[Mehmet AKIN]

Ag’da Supervisor Görevleri

Supervisor görevleri
Aga yeni kullanicilar eklemek ve silmek guruplari ve gurup üyelerini belirlemek yazici kuyrugu olusturmak ve yönetmek yedek Supervisorlar olusturabilir. supervisor yetkilerini birine yedek verebilir.

=Yeni bir gurup olusturmak
F: SYSCON verilir (sysycon=sistem konfigrasyonu demektir.)

SYSCON menusu altinda GRUP INFORMATION seçilir, daha sonra makineye bagli guruplarin listesi ekrana gelir. INSERT tusuna basilarak yeni bir Gurup gurup ismi yazilarak olusturulur.

silmek içinde DELETE tusuna basilir.
AGA YENI KULLANICI TANIMLAMAK
SYSCON Menusun de USER INFORMATION seçilerek pencere açilir INSERT tusuna basilara ekleme DELETE tusuna basilarak Silme islemi yapilir.

ROUTER gelen veriyi alir ve OMURGAYA verir GATEWAY ve RAUTER disinda ki cihazlar veri transferi ile degil, verinin sekli ile ilgili yani ELEKTRIKSEL baglantiyi saglamak tir.
*** GATEWAY ve RAUTER disinda ki cihazlar Protokol bagimli olmadik lar için ilk üç katmanda çalismazlar

AG MIMARI SEÇIMI
KÜÇÜK ÇAPLI AGLARDA 2 tip aga vardir.
1-)BAS 2-)STAR(YILDIZ)
1-)BAS TOPOLOJI
Bas topolajide tek PC den son PC’ye kadar uzanan tek bir HAT vardir.
Bu hat Bas Topolojinin Omurgasidir.
Bu Agda Koaksiyel Kablo NODElERI için TBNC Kullanilir.
HAT’in iki sonuna 50 ser 0hm luk Sonlandirici kullanilir.

BAS TOPOLOJININ AVANTAJLARI

AVANTAJLARI

1-Baglanti bir PC den baska bir PC’ye yapildigin dan daha az kablo kullanilir.
2-Koaksiyel Kabari Manyetik alanlardan çok az etkilenmeleridir(jeletinle kapli olmasi)
3-Koaksiyel Kabari kulnildigi için maliyeti düsüktür.
4-Herhangi bir dügümde cikan ariza digerlerini ilgilendirmez.
DEZAVANTAJLARI
1-sebeke güvenligi yoktur.
2-Omuraganin herhangi bir yerinde ki ariza sistemin durmasi
2-Koaksiyel Kabarin dösenmesi zordur.
3- güvenlikserver veya ANOTHER ile sag-lanabilir.
4- ilk kururlumu biraz zordur.
5-BNC …esnek degil kirilgandir.
6- Bus totpolojide bant genisligi 10mbps ile siniridir.

Not:ethernet veriyi paralele çevirir ve hatti dinlemeye alir.

[Mehmet AKIN]

Windows Xp nin microsoft ile bağlantı kurmasını önlemek ve bir çok gereksiz özelliğini kapatmayı sağlayacak güzel bir araç.

İndirmek için tıklayınız

[Mehmet AKIN]

Akıllı veri hırsızları, her şekilde bilgisayarınıza girebiliyorlar. CHIP, sadece Windows ile beraber gelen programları kullanarak verilerinizi nasıl bedavaya şifreleyebileceğinizi gösteriyor.

Hırsızlar sadece dizüstü bilgisayarlarla yetinmeyip, arşivlerinizi ve çok değerli çalışmalarınızı da hedef alıyorlar. Kurban için ise bu iki kat zarar anlamına geliyor, çünkü bu sefer kaybedilenler hem pahalı donanımlar, hem de saatler süren çalışmalarınız oluyor. Verilerinizin yedeğini alsanız bile yedeği korumak zorunda kalıyorsunuz, çünkü bu sefer hırsız oraya yönelebiliyor. Bunu engellemek için de önemli verilerinizi şifrelemeniz şart. Microsoft’un dosya sistemi NTFS bu özelliği, Encrypting File System (EFS) adı altında kullanıcılarına sunuyor.

Dosya şifreleme için hazırlıklar;

Microsoft’un dosya sistemi NTFS’e bir şifreleme özelliği yerleştirilmiş. Kullanıcılar için bu, aynı anda hem yüksek güvenlik, hem de rahat kullanım anlamına geliyor. Encrypting File System (EFS) ile şifreleme yapmak isteyenler, öncelikle sabit disk üzerinde bir NTFS dosya sistemine sahip olmalılar. Çünkü EFS yeni bir dosya sistemi değil, sadece NTFS dosya sisteminin yeni sürümlerinde bulunan bir özellik. Bu bilgisayarınızda en az Windows 2000 ya da XP Professional işletim sistemlerinden birinin kurulu olması gerektiği anlamına geliyor. Dikkat:Microsoft, şifreleme özelliğini Windows XP’nin sadece Professional sürümüne koymuş, Home Edition bu özelliğe sahip değil. Bu noktada Windows XP Professional, NTFS’in daha gelişmiş özellikler sunan bir sürümüyle, NTFS 3.1 ile ön plana çıkıyor. Herhangi bir disk bölümüyle ilgili bilgi almak için komut satırına “fsutil fsinfo ntfsinfo c:” yazmalısınız. EFS, hem Home Edition’da hem de Professional’da mevcut ve kolay bir yükleme ile kullanıma hazır hale geliyor, yani en azından NTFS dosya sistemine sahip bilgisayarlarda.

Dosya sistemini anlamak;

Windows XP sadece NTFS dosya sistemine değil, aynı zamanda FAT32 dosya sistemine de yüklenebiliyor. Eğer sabit diskinizdeki dosya sisteminin hangisi olduğunu bilmiyorsanız, Gezgin ile bu bilgiye ulaşabilirsiniz. Mesela C: sürücüsüne sağ tuşla tıklayın ve Özellikler seçeneğine gelin. Genel sekmesinden sürücünüzün dosya sistemini öğrenebilirsiniz. Aynı bilgilere, komut satırına “fsutil fsinfo volumeinfo c:” komutunu girerek de ulaşabilirsiniz. Sabit disk üzerinde birden fazla bölüm varsa, “diskpart” aracıyla bilgilere hızlıca göz atabilirsiniz. Bunun için “diskpart” komutunun ardından “list volume” komutu girmelisiniz.

Bütün EFS Bilgileri;

EFS ile şifreleme yapacak herkes için “efsinfo” aracı son derece kullanışlı bir komut satırı aracı. Bu aracı Windows XP CD’sinin /Support/Tools bölümünden yükleyebilirsiniz. Yüklemeden sonra efsinfo aracı ile hangi dosyaların ve alt klasörlerin şifrelenmiş olduğunu, hangilerinin de şifrelenmeye uygun olduğunu öğrenebilirsiniz.

FAT32’den NTFS’e;

FAT32 dosya sistemine sahip olan fakat yine de şifrelemeyi kullanmak isteyenler, dosya sistemlerini NTFS dosya sistemine dönüştürmek zorundalar. Bunu yaparken ek bir araca ihtiyacınız yok, ayrıca veri kaybı da söz konusu değil. Windows XP’nin “convert” aracıyla bunu yapabilirsiniz. Dikkat: convert aracı, FAT32’den NTFS’e dönüştürme işlemini geri alamıyor. Komut satırına “convert c: /fs:ntfs /v” komutunu girerek C sürücünüzün dosya sistemini NTFS’e dönüştürebilirsiniz.

Verileri Şifreleme;

Şifrelenmiş dosyalarla çalışırken risk alamazsınız, bu yüzden Windows şifrelemeyi gerçek zamanlı olarak ya da komut satırı üzerinden yapabiliyor.

Bir dosya veya klasör şifrelemek isterseniz, sağ tuşla tıklayın ve Özellikler seçeneğine tıklayın. Açılan penceredeki Genel sekmesinden Gelişmiş bölümüne girin.

Veriyi korumak için içeriği şifrele yazısının yanındaki kontrol kutusuna tıklayın. Sonraki pencerelerde OK butonuna tıklayarak bu isteğinizi onaylayın. Şifrelemeyi alt klasörler için de geçerli kılan seçeneği de işaretleyin. Böylece şifrelenmiş dosyalara daha kolay göz gezdirebilirsiniz.

Windows, dosyaları ve klasörleri şifreliyor. Bu dosya ve klasörler gezginde yeşil renk ile belirtiliyor. Bu renklendirmeyi sağlayan Kayıt Defteri değeri “HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Explorer” altındaki AltEncryptionColor.

Komut Satırı ile Şifreleme;

En kolay şifreleme Windows gezgini üzerinden yapılıyor. Buna rağmen komut satırı üzerinden çalışan cipher aracından da kısaca bahsetmekte fayda var. Bu program, klasörlerin içeriklerini gösterirken “E” harfi ile şifrelenmiş (encrypted), “U” harfi ile de şifrelenmemiş (unencrypted) dosyaları belirtiyor. Bir klasörü şifrelemek için komut satırına girmeniz gereken komut: “cipher /E klasöradı”

Her şey gerçek zamanlı;

EFS’nin en büyük avantajı ise, bilgisayarınızı kullanırken şifrelemeyle ilgili hiçbir şeyi hissetmemeniz. Normal dosya ve klasörlerle nasıl çalışıyorsanız, şifrelenmiş klasörlerle de aynı hız ve rahatlıkta çalışabilirsiniz; şifrelemeyle ilgili bütün işlemleri Windows arka planda gerçek zamanlı olarak hallediyor. Bir başka ilginç özellik ise, şifrelenmemiş bir dosyayı şifrelenmiş bir klasöre koyduğunuzda, bu dosyanın da şifrelenmesi.

Şifre Çözme;

Verileri deşifre etmek için önünüzde iki yol var: Ya gezginin sağ tuş menüsü ya da Cipher aracı. Bu aracı kullanmak için ihtiyacınız olan komutlara “cipher /?” yazarak ulaşabilirsiniz. Komut satırına “cipher /D klasöradı” yazarak bir klasörü deşifre edebilirsiniz.

Anahtarı Sağlama Almak;

Şifrelediğiniz verilere ulaşmak için gereken anahtar sadece sizde var. Bu anahtarın güvenliğini sağlayamazsanız, hırsızlar verilerinize ulaşabilirler.

Şifrelediğiniz veriler, bilgisayarınızdaki diğer kullanıcılara karşı koruma altındadır. Uygun anahtara sahip olmayan bir kimse, verilerinize ulaşmaya çalışırsa, bu kişi kesinlikle EFS engeline takılacaktır. Kimliğini, sizin kimliğiniz altında gizleyebilen bir kişi ise şifrelenmiş verilere ulaşabilir. Bunu engellemek için, anahtarınızı bir USB-Stick’e aktarabilirsiniz. Verilerinize ulaşmak istediğinizde ise, bu anahtarı tekrar bilgisayarınıza aktarmalısınız.

Anahtarı Aktarmak;

Anahtarınızın aktarımını Microsoft Management Console ile gerçekleştirebilirsiniz. Başlat menüsündeki Çalıştır komut satırına “mmc” yazın ve programı çalıştırın. Dosya menüsünden Ek Bileşen Ekle / Kaldır seçeneğine tıklayın. Açılan penceredeki Ekle butonuna tıklayın ve karşınız gelen listenin en sonuna inin. Listedeki Sertifikalar yazısına seçip Ekle butonuna tıklayın. Kendi kullanıcınızı seçtikten sonra Son ve Tamam’a tıklayın.

Microsoft Management Console penceresinin sol tarafındaki listeden Sertifikalar / Geçerli Kullanıcı girişini bulun. Buradaki Kişisel Sertifikalar kısmında Sertifikalar seçeneğine tıklayın. Burada EFS için en az bir adet sertifika buluması gerekiyor. Buna sağ tuşla tıklayın, Tüm Görevler’i seçin ve Ver’e basın. Bir verme sihirbazı, devamında yapılacaklar konusunda size yol gösterecek. İleri düğmesine tıklayın, Evet, özel anahtarı ver ve bir sonraki pencerede Verme işlemi başarılıysa, özel anahtarı sil seçeneğini işaretleyin. Kişisel anahtarınızın güvenliği için bir parola belirlemelisiniz. Anlamlı bir klasör ismi belirleyin ve kayıt ortamı olarak da en iyisi bir USB stick’i tercih edin.

Anahtar Import Etmek;

Anahtarları import etmek için tekrar Microsoft Management Console’a dönün ve Sertifikalar seçeneğini sağ tuş ile seçin. Tüm Görevler menüsünden Al seçeneğine tıklayın. Bu noktada karşınıza yine bir sihirbaz çıkacak, size düşen de bu sihirbazı sertifikanın kayıtlı olduğu yere yönlendirmek. Yukarıdaki örnekte bu yer USB stick idi. Bunu yaptıktan sonra, daha önceden belirlediğiniz verme parolasını girerek işlemi onaylayın.

Şifrelenmiş Verileri Paylaşmak;

Veri şifrelemenin kötü yanlarından biri, bu verileri başkalarıyla paylaşamamanız. Ama birkaç işlem ve Windows XP’nin de yardımıyla bunu yapmak mümkün.

Şifrelenmiş dosyalar ve klasörleri kullanırken, bunları ağ üzerinde bir sürücü olarak tanıtamazsınız. Bunun sebebi sizden başka hiç kimsenin şifrelenmiş verilere ulaşamaması. Çünkü bunun için gereken anahtar sadece sizde var. Buna rağmen anahtarı e-posta veya CD yoluyla başka bir kullanıcıya göndermek de pek akıllıca değil. EFS bunun için, diğer kullanıcıları tek tek belirleyebileceğiniz bir çözüm sunuyor, yalnız sadece dosyalara erişim hakkı sağlıyor, klasörlere değil. Şifrelenmiş bir dosyaya sağ tuşla tıklayın ve Özellikler / Gelişmiş / Ayrıntılar seçeneklerini takip edin. Ekle sekmesinde, bu dosyaya erişmesini istediğiniz diğer kullanıcıları belirleyebilirsiniz. EFS’nin bu özelliği sadece XP altında çalışıyor.

EFS’nin Kısıtlamaları;

EFS’nin sunduğu bütün bu kolaylıklar sayesinde Microsoft bu özelliği işin en başında etkin hale getirebilirdi. Ama bunu, işletim sisteminin sınırları ve diğer sebepler yüzünden yapmamış.

EFS ile bütün bir sabit diski şifrelemeniz mümkün değil. Linux’taki gibi diğer şifreleme sistemlerinden farklı olarak EFS, hiçbir sistem dosyasını şifreleyemiyor. Yani, Windows klasörünü şifrelemeniz olanaksız, ayrıca EFS sistemin önyüklenmesi sırasında devre dışı kalıyor.

İkinci kısıtlama: Windows’taki verilerin aynı anda hem sıkıştırılıp hem de şifrelenmesi mümkün değil. Sıkıştırılmış veriler şifrelenmeden önce açılıyor. EFS, NTFS dosya sisteminin özel bir bileşeni. Şifrelediğiniz verileri FAT32 dosya sistemine sahip bir sürücüye aktarmanız halinde, bütün veriler deşifre ediliyor ve normal halleriyle aktarılıyor. Bütün bunlar olmadan önce karşınıza çıkan bir uyarı sizi bu konuda bilgilendiriyor.

EFS Şifrelemesini Kırmak;

EFS, güvenilir bir veri depolama vazifesi görüyor. CHIP olarak Microsoft’un bu veri şifreleme sisteminin ne kadar güvenilir olduğunu test ettik. Şifreleme ile uğraşan herkesin, şifrenin nasıl kırılabileceği konusunda da bilgisi olmalı, en azından geceleri rahat bir uyku uyuyabilmenin ilk şartı bu. EFS, şifreleme sırasında 128 bit uzunluğunda bir File Encryption Key (FEK) oluşturuyor, bu da kullanıcının belirlediği bir anahtar ile şifreleniyor ve Data Decryption Field (DDF) denilen bir alanda depolanıyor. Şifrenin çözülmesi sırasında bu alan, kişisel anahtar ile deşifre ediliyor ve FEK yeniden oluşturuluyor. Kişisel anahtarın olmaması durumunda Windows, girişi engelliyor. Bunun dışında verilerin sahibi, bir veri kurtarma yazılımına, dosyalara erişim izni verebiliyor. Veri kurtarma yazılımları da, kullanıcı anahtarını kaybettiği zaman ön plana çıkıyor. Ama Windows XP hiç bir kurtarma yazılımının müdahale etmesine izin vermiyor. EFS’yi zorlamak için başka yollar başvurmak gerekiyor.

Kullanıcı Kimliğini Taklit Etmek;

EFS’yi kandırmanın en kolay olduğu zaman, anahtarınızı export etmediğiniz zamandır. Doğru araçları kullanarak yönetici parolası değiştirilebilir. Böylece saldırgan, kayıtlı kullanıcının parolalarını da değiştirebilir. Bundan sonra da kendine bir parola belirleyip kendi kullanıcı adıyla giriş yapabilir. Sahte bir kullanıcı kimliği oluşturmanın bir başka yolu ise parolayı kırmaktır ki, bu doğrudan kullanıcı hesaplarına yönelik bir teknik.

Yönetici Haklarını Elde Etmek;

Normal kullanıcıların yerel yönetici haklarını ele geçirmesiyle de büyük bir tehlike ortaya çıkıyor. Dosyalar üzerinde değişiklik yapma yetkisi olmasa bile birisi bu hakları kullanarak, şifrelenmiş klasörlerdeki dosyaları silebilir ve bugüne kadarki bütün çalışmalarınızı yok edebilir.

Geçici dosyaları incelemek;

Birçok yazılım, üzerinde çalışılan dosyaların geçici kopyalarını oluşturur ve bu kopyalar genellikle şifrelenmemiştir. Eğer bu tip geçici dosyalar sabit diskte kalırsa, bunlar hırsız için kolay yemdir. Bu tip geçici dosyaların sabit diskte kalmasına, programlar hata verdikten veya çöktükten sonra sık sık rastlanabilir.

Sonuç : Verileri Şifrelemeye Değer

Her şeye rağmen dizüstü bilgisayar kullanıcıları, Windows XP’nin şifrelemesinin sunduğu bütün nimetlerden yararlanmalı, değerli ve hassas bilgilerini EFS ile korumalı

[Mehmet AKIN]

Bilindiği gibi kablosuz ağlardaki güvenlik açıkları kablolu ağlara göre çok daha fazla. Bu nedenle şirketlerinde veya evlerinde kablasoz ağ kullanan kişiler için dikkat edilmesi gereken en önemli konuları özetlemek istedim.

Yönetimsel Pratikler İş ihtiyaçlarını bilmek
Risklerini bilmek
Kuralları belirlemek ve uygulamak – Politikalar
Kullanıcıların güvenlik konusunda bilgilendirilmesi – Özellikle Kablosuz Teknolojiler
Tüm erişim cihazları (AP) envanterini bilmek
Bina dışına sinyal sızıntısını mümkün olduğunca engellemek (Erişim cihazlarının yerleri ve sinyal seviyeleri)

Fiziksel olarak erişim cihazlarının korunması (Yetkisiz erişim ve konfigürasyon değişikliği)
Belirlenen kurallara uygun olmadıkça kullanıma izin vermemek
Düzenli olarak güvenlik değerlendirmesi yapmak
Hangi kablosuz ağlarda kullanıcılar bilgisayarlarını kullanabilir – Sınırlandırılmalı

Teknik Pratikler
SSID’nin değiştirilmesi ve yayınının kapatılması
Kanalların diğer yakın firmalardan farklı olması
Yönetimsel erişimlerin sadece yetkili kişiler tarafından yapılması
Kablolu ağ ile kablosuzun ayrılması
Ağ bazında erişimlerin sınırlandırılması (ACLs, FWs, …)

WEP’in devreye alınması Erişim kontrol yönteminin belirlenmesi (EAP-TLS, EAP-TTLS, …)
Kullanılan anahtarların minimum 128-bit olması
Mümkün ise MAC adresi bazında filtreleme yapılması

Kullanılan cihazların yazılım ve donanım eksikliklerini (yama) kapatmak
AP üzerindeki “reset” fonksiyonunun kullanımı kontrol altında olmalı
İstemci sistemlerin korunması (Hangi kablosuz ağa giriş yapmalılar
Teknik kontroller (antivirüs, firewall gibi))
PKI altyapısının kullanımı
Bilginin aktarımı esnasında güvenlik (VPN)

Operasyonel Pratikler
Yönetimsel ve izleme erişim kanalların normal trafiğe göre ayrı bir kanaldan yapılması
Yeni kullanıcıların kabul işlemleri
Erişim cihazlarının yönetimi (Kimler yetkili Ayarların değiştirilmesi)
Kayıt sisteminin devrede olması (Yasal bağımlılık ve vaka yönetimi)
Kontrollerin etkinliğini izlemek ve değerlendirmek

[Mehmet AKIN]

Bu yazıda bilgisayar ağlarına bağlanırken kimliğimizi belgelemek için kullanılan bir güvenlik protokolünden , Kerberos’tan bahsedeceğiz. Kerberos, bundan yaklaşık 10 yıl kadar önce, MIT’de çalışan bir grup mühendis tarafından üzerinde çalıştıkları Athena projesi sırasında geliştirildi. Protokolün kabul gören ve kullanılan ilk sürümü versiyon 4 olarak kendini göstermiş. IT sektöründe bazı sistem üreticileri tarafından kabul gören protokol daha sonra yazarları tarafından daha da geliştirilip versiyon 5’e yükseltilmiş. Daha sonra bu versiyon IETF tarafından bilgisayar ağlarının kaynaklarını kullanmak için ağa bağlanmak sırasında maksimum güvenlik sağlamak amacıyla kullanılabilir şeklinde standardize edildi. (RFC 1510 ).
Kerberos, iki istemci arasında paylaştırılan gizli anahtarları kullanma esasına göre hazırlanmış bir protokol. Dayandığı temel esasen çok basit: Eğer gizli bir anahtar sadece iki insan tarafından bilinirse, bu durumda iki insan da karşısındakinin kim olduğu konusunda söylediği bilgilere, bu anahtarı kullanarak inanabilir. (Askerlikte nöbetlerde kullanılan parola gibi).
Örnek olarak Mehmet yüzbaşının Ahmet yüzbaşıya bir mesaj göndermesi gerektiğini düşünelim. Bu mesajın Ahmet tarafından Mehmet’ten geldiğine inanılması lazım ki, gereken tedbirler alınabilsin, işler yapılabilsin. Bu durumda iki mehmetçik arkadaşımız, aralarında baştan bir anlaşma yaparak bir parola seçerler ve bu parolayı da başka kimseye söylemezler. Eğer Mehmet’in Ahmet’e gönderdiği mesaj bir şekilde parola bilgisini içinde taşıyorsa, Ahmet mesajı aldığında gerçekten de Mehmet’ten geldiğini anlayabilir.
Bu işlem sırasında aklımıza hemen Ahmet’e mesajı gönderen Mehmet’in parolayı da bildiğini ona nasıl göstereceği sorusu takılıyor. Basit olarak Mehmet mesajın içine bu parolayı da ilave edebilirdi. (Belki de mesajın sonuna bir imza atar, altına da gizli anahtarımız budur notunu düşer). Bu yöntem tabii ki bilgisayar ağlarında giden gelen mesajların başkaları tarafında okunamadığı durumlarda geçerli olabilir. Günümüzde ise maalesef durum böyle değil. Tüm bu mesajlar, üçüncü bir kişi, Önder yüzbaşının da bilgisayarının bağlı bulunduğu bir bilgisayar ağı üzerinde gidip geliyor. Önder Bey’in ise bilgisayarında bir ağ dinleme yazılımı varsa, ve bu arkadaşımız da boş zamanlarında bilgisayar ağındaki paketleri yakalayıp “İçlerinde acaba neler var ?” diye incelemeler yaparak vakit geçiriyorsa işler hiç de bu kadar kolay değil.
Kerberos protokolü, bahsettiğimiz bu problemi, gizli anahtarların kriptolanması (şifrelenmesi) tekniği ile çözüyor. Gizli bir şifreyi paylaşmak yerine, iki yüzbaşı kriptolanmış bir anahtarı paylaşıyorlar ve bu anahtar sayesinde birbirlerine güveniyorlar. Bu tekniğin çalışması için, paylaşılan bu anahtarın simetrik olması gerekir. Yani tek bir anahtar hem mesajları kriptolayabilmeli, hem de açabilmeli. Ahmet yüzbaşı mesajı açabilirse, gönderenin de bunu kriptolayabildiğine inanmış olur.
Bu şekilde gizli kriptolanmış anahtarları kullanan bir protokolün prensipleri, bir kişinin kapınıza kadar gelip onu çalması ile başlar. Ziyaretçinin içeriye girebilmesi için, gelen, aynı zamanda kendisinin de kimliğini bir şekilde kapıdaki nöbetçiye bildirmek zorundadır. Bunu yaparken kullandığı teknik ise her defasında farklı olmalı ve başkaları tarafında da kullanılamamalıdır. Yoksa, duvarın diğer tarafından konuşmaları dinleyen istenmeyen kulaklar, daha sonra aynı tekniği kullanarak nöbetçiyi de kandırabilirler. Ali Baba ve Kırk Haramiler hikaseyinde “Açıl Susam Açıl” şifresi aynen böyle öğreniliyor değil mi?

Gelin biraz da bu işin detaylarına bakalım:
1. Mehmet, Ahmet’e text olarak ismini ve bu ikilinin anlaştığı gizli anahtarları ile kriptolanmış olarak da kimliğini içeren mesajını gönderir. Mesajda kullanılan kimlik bilgisinin içinde iki tane alan vardır. Birinci alanda, Mehmet ile ilgili bilgiler bölümü -belki de Mehmet’in soyismi- tutulur, ikinci alanda ise, Mehmet’in saatinin mesajı gönderdiği anda kaç olduğu bilgisi yer alır.
2. Ahmet yüzbaşı, Mehmet olduğunu iddia eden birisinden gelen mesajı alır ve Mehmet ile baştan anlaştıkları anahtarı kullanarak şifreyi çözer. Mesajın içinden Mehmet’in saatini inceler, ve bunu kendisininki ile karşılaştırır. Eğer Mehmet’in saati, Ahmet’in saatinden beş dakika geri ya da ileri ise, Ahmet mesajı kesin olarak reddeder.
Eğer Mehmet ile Ahmet’in saatleri baştan birbirleriyle uyumlu olsa, sistem sorunsuz çalışacak gibi görünüyor. Şimdilik bilgisayar ağımızdaki bilgisayarların sistem saatlerinin otomatik olarak senkronize edildiğini düşünelim. (Windows 2000’de “time server” servisi var).
Eğer, mesajların saatleri birbirlerini tutuyorsa, mesajın gerçekten de Mehmet’ten gelme ihtimali olabilir. Ancak, yine de Ahmet yüzbaşı mesajın kesinlikle Mehmet’ten geldiğine emin olamaz. Yine de bilgisayar ağını sabahtan beri dinleyen birisi, sabah yakaladığı mesajları öğleden sonra tekrar birilerine göndermek gibi işlerle uğraşıyorlarsa, sistem saatlerinin kayıt edilmesi tekniği bu gibi atak risklerini ortadan kaldırır.
3. Ahmet yüzbaşı, Mehmet ile baştan anlaştığı anahtarı kullanarak, çözdüğü mesajdan Mehmet’in sistem saatini anlar ve bunu tekrar Mehmet’e geri gönderir. Sadece Mehmet yüzbaşının sistem saati bilgisinin geri gönderilmesi, mesajın içinden Mehmet’in kimlik bilgisinin tamamını kopyalayıp birilerine gönderen casuslara karşı iyi bir koruma sağlar. Casusların tabii ki, anahtarları olmadığından mesajları çözebilmek yerine sadece kopyalabilirler. Sistem saati bilgisini geri gönderme sebebi ise, her mesaj için farklı olması garanti olan, tekil bir bilgiye iyi bir örnek olmasıdır.
Tartıştığımız bu teknikle ilgili önemli bir şey aklınıza takıldı mı? Hala, bu yüzbaşı arkadaşlarımızın bu işlerde kullanılan kod çözücü anahtarları nasıl elde ettiklerini belirtmedik. “Sadece herkesin bir anahtarı vardır” kabülünü yaptık. Eğer bu sistem günlük hayatta kullanılsa idi, yüzbaşılar gizli bir yerde konuşarak bu anahtar enformasyonunu değiş tokuş edebilirlerdi, ancak bizim bilgisayar ağlarında konuşan PC’ler devri daha başlamadı bildiğiniz gibi.
Kerberos protokolü, bu sorunu, bize anahtar dağıtım merkezini (Key Distribution Center – KDC) tanıştırarak çözüyor. Kerberos (Cerberus), eski Yunan mitolojisinde Alt Dünya’nın kapılarında bekleyen ve geçişlere izin veren üç başlı bir köpek. Bekçi Kerberos köpeği gibi, güvenlik protokolümüzün de üç tane kafası var: Bir tane istemci, bir tane sunucu, ve Anahtar Dağıtım Merkezi. İşte bu işlemlerde arada bulunan güvenilir yere KDC diyoruz.

Güvenlik protokolümüzün tanımına göre KDC, fiziksel olarak güvenli olduğu kabul edilen bir sunucuda çalışır. Kendi REALM’ındaki (Windows 2000’deki domain’in Kerberos karşılığı) tüm PRINCIPAL’lara (Windows 2000 domain’deki kullanıcıların Kerberos karşılığı) ait kullanıcı bilgilerini bir veritabanında tutar. Ayrıca, kullanıcılara ait kimlik bilgileri ile beraber, sadece kullanıcının kendisi ve KDC tarafından bilinen özel bir anahtarı da tutar. Bu anahtar, kullanıcı ile, KDC arasında daha sonra yapılacak olan mesaj transferlerinin güvenli bir şekilde kriptolanması için kullanılır. Çoğu Kerberos implementasyonunda, bu özel anahtar, kullanıcının şifresinden türetilir.
İstemci, bir sunucu ile konuşmak istediğinde, KDC’ye bir istek iletir ve bu ikilinin konuşmaları sırasında kullanacakları oturum anahtarları (session key) üretilir. İstemcinin bu isteğine karşı getirilen iki oturum anahtarı da KDC tarafından istemciye gönderilir şöyle ki: İstemcinin oturum anahtarı istemcinin KDC ile paylaştığı özel anahtar ile kriptolanır, sunucuya ait oturum anahtarı ise istemciye giden bilgi paketinin içine, istemciye ait bilgiler ile birlikte yerleştirilir. İlgili sunucunun KDC ile paylaştığı özel anahtar ile kriptolanan ve içinde istemciyi tanıtan bilgiler de olan sunucuya ait bilgiler, en son olarak bir de istemcinin KDC ile paylaştığı özel anahtar ile kriptolanıp istemciye KDC tarafından gönderilir.
İstemci, KDC’den cevabı aldığında, kendi anahtarı ile verileri okur ve şifresi çözülmüş bu bilgileri hafızasına yazar. (Güvenlik açısından Kerberos’un Windows 2000’deki uygulamasında disk bu verileri saklamak için kullanılmıyor). Sunucuya bağlanmak istediğinde ise, sunucuya, içinde sunucunun KDC ile paylaştığı anahtarı ile kriptolanmış oturum anahtarının da bulunduğu isteğini gönderir. (İstemciye sunucuya gönderilmek üzere KDC tarafından oluşturulmuş özel bölümü, sunucuya ait anahtarı bilmediği için çözemez, böylece sunucuya ait, içinde bu oturuma ait sunucu oturum anahtarlarının olduğu bilgiler de, istemci tarafında sunucuya gönderilmesine rağmen güvence altına alınmış olur.)
Sunucu, istemciden gelen bu isteği aldığında, kendi özel anahtarı ile kimlik bilgilerinin bulunduğu bölümü çözer. İstemci, bu haberleşme için karşılıklı kimlik ispatlanmasını da sunucudan istemişse, sunucu, istemcinin gönderdiği mesajın içinden, bu mesajın oluştuğu zamanki sistem saatini de çözüp kriptolayarak istemciye gönderebilir. Eğer her şey yolunda giderse, sunucu, istemcinin güvenilen bir KDC’den kimlik bilgilerini aldığını öğrenir ve istemci de sunucuya güvenir. Böylece bu mesajın içinden elde edilen oturum anahtarı da kullanılarak istemci ile sunucu arasındaki oturum başlatılır. Sunucu ile istemcinin bundan sonraki haberleşmelerinde kullanacakları bu oturum anahtarları genelde en fazla 8 saat boyunca bilgisayarların hafızalarında dururlar, bu süre içinde kapatılan ya da logoff olunan makinalarda anahtar hafızadan silinir, süre bittiğinde aynı işlemler yeniden başlatılarak, yenilenir.
Oturum şifrelerinin kriptolanması ve açılması sırasında kullanılan ve istemci ile sunucuların KDC ile paylaştıkları özel anahtarlar da bilgisayarların ve kullanıcıların şifrelerinden türetilir. (Kullanıcılar için kullanıcı hesabının şifresi, sunucular için bilgisayar hesabının domain’deki şifresi).
Herhangi bir kullanıcı ağa ilk bağlandığında (Kullanıcı Windows 2000 domainine logon olduğunda), kullanıcının bilgisayarındaki Kerberos yazılımı şifreden özel anahtarı üreterek, istemciye özel bir kriptolama algoritması ile şifreleyerek gönderir. (Teknik olarak DES-CBC-MD5 kriptolaması tekniğinin bu işlemde kullanıldığını ayrıca belirtelim). Bu bilgi KDC’ye geldiğinde, KDC, kullanıcının şifresini zaten bildiğinden, (Windows 2000 domain sunucuları aynı zamanda KDC görevini üstlenmekteler), gelen bu bilgiyi kendisinin ürettiği ile karşılaştırır ve istemcinin logon şifresini onaylar. Bu işlem sabah bir kere yapıldıktan sonra, KDC, bu istemciye, kendisine ilerde herhangi bir oturum anahtarı almak için bir kere başvurmak isterse, giden gelen mesajları kriptolayarak yollamak için kullanacağı bir anahtar alma anahtarı da gönderir (Ticket Granting Ticket). Bu sayede tüm istemcilerin KDC ile bundan sonraki tüm konuşmalarının da bu oturum anahtarı ile kriptolanması sağlanmış olur.

[Mehmet AKIN]

Access Control :
Network üzerindeki herhangi bir bilgi kaynagina erisim konusunda yetkilendirilmis kisiler, programlar, islemler veya network içindeki diger sistemler için konulan sinirlamadir.

Attack Signature :
Network üzerinden gelen bilgi paketlerini bazi modellere göre dikkatlice inceleyerek kötü niyetli aktiviteleri haber veren bir sistemdir.

Authentication, authorization and accounting ( AAA ) :
Kaynaklara güvenli erisimi saglayici güvenlik unsurlaridir.

• Authentication : Server, switch ya da router kullanimlarinda cihaz ya da kullanicinin kimliginin onaylanmasidir.

• Authorization : Kullanici ya da kullanicilara sisteme, programa ve network erisim hakkinin verilmesidir.

• Accounting : Herhangi bir kullanicinin ne yaptigi, kullanici hareketleri kullanici data baglantilari ve kullanici sistem kayitlarinin izlenebilmesi amaciyla yapilan islemdir.

Authentication header :
Paketin içeriginin aktarim sirasinda degismedigini dogrulamak amaciyla kullanilan IPSec basligidir.

CBAC ( Context-Based Access Control ) :
Cisco IOS yazilimi içinde bulunan bu özellik sayesinde tüm yönlendirilebilir data akisi denetlenip kontrol edilmis paketler halinde yapilabilir. ACL tarafindan kontrol edilen data akisindaki paketlerin ilerlemesine izin verilebilir ya da yasaklanabilir.

Certificate :
Güvenilir bir otorite tarafindan özel açiklama ile belirli bir kalip ve isim altinda belirlenen özelliklere sahip olundugunu bildirir.

Certificate authority ( CA ) :
Bagimsiz çalisarak dijital sertifikalari onaylar ve bu nedenle yetkilendirilmis diger kullanicilari da tanir.

Compromise :
Network’e yapilan saldiri ve güvenligi asma olaylarinda güvenlik sisteminin kullandigi prosedürlerdir.

Computer Emergency Response Team ( CERT ) :
Bilgisayar ve network güvenligi konularinda öncelikli olarak servis saglayan, sistem yöneticilerinden olusan resmi bir organizasyondur.

Cryptographic Key :
Sifreleme, sifre çözümü ve bilgi onaylamak için kullanilan dijital bir sifredir.

Cryptography :
Mesajlari sifreleme ve sifreli mesajlari okuma bilimidir.

Data Confidentiality :
Sadece bilgi paketlerine ulasma yetkisi olanlarin bunlari kolayca ulasilabilir formatta görmelerinin garanti edilmesidir.

Data Encryption Standard ( DES ) :
National Institute of Standards and Technology tarafindan gelistirilmis gizli ve kilit sifreleme standardidir.

Data Integrity :
Verinin network içindeki aktarimi sirasinda degisiklige ugramadigi ve zarar görmedigini garanti etme islemidir.

Data privacy :
Network verilerinin gizlice elde edilmesi ya da kurcalanmasina karsi olusturulmus korunma islemidir. Bazi durumlarda GRE veya Layer 2 Tunneling Protocol (L2TP)de oldugu gibi tunneling teknolojisi kullanilarak data ayrilir, bu da etkili veri gizliligini saglar. Bazen, özellikle VPN yürürlüge girdigi an, geleneksel gizlilik gereklilikleri dijital sifreleme teknolojisi ve protokollerini IPSec’’e oldugu gibi kullanmak için istekte bulunur.

Denial-of-service ( DoS ) attack :
Network tasarlanmis servisleri yerine getirmesine engel olmayi amaçlayan her türlü kötü niyetli faaliyettir. Bir insanin sürekli telefon hatlarini mesgul etmesine benzemektedir.

Diffie Hellman :
Sifreleme tabanli yönetim sistemlerinde, izin verilen iki kullanici ya da network cihazinin güvensiz bir ortamda yine bu sifreleri kullanarak güvenli bir sekilde data alis-verisi yapmasidir.

Digital Signature :
Elektronik mesajlarda dogrulama ve güvenligi saglayan, mesaja eklenen(baglanan) bir dizi veridir.

Digital Signature Standard ( DSS ) :
National Security Agency tarafindan gelistirilmis dijital imza standardidir.

Encryption :
Verinin, iletim sirasinda bilinçli olarak sifrelendirilmesi ve kimse tarafindan okunmadan müsteriye ulastirilmasi ve daha sonra da yeniden sifrenin çözülmesi islemidir.

Firewall :
Özel network kaynaklarini, kimligi bilinmeyen ve kötü niyetli olmasi olasi kullanicilarindan korumak için kurulan, yazilim veya donanim tabanli geçit sistemine verilen addir. Kurumlarin iç network’lerini, Internet’dn gelebilecek tehlikelere karsi koruyan ilk engel Firewall’dur.

Generic Routing Encapsulation ( GRE ) :
Cisco tarafindan gelistirilen Tunneling Protocol, IP Tunnels içindeki çok çesitli türlerde protokol paket tiplerini enkapsüle eder. Bunun yaninda Cisco routerlar kullanilarak IP network üzerinde noktadan noktaya sanal baglanti yaratilir.

Hack :
Network’e izin alinmadan yalnizca kendi çikarlari için uygun olmayan yollarla girme ve gizli belgelere ulasarak illegal kazanç saglama islemidir.

Identity :
Network’teki kullanicilarin, uygulamalarin, servis ve kaynaklarin olumlu kesin tanimlanmasidir. Dijital sertifikalar, kartlar ve dizin servisleri gibi yeni teknolojilerin de bu kimlik çözümlerinde önemleri hizla artmaktadir.

Integrity :
Verinin özellikle tanimlanan kisiler disinda degistirilmedigini garanti etmek anlamindadir. “Network Bütünlügü” seklinde kullanildigi zaman, network’ün amaçlarina aykiri bir tarzda kullanimina izin verilmeyecegi anlatilmaktadir.

Internet Engineering Task Force ( IETF ) :
Internet kullanimi konusunda protokoller hazirlayan bir orgnizasyondur. Yayimlari Request for Comments ( RFCs ) olarak adlandirilmaktadir.

Internet Security Association and Key Management Protocol ( ISAKMP ) :
IPSec’e yönelik asil yönetim protokolüdür; ayni zamanda Internet Key Management Protocol (IKE) olarak da adlandirilmaktadir.

Intrusion Detection System ( IDS ) :
Hareketli algilayici seklinde olan, network çevresini ve hassasiyeti giderek artan internal network’ü korumaya yönelik güvenlik sistemidir. Bu sistem, data akisi içerisinde gerçeklesen yetki disi faaliyetleri analiz eder ve bunlari uyararak tepkisini gösterir.

Internet Protocol ( IP ) :
Bilgisayar networkleri arasinda veri alis-verisini saglayan paket tabanli bir protokoldür.

IPSec :
Internet Protokol katmaninda gizlilik ve dogruluk saglamaya yönelik güvenlik standartlari grubudur.

Layer-2 Forwarding Protocol ( L2F ) :
Internet’te sanal güvenlige sahip dialup networkler yaratilmasini saglayan bir protokoldür.

Layer-2 Tunneling Protocol ( L2TP ) :
VPN’lerin yürütülmesi amaciyla Cisco Layer-2 Forwarding ( L2F ) protokolü ile Microsoft’un point-to-point Tunneling protokolünü IETF açisindan birlestiren bir standarttir.

Kerberos :
Massachussetts Institute of Technology tarafindan gelistirilmis, anahtar network dogrulama(onaylama) protokolüdür,bunu saglamakiçin DES sifreleme algoritmasi ve merkezilestirilmis database kullanilir.

National Institute of Standards and Technology ( NIST ) :
Amerika Birlesik Devletleri’nin teknik standartlarini belirleyen hükümet aracisidir.

National Security Agency (NSA) :
Amerika Birlesik Devletleri’nin güvenligini ilgilendiren sifrelenmis tüm yabanci baglantilari bildirme yükümlülügü olan hükümet aracisidir.

Network Address Translation (NAT) :
Bir IP adresini baska bir IP adresine çevirme metodudur. Öncelikli olarak Internet gibi baska bir standartta bulunan IP adresi ile iç network’te kullanilan IP adresi arasindaki baglantiyi kurmakta kullanilir.

Nonrepudation :
Kisinin gönderdigi mesaji ya da yapmis oldugu faaliyeti inkar etmesini önleyen bir sifreleme özelligidir.

Packet Filtering :
Tüm yönlendirilebilir data akisinin paket paket denetlenmesidir.

Ping :
Baska bir aygitin varligini ve operasyon kabiliyetini saptamaya yönelik komuttur.

Ping of death :
Atak yapan kisiler büyük miktarlarda ping paketleri gördüklerinde, alici makine bu büyük boyuttaki paketlere cevap vermeye çalisir fakat bu sirada çöker.

Point-to-point Tunneling Protocol (PPTP) :
Windows 95 ve 98 isletim sistemlerinden VPN hizmetine geçmek için kullanilan Microsoft temelli standarttir.

Private key :
Sifrelenen verinin, dijital imzanin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur. Gizli tutulur ve sadece sahibi tarafindan bilinir.

Proxy :
Baska bir sistem adina islem yapan bir alettir. Firewall ile ilgili oldugunda; proxy, gelen data akisini yavaslatarak, paketlerin kontrolünü yapar.

Public key :
Sifrelenen verinin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur, genis kitleler tarafindan kullanilabilir.

Public key infrastructure :
Güvenilir, ayni zamanda etkili sertifika yönetim sistemidir.

Remote Access Dial-in-Service (RADIUS) :
Livinston Enterprise Inc. Tarafindan gelistirilmis, erisim sunucularini dogrulayan bir network protokolüdür.

Risk analysis :
Güvenlik risklerini teshis eden, etkilerini belirleyen ve önlem alinmasi gereken bölgeleri belirleyen bir islemdir.

RSA (Rivest, Shamir, Adelman):
Verileri sifreleyen, dijital imzalari dogrulayan ve gelistiricilerinin adiyla anilan anahtar sifreleme yöntemidir.

Scanner :
Girisimci sinif program inceleme uygulamasidir, kullanicinin network güvenlik açiklarini hacker’dan önce saptamasini saglar.

Security monitoring :
Düzenli testler ve Security Posture Assessments’lar ile network’ün güvenlik altinda tutulmasidir.

Security perimeter :
Mevcut network’ün güvenligini saglamak amaciyla konulan güvenlik kontrolleridir.

Security policy :
Network hizmetlerinin yayilmasini ve güvenlik politikalarini sürekli olarak kontrol eden yüksek seviyeli talimatlardir.

Shunning :
ACL bir atak denemesini fark ettiginde saldiran kisinin IP adresinden gelen paketlerin bir süre için router’a iletimini durdurur. Daha sonra Cisco router dinamik olarak kendini tekrar konfigüre eder.

SMURF Attack :
Hacker tarafindan kötü amaçla gönderilen çok sayida IP numarasi belli olmayan ping paketleri broadcast adreslerine gönderildiginde bu paketler büyütülüp gelen adreslere gönderilir. Bu büyütme islemi kaç kisinin cevap verdigine baglidir.

Spoofing :
Yetkili bir kullaniciymis gibi bir aygita erisim denemesidir.

Terminal Access Control System Plus (TACACS+) :
AAA protokolü öncelikli olarak dialup baglanti yönetimi için kullanilir.

Triple DES :
Bilgi paketlerinin sifreleme/sifre çözme/sifreleme/’sini yapan DES algoritmasidir.

Tunnel :
Iki nokta ya da üçüncü sahis konumundaki network arasindaki sifreli baglantidir.

Virtual Private Network (VPN) :
Bir network ile digeri arasindaki tüm data akisini sifreleyerek, IP data akisina genel TCP/IP network’ü üzerinde güvenli baglanti saglar.

Vulnerability :
Güvenlik prosedürlerinde, network dizayni ya da uygulamalarin ortak güvenlik politikasini bozucu sekilde istismar edilebilecegini gösteren zayifliktir.

[Mehmet AKIN]

C:WINDOWS>netstat -an |find /i “listening” komutunu yazmalıyız.Bu bilgileri bir doyaya yazdırmak için örnek olarak C:WINDOWS>netstat -an |find /i “listening” > c:openports.txt yazmamız yeterli. Bilgisayarımızın o anda haberleştiği portları görmek için ise “listening” kısmını “established” olarak değiştirebiliriz.

[Mehmet AKIN]

Windows Wi-Fi güvenlik açığı

Geçtiğimiz cumartesi günü ShmooCon hacker konferansında güvenlik araştırmacısı Mark Loveless tarafından duyurulan açık Windows XP ve 2000 işletim sistemlerindeki bir özellikten kaynaklanıyor.

Loveless bilgisayar korsanlarının bu özelliği kötü amaçla kullanabileceklerini ve sistemin hard disk’ine erişebileceklerini söylüyor.

Windows XP veya 2000 çalıştıran bir bilgisayar boot edilip açıldığında otomatik olarak bir kablosuz ağa bağlanmaya çalışıyor. Eğer bilgisayar bir kablosuz ağ bağlantısı kuramazsa kendi yerel adresine ad-hoc bağlantı kuruyor. Windows bu bağlantıya bir IP adresi atıyor ve son bağlandığı kablosuz ağın SSID’si ile isimlendiriyor.

Bilgisayar daha sonra bu SSID’yi broadcast ederek yakınlarındaki bilgisayarlarla bağlantı kurmaya çalışıyor.

Tehlike, bu tipte broadcast yapan bilgisayarları dinleyen saldırganlar aynı SSID ile bir ağ bağlantısı kurduğunda ortaya çıkıyor. Bu iki makinenin birbiri ile ilişkilenmesini sağlıyor ve saldırganın bilgisayardaki dosyalara erişimine izin veriyor.

ZDNet UK’in konuyla ilgili danıştığı güvenlik uzmanları açığın varolduğunu onayladılar fakat kişisel güvenlik duvarı kullananlar için bunun bir problem olmayacağını belirtiyorlar.

MessageLabs firmasından Paul Wood kullanıcıların bilgisayarlarının bu tipte bir bağlantı kurduğundan haberdar olmayacaklarını söylüyor. Windows XP SP2 kullanıcılarının risk altında olmadığını da ekliyor:
MessageLabs firmasından Mark Sunner “Bu SP2 kurmamış olanlar için yeni bir “uyan” çağrısı daha. SP2 kurulu olmayan XP çalıştıran makinalar çok sayıda açık içeriyorlar ve bir bakıma “gel beni al” diyorlar.”

Korunun
Uzmanlar firmaların eğer yoksa bir güvenlik politikası hazırlayıp uygulamaya sokmasını öneriyor. Sunner “Kablosuz ağ sistemleri kullanacak olan tüm firmaların bir firma güvenlik politikasına sahip olması gerekiyor” diyor ve ekliyor, “Bu açıktan en çok etkilenenler seyahat edenler olacaktır”.
MessageLabs kişisel güvenlik duvarı kullanımının da gerekli olduğunu belirtiyor.

McAfee firmasından Greg Day ise kullanımı gerekmediği durumlarda kablosuz ağ bağlantısnın kapatılmasını (disable) tavsiye ediyor.

Microsoft henüz konu ile ilgili yorum isteklerine bir cevap vermedi.

[Mehmet AKIN]

Oracle Güvenlik Açığı

Etkisi: Ağ üzerinden istenilen kodun çalıştırılabilmesi, ağ üzerinden erişim

Oracle uygulama sunucusunun PLSQL Gateway bileşeninde bir güvenlik açığı olduğu rapor edildi. Uzaktaki bir kullanıcı web sunucusu üzerinden arkadaki veritabanı sunucusuna erişebiliyor.

Kullanıcılar uzaktan PLSQLExclusion listesini bypass ederek hariç tutulmuş paketlere ve prosedürlere erişebiliyorlar. Bunun sonucunda da web sunucusunun ve ilişkili veritabanının kontrolünü ellerine geçirebiliyorlar.

PLSQL Gateway, iAS, OAS ve Oracle HTTP sunucusunun bir bileşeni.

Çözüm:
Oracle 26 Ekim 2005 tarihinde haberdar edilmesine karşın henüz bir yama çıkarmamış.

Açığı bulan NGSSoftware aşağıdaki geçici çözümü öneriyor:
Oracle’ın Apache dağıtımında derlenmiş olarak gelen mod_rewrite kullanımı ile saldırıları engellemek mümkün. Çözüm kullanıcının web isteğinde parantez ‘)’ olup olmadığını kontrol ediyor.

httpd.conf dosyanıza aşağıdaki satırları ekleyin ve web sunucusunu durdurup tekrar başlatın:

RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack

Kaynak: http://securitytracker.com/id?1015544

Konu ile alakalı olabilecek diğer dokümanlardan bazıları: Yayınlanma tarihi:
Application Security, Inc. Microsoft SQL sunucusu güvenliği ürününü çıkardı 06.03.2002 12:03
Apache HTTP sunucusu güvenlik açığı 17.06.2002 19:41

Varsayılan şifre listesi – 4 (N-O) 07.07.2002 07:52

AppDetective for Oracle 23.07.2002 02:20

Oracle Veritabanı’nda Veri ve Sistem Güvenliği 26.08.2002 06:00

PostgreSQL String Pad fonksiyonu hafıza taşması açığı 26.08.2002 08:11

Oracle 9i veritabanı sunucusu iSQL Plus bozuk USERID bilgisi hafıza taşması açığı 07.11.2002 07:26

Oracle 9iAS Apache PL/SQL Modülü Çeşitli Hafıza Taşma Açıkları 10.02.2002 19:38

Oracle 9iAS Apache PL/SQL Modülü DoS Açığı 10.02.2002 19:41

Oracle TNS Dinleyicisi İstenilen Kütüphane Çağrısını Çalıştırma Açığı

[Mehmet AKIN]

En unlu 12 trojan hakkinda genis bilgi.

Günümüzde İnternet, pek çok insan için vazgeçilmez bir gereklilik ve alışkanlıktır. Dünyayı saran internet ağına çeşitli yollardan erişmek mümkündür. İnternet Cafe’ler, işyerleri, okullar ya da kişisel bilgisayarlar. İnternete ulaştığınız yol ne olursa olsun sizi bekleyen çok çeşitli tehlikeler mevcuttur. Birileri kişisel bilgisayarınız, kullandığınız network ya da size özel accountlarınız üzerinde hakimiyet kurmuş olabilir. Bu durum, kişisel dosyalarınızın tanımadığınız kişilerin ellerine geçmesinden, bulunduğunuz ortamdaki konuşmaların dinlenmesine, kişisel hesaplarınızın sizin adınıza kötü amaçlarla kullanılmasından, sizi mahkeme koridorlarına taşıyabilecek işlemlere kadar çeşitli belalara neden olabilir. Bu satırları okuduğunuz sırada sizin bilgisayarınız aracılığıyla bir banka hesabına illegal müdahaleler yapılıyor olabilir. İnanın bana bu hiç de paranoyakça bir düşünce ya da komplo teorisinin bir parçası değil. Bu yazıda “Computer Security” için gerekli olan üst düzey bilgileri yeni kullanıcıların da anlayabileceği bir şekilde açıklamaya çalışacağım.

Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.

1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği

Bu üç fonksiyonun bilinçli bir şekilde gözlemlenmesi bilgisayarınızı tek kelimeyle kusursuz bir güvenliğe eriştirir. Güvenlik için hiçbir zaman antivirüs programlarına tam olarak güvenmemelisiniz. Bu tür programların koruyucu özelliği bazı durumlarda tamamen ortadan kalkabilmektedir. Şu an kullanımda olan trojanların (bilgisayarların dışarıdan yönetilmesini sağlayan casus programlar) bir kısmı hiçbir antivirüs programı tarafından tespit edilememektedir. Güvenlik konusunu Windows işletim sistemi üzerinde anlatmaya çalışacağım. Çünkü windows hem en yaygın kullanılan hem de en zayıf güvenliğe sahip işletim sistemidir. Eğer internete alternatif bir işletim sistemi üzerinden bağlanıyorsanız yazının geri kalan kısmını genel kültür açısından okuyabilirsiniz. Windows kullanıcılarının ise her kelimesini itinayla okumalarını tavsiye ederim.

1. Start up Dosyaları :

Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.

Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör

C:WINDOWSProfiles*oturum logininiz*Start MenuProgramlarBaşlangıç

adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.

İkinci yöntem programın kendisini

C:WINDOWS

dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.

[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run=[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe
WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri

WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe’nin sağ tarafına yazılır.

Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register’ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register’ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry’de çoğunlukla

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServicesOnce]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurre ntVersionRun]

[HKEY_CURRENT_USERSOFTWAREMirabilisICQAgentApp sICQ]

Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım.

– systray.dl
– systray.exe (system klasöründeki değil)
– msrexe.exe
– grcframe.exe
Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.

2. Dosya Erişimi :

Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.

I – Yalın Trojanlar

Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb arasında değişmektedir. Popüler olanları 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları olmayabilir, standart executable iconu (üstte mavi şeritli beyaz dikdörtgen), meşale, satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir. Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir. Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection’ı sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki iconlarını görebilirsiniz.

Popüler trojanların default server iconları

II – Birleşik Trojanlar

Bu dosyalar iki programın birleşimidir. Animasyon, e-cart, şaka, utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection’ı sağlamaya çalışır.

III – Süslü Trojanlar

Bu dosyalar görünürde .exe uzantılı değildir. iconları media file iconlarına (jpg, gif, bmp vb.) benzetilmeye çalışılmıştır. Ancak orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit icon örneklerini inceleyebilirsiniz.

ACDSee BMP İconları.
(soldaki çok kötü bir taklit)

Dosyalar çalıştırıldıklarında bir şey olmayabilir, hata mesajı verebilir ya da taklit edildikleri media dosyasının fonksiyonlarını tam anlamıyla gerçekleştirebilirler. Ancak her 3 durumda da sistemde yavaşlama, hard diskden gelen yoğun sesler ve/veya internet connection’ı sağlama çabası görülebilir. Bu tür dosyaların güvenirliliğini dosya üzerinde sağ butona basarak anlayabilirsiniz. karşınıza çıkan assist menü normalden 3-4 kat daha genişse dosya, windows üzerinde uzantısı farklı görünen bir dosyadır. Ayrıca klasör seçeneklerinin görünüm sekmesinde “Bilinen dosya türlerinin uzantılarını gizle” seçeneğini pasif hale getirirseniz windows un extensionlar konusunda sizi yanıltmasını engellemiş olursunuz.

IV – Gizli Trojanlar

Bu trojanlar anlaşılması en zor ve en tehlikeli dosyalardır. uzantısı .exe değildir. sisteminizde çalışmayan bir media file olarak aktif hale geleceği zamanı bekler. Bu dosyalar özel hedefler için oluşturulur. uzantısı .exe olmayan dosyayı bulup uzantısını değiştirip çalıştıran ve gerektiğinde silen çok küçük .exe, .com, veya .bat dosyaları ile aktif hale getirilirler. Genellikle program crack dosyaları, key generator’lar 2. parça için çok ideal programlardır. Bu dosyalardan korunmak için sisteminizde işlevini gerçekleştirmeyen dosyaları kesinlikle barındırmayın.

V – Self extract zip Trojanları

Bu dosyalar .exe uzantılıdır ve üzerlerinde default olarak aşağıdaki icon bulunur.

Self extract zip file iconu

Zip paketi içerisindeki programları belirli bir sırayla ve otomatik olarak çalıştırmaya yarayan bu dosya türünün içerisine sisteme gizlice yerleşen bir trojan yerleştirmek son derece kolaydır. Bu nedenle bu tür dosyaları açmadan önce sağ butona basıp “Extract to folder…” komutunu vererek içeriğini bir klasöre açmak ve kontrol etmek gerekmektedir.

İnternet erişimi sağlamadan önce kullanacağınız programları (ICQ dahil) önceden açmanız ve connection windowlarını kapatmanız güvenli bir erişime zemin hazırlar. Bilgisayarınızın açıldıktan sonra sizin isteğiniz dışında internete girmeye çalışması şüpheli bir durumdur. Bu isteği onaylamanız halinde verilerinizi tanımadığınız kişilere göndermiş olabilirsiniz.

Computer Security için en önemli koşul TCP/IP trafiğini kontrol altında tutmaktır. Bu kontrol için iyi bir firewall kullanmalı ve firewall rule ‘larını en iyi şekilde düzenlemelisiniz. Bu konuyu detaylı olarak yazımın ikinci bölümünde açıklamaya çalışacağım. Firewall kurulumunun yanı sıra TCP ve UDP portlarının çalışma mantıkları ve işlevleri de gelecek yazımın içeriğinde yer alacak.

Bu yazıma son verirken değinmek istediğim birkaç konu var. Öncelikle Hacker’lığın güzel, karizmatik ve itibarlı bir sıfat olduğunu asla düşünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasında ahlaki açıdan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediğiniz için madalya vermez. Benden hiçbir saldırı amaçlı yardım istemeyin. Bilgisayarınızda yukarıda söz ettiğim belirtiler meydana geldiyse ya da daha açık bir şekilde bilgisayarınız sizinle sesli ya da yazılı iletişim kurmaya başladıysa ve fonksiyonları sizin kontrolünüzden çıkmaya başladıysa 42000000 numaralı uinden bana ulaşın. Bu gibi durumlarda yardım edebilmek için elimden geleni yaparım.

Unutmayın “güvenlik, huzur için zorunlu bir koşuldur”

Computer Security II
(Trojan tespiti ve çözümler)

Bu yazıyı önceki yazımdaki teorik bilgilerin uygulanmasında kolaylık sağlaması amacıyla yayımlıyorum. Sisteminizde trojan olduğundan şüpheleniyorsanız tespit için gerekli bilgileri ve çözüm yollarını bu yazı yardımıyla bulabilirsiniz. Trojanların bilgisayar sistemine nasıl yerleştiklerini anlayabilmek amacıyla hepsini kendi bilgisayarımda denedim. Bu çalışmada Dünya underground yazılım piyasalarında popüler olan 4 trojanın toplam 10 versiyonu ve 2 Türk trojanı olmak üzere toplam 12 popüler trojan hakkında bütün detaylı bilgilere yer verilmiştir. Yazı sitemde sürekli olarak güncellenecektir. Eğer listede yer almayan bir trojanın yaygın şekilde kullanıldığını tespit ederseniz server dosyasını bana yollayın. Birkaç gün içinde trojan hakkında detaylı bilgiyi yazıya eklerim.

Build Güncelleme Notları

BackOrifice1.2 ve 2k UDP portu kullandıkları için portscan yapıldığında farkedilemezler. Deep Throat ve Truva Atı haricindeki trojanların kullandıkları portlar trojanı konfigüre eden kişi tarafından değiştirilebilir. Subseven Trojanı, tecrübeli kullanıcılar tarafından EditServer programı yardımıyla çok geniş bir çeşitlilikte konfigüre edilebilmektedir. Bu trojanın boyutu, iconu, startup yöntemi, sistemde yerleşeceği dizin ve alacağı isim, register anahtarının adı ve kullanacağı port değişiklik göstermektedir. Yukarıdaki tabloda verdiğim bilgiler server’ın default özellikleridir.

SchoolBus serverı çalıştığı bilgisayarın UDP 44767 portunu da açmaktadır. BackOrifice, system klasöründe WINDLL.DLL dosyasını oluşturur. SubSeven’ın 1.9 dan önceki versiyonları SYSTRAY.DL adıyla windows klasörüne yerleşip TCP 1243 portu açarlar. Ayrıca system klasöründe FAVPNMCFEE.DLL dosyasını oluştururlar.

Build 014 Güncellemesi :

InCommand 1.5 Trojanının iconu, sistemde alacağı isim ve kullanacağı port, edit server programı yardımıyla değiştirilebilmektedir.

GIP 110 Programı, register’da özel bir teknik kullanarak registry’de LM (run) ve LM(RunServices) bölgeleri arasında yer değiştirebilir. Bu nedenle, bilgisayarınızı restart yaptıktan sonra mutlaka DOS ortamında açıp program dosyasını silmelisiniz. Eğer bu işlem yapılmazsa Windows yeniden başlatıldığında program tekrar aktif hale gelebilir. GIP programının iconu değişebilir, gönderildiği bilgisayarda windows, system ve temp dizinlerine yerleşebilir, aynı şekilde çalıştırıldıktan sonra alacağı isim de değişebilmektedir. Ayrıca GIP trojanı çalıştırıldığında taşıyıcı dosyayı silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarınızda çalıştırıldıysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri başta olmak üzere sistemde kullandığınız bütün passwordleri (email, ftp, web-site vb.) değiştirmeniz gerekmektedir.

Çözüm Yöntemleri

1.Start up Fonksiyonunun iptali

1.1. Registrye Yerleşen Trojanlar

Regedit.exe programıyla

LM (RunServices) için ;

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices]

LM (run) için ;

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun]

adresine gidip trojan dosyasının oluşturduğu anahtarları sildikten sonra bilgisayarınızı restart etmeniz gereklidir.

* Truva Atı trojanını registry’den temizlemek için öncelikle trojan dosyasının bulunduğu klasörün ismini değiştirip bilgisayarınızı restart ettikten sonra programı registry den silmelisiniz.

1.2 Yapılandırma Dosyalarına Yerleşen Trojanlar

windows dizini altındaki WIN.INI ve SYSTEM.INI dosyalarını notepad’le açıp

WIN.INI de run=

SYSTEM.INI de ise shell=

satırları kontrol edilmelidir. Eşittir işaretinden sonra yazan dosya ismi yukarıdaki listede yazan isimlerden birisi ya da şüphe uyandıran başka bir isimse o bölümü silip yapılandırma dosyasını save ettikten sonra bilgisayarınızı restart edin.

2. Executable dosyanın silinmesi

Registry erişimi engellenemeyen bir dosyayı windows üzerinde silmeniz olanaksızdır. Bu dosyaları silebilmek için bilgisayarı, low level işletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamında dizin değiştirmek için CD dosya silmek için DEL komutlarını kullanırız.

Örnek :

msrexe.exe olarak sisteme yerleşmiş bir SubSeven trojanını silmek için.

del c:windowsmsrexe.exe

komutu verilmelidir. silme işlemi bittikten sonra, dos ortamına shutdown menüsünden girmişsek EXIT boot sırasında girmişsek WIN komutu verilerek windows ortamına dönülür.

Eğer Firewall kullanmıyorsanız haftada bir kez windows ve system klasörünüzdeki dosyaların listesini ;

dir *.exe /od > liste.txt

komutunu vererek liste.txt dosyasına oluşturma tarihi sırasına göre aktarabilirsiniz. Daha sonra bu dosyayı Notepad programıyla açıp incelemeniz haftalık değişimleri farkedebilmenizi sağlar. Hızlı bir portscan yardımıyla bilgisayarınızdaki TCP portlarını haftada bir kez kontrol etmeniz de sistem güvenliğinizi sağlamanıza yardımcı olur.

Dosya İsmiBoyut
(Kb)IconTrojan İsmiStart up YöntemiSistemdeki
YeriPortwincfg.exe45GIP 110
(Password
Stealer)LM
(Run)System
diziniYokinfo32.exe740kolaylıkla
değişebilirInCommand1.5win.iniWindows
diziniTCP
9400.exe122BackOrifice1.2LM
(RunServices)System
diziniUDP 31337umgr32.exe136BO2kLM
(RunServices)System
diziniUDP
31337systray.exe
(windows)261DeepThroat3.0system.iniWindows
diziniTCP
6671mtmtask.dl329Subseven1.9system.iniWindows
diziniTCP
1243kerne1.exe329Subseven2.0win.iniWindows
diziniTCP
1243msrexe.exe372 kolaylıkla
değişebilirSubseven2.1win.iniWindows
diziniTCP
27374msrexe.exe389 “Subseven2.1goldWindows
diziniTCP
27374qwhqwu.exe
(system)57 “Subseven2.2connectionSystem
diziniTCP
27374grcframe.exe
(system)562
değişebilirSchoolbus2.0Runonce.exeSystem
diziniTCP 54321çalıştırılan dosya384TruvaAtı1.2LM
(Run)Çalıştırılan
dizinTCP 80
Telnetçalıştırılan dosya484NetBus1.7LM
(run)Windows
diziniTCP
12345çalıştırılan dosya612NetBus2.0LM
(RunServices)Windows
diziniTCP
20034

[Yazar]

Yazılar