Okullar, kafeler, oteller gibi public internet erişimi sağlanan mekanlardan yapacağınız internet bağlantısının ne derece güvenli olduğunu bilemeyeceğiniz için, bu bağlantı üzerinden gönderip aldığınız veriyi herhangi bir “dinleme” olayına karşı şifrelemek isteyebilirsiniz.

Ve bu isteğinizde haklı da olabilirsiniz, zira aynı ağ üzerinde bulunan herhangi biri tüm veri trafiğini dinliyor olabilir ve gönderdiğiniz tüm plaintext datayı okuyup şifreleriniz vs. gibi özel bilgileriniz ele geçirebilir. Böyle durumlarda veri trafiğinizi encrypt etmek için ya vpn bağlantısı sağlamalısınız ya da ssh tunneling yapmalısınız. Her iki şekilde de veri şifreleneceği için olası bir sniffing faliyetinden etkilenmezsiniz.

İşte bu nedenle bu yazıda, SSH kullanarak tünel oluşturma ve trafiği bu tünel içerisinden şifreli olarak iletmenin nasıl yapıldığına değineceğim.

Yazinin devami icin tiklayin.

Geçenlerde, bir networkte meydana gelen enteresan durumları analiz etmek üzere networkü sniff etmem gerekti. Zira networkün internete çıkan ip adresi çeşitli black listlere girmişti ve içeriden spam yapıldığı düşünülüyordu. Bu nedenle network trafiğini analiz ederek, böyle bir durum olup olmadığını kontrol etmek gerekiyordu. Bildiğiniz gibi wireshark isimli güçlü sniffer ile detaylı analiz yapmak mümkün.

Sonuç olarak ben de analiz için wireshark kullandım; bu yazıyla da, sniffer bilgisayarın networkte konuşlandırılması, trafiğin dinlenmesi ve bir spambot’ların sinsice yaptığı spam faliyetlerinin kolayca nasıl tespit edilebileceği ve Cisco Asa 5505 serisi security appliance üzerinde port mirroring yaparak işlerin nasıl kolaylaştırdığını paylaşmak istiyorum.

Yazinin devami icin tiklayin.

Bildiğiniz gibi TTNet 15 Nisanda, spam ile mücadele adına, seçilen pilot şehirlerdeki dinamik IP adresine sahip ADSL abonelerinin 25. (smtp) porta erişimlerini kapatma uygulamasına başlamıştı.

İnsanların gereksiz tepkileri üzerine ben de, uygulamanın ne kadar yerinde olduğunu belirtme ihtiyacı duymuş ve buradan erişebileceğiniz bir yazı yazmıştım.

Artık, pilot uygulama  sonlandı ve çalışmanın sonuçları bir raporla birlikte duyuruldu. İlgili duyuruya buradan erişebilirsiniz.  Raporda belirtilen sonuç verilerine göre ise, çalışma ciddi bir başarıya sahip olmuş durumda. 10 ili kapsayan bu pilot uygulama sonucunda, aylık 6 milyon spam e-postanın önüne geçilmiş bulunuyor. Sadece 10 il’de rakamın günlük 200bin, aylık 6 milyon olması uygulamanın ne kadar yerinde olduğunu çok net ortaya koyuyor. Üstelik çalışma tüm Türkiye’de uygulandığı zaman ortaya çıkacak rakamlar üzerine söyleyecek pek bir şey kalmıyor.

Yayınlanan rapora http://www.ttnet.com.tr/i/assets/docs/spam_pilot_calisma_sunumu_27mayis.pdf adresinden ulaşabilirsiniz. (pdf)

Ayrıca faydanın büyüklüğünün daha iyi görülmesi için bende,  raporda belirtilen spamcop verilerini paylaşmak istiyorum.

Yazinin devami icin tiklayin.

Bir önceki yazımda, qmail sunucularda submission portunun nasıl devreye alınabileceği ve qmail’e bir patch geçerek bu port üzerinde kimlik denetiminin nasıl zorunlu hale getirilebileceğini içeren bir yazı yayınlamıştım. Bu yazıda ise, aynı işin spamdyke ile sunucuya herhangi bir patch geçmeye gerek kalmaksızın nasıl yapılabileceğini paylaşmak istiyorum.

Qmail posta sunucunuzda, submission (MSA – Message Submission Agent) portunu patchlerle uğraşmadan devreye almak istiyorsanız, aşağıdaki yönergeleri izleyerek yapılandırmayı tamamlayabilirsiniz.

Yazinin devami icin tiklayin.

Bildiğiniz gibi bir müddet önce TTNET bazı illerden başlamak üzere dinamik ip  sahibi ADSL abonelerinin 25. portlarını kapayacağını ve bu kullanıcıların mail gönderimi için 587. (submission) portunu kullanmaları gerekeceğini duyurmuştu. Bu yerinde uygulama için insanlardan gelen anlaşılmaz eleştriler nedeni ile de buradan erişebileceğiniz naçizane bir yazı hazırlamıştım. Eleştriler devam ede dursun, TTNet uygulamayı devreye almaya başladı ve çeşitli mecralarda smtp portunun bloklandığını duyar olduk.

Sonuç olarak, bir posta sunucusu yönetiyor ve adsl üzerinde posta hizmeti alan kullanıcılarınız varsa, kullanıcılarınıza submission portu üzerinden de hizmet vermeniz gerekir. Bu yazıda, üzerinde qmail ve vpopmail çalışan bir FreeBSD posta sunucusunda, submission portunun nasıl devreye alınabileceğini anlatan kurulum notlarını paylaşmak istiyorum.

Yazinin devami icin tiklayin.

19 Mayıs 2009’da IIS 5.0 ve 6.0’a yönelik bir güvenlik zafiyeti yayınlanmıştı. Buna göre, şifre ile korunan klasorlerinize, bu açıktan yararlanılarak şifresiz giriş yapılıp, listeleme, upload ve silme gibi işlemler yapılabiliyor. Aşağıdaki adresten zafiyetin nasıl kullanılabildiğini gösteren bir video’ya ulaşabilirsiniz.

http://www.securitytube.net/IIS-WebDav-Vulnerability-in-Action-video.aspx

Her ne kadar IIS 6.0’da WebDAV default olarak kapalı gelse de, Sharepoint vs. gibi uygulamalar için etkinleştirilmesi gereken bir özellik. Henüz bir patch de yayınlanmadığı için konuya dikkat edilmesi gerekebilir.

Zafiyetten etkilenmemek için, WebDAV’ın disable edilmesini ve ya (WebDAV’ı disable edemiyorsanız)  http headerinda,  “Translate: f” ibaresi içeren istekleri engellemeniz  öneriliyor.

IIS sunucularınızın açıktan etkilenip etkilenmediğini aşağıdaki nmap scripti ile tespit edebilirsiniz.

http://nmap.org/nsedoc/scripts/http-iis-webdav-vuln.html

Konuyla ilgili linkler:

http://www.kb.cert.org/vuls/id/787932
http://www.microsoft.com/technet/security/advisory/971492.mspx
http://blog.lifeoverip.net/2009/05/20/microsoft-iis6-webdav-remote-auth-bypass-zaafiyeti/

Bildiğiniz gibi Linux tabanlı bir çok sistemde, ssh üzerinden direk olarak root kullanıcısı ile login olma yetkisi açık şekilde geliyor. Bu durum, herhangi bir firewall arkasında olmayıp da ssh portu (22) dışarıya açık olan sunucular için ciddi bir risktir. Zira, root passwordunuzu öğrenmeyi başarmış herkes, sisteminize root yetkileri ile ssh üzerinden login olabilir. Bu nedenle, böyle durumlar için yapmanız gereken ilk iş, sshd’nin root kullanıcısı için direk erişim yetkisi vermememesini sağlamaktır. Bu işi, sshd’nin yapılandırma dosyasında yapılacak küçük bir değişiklikle gerçekleştirebilirsiniz.

İşte nasıl yapıldığı:

Yazinin devami icin tiklayin.

ELS (Easy Linux Security), Linux sunucularda bazı güvenlik ve optimizasyon ayarlarını otomatik olarak yapmaya olanak sağlayan güzel bir shell scriptidir.  Bu script, normalde manuel olarak yapabileceğiniz bir çok security ve optimization ayarını, tek bir komut ile sizin yerinize kolayca gerçekleştirebiliyor.

Kurulumu ve kullanımı bir hayli kolay olan ELS’yi aşağıdaki Linux dağıtımlarında kullanabiliyorsunuz.

• Red Hat Linux
• Red Hat Enterprise Linux
• Fedora Core
• CentOS
• Debian

Scriptin yaptığı işlemlerin bazıları şu şekilde:

Yazinin devami icin tiklayin.