Tahribat.com Forumları
İnternet Güvenliğine Giriş
[Beyaz Tahribat] Güvenlik Duvarları

Yazar anonim6918524 (1) Ayro (4) BLaCkH4cK (1) ErK (1) Esconda (1) Fikret (1) literatur (1) Musket (1) nakamura2 (1) renegadealien (1) RitmFarbRacourci (2) SyspioniC (1) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Yapay Zeka     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

[Beyaz Tahribat] Güvenlik Duvarları

1. 09/Tem/08 22:14 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   Renenin Özel Notu : Beyaz Tahribat tarafımdan tamamen desteklenmektedir, Yapıcı olmayan yıkıcı mesajlar silinecektir...

   Yorum yapacak herkezin buna dikkat etmesini temenni ederim...

   Yeniden başlatalım dedim şu beyaz tahribat projesini

   **!!Başta söyliyim konu uzun şu bu gibi mesajlar atmayın.Nasıl çalışır?Çalışma prensipleri gibi dökümanlar beyaz tahribatta yayınlanacaktır.Gerçekten merak eden adam oturur okur.Zaten öğrenmenin dökümanla oalcağını bilir.Fakat öylesine gelen adam kalkıp uzun der..İStemiyorsanız okumayın!

   diğer beyaz tahribat dökümanları=>
   http://www.tahribat.com/forumsearch.asp?search=beyaz%20tahribat&status=1

   Güvenlik duvarları

   Güvenlik duvarları iç ağ ile dış ağ(internet) arasında bir geçit olarak görev yapar ve bu iki trafiği yönlendirir.Gelen paketlerin adresine, portuna, servisine vs.. bakarak kendisinde tanımlı kurallar gereğince ya ilgili adrese gönderiri yada paketi yoke der.Güvenlik duvarları hem yazılımsal hemde donanımsal oalbilir.Güvenlik duvarları şirket ağlarını hackerlardan koruduğu gibi iç ağ için extra servislerde sunabilir.Genel olarak güvenlik duvarlarının sunduğu gizmetler;

   Nat(Network Address Translation):

   Şirketin iç ağında kullanılan özel iplerin (10.x.y.z, 192.168.x.y), dış ağa (internet) çıkarken gerçek ipyi kullanmasını sağlar.

   NAT  bir network içerisinde kullanilan bir IP adresinin baska bir network içerisinde bilinen baska bir IP adresine çevirilmesidir.
   Bu islemde bir network iç network, diger biri de dis network olarak belirtilir. Tipik olarak, bir firma giden paketler için kendi içindeki lokal network adreslerini bir veya daha fazla dis global IP adresine dönüstürüp gelen paketlerde de global IP adreslerinin lokal IP adreslerine geri donüsümünü saglar. Bu metodla gelen veya giden her istek çeviri isleminden geçecegi için güvenligin saglanmasina da yardimci olunur. NAT ayrica firmalarin gloabal IP adreslerini idareli bir sekilde kullanabilmelerini ve hatta sadece tek bir IP adresi ile dünya çapinda taninabilmelerine olanak verir.
   NAT router`larin, çogu zaman da kurumsal firewall`larin üzerlerinde tanimlanabilir. Network yöneticleri, globalden-yerele ve yerelden-gloabel`e adres çevirimi yapan NAT tablolari olustururlar. NAT ayrica networkler üzerinde yönlendirme politikalari ile paralel çalisabilir. NAT statik olarak tanimlanabilecegi gibi bir IP adres havuzundan veya baska bir IP havuzuna dinamik olarak IP çevirimi saglayacak sekilde düzenlenebilir. Cisco NAT bir ag yöneticisinin asagidaki adres dönüsümlerini yapmasina yardimci olur:

   • Statik olarak lokal bir IP adresini global bir IP adresine çevirme
   • Lokal bir IP adresini dönüsümlü olarak bir firmanin sahip oldugu global IP huvuzundan bir IP`ye çevirme
   • Lokal bir IP adresi ve özel bir TCP portunu global bir IP adresine veya havuzdan bir IP`ye çevirme
   • Global bir IP adresini düzenli sirayla lokal IP adresi havuzundan bir IP`ye çevirme

   NAT`in genel tanimi RFC 1631 içinde ifade edilmistir. Bu tanimda IP adres tükenme problemi ile ilgili olarak CIDR ile NAT`in iliskisinden bahsedilmistir. NAT, genel bilinen ve özel bilinen IP adresler ayrimini yaratarak fazla sayida genel bilinen IP adres sayisi gereksinimini azaltir. CIDR genel olarak bilinen IP IP adreslerini bloklar halinde toplayarak daha az IP adresinin tüketilmesini saglar. Sonuç olarak, IPv6 genel olarak desteklenene kadar, her iki yol da su an kullanimda oldan IPv4 kullaniminin genisletilmesine yararlar.

   Kaynak: Whatis.com

   VPN (Virtual Private Network): Genel kullanımdaki veri ağlarından, şirket ağına bağlanmanın güvenli olması için VPN kullanılabilir.

   Genel telekomunikasyon altyapisini kullanarak, 'tunneling protocol' ve guvenlik prosedurleri araciligi ile guvenli ve ozel data aktarimini saglayan sanal ozel ag teknolojisine VPN adi verilir.  
   VPN aglarini bir sirket tarafindan sahiplenilmis veya kiralanmis ozel hatlar olarak dusunebilriz. VPN uygulamasinin temel amaci bir firmaya ozel bir hat tahsis edilmesi yerine firmanin ayni hizmeti daha dusuk fiyata herkes tarafindan paylasilan altyapidan temin etmesidir. Telefon sirketleri ses mesajlari icin daha onceden paylasimli guvenli hatlar icin yatirim yapmislardir. Bir VPN agi, ayni sekilde guvenli ortak paylasimi, data transferinin gerceklestirilmesi icin izin verir. Gunumuzde sirketler VPN teknolojisini hem extranetlerde, hem de genis intranet uygulamalarinda tercih etmektedirler.

   Sanal ozel ag teknolojisinde datanin herkese acik hatlar uzerinden gonderilmesinden once sifrelenmesi, sonrasinda da ulastigi tarafta desifre edilmesi soz konusudur. Bunun disinda sadece iletilen datanin degil, gonderinin ve alanin network adreslerinin sifrelenmesi ile extra guvenlik saglanabilir. Microsoft, 3com ve birkac diger firma PPTP teknolojisini gelistirmis, daha sonra bu protokol Microsoft tarafindan Windows NT isletim sisteminde desteklenmistir. VPN yazilimlari tipik olarak firewall'un bir parcasi olarak kurulup servis verirler

   Kaynak: Whatis.com

   Proxy: Şirketteki istemcilerin dış ağdaki bir sunucuya bağlanmalarında vekillik yapar.

   Proxy servisi, Internet üzerindeki yerel bir ağ (ya da Internet’ e bağlı bir bilgisayar) ile, dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçiş (gateway) sistemidir. İki amaç için kullanılabilirler :
   
   Bir proxy servisi (sunucusu), sizin adınıza sizden aldığı bilgi alma isteklerini yürütür ve sonucu yine size iletir. Ancak, aynı anda, bu bilgilerin bir kopyası da (cache),bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. Internet’ e erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak; size en yakın bir servis noktasındaki proxy servisini kullanmanız, Internet erişiminizi bir hayli hızlandıracaktır.

   Firewall güvenlik sistemlerinin kullanıldığı yerlerde, kullanıcıları çıkışları tek bir makine üzerinden olabilir. Bu durumda proxy servis makinesi sadece bir aracı olarak çalışır.
   Proxy servisi kullanmanın avantajı çoktur. Herhangi bir siteden istediğiniz bir bilgi (web sayfası, ftp dökümanı vb..) eğer kullandığınız proxy servisinde henüz depolanmamışsa, bu bilginin olduğu siteden alınır ve size iletilir. Ancak, daha sonra başka bir kullanıcı (ya da siz) aynı dökümanı/bilgiyi istediğinizde, ilgili döküman/bilgi proxy servisinde depolandığı (cache) için, doğrudan oradan size iletilir ve erişiminiz de çok daha hızlı olur.
   
   Proxy servisleri, uluslararası Internet bağlantılarındaki yoğunluğu azaltmak, erişimleri hızlandırmak ve ağı daha etkin kullanmak için çok yararlı araçlardır. En popüler proxy servisleri, Web (http), FTP, Gopher ve Wais Internet araçları için tanımlıdır.
   
   İstanbul’ daki Turnet’ e bağlı servis sağlayıcılarından hizmet alanların Turnet İstanbul, Ankara Turnet üzerinden çıkan Internet Servis sağlayıcılarından hizmet alanların Turnet Ankara, İzmir bölgesindeki Turnet’ e bağlı Internet Servis Sağlayıcılarından hizmet alanların Turnet İzmir Proxy servislerini kullanmaları en iyi performansı verecektir. Ulusal Akademik Ağ kullanıcıları ise, kendi durumlarına göre, ODTÜ ve EgeNet servislerini kullanmalıdırlar. İTÜ Proxy servisi şu an yerel (sadece kendi kullanıcılarına) hizmet vermektedir. Tüm proxy servislerin bir zincir oluşturarak ortak kullanımına yönelik çalışmalar yapılmaktadır.

   
   

   Paket Filtreleme: Ağa gelen ve giden paketlerin adreslerine portalarına kullandığı servislere bakılarak iletilmesini sağlar yada yasaklar.

   
   

   Loglama ve Raporlama:Bağlantılar ve diğer mekanizmalar için kayıt tutar ve raporlar.

   
   

   Saldırı Tespit Sistemi:Klasik saldırı tespit sistemleri kadar olmasada şüpheli durumları yada saldırıları genellikle e-posta yoluyla sistem yöneticisine bildirir

   
   

   Genel Olarak 3 tip güvenlik Duvarı Vardır;

    -Paket Filtreleme tabanlı
   

    -Dinamik filtreleme tabanlı
   

    -Proxy Tabanlı

   
   

   Paket Filtreleme Tabanlı Güvenlik Duvarları

   
   

   Bu tip güvenlik duvarları en eski ve aynı zamanda en basit güvenlk duvarlarıdır.İsminden de anlaşılacağı gibi kendisine gelen her 3. katman paketine (ip, ipx) bakar ve bunların başlıklarını inceler.

   
   

   bknz: Ağkavramı 1=> http://www.tahribat.com/forumdisplayfolder.asp?folderid=34403 ve 2 => http://www.tahribat.com/forumdisplayfolder.asp?folderid=34404

   
   

   Kendisinde tanımlı erişimli kurallar (access lists) gereğince paketin gönderilmesine izin verir yada yasaklar.Bu tip güvenlik duvarlarında genel olarak paketin iletilip iletilmeyeceğine şu kriterler bakılarak karar verilir.

   
   

   Gönderinin ip adresi ,Alıcının ip adresi, gönderenin portu, alıcının portu, TCP bayrakları , yön (ağamı geliyor ağdan mı gidiyor), Protokol.

   
   

   PAket filtreleme tabanlı güvenlik duvarlarının kendisinde tanımlı kuralları gereğince paket trafiğini yönettir.Bu kuralların genellikle erişim listesi Access list acl oalrak tnaımlanır.HEr firmanın kendine göre AL tanımlama formatı vardır.Bu tip güvenlik duvarlarında önemli olan şey, dış ağdan elipde iç ağdaki bir istemciden daha önce gelen bir isteğe karşılık gibi gösterilen paketlere izin verilmemektedir.Çünkü hackerlar bu tip açıklardan yararlanırlar.

   
   

   Dışarıdan kaynak portu 80 olan bir ack paketi geldiğinde güvenlik duvarı kendi ağından bir istemcinin internetteki bir sunucuya bağlanmak istediğini ve bu amaçla daha önce syn paketi gönderildiğini, ack paketininde buna cevap oalrak geldiğini düşnür.Oysa gerçek bir hacker oyunudur.Bu durum udp paketleri içinde geçerlidir.UDP de bayraklar yada kontrol bitleri bulunmaz oysa paket filtreleme tabanlı güvenlik duvarları sadece tcp paketlerine bakar buda güvenlik açısından önemli bir sorundur.Bu tip güvenlik duvarları güvenlik açısından sorunlu olsada hızlı olmaları nedeniyle bir çok eyrde kullanılır.

   
   

   Dİnamik Filtreleme Tabanlı Güvenlik Duvarı

   
   

   Bu tip güvenlik duvarları paket filtreleme tabanlı güvenlik duvarlarından daha güvenleidir.Klasik paket filtrelemede sadece paketin başlığına baklır ve eğer paketin içeriği kurallar çerçevesinde dğeil ilse ilgili adrese iletilir.Ancak dışarıdan gelipde öncesi olmayan bir oturumun başlangıcı gibi gösterilen paketlerde iletilebilir.Bu sorunu çözmek için dinamik filtreleme mekanizması geliştirilmiştir.Checkpoint firması tarafından geliştirilen bu mekanizma yine bu firmanın tescilli markası olan "Stateful inspection" olarakda bilinir.Check point FW-1, cisco PIX (computerwolf ii bilir) ve netscreen gibi ticari ürünlerle, ipfilter gibi ücretsiz ürünler bu mekanizmayı kullanır.Dinamik filtreleme tabanlı güvenlik duvarlarında ilave olarak bellek bulunur.

   
   

   Bu bellek sayesinde gelen bir pakein daha önce başlatılan bir bağlantı isteğine karşılık olup olmadığı belirlenir.Eğer gelen paket tutulan süre içindeki paketlerden birine karşılıksa izin verilir.Paket tutulan süre genellikle 30-90 saniye arasında değişir.Genlelikle bu tür bilgiler durum tablosu denilen küçük bir veritabanında tutulur.Bu tabloya sızmak isteyen hacker bu amaçla bir ack paketi gönderdiğinde bellekteki bu ack paketi içn daha önce bir syn paketi gönderilip gönderilmediğine bakılır.Eğer böyle bir paket yoksa red edilir.

   
   

   Bu tip güvenlik duvarlarında tcp bayraklarının yanı sıra udp paketlerininde bilgileri tutulur.Böylece ağa bir udp paket iletilmek istenildiğinde bunun öcnesinin olup olmadığına bakılarak işlem yapılır.Dinamik filtreleme ilk 2.4.x çekirdeği ve iptable zelliği ile linuxlarda başlamıştır.

   
   

   Pruxy Tabanlı Güvenlik Duvarları

   
   

   Daha önce anlatılan güvenlik duvarları kendisine gelen paketin gelen içeriğine bakarlar ve buna kadar verirler.Eğer paket kurallara uygunsa istemci ile sunucu arasında doğrudan bir bağlantı kurulur.Proxy tabanlı güvenlik duvarlarında ise iç ağdaki bir kullanıcının ağa çıkmasına vekillik eder.Örn bir ftp proxy, şirketin dış ağından gelen bir ftp isteğine vekillik eder, iligli ftp sunucuya isteği iletir.Daha sonra ftp sunucusunun verdiği cevabı iç ağdaki istemciye iletir böylece hem iç ağ hemde dış ağ tamamen birbirinden yalıtılmış olur.Bu yönüyle proxy tabanlı güvenlik duvarları çalışma mekanizması nedeniyle diğerlerinden ayrılır.

   
   

   Bu tür güvenlik duvarları daha çok uygulama tabanlı (application level) güvenlik duvarları olarak bilinir.Paketlerin içeriğini denetleyebilmesi çok büyük bir avantajdır.Bu sayede activex gibi istenmeyen içerikler engellene bilir.Ayrıca paket tabanlı güvenlikduvarlarına yapan ack taramalarından proxyler etkilenmez.Bu tip bir paket geldiğinde hemen yk eder.Proxy tabanlı güvenlik duvarları güvenlik dışında performans amaçlıda kullanıla bilir.Daha önce girilen web sayfalarını chache belleğe alır böylece aynı istek karşısında yeniden ilgili sunucuya bağlanmak zorunda kalmaz.

   
   

   Bu 3 güvenlik duvarlarının ortak kullanıldığı ağlar olduğu gibi 2 yada 3 özelliği bünyesinde barındıran hibrit güvenlik duvarlarıda vardır.Genellikle http, ftp gibi protokoller ve güvenliğin önemli olduğu durumlar için proxy diğer protokoller ve yoğun ağlar için dinamik  yada geleneksel paket filtrelemede kullanılır.

   
   

   ------------------------

   
   

   Huh sırtım çok ağrıdı hea!!bir kaç yerden derleme yaptım güzel bir döküman oldu.Bununla ilgili döküman varsa elinizde bu konuya yazınız..
   
   Alıntı yap
2. 09/Tem/08 23:40 Kısayol Şikayet Özel Mesaj
   renegadealien
   
   
   

   Kayıt Tarihi: 23/Mart/2003
   

   Teşekkürler hocam :)

   ---

   10.05.2013 tarihli google arama sonucu : Aradığınız - "herşeyin hayırlısı rampanın bayırlısı" - ile ilgili hiçbir arama sonucu mevcut değil. Kendi özlü sözümdür, kaynak belirterek kullanınız.
   Alıntı yap
3. 09/Tem/08 23:42 Kısayol Şikayet Özel Mesaj
   inside
   anonim6918524
   
   Banlanmış Üye
   
   

   Kayıt Tarihi: 16/Temmuz/2005
   

   Beyaz Tahribat yazısını görünce bir an nostalji yaptım. Hayatım film şeridi gibi geçti :P

   ---

   λ
   Alıntı yap
4. 09/Tem/08 23:42 Kısayol Şikayet Özel Mesaj
   literatur
   
   

   Kayıt Tarihi: 20/Nisan/2008
   

   Valla projelerini çok seviyorum,umarım bu beyaz tahribat biraz uzun sürer.Çok faydalı olacaktır ben ve benim gibilere :)

   Alıntı yap
5. 09/Tem/08 23:50 Kısayol Şikayet Özel Mesaj
   ErK
   
   

   Kayıt Tarihi: 16/Haziran/2006
   

   hajı nezaman mesene heykliyecez:D

   ---

   hangi çılgın beni banlayacakmış şaşarım...
   Alıntı yap
6. 09/Tem/08 23:54 Kısayol Şikayet Özel Mesaj
   BLaCkH4cK
   
   

   Kayıt Tarihi: 06/Temmuz/2008
   

   Atak Tespit Sistemleri

   Atak Tesbit Sistemleri, diğer adı ile IDS'ler, güvenlik uzmanının araçları içindeki en önemli bileşen haline gelmektedir. Buna rağmen, bir çok güvenlik uzmanı hala IDS'lerin ne olduğu, ne iş yaptıkları, nasıl kullanıldıkları ya da neden ihtiyacımız olduğu hakkında bilgi sahibi değildir. Bu makalede, IDS'lerin ne olduğu, fonksiyonlarının neler olduğu ve farklı IDS çalıştırma metotlarını da içerecek şekilde, IDS'lerin tipleri ve IDS'ler ile ilgili bir ön bilgi bulabileceksiniz.
   
   IDS Genel
   
   Özetlemek gerekirse, IDS'ler, isimlerinden de anlaşılacağı gibi; muhtemel atakları tesbit eden araçlardır. Daha da açmak gerekirse, IDS araçları, bilgisayar saldırılarını ve/veya suiistimallerini tesbit etmek ve tesbit üzerine doğru kişiyi ikaz etmek amaçlı sistemlerdir. IDS yüklü bir network, bir evdeki hırsız alarmı sistemi ile aynı amaca sahiptir. Birçok değişik metot ile, her denetleme sonucunda saldırgan/hırsız tesbit edilirse durumu bildiren değişik tipte ikazlar yapılır. Bununla birlikte IDS sistemleri, network'den giden ve network'e gelen bilgilerin regule edilmesi amacıyla firewall sistemleri ile birlikte kurulmuş olabilir, iki sistemin görevi aynı olarak algılanmamalıdır. Bir önceki örnekten yola çıkılırsa, firewall, evin önünde durmakta olan güvenlik görevlisine benzetilebilir. IDS araçları network'ün saldırı altında ya da network'e sızma olduğunu tesbit edip etmediğine bakmadan Firewall araçları atakları engellemeye teşebbüs edecektir. IDS araçları bu sebeple güvenlik sistemini tamamlayan önemli parçalardan biridir. Güvenliği tamamen garanti etmezler, ancak güvenlik politikaları, zayıflık tesbitleri, veri şifreleme, kullanıcı yetkilendirmeleri ve firewall'lar ile birlikte kullanıldıklarında, yüksek network emniyetini sağlayabilirler.
   
   IDS'ler 3 ilgili güvenlik fonksiyonu sunmaktadır: izleme, tesbit ve kurum içi ya da dışı yetkisiz ataklara cevap. Eğer bir durum, alarm olarak tesbit edilmiş ise, IDS'ler kati olarak tanımlanmış durumlar için politikalar kullanırlar. Başka bir ifade ile, eğer olağandışı bir durumun güvenlik hadisesi oluşturduğu düşünülüyorsa ve bu olay tesbit edilmişse ikaz verilecektir. Bazı IDS sistemleri dışa alarm gönderim özelliğine de sahiptir, bundan dolayı IDS'in yöneticisi bir form, email ya da SNMP trap aracılığı ile bir muhtemel güvenlik hadisesinin raporunu/ikazını alacaktır. Bir çok IDS sistemi sadece ilgili ikaz vermek üzere o olağan dışı güvenlik hadisesini tanımakla kalmaz, ayrıca duruma otomatik olarak cevap verir. Bazı cevaplar kullanıcıyı log-off yapmayı, kullanıcı hesabını kapatmayı ve script'leri kullanım dışı bırakmayı içerebilir.
   
   Neden IDS'e İhtiyaç Duyarız?
   
   Networkler üzerinde gerçekleşen güvenlik hadiselerinin çoğu (Bir çok tahmine göre %85 e kadar) network'ün içinden gelmektedir. Bu tip ataklar yetkili kullanıcılardan kaynaklanıyor olabilir ki bu kullanıcılarda hayal kırıklığına uğramış şirket personeli olabilmektedir. Dışarıdan gelen notlarda genelde bir DoS saldırısı ya da network altyapısını zorlama raporları görünmektedir. IDS sistemleri sadece proaktif anlamda tesbit ve içerden ya da dışarıdan gelen tehlikelere karşı verilen cevapları barındırır. IDS'ler, “ bir network firewall sisteminin mantıksal tamamlayıcısı” anlamında güvenlik altyapısının önemli ve gerekli elemanlarıdır. Basit bir ifade ile, IDS araçları networklerin tamamen denetimine ve, durumlar karşısında güvenlik hadisesinin kendisi ile durumun kaynağına kadar uzanan bir açıklama getirecek şekilde bilgilendirme sağlayan hareketlerin yapılmasına olanak tanıyan araçlardır.
   
   Araştırmalar göstermektedir ki neredeyse tüm büyük firmalar ve orta ölçekli kuruluşlar IDS sistemlerinden herhangi birini sistemlerine kurmaktadır. Şubat 2000'de Amazon.com ve E-bay gibi on-line satış ve e-ticaret sitelerine ( ve diğerlerine de) karşı yapılan DoS saldırıları etkili bir IDS sitemi gereksinimi için örnek teşkil etmiştir. Bununla birlikte, çok açıktır ki güvenlik hadiselerinin yoğunlaşması Internet üzerinde bağımsız bir oluşumun, savunma hattı anlamında herhangi bir çeşit IDS sistemine sahip olmasını gerektirmektedir. Network saldırı ve sızmaları finansal, politik, askeri ya da kişisel sebepler tarafından motive edilebilir, bu sebeple hiçbir kurum dokunulmaz değildir. Gerçekçi olmak gerekirse, bir network'e sahip iseniz, potansiyel olarak hedefsiniz ve herhangi çeşit bir IDS sistemini kurmanız gerekmektedir.
   
   Atak Tesbiti Nedir?
   
   Daha önceden ifade edildiği gibi, atak tesbiti, network ya da bilgisayarların, giriş, aktivite veya dosya modifikasyonu gibi yetkisiz işlemler için izlenmesi sürecidir. IDS ayrıca, eğer sistem DoS gibi saldırılar tarafından hedef haline gelmiş ise, tesbit işlemi vasıtası ile network trafiğini izlemek içinde kullanılabilir. Atak tesbitinin 2 temel tipi bulunmaktadır: host-tabanlı ve network-tabanlı. Her biri verilerin güvenliği ve izlenmesi ile ilgili farklı yaklaşımlar sunar ve her ikisinin de avantaj ve dezavantajları mevcuttur. Kısaca, network tabanlı IDS'ler incelenmiş dataları bilgisayarlar arasında değiştirirken, host-tabanlı IDS'ler verileri ayrı bir bilgisayarda inceler, tutar ve host şeklinde sunar.
   
   Host-Tabanlı IDS (HIDS)
   
   Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal olarak veri taşıyan hostlardan verileri toplar ve analiz ederler. Bu veriler gönderilecek bilgisayar için toplandığında, lokal olarak ve/veya ayrı bir analiz bilgisayarında analiz edilirler. Host-tabanlı programlara örnek olarak sistem üzerinde çalışan ve işletim sistemi ya da uygulamaların denetleme raporlarını toplayan yazılımlar verilebilir. Bu programlar sistemlere sızan ve suiistimal edenlerin tesbiti için oldukça kullanışlıdır.Kendi güvenli network sistemleri tarafında bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça yakın durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir aktivite girişiminde bulunursa, host-tabanlı sistemler genellikle en uygun olan veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak, host-tabanlı sistemler yetkisiz dosya modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise host-tabanlı sistemler oldukça hantaldır.Büyük networkler deki binlerce çeşit muhtemel bitiş noktasından, her ayrı makineden her ayrı bilgisayar için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir. Buna ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri toplamayı pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadığı için kullanılmaz hale gelecektir. Uygun host-tabanlı IDS sistem uygulamaları, Windows NT/2000 Güvenlik Durum Loglarını, RDMS denetleme kaynaklarını, Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarını kendi ham formlarında ya da Solaris'in BSM'lerinde olduğu gibi kendi güvenli formlarında tutarlar; RealSecure, ITA, Squire, ve Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde az bulunmaktadır.
   
   Network-Tabanlı IDS (NIDS)
   
   Özel networkler üzerinde gerçekleşen aktiviteleri izleme işlemine karşı, Network-tabanlı IDS sistemleri gerçek network dışına gidip gelen veri paketlerini analiz etmektedir. Bu paketler incelenir ve bazı zamanlarda, iyi ya da kötü niyetli olarak tiplerinin belirlenmesi amacı ile karşılaştırılırlar.
   
   Çünkü IDS'ler bir tek host'tan ziyade tüm network'ü izlemekle sorumludur, Network-tabanlı IDS sistemleri, host-tabanlı IDS'lere göre daha fazla paylaştırılmıştır. Yazılım, ya da bazı durumlarda cihaz olarak, network'e bağı bir yada birkaç sistem içinde konumlanır ve, network paketleri gibi verileri analiz etmek için kullanılır.Bilgisayar tarafında bulunan orijinal bilgileri analiz etmek yerine, network-tabanlı IDS sistemleri, network dışına gidip gelen verileri TCP/IP ya da diğer protokollerden çekmek için paket dinleme ( sniffing) benzeri bir teknik kullanırlar. Bilgisayarlar arası bu tip bir gözetim bağlantısı, network tabanlı IDS sistemlerinin güvenilir dış networklerden gelebilecek giriş isteklerinin denetlenmesinde başarılı olmasını sağlamaktadır. Genel anlamda network-tabanlı sistemler aşağıda belirtilen aktiviteleri tesbit etmekte en iyi yöntemdir:
   
   Yetkilendirilmemiş Yabancı Girişler: Yetkilendirilmemiş bir kullanıcı başarılı olarak log-in olur ya da buna teşebbüs ederse, bunları izlemenin en iyi yöntemi host_tabanlı IDS'lerdir. Ancak, yetkilendirilmemiş kullanıcıyı log-in olmadan önce tesbit etmek için network-tabanlı IDS'ler en iyi yoldur.
   
   Bandwidth çalınması/servisin engellenmesi: Bu ataklar network dışından gelen ve network kaynaklarını suiistimal etmek ya da aşırı yüklemek amacı ile yapılır. Bu ataklar paketler vasıtası ile taşındığı/başlatıldığı için, ataklar hakkında haberdar olmanın en iyi yolu network-tabanlı IDS'lerdir.
   
   HIDS ve NIDS Kombine Kullanımı
   
   Belirli olarak birbirinden ayrılmış 2 tip IDS sistemi bulunmakla birlikte, biri diğerini tamamlamaktadır.Host-tabanlı network mimarilerine temsilci ( ajan)-tabanlı IDS'ler denir ve bunun anlamı ise; yazılımın temsilcisi her hostta konumlanır ve sistem tarafından yönetilir demektir. Buna ilaveten, çok etkili host-tabanlı IDS sistemleri, güvenlik yönetiminin esnekliğini sağlamak ve için gerçek zamanlı ve planlı olarak sistem denetleme izlerini toplamak ve izlemek yolu ile CPU yararlandırılmasını ve network yoğunluğunu dağıtma kapasitesine sahiptirler. Tam ve doğru IDS sistemlerinde bu, tek bir merkezden yönetim, sistemlerin host-tabanlı kısımlarında benzer davranışlı alarm ve bilgilendirmelerin filtrelenmesi gibi avantajlar sağlamaktadır. Bunun yapılması, her iki tipte IDS kullanarak kötüye kullanımların idaresi ve karşılık verilmesini sağlamaktadır. Bu demektir ki, hali hazırda network sistemlerinde bulunan güvenlik stratejilerini arttırmak amacıyla IDS sistemleri geliştiren organizasyonlar, asıl olarak IDS'lerin host-tabanlı olması gerekliliğine odaklanmışlardır. Buna rağmen, network IDS'ler kendilerine has meziyetlere sahiptir ve kesinlikle gerçek anlamda bir IDS çözümü ile birlikte kullanılmalıdırlar. Tarihsel olarak veri haberleşmesi teknolojisi ile birlikte uygulama yapmak için gelişim yetenekleri yoktur. Genellikle NIDS'lerin çoğu, switch networklerde, 100 Mbps üstünde hıza sahip hızlı networklerde ve şifrelenmiş networklerde kötü performans göstermektedir. Ayrıca, bazı yerlerde güvenlik hadiselerinin % 80-85'i organizasyon içinden kaynaklanmaktadır. Bu nedenle, IDS sistemleri baskın olarak host-tabanlı bileşenlere itimat etmelidir, fakat savunmayı sağlamak için daima NIDS kullanılmalıdır.
   
   Kısaca bilgisayarların kötü niyetli kullanımının tamamının izlenmesi, cevaplanması ve tesbitinin temeli olacak sağlam ve güvenilir bir güvenlik ortamı yaratmak için, hem network-tabanlı hem de host-tabalı IDS sistemlerinin ikisine birden ihtiyaç vardır.
   
   IDS Teknikleri
   
   Şu ana kadar temel 2 tip IDS sistemini ve neden birlikte kullanılmaları gerektiğini inceledik, işlerini yaparken nasıl çalıştıklarını da araştırabiliriz. Saldırganların tesbiti için, her 2 tip IDS' de de 4 temel tesbit tekniği mevcuttur: anormallik tesbiti, kötüye kullanım tesbiti (imza tesbiti), hedef izlenmesi ve gizlilik araştırması.
   
   Anormallik Tesbiti
   
   Anormal davranış paternlerinin ortaya çıkarılması için dizayn edilmiş IDS sistemleri, normal kullanım paternlerinin ana hatları ve normaline göre çok geniş sapmalar yapan ve muhtemel saldırı olan her şeyi tanımlamaktadır. Anormalliklerin çok çeşitlilik gösterebileceği hesaba katılmalıdır, fakat normal olarak, herhangi bir hadise, frekansın istatistik normları aşacak şekillerden elde edilen 2 standart sapmadan büyük ya da küçük olması durumunda oluşur. Buna ören vermek gerekirse, eğer kullanıcı, normal olarak günde 1 2 kez yapması gerekirken günde 20 kez makineye log on/log off oluyorsa. Ayrıca, eğer bilgisayar gece saat 02:00 da kullanılmışsa normal olarak iş saatleri dışında kimseye giriş izni verilmemişse bu durum kuşkulu bir durumun artışı anlamına gelmektedir. Başka bir seviyede, anormallik tesbiti, günlük program uygulamaları profilleri gibi kullanıcı paternlerini araştırabilir. Eğer grafik bölümündeki kullanıcı aniden muhasebe programına giriş yapar ya da kod derlerse, sistem, yöneticisini anında ikaz edebilir.
   
   Kötüye Kullanım Yada İmza Tesbiti
   
   Çoğunlukla imza tesbiti olarak isimlendirilen bu metot, sonradan oluşabilecek benzer atakları önlemek ve daha önceden bildirmek için özel olarak bilinen yetkisiz davranışlara ait paternleri kullanır. Bu özel paternlere imza adı verilmektedir. Host-tabanlı IDS'ler için imza örneği olarak "3 yanlış login" verilebilir. Network-tabanlı IDS'ler için imza ise network paketlerinin bir kısmı ile eşleşen basit bir patern olabilir. Örnek olarak, paket içerik imzaları ve/veya header içerik imzaları, uygunsuz FTP girişimleri gibi yetkisiz aksiyonları bildirebilir. İmza olayı gerçek yetkisiz erişim isteklerini belirtmez (örneğin, bu zararsız bir hata olabilir) fakat her ikazı ciddiye almak iyi bir fikirdir.İmzanın sağlamlığı ve ciddiliğine bağlı olarak, tetiklemeler, bazı alarmlar, cevaplar ya da bilgilendirmeler doğru otoriteye gönderilmelidir.
   
   Hedef İzleme
   
   Bu sistemler aktif olarak anormallik ya da kötüye kullanımları aramaz, bunun yerine açıkça belirtilmiş ya da modifiye edilmiş dosyalara bakar. Bu, düzeltici işlemleri yapabilmek bakımından yetkisiz bir girişim sonrasında durumu ortaya çıkarmak için dizayn edilmiş oldukça düzeltici bir kontroldür. Dosyaların gizlice editlenmesini kontrol için tek yol otomatik bir kriptografi hash sistemi programlamak ve bunu belirli aralıklarla yenisi ile karşılaştırmaktır. Bu tip bir sistemin uygulanması kolaydır çünkü yönetici tarafından sabit izleme gerektirmez. Güvenilirlik Hash Kontrolü dilediğiniz aralıklarla tüm dosyalara yada belirteceğiniz görevler/kritik sistem dosyaları üzerinde yapılmak için programlanabilir.
   
   Gizlilik Araştırması
   
   Bu teknik, görevini uzun bir periyoda yayan saldırganları tesbit etmek için geliştirilmiştir. Örneğin saldırgan sistem açıklarını ve açık portları 2 aylık bir periyotta tarayacaktır ve 2 ay daha bekledikten sonra gerçek saldırısını yapacaktır. Gizlilik Araştırması tüm sistemden geniş çapta veri toplar ve uzun periyotlarla gerçekleştirilecek saldırı metotları için kontrol eder. Geniş alan örnekleri alır ve ilişkili herhangi bir atak keşfetmeye çalışır.Sonucunda bu metot, şüpheli aktiviteleri ortaya çıkarmak için anormallik tesbiti ve imza tesbiti ile birlikte kombine çalışır.
   
   Sonuç
   
   Güvenlik hadiseleri gün geçtikçe artmaktadır. IDS araçları her geçen gün daha önemli hale gelmektedir. Cephanelik etrafında dolaşırlar, firewalllar gibi diğer güvenlik araçları ile birlikte çalışırlar ve tüm network aktivitelerinin tam anlamı ile yönetimine olanak tanırlar. Bu bilgi akışı, doğası ve kaynaklarından ötürü network suiistimallerinin tesbitine yardımcı olabilir. Beklendiği gibi, IDS araçlarının satışı artarak devam etmekte ve elde edilen gelirler 1 milyar Euro'ya ulaşmıştır. Bu IDS araçları, normal akış karşısındaki sızmaların tesbitine yardımcı olmak için bir çok farklı teknikte kullanılmaktadır. Sistem anormallik tesbitlerini, suiistimal tesbitlerini, hedef izlemesini yada gizlilik araştırmasını kullanır, genellikle 1 yada 2 kategoride değerlendirilir: network-tabanlı ve host-tabanlı. Her kategori, her bağımsız hedef ortamına karşı ölçülmüş dayanıklılık ve zayıflıklara sahiptir. İdeal olarak, en iyi IDS aracı, bir yönetim paneli altında her iki kategorinin kombine kullanılması yaklaşımıdır. Bu yolla, kullanıcı ayrıntılı bir alan kullanır ve tehlikelere karşı mümkün olduğunca güvenli olduğuna emin olur. Seçim ne olursa olsun, host-tabanlı ya da network-tabanlı olsun, veyahut da ikisinin birlikte kullanımı olsun, çok açıktır ki güvenlik yönetiminde IDS araçları kullanmak çok önemli ve gereklidir.
   
   Kaynak:SecurityFOCUS Türkçeleştirme:SecurityTURK

   Alıntı yap
7. 10/Tem/08 00:03 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   FireX bunu yazdı:
   -----------------------------

   Beyaz Tahribat yazısını görünce bir an nostalji yaptım. Hayatım film şeridi gibi geçti :P

   
   -----------------------------

   :D ahahahah

   & cyb3rt1m3 ben ara ara ekliyicem destekte bulunmak isteyenler olursa tabi ki ekleye bilir

   & erk beyaz tahribatın konusu bu mesene hacklemek dil , msn nasıl çalışır, çalışma prensipleri vs.. ver program msn böyle hacklenir değil yani

   Alıntı yap
8. 10/Tem/08 00:08 Kısayol Şikayet Özel Mesaj
   Fikret
   
   

   Kayıt Tarihi: 01/Ekim/2007
   

   te$ekkurler zumsuk. beyaz tahribat olayına katkıda bulunabiliyo muyuz ? al beni de yanına güzel dökümanlar paylaşim :B

   ---

   screw you guys! i"m goin" hoooome!
   Alıntı yap
9. 10/Tem/08 00:14 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   f1kr3t bunu yazdı:
   -----------------------------

   te$ekkurler zumsuk. beyaz tahribat olayına katkıda bulunabiliyo muyuz ? al beni de yanına güzel dökümanlar paylaşim :B

   
   -----------------------------

   hoca beyaz tahribat gnu lisanslıdır :D al kullan tabe bulanacaksın..Olm ben hacker yada programcı falan değilim fakat öğrenmek için uğraşıyorum bulduum dökümanları paylaşıyorum..Sende katkıda buluna bilirsin.

   Tek dikkat edeceğin şey nasıl çalışır, çalışma prensipleri, çalışma yöntemleri falan olması lazım.Yani sistemi öğrenicez abi.

   Alıntı yap
10. 10/Tem/08 00:17 Kısayol Şikayet Özel Mesaj
    nakamura2
    
    

    Kayıt Tarihi: 26/Ağustos/2005
    

    Yaşasın beyaz tahribat:| eline sağlık zumsuk

    ---

    Memento Mori...Blossom Geri Döndün:C Mitozla çoğalan milletleri sevmiyorum:|
    Alıntı yap
11. 10/Tem/08 00:37 Kısayol Şikayet Özel Mesaj
    RitmFarbRacourci
    
    

    Kayıt Tarihi: 14/Mart/2008
    

    bunun gibi bi kactane daha renkli tahribat yazisi okumustum harika oluyor.. tskler zumsuk.. not dusuyum  sakin kafayla sonra okuyayim...

    ---

    I'şıkY'ılı;^^`) Zk't^^` RnSySyTk.Ödl.SpRtÇzBşBkYd Kryptia.agogE Sa'd-l'Suûd az.ç'k 'lmyn'Dşn Pnct'tnAnNttn Blgi,YpBlgi 'Ct'nDrm.CmdyDrm.MdrnDrm hRşYdşR ClptcPth'Strsm M'nPhs' Ld,X/Y YrYnZmnGrçklk,AlgBzklğ KrzFrst'tr Tiytr' Pugchv,Jtrn,İmmlmn,FllngLef,Pik' SuprmcySprrty CoBehTh elFnmno:NzrioRonldo AdnKy TkSs,TkHrf(?) .RtNsTk.KvMp.Mk.TrmDyn ScklkNmRzgr ŞkHcBy ccp.kky Snrlr'Çz SnaSnLzmsn 'NsnKsknçtr BgDppr.MagllnCl'ds.S'thCro's Ch'kW'ng CreazioneDiAdamo^^`, Arctrs.Spic' ArcScnd,YySnye TrbProp,TrbJet,TrbFan ~3.10^5km/sn~343m/sn ~900-1240m/snMacH RamJt,ScRamJt Przdi^^' Tbu.XL Prsek MAtv^^` mLAT G'dWllHnting(f). 3id't^^` TareZmenPr ParaMotor TrflrVArsİlşklr (-)+.(/)*,~ ZminŞkil . ..Bu imza @SubZero tarafindan degistirilmistir. "Bu kadar uzun karmakarisik bir imza yapma diye uyardim ama heeheeeey(^^D)_hey kim söylüyor, kim dinliyor." Imzanizi SubZero'ya bilgi vermeden degistirmeyiniz. Tesekkurler...
    Alıntı yap

Cevapla