2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
-
Upload
burak-oguz -
Category
Technology
-
view
1.276 -
download
1
description
Transcript of 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Linux’ta Güvenlik UygulamalarıKocaeli Üniversitesi
Linux Günü
Burak OğuzEMO Ankara Şubesi
FindikProject ve MyDLP Geliştiricisi
14 Mayıs 2010
Giriş
Linux tabanlı ağlar genelde Üniversiteler ve, Küçük ve orta ölçekli işletmelerde kullanılmaktadır Giderek büyük ölçekli kullanımda da artış
bulunmaktadır.
İçerik
Linux iş istasyonlarının ve sunucularının güvenliği Kaynak kısıtlamaları Linux ağlarında ateş duvarı Denetleme araçları IDS – Snort OpenSSH Fındık OpenDLP ve MyDLP
İş istasyonlarının güvenliği en önemli noktalardan birisidir. Önemli bilgiler genelde iş istasyonlarında saklanır
Çoğu güvenlik problemi ağın ve iş istasyonlarının doğru ayarlanması ile önlenebilir.
Mevcut Internet kaynakları bireyler, şirketler ve organizasyonlar için önem taşısada, yaygın depolama ve bilginin transferi önemli güvenlik ihlallerine sebep verebilir.
Bilişim sistemlerinde güvenliği sağlamanın garantili bir yolu yoktur. Bu iş çatıdaki delikleri kapamaya benzer.
Güvenlik sürekli bir süreçtir ve güvenlik açıkları sürekli takip edilmeli zamanında güncellemeler ve düzeltmeler yapılarak eksiklikler kapatılmalıdır.
Güvenlik Nedir?
CIA kuralı Gizlilik (Confidentiality) : İş istasyonlarındaki
ya da sunuculardaki bilginin doğru bir şekilde saklanabilmesi Yetkisiz erişimin engellenmesi Yetki sınırlarının çizilmesi Yetkisiz kullanıcıların bilgileri ağ üzerinden
iletmesinin engellenmesi
Bütünlük (Integrity) : İş istasyonlarında ya da sunucularda saklanan bilginin bilinçli ya da bilinçsiz bir şekilde değiştirilmesinin engellenmesi
Uygunluk (Availability) : Yetkili kullanıcılarının kendilerine ayrılan sistem kaynaklarına sürekli ve devamlı bir şekilde erişebilmeleri Erişim yetkilerinin değişmesinin engellenmesi Aşırı yüklemelerin önüne geçilmesi Servislere erişimin engellenmesi
Güvenlik Politikası
Hassas, gizli ya da değerli bilgiyi nasıl sınıflandırıyorsunuz?
Sisteminiz gizli ya da hassas bilgi bulunduyor mu?
Kime karşı koruma sağlıyorsunuz? Kullanıcıların gerçekten uzaktan erişime
ihtiyaçları var mı? Parolalarınız ya da şifreleme algoritmalarınız
yeterli mi?
BIOS
Floppy, CDROM ve USB gibi taşınabilir cihazlardan sistem başlatma önceliğini kaldırın.
BIOSa mutlaka şifre koyun
Parolalar
Doğru parola politikasına sahip olduğunuzdan emin olun. /etc/login.def içerisinden gerekli parametreleri
atayın. PASS_MIN_LEN 5 -> 8 PASS_MAX_DAY 99999 -> 63
apg – Otomatik parola oluşturucu John the Ripper – parola kırıcı
Root Kullanıcı Hesabı
root kullanıcısı Linux sistemlerde güvenlik engellemelerine tabi olmadan her istediğini yapabilir.
Sunucunuza root olarak erişmeyin! root hesabı için mutlaka oturum zaman aşımı
değeri ekleyin. /etc/profile – Saniye cinsinden
TMOUT 7200
Uçbirim program erişimlerini engelleyin
Kullanıcılar için shutdown, halt, reboot gibi komutları yasaklayın. rm -f /etc/security/console.apps/<program>
Ağ güvenliğine giriş
Ateş duvaları DMZ Iptables Denetleme araçları
Chkrootkit Nessus
Ağ güvenliğine giriş
IDS – Saldırı tespit sistemleri Tripwire Snort
Kayıt tutma Logcheck
OpenSSH Kamu anahtarı yetkilendirmesi SSH tünelleme Port yönlendirme
Ağ güvenliğine giriş
İçerik filtreleri Fındık Project
Bilgi sızıntısı engelleme OpenDLP MyDLP
Ağ güvenliği
Ağ geçidinizin güvenliğini sağlamak her zaman ağa dönüşmüş bilgi altyapısında mutlak bir gereksinimdir.
Ağın doğru ayarlanması ile birçok problem engellenebilir
Ateş duvarı
Paket filtreleme Veri ağa kaynağı, hedefi ve protokolü belirlenmiş paketler
halinde giriş çıkış yapar. Sadece yetkilendirilmiş ağ trafiğinin ağa giriş çıkış
yapabilmesidir.
Uygulama vekil sunucuları Uygulama vekil sunucuları ateş duvarları ile kullanılan iki
ağ arasında uygulamaların haberleşmesini sağlar Uygulama vekil sunucuları üzerinde gelişmiş filtreleme ve
erişim yetkilendirme yapılabilir.
Niye Ateş Duvarı?
Paket filtreleri güvenliği arttırır. Yabancıları ağınızdan uzak tutar. DoS ve ping flood gibi saldırıların
engellenmesini sağlar. Bilgi akışını düzenler. İç ağ kaynak kullanıcıların belirli protokol ve
sitelere erğişimini engeller.
Ateş duvarı mimarileri
Basit sınır ateş duvarı
Ateş duvarı mimarileri
Değersiz makine
Ateş duvarı mimarileri
Demilitarized Zone – DMZ
Ateş duvarı mimarileri
İkili ateş duvarı
Iptables
Iptables IPv4 ve IPv6 protokolleri üzerinde paket filtreleme yapabilen bir çekirdek seviyes ibir ateş duvarıdır.
Iptables, Linux çekirdeği seviyesinde paket filtreleme tabloları oluşturulmasını sağlar.
Birçok çeşitli zincir ve tablo bulunmaktadır.
Iptables
Kurallar içerisinde eylemleri belirleyebilirsiniz. Hedefler
ACCEPT – pakete izin ver DROP – paketi düşür REJECT – paketi reddet LOG – paketi kayıt altına al
Iptables
Tablolar filter
INPUT, FORWARD ve OUTPUT zincirleri nat – ağ adres değişimi
PREROUTING, OUTPUT ve POSTROUTING zincirleri
mangle – paket değiştirme – IP başlığı gibi PREROUTING, OUTPUT, INPUT, FORWARD ve
POSTROUTING zincirleri
Iptables Örnek bir iptables komutu. Bir adresten gelen
tüm trafiği engeller
iptables -I INPUT -i eth0 -s 192.168.0.2 -j DROP
Iptables
Bir adrese giden tüm trafiğin engellenmesi
iptables -I OUTPUT -o eth0 -p tcp -d www.msn.com –dport 80 -j REJECT
Iptables Bir ağ geçidi için örnek bir iptables zinciri
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j LOG
iptables -A FORWARD -o eth0 -m state –state \ NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Denetleme Araçları
Chkrootkit Ağ içerisindeki trojan, worm ve açıkları tarar. http://www.chkrootkit.org
Nessus Uzak güvenlik tarayıcısı Ağ güvenlik açıklarının taranmasında kullanılır. http://nessus.org
Nessus
Nessus %100 özelleştirilebilir, profesyonel seviye bir güvenlik tarayıcısıdır. Kendi güvenlik testlerinizi kod yazmaya gerek
kalmadan ekleyebilirsiniz. NASL diliyle kendi testlerinizi yazabilirsiniz. Güncel güvenlik zayıflıkları veritabanı Aynı anda sınırsız sayıda istemciyi test
edebilirsiniz. Akıllı servis tanıma
Nessus
Aynı istemci üzerinde aynı işi yapan birden fazla sunucuyu tarayabilirsiniz.
Raporlama SSL destekli protokoller üzerinde denetlmee
yapabilirsiniz. Ağınıza zarar vermeyecek güvenli taramalar
gerçekleştirebilirsiniz.
Nessus Nessus Plugins
Backdoors - CGI abuses - CISCO - Default Unix Accounts - Denial of Service - Finger abuses - Firewalls - FTP - Gain a shell remotely - Gain root remotely - Netware - NIS- Peer-To-Peer File Sharing - Port scanners - Remote file access - RPC- System Settings - SMTP problems - SNMP - Useless services - Windows - Windows : UserManagement
Kötü yanı artık şirket kullanımı ücretli hale geldi.
Denetleme Araçları
Ethereal Ağ trafiğinizi GUI veya uçbirim üzerinden canlı
dinleyebilirsiniz. Ağ üzerindeki veriyi yakalayıp saklayabilirsiniz.
Böylece ağınızdaki şüpheli aktiviteleri takip edebilirsiniz.
500’den fazla protokolü destekler Yakaladığınız ağ verisi üzerinde filtreleme
yapabilirsiniz.
Denetleme Araçları
NMap NMap, ağınızda bulunan bilgisayarları tarayarak
hangi portların açık olduğundan başlayarak protokol ve paket tipine göre taramalar yapabilir.
Periyodik NMap taramaları oldukça faydalıdır.
NMap
Belirtilen IP bloklarında 143 numaralı portu açık olan bilgisayarları tespit eder. nmap -Up 143 166.66.0.0/16 166.67.0.0/16
Warez.com C sınıfı IP bloğu üzerinde belirtilen portları tarar. nmap -fsp 21,22,23,25,80,110 warez.com/24
Ele geçirilmiş bilgisayarların tespiti nmap 192.168.0.* -p 80,8080,8088 -sV -vv
Saldırı Tespit Sistemleri
Saldırı tespit sistemleri, bütün önemli ağların önemli bir parçasıdır. Internet sürekli gelişen yapısının içerisinde yeni açıkların ve zayıflıkların bulunmasına neden olur. İşte saldırı tespit sistemleri izinsiz girişlerin bulunmasını ve saldırganın hareketlerinden dolayı hesap verilebilirliği arttırmayı amaçlar.
Saldırı tespit sistemleri
Tripwire Dosya bütünlük kontrol yazılımı Tripwire temel olarak verilen dosyanın sindirim
değerini saklar Dosya değiştirildiği zaman Tripwire kullanıcıyı
uyararak yeni dosya sindirim değerini kaydeder.
Saldırı tespit sistemleri
Snort Örüntü eşleme yöntemi ile tampon bellek aşırı
yükleme, gizli port taramaları, CGI saldırıları, SMB aramaları, NetBIOS sorguları, NMAP ve diğer port tarayıcıları gibi bilinen önemli arka kapılar ve sistem zayıflıkları için tanımlamalar ile saldırıları tespit eder.
Syslog, SMB “WinPopUp” mesajları veya dosyalar ile sistem yöneticisini uyarır.
Zayıflık için imza üretmek kolaydır. Genelde ağ üzerinde pasif olarak yerleştirilir.
Snort Yerleştirimi
Hublar ve switchler Ateş duvarı
Snort
Snort kurallarını sürekli güncel tutabilmek için Oinkmaster’ı kullanabilirsiniz. Oinkmaster, BSD lisansı ile dağıtılan bir Perl betiğidir.
Oinkmaster’ın kötü tarafı ise sizin yazdığınız kuralları silmesidir.
OpenSSH
OpenSSH, ağ seviyesi saldırılarını engellemek için ağ üzerinden şifreler dahil olmak üzere tüm verileri şifreli olarak gönderir.
OpenSSH sadece bir uzak uçbirim değildir. Kriptografik anahtarlar ile public anahar
yetkilendirmesi ssh-keygen ile private/public anahtar üretebilme Private anahtar izinlerinin kontrol edilmesi Public anahtarı $HOME/.ssh/authorized_keys dosyası
içerisinde saklanmalıdır.
OpenSSH
OpenSSH ile port yönlendirme yapılabilir.
ssh -N -f -L 20110:mailserver:110 username@mailserver
-N – uçbirim açma
-f – arka plana git
-L - yerel porttan uzak porta yönlendir
OpenSSH
Verinin, SSH üzerinden akıtılması da mümkündür. Yazdırma için
cat print.ps |ssh -l user remote.server lpr –Pprintername Herhangibir komut
Dosya yedekleme tar zc /home|ssh [email protected] tar zx
OpenSSH
Esas problem ateş duvarınız üzerinde engellediğiniz portlar dışında, SSH tünelleme ile yerel portlar üzerinden işlem gerçekleştirilebilmesi
İçerik Filtreleme
Fındık Project Modüler yapı ile yeni filtre ve protokol desteği
ekleyebilme Log4j tabanlı kayıt alma HTTP filtreleme Antivirüs, LDAP ve AD desteği SSL filtreleme desteği Web tabanlı yönetim Veritabanı destekli kural yönetimi
Bilgi Sızıntısı Engelleme
İstemci tabanlı OpenDLP
Ağ tabanlı MyDLP
Antivirus ve Antispam
Antivirus Kapalı kaynak olsa da Kaspersky ClamAV özellikle mail sunucularında ve
istemcilerde Antispam
Amavis ve SpamAssassin