1.
Linux’ta Güvenlik Uygulamaları Kocaeli Üniversitesi Linux Günü Burak Oğuz EMO Ankara Şubesi FindikProject ve MyDLP Geliştiricisi 14 Mayıs 2010

2.
Giriş <ul><li>Linux tabanlı ağlar genelde </li></ul><ul><ul><li>Üniversiteler ve, </li></ul></ul><ul><ul><li>Küçük ve orta ölçekli işletmelerde kullanılmaktadır </li></ul></ul><ul><ul><li>Giderek büyük ölçekli kullanımda da artış bulunmaktadır. </li></ul></ul>

3.
İçerik <ul><li>Linux iş istasyonlarının ve sunucularının güvenliği </li></ul><ul><li>Kaynak kısıtlamaları </li></ul><ul><li>Linux ağlarında ateş duvarı </li></ul><ul><li>Denetleme araçları </li></ul><ul><li>IDS – Snort </li></ul><ul><li>OpenSSH </li></ul><ul><li>Fındık </li></ul><ul><li>OpenDLP ve MyDLP </li></ul>

4.
<ul><li>İş istasyonlarının güvenliği en önemli noktalardan birisidir. Önemli bilgiler genelde iş istasyonlarında saklanır </li></ul><ul><li>Çoğu güvenlik problemi ağın ve iş istasyonlarının doğru ayarlanması ile önlenebilir. </li></ul><ul><li>Mevcut Internet kaynakları bireyler, şirketler ve organizasyonlar için önem taşısada, yaygın depolama ve bilginin transferi önemli güvenlik ihlallerine sebep verebilir. </li></ul>

5.
<ul><li>Bilişim sistemlerinde güvenliği sağlamanın garantili bir yolu yoktur. Bu iş çatıdaki delikleri kapamaya benzer. </li></ul><ul><li>Güvenlik sürekli bir süreçtir ve güvenlik açıkları sürekli takip edilmeli zamanında güncellemeler ve düzeltmeler yapılarak eksiklikler kapatılmalıdır. </li></ul>

6.
Güvenlik Nedir? <ul><li>CIA kuralı </li></ul><ul><li>Gizlilik (Confidentiality) : İş istasyonlarındaki ya da sunuculardaki bilginin doğru bir şekilde saklanabilmesi </li></ul><ul><ul><li>Yetkisiz erişimin engellenmesi </li></ul></ul><ul><ul><li>Yetki sınırlarının çizilmesi </li></ul></ul><ul><ul><li>Yetkisiz kullanıcıların bilgileri ağ üzerinden iletmesinin engellenmesi </li></ul></ul>

7.
<ul><li>Bütünlük (Integrity) : İş istasyonlarında ya da sunucularda saklanan bilginin bilinçli ya da bilinçsiz bir şekilde değiştirilmesinin engellenmesi </li></ul><ul><li>Uygunluk (Availability) : Yetkili kullanıcılarının kendilerine ayrılan sistem kaynaklarına sürekli ve devamlı bir şekilde erişebilmeleri </li></ul><ul><ul><li>Erişim yetkilerinin değişmesinin engellenmesi </li></ul></ul><ul><ul><li>Aşırı yüklemelerin önüne geçilmesi </li></ul></ul><ul><ul><li>Servislere erişimin engellenmesi </li></ul></ul>

8.
Güvenlik Politikası <ul><li>Hassas, gizli ya da değerli bilgiyi nasıl sınıflandırıyorsunuz? </li></ul><ul><li>Sisteminiz gizli ya da hassas bilgi bulunduyor mu? </li></ul><ul><li>Kime karşı koruma sağlıyorsunuz? </li></ul><ul><li>Kullanıcıların gerçekten uzaktan erişime ihtiyaçları var mı? </li></ul><ul><li>Parolalarınız ya da şifreleme algoritmalarınız yeterli mi? </li></ul>

9.
BIOS <ul><li>Floppy, CDROM ve USB gibi taşınabilir cihazlardan sistem başlatma önceliğini kaldırın. </li></ul><ul><li>BIOSa mutlaka şifre koyun </li></ul>

10.
Parolalar <ul><li>Doğru parola politikasına sahip olduğunuzdan emin olun. </li></ul><ul><ul><li>/etc/login.def içerisinden gerekli parametreleri atayın. </li></ul></ul><ul><ul><ul><li>PASS_MIN_LEN 5 -> 8 </li></ul></ul></ul><ul><ul><ul><li>PASS_MAX_DAY 99999 -> 63 </li></ul></ul></ul><ul><ul><li>apg – Otomatik parola oluşturucu </li></ul></ul><ul><ul><li>John the Ripper – parola kırıcı </li></ul></ul>

11.
Root Kullanıcı Hesabı <ul><li>root kullanıcısı Linux sistemlerde güvenlik engellemelerine tabi olmadan her istediğini yapabilir. </li></ul><ul><li>Sunucunuza root olarak erişmeyin! </li></ul><ul><li>root hesabı için mutlaka oturum zaman aşımı değeri ekleyin. </li></ul><ul><ul><li>/etc/profile – Saniye cinsinden </li></ul></ul><ul><ul><ul><li>TMOUT 7200 </li></ul></ul></ul>

12.
Uçbirim program erişimlerini engelleyin <ul><li>Kullanıcılar için shutdown, halt, reboot gibi komutları yasaklayın. </li></ul><ul><ul><li>rm -f /etc/security/console.apps/<program> </li></ul></ul>

13.
Ağ güvenliğine giriş <ul><li>Ateş duvaları </li></ul><ul><li>DMZ </li></ul><ul><li>Iptables </li></ul><ul><li>Denetleme araçları </li></ul><ul><ul><li>Chkrootkit </li></ul></ul><ul><ul><li>Nessus </li></ul></ul>

14.
Ağ güvenliğine giriş <ul><li>IDS – Saldırı tespit sistemleri </li></ul><ul><ul><li>Tripwire </li></ul></ul><ul><ul><li>Snort </li></ul></ul><ul><li>Kayıt tutma </li></ul><ul><ul><li>Logcheck </li></ul></ul><ul><li>OpenSSH </li></ul><ul><ul><li>Kamu anahtarı yetkilendirmesi </li></ul></ul><ul><ul><li>SSH tünelleme </li></ul></ul><ul><ul><li>Port yönlendirme </li></ul></ul>

15.
Ağ güvenliğine giriş <ul><li>İçerik filtreleri </li></ul><ul><ul><li>Fındık Project </li></ul></ul><ul><li>Bilgi sızıntısı engelleme </li></ul><ul><ul><li>OpenDLP </li></ul></ul><ul><ul><li>MyDLP </li></ul></ul>

16.
Ağ güvenliği <ul><li>Ağ geçidinizin güvenliğini sağlamak her zaman ağa dönüşmüş bilgi altyapısında mutlak bir gereksinimdir. </li></ul><ul><li>Ağın doğru ayarlanması ile birçok problem engellenebilir </li></ul>

17.
Ateş duvarı <ul><li>Paket filtreleme </li></ul><ul><ul><li>Veri ağa kaynağı, hedefi ve protokolü belirlenmiş paketler halinde giriş çıkış yapar. </li></ul></ul><ul><ul><li>Sadece yetkilendirilmiş ağ trafiğinin ağa giriş çıkış yapabilmesidir. </li></ul></ul><ul><li>Uygulama vekil sunucuları </li></ul><ul><ul><li>Uygulama vekil sunucuları ateş duvarları ile kullanılan iki ağ arasında uygulamaların haberleşmesini sağlar </li></ul></ul><ul><ul><li>Uygulama vekil sunucuları üzerinde gelişmiş filtreleme ve erişim yetkilendirme yapılabilir. </li></ul></ul>

18.
Niye Ateş Duvarı? <ul><li>Paket filtreleri güvenliği arttırır. </li></ul><ul><li>Yabancıları ağınızdan uzak tutar. </li></ul><ul><li>DoS ve ping flood gibi saldırıların engellenmesini sağlar. </li></ul><ul><li>Bilgi akışını düzenler. </li></ul><ul><li>İç ağ kaynak kullanıcıların belirli protokol ve sitelere erğişimini engeller. </li></ul>

19.
Ateş duvarı mimarileri <ul><li>Basit sınır ateş duvarı </li></ul>

20.
Ateş duvarı mimarileri <ul><li>Değersiz makine </li></ul>

21.
Ateş duvarı mimarileri <ul><li>Demilitarized Zone – DMZ </li></ul>

22.
Ateş duvarı mimarileri <ul><li>İkili ateş duvarı </li></ul>

23.
Iptables <ul><li>Iptables IPv4 ve IPv6 protokolleri üzerinde paket filtreleme yapabilen bir çekirdek seviyes ibir ateş duvarıdır. </li></ul><ul><li>Iptables, Linux çekirdeği seviyesinde paket filtreleme tabloları oluşturulmasını sağlar. </li></ul><ul><li>Birçok çeşitli zincir ve tablo bulunmaktadır. </li></ul>

24.
Iptables <ul><li>Kurallar içerisinde eylemleri belirleyebilirsiniz. </li></ul><ul><li>Hedefler </li></ul><ul><ul><li>ACCEPT – pakete izin ver </li></ul></ul><ul><ul><li>DROP – paketi düşür </li></ul></ul><ul><ul><li>REJECT – paketi reddet </li></ul></ul><ul><ul><li>LOG – paketi kayıt altına al </li></ul></ul>

25.
Iptables <ul><li>Tablolar </li></ul><ul><ul><li>filter </li></ul></ul><ul><ul><ul><li>INPUT, FORWARD ve OUTPUT zincirleri </li></ul></ul></ul><ul><ul><li>nat – ağ adres değişimi </li></ul></ul><ul><ul><ul><li>PREROUTING, OUTPUT ve POSTROUTING zincirleri </li></ul></ul></ul><ul><ul><li>mangle – paket değiştirme – IP başlığı gibi </li></ul></ul><ul><ul><ul><li>PREROUTING, OUTPUT, INPUT, FORWARD ve POSTROUTING zincirleri </li></ul></ul></ul>

26.
Iptables <ul><li>Örnek bir iptables komutu. Bir adresten gelen tüm trafiği engeller </li></ul><ul><ul><li>iptables -I INPUT -i eth0 -s 192.168.0.2 -j DROP </li></ul></ul>

27.
Iptables <ul><li>Bir adrese giden tüm trafiğin engellenmesi </li></ul><ul><ul><li>iptables -I OUTPUT -o eth0 -p tcp -d www.msn.com –dport 80 -j REJECT </li></ul></ul>

28.
Iptables <ul><li>Bir ağ geçidi için örnek bir iptables zinciri </li></ul><ul><li>iptables -F </li></ul><ul><li>iptables -P INPUT ACCEPT </li></ul><ul><li>iptables -P FORWARD DROP </li></ul><ul><li>iptables -P OUTPUT ACCEPT </li></ul><ul><li>iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j DROP </li></ul><ul><li>iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j LOG </li></ul><ul><li>iptables -A FORWARD -o eth0 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT </li></ul><ul><li>iptables -A FORWARD -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT </li></ul><ul><li>iptables -A FORWARD -j LOG </li></ul><ul><li>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE </li></ul>

29.
Denetleme Araçları <ul><li>Chkrootkit </li></ul><ul><ul><li>Ağ içerisindeki trojan, worm ve açıkları tarar. </li></ul></ul><ul><ul><li>http://www.chkrootkit.org </li></ul></ul><ul><li>Nessus </li></ul><ul><ul><li>Uzak güvenlik tarayıcısı </li></ul></ul><ul><ul><li>Ağ güvenlik açıklarının taranmasında kullanılır. </li></ul></ul><ul><ul><li>http://nessus.org </li></ul></ul>

30.
Nessus <ul><li>Nessus %100 özelleştirilebilir, profesyonel seviye bir güvenlik tarayıcısıdır. </li></ul><ul><ul><li>Kendi güvenlik testlerinizi kod yazmaya gerek kalmadan ekleyebilirsiniz. </li></ul></ul><ul><ul><li>NASL diliyle kendi testlerinizi yazabilirsiniz. </li></ul></ul><ul><ul><li>Güncel güvenlik zayıflıkları veritabanı </li></ul></ul><ul><ul><li>Aynı anda sınırsız sayıda istemciyi test edebilirsiniz. </li></ul></ul><ul><ul><li>Akıllı servis tanıma </li></ul></ul>

31.
Nessus <ul><ul><li>Aynı istemci üzerinde aynı işi yapan birden fazla sunucuyu tarayabilirsiniz. </li></ul></ul><ul><ul><li>Raporlama </li></ul></ul><ul><ul><li>SSL destekli protokoller üzerinde denetlmee yapabilirsiniz. </li></ul></ul><ul><ul><li>Ağınıza zarar vermeyecek güvenli taramalar gerçekleştirebilirsiniz. </li></ul></ul>

32.
Nessus <ul><ul><li>Nessus Plugins </li></ul></ul><ul><ul><ul><li>Backdoors - CGI abuses - CISCO - Default Unix Accounts - Denial of Service - Finger abuses - Firewalls - FTP - Gain a shell remotely - Gain root remotely - Netware - NIS - Peer-To-Peer File Sharing - Port scanners - Remote file access - RPC - System Settings - SMTP problems - SNMP - Useless services - Windows - Windows : User M anagement </li></ul></ul></ul><ul><ul><li>Kötü yanı artık şirket kullanımı ücretli hale geldi. </li></ul></ul>

33.
Denetleme Araçları <ul><li>Ethereal </li></ul><ul><ul><li>Ağ trafiğinizi GUI veya uçbirim üzerinden canlı dinleyebilirsiniz. </li></ul></ul><ul><ul><li>Ağ üzerindeki veriyi yakalayıp saklayabilirsiniz. Böylece ağınızdaki şüpheli aktiviteleri takip edebilirsiniz. </li></ul></ul><ul><ul><li>500’den fazla protokolü destekler </li></ul></ul><ul><ul><li>Yakaladığınız ağ verisi üzerinde filtreleme yapabilirsiniz. </li></ul></ul>

34.
Denetleme Araçları <ul><li>NMap </li></ul><ul><ul><li>NMap, ağınızda bulunan bilgisayarları tarayarak hangi portların açık olduğundan başlayarak protokol ve paket tipine göre taramalar yapabilir. </li></ul></ul><ul><ul><li>Periyodik NMap taramaları oldukça faydalıdır. </li></ul></ul>

35.
NMap <ul><li>Belirtilen IP bloklarında 143 numaralı portu açık olan bilgisayarları tespit eder. </li></ul><ul><ul><li>nmap -Up 143 166.66.0.0/16 166.67.0.0/16 </li></ul></ul><ul><li>Warez.com C sınıfı IP bloğu üzerinde belirtilen portları tarar. </li></ul><ul><ul><li>nmap -fsp 21,22,23,25,80,110 warez.com/24 </li></ul></ul><ul><li>Ele geçirilmiş bilgisayarların tespiti </li></ul><ul><ul><li>nmap 192.168.0.* -p 80,8080,8088 -sV -vv </li></ul></ul>

36.
Saldırı Tespit Sistemleri <ul><li>Saldırı tespit sistemleri, bütün önemli ağların önemli bir parçasıdır. Internet sürekli gelişen yapısının içerisinde yeni açıkların ve zayıflıkların bulunmasına neden olur. İşte saldırı tespit sistemleri izinsiz girişlerin bulunmasını ve saldırganın hareketlerinden dolayı hesap verilebilirliği arttırmayı amaçlar. </li></ul>

37.
Saldırı tespit sistemleri <ul><li>Tripwire </li></ul><ul><ul><li>Dosya bütünlük kontrol yazılımı </li></ul></ul><ul><ul><li>Tripwire temel olarak verilen dosyanın sindirim değerini saklar </li></ul></ul><ul><ul><li>Dosya değiştirildiği zaman Tripwire kullanıcıyı uyararak yeni dosya sindirim değerini kaydeder. </li></ul></ul>

38.
Saldırı tespit sistemleri <ul><li>Snort </li></ul><ul><ul><li>Örüntü eşleme yöntemi ile tampon bellek aşırı yükleme, gizli port taramaları, CGI saldırıları, SMB aramaları, NetBIOS sorguları, NMAP ve diğer port tarayıcıları gibi bilinen önemli arka kapılar ve sistem zayıflıkları için tanımlamalar ile saldırıları tespit eder. </li></ul></ul><ul><ul><li>Syslog, SMB “WinPopUp” mesajları veya dosyalar ile sistem yöneticisini uyarır. </li></ul></ul><ul><ul><li>Zayıflık için imza üretmek kolaydır. </li></ul></ul><ul><ul><li>Genelde ağ üzerinde pasif olarak yerleştirilir. </li></ul></ul>

39.
Snort Yerleştirimi <ul><li>Hublar ve switchler </li></ul><ul><li>Ateş duvarı </li></ul>

40.
Snort <ul><li>Snort kurallarını sürekli güncel tutabilmek için Oinkmaster’ı kullanabilirsiniz. Oinkmaster, BSD lisansı ile dağıtılan bir Perl betiğidir. </li></ul><ul><li>Oinkmaster’ın kötü tarafı ise sizin yazdığınız kuralları silmesidir. </li></ul>

41.
OpenSSH <ul><li>OpenSSH, ağ seviyesi saldırılarını engellemek için ağ üzerinden şifreler dahil olmak üzere tüm verileri şifreli olarak gönderir. </li></ul><ul><li>OpenSSH sadece bir uzak uçbirim değildir. </li></ul><ul><li>Kriptografik anahtarlar ile public anahar yetkilendirmesi </li></ul><ul><ul><li>ssh-keygen ile private/public anahtar üretebilme </li></ul></ul><ul><ul><li>Private anahtar izinlerinin kontrol edilmesi </li></ul></ul><ul><ul><li>Public anahtarı $HOME/.ssh/authorized_keys dosyası içerisinde saklanmalıdır. </li></ul></ul>

42.
OpenSSH <ul><li>OpenSSH ile port yönlendirme yapılabilir. </li></ul><ul><ul><ul><li>ssh -N -f -L 20110:mailserver:110 [email_address] </li></ul></ul></ul><ul><ul><ul><li>-N – uçbirim açma </li></ul></ul></ul><ul><ul><ul><li>-f – arka plana git </li></ul></ul></ul><ul><ul><ul><li>-L - yerel porttan uzak porta yönlendir </li></ul></ul></ul>

43.
OpenSSH <ul><li>Verinin, SSH üzerinden akıtılması da mümkündür. </li></ul><ul><ul><li>Yazdırma için </li></ul></ul><ul><ul><ul><li>cat print.ps |ssh -l user remote.server lpr –Pprintername </li></ul></ul></ul><ul><ul><li>Herhangibir komut </li></ul></ul><ul><ul><ul><li>Dosya yedekleme </li></ul></ul></ul><ul><ul><ul><ul><li>tar zc /home|ssh username@remote.server tar zx </li></ul></ul></ul></ul>

44.
OpenSSH <ul><li>Esas problem ateş duvarınız üzerinde engellediğiniz portlar dışında, SSH tünelleme ile yerel portlar üzerinden işlem gerçekleştirilebilmesi </li></ul>

45.
İçerik Filtreleme <ul><li>Fındık Project </li></ul><ul><ul><li>Modüler yapı ile yeni filtre ve protokol desteği ekleyebilme </li></ul></ul><ul><ul><li>Log4j tabanlı kayıt alma </li></ul></ul><ul><ul><li>HTTP filtreleme </li></ul></ul><ul><ul><li>Antivirüs, LDAP ve AD desteği </li></ul></ul><ul><ul><li>SSL filtreleme desteği </li></ul></ul><ul><ul><li>Web tabanlı yönetim </li></ul></ul><ul><ul><li>Veritabanı destekli kural yönetimi </li></ul></ul>

46.
Bilgi Sızıntısı Engelleme <ul><li>İstemci tabanlı </li></ul><ul><ul><li>OpenDLP </li></ul></ul><ul><li>Ağ tabanlı </li></ul><ul><ul><li>MyDLP </li></ul></ul>

47.
Antivirus ve Antispam <ul><li>Antivirus </li></ul><ul><ul><li>Kapalı kaynak olsa da Kaspersky </li></ul></ul><ul><ul><li>ClamAV özellikle mail sunucularında ve istemcilerde </li></ul></ul><ul><li>Antispam </li></ul><ul><ul><li>Amavis ve SpamAssassin </li></ul></ul>

48.
Teşekkürler Sorularınız? [email_address]