt-get install tcptrack -y

Netdiscover aracı ile yerel ağda IP-MAC adreslerinin bulunması.

Merhabalar;

Bu yazıda sizlere Netdiscover aracından bahsetmek istiyorum. Netdiscover aracı yerel ağda ARP ( Address Resolution Protocol ) paketleri göndererek IP adresine karşılık gelen MAC adresini bulan bir araçtır.

Netdiscover aracını root yetkileriyle aşağıdaki komut yardımıyla sisteminize kurabilirsiniz. Ayrıca kali linux kullanıyorsanız kali 'de hazır kurulu olarak gelmektedir.
 # sudo apt-get install -y netdiscover 

Uygulama bazında trafik değerlerini görüntüleme.

Merhabalar;

Nethogs aracı ile bireysel işlemler tarafından kullanılan bant genişliğini ve en yoğun işlemleri görebilirsiniz. Sistem üzerinde ani bant genişliği durumlarında nethogs aracını kullanarak süreç sorumlusunu bulabilirsiniz.

Nethogs aracını root yetkileriyle aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.
 # sudo apt-get install -y nethogs 

pfSense firewall ile zaman tabanlı kural oluşturma.

Merhabalar;

" Geliştirdiğimiz firewall kurallarının belirli zaman aralıklarında çalışmasını istersek, pfSense üzerinde zaman tanımları oluşturarak istediğimiz firewall kuralı için uygulayabiliyoruz. Örneğin, mesai saatleri dışında servis verdiğiniz portları kapatmak isteyebilir, mesai saatleri içerisinde bazı portlara erişim açabilir vb. tanımlar oluşturabilirsiniz. Bu yazıda detayları ile zaman aralığı oluşturma ve firewall kuralları ile pratik kullanımına değinilmiştir.

PV aracı ile iki komut arasındaki sürecin detaylarını görüntülemek.

Boru görüntüleyici - PV (Pipe Viewer) bir boru hattı üzerinden veri akışını gözlemlemek için yazılmış terminal tabanlı bir araçtır. Görsel bir gösterge sayesinde ne kadar veri gönderiyor, ne kadar süre içerisinde tamamlandı gibi iki komutun arasındaki süren detaylarını gösteriyor.

PV aracını root yetkileriyle paket deponuzdan aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.

# sudo apt-get install pv -y