Linux istemciler ve sunuculardagüvenlik uygulamaları

1. Linux’ta Güvenlik Uygulamaları Kocaeli Üniversitesi Linux Günü Burak Oğuz EMO Ankara Şubesi FindikProject ve MyDLP Geliştiricisi 14 Mayıs 2010

2. Giriş Linux tabanlı ağlar genelde Üniversiteler ve, Küçük ve orta ölçekli işletmelerde kullanılmaktadır Giderek büyük ölçekli kullanımda da artış bulunmaktadır.

3. İçerik Linux iş istasyonlarının ve sunucularının güvenliği Kaynak kısıtlamaları Linux ağlarında ateş duvarı Denetleme araçları IDS – Snort OpenSSH Fındık OpenDLP ve MyDLP

4. İş istasyonlarının güvenliği en önemli noktalardan birisidir. Önemli bilgiler genelde iş istasyonlarında saklanır Çoğu güvenlik problemi ağın ve iş istasyonlarının doğru ayarlanması ile önlenebilir. Mevcut Internet kaynakları bireyler, şirketler ve organizasyonlar için önem taşısada, yaygın depolama ve bilginin transferi önemli güvenlik ihlallerine sebep verebilir.

5. Bilişim sistemlerinde güvenliği sağlamanın garantili bir yolu yoktur. Bu iş çatıdaki delikleri kapamaya benzer. Güvenlik sürekli bir süreçtir ve güvenlik açıkları sürekli takip edilmeli zamanında güncellemeler ve düzeltmeler yapılarak eksiklikler kapatılmalıdır.

6. Güvenlik Nedir? CIA kuralı Gizlilik (Confidentiality) : İş istasyonlarındaki ya da sunuculardaki bilginin doğru bir şekilde saklanabilmesi Yetkisiz erişimin engellenmesi Yetki sınırlarının çizilmesi Yetkisiz kullanıcıların bilgileri ağ üzerinden iletmesinin engellenmesi

7. Bütünlük (Integrity) : İş istasyonlarında ya da sunucularda saklanan bilginin bilinçli ya da bilinçsiz bir şekilde değiştirilmesinin engellenmesi Uygunluk (Availability) : Yetkili kullanıcılarının kendilerine ayrılan sistem kaynaklarına sürekli ve devamlı bir şekilde erişebilmeleri Erişim yetkilerinin değişmesinin engellenmesi Aşırı yüklemelerin önüne geçilmesi Servislere erişimin engellenmesi

8. Güvenlik Politikası Hassas, gizli ya da değerli bilgiyi nasıl sınıflandırıyorsunuz? Sisteminiz gizli ya da hassas bilgi bulunduyor mu? Kime karşı koruma sağlıyorsunuz? Kullanıcıların gerçekten uzaktan erişime ihtiyaçları var mı? Parolalarınız ya da şifreleme algoritmalarınız yeterli mi?

9. BIOS Floppy, CDROM ve USB gibi taşınabilir cihazlardan sistem başlatma önceliğini kaldırın. BIOSa mutlaka şifre koyun

10. Parolalar Doğru parola politikasına sahip olduğunuzdan emin olun. /etc/login.def içerisinden gerekli parametreleri atayın. PASS_MIN_LEN 5 -> 8 PASS_MAX_DAY 99999 -> 63 apg – Otomatik parola oluşturucu John the Ripper – parola kırıcı

11. Root Kullanıcı Hesabı root kullanıcısı Linux sistemlerde güvenlik engellemelerine tabi olmadan her istediğini yapabilir. Sunucunuza root olarak erişmeyin! root hesabı için mutlaka oturum zaman aşımı değeri ekleyin. /etc/profile – Saniye cinsinden TMOUT 7200

12. Uçbirim program erişimlerini engelleyin Kullanıcılar için shutdown, halt, reboot gibi komutları yasaklayın. rm -f /etc/security/console.apps/<program>

13. Ağ güvenliğine giriş Ateş duvaları DMZ Iptables Denetleme araçları Chkrootkit Nessus

14. Ağ güvenliğine giriş IDS – Saldırı tespit sistemleri Tripwire Snort Kayıt tutma Logcheck OpenSSH Kamu anahtarı yetkilendirmesi SSH tünelleme Port yönlendirme

15. Ağ güvenliğine giriş İçerik filtreleri Fındık Project Bilgi sızıntısı engelleme OpenDLP MyDLP

16. Ağ güvenliği Ağ geçidinizin güvenliğini sağlamak her zaman ağa dönüşmüş bilgi altyapısında mutlak bir gereksinimdir. Ağın doğru ayarlanması ile birçok problem engellenebilir

17. Ateş duvarı Paket filtreleme Veri ağa kaynağı, hedefi ve protokolü belirlenmiş paketler halinde giriş çıkış yapar. Sadece yetkilendirilmiş ağ trafiğinin ağa giriş çıkış yapabilmesidir. Uygulama vekil sunucuları Uygulama vekil sunucuları ateş duvarları ile kullanılan iki ağ arasında uygulamaların haberleşmesini sağlar Uygulama vekil sunucuları üzerinde gelişmiş filtreleme ve erişim yetkilendirme yapılabilir.

18. Niye Ateş Duvarı? Paket filtreleri güvenliği arttırır. Yabancıları ağınızdan uzak tutar. DoS ve ping flood gibi saldırıların engellenmesini sağlar. Bilgi akışını düzenler. İç ağ kaynak kullanıcıların belirli protokol ve sitelere erğişimini engeller.

19. Ateş duvarı mimarileri Basit sınır ateş duvarı

20. Ateş duvarı mimarileri Değersiz makine

21. Ateş duvarı mimarileri Demilitarized Zone – DMZ

22. Ateş duvarı mimarileri İkili ateş duvarı

23. Iptables Iptables IPv4 ve IPv6 protokolleri üzerinde paket filtreleme yapabilen bir çekirdek seviyes ibir ateş duvarıdır. Iptables, Linux çekirdeği seviyesinde paket filtreleme tabloları oluşturulmasını sağlar. Birçok çeşitli zincir ve tablo bulunmaktadır.

24. Iptables Kurallar içerisinde eylemleri belirleyebilirsiniz. Hedefler ACCEPT – pakete izin ver DROP – paketi düşür REJECT – paketi reddet LOG – paketi kayıt altına al

25. Iptables Tablolar filter INPUT, FORWARD ve OUTPUT zincirleri nat – ağ adres değişimi PREROUTING, OUTPUT ve POSTROUTING zincirleri mangle – paket değiştirme – IP başlığı gibi PREROUTING, OUTPUT, INPUT, FORWARD ve POSTROUTING zincirleri

26. Iptables Örnek bir iptables komutu. Bir adresten gelen tüm trafiği engeller iptables -I INPUT -i eth0 -s 192.168.0.2 -j DROP

27. Iptables Bir adrese giden tüm trafiğin engellenmesi iptables -I OUTPUT -o eth0 -p tcp -d www.msn.com –dport 80 -j REJECT

28. Iptables Bir ağ geçidi için örnek bir iptables zinciri iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j DROP iptables -A INPUT -s ! 192.168.0.0/24 -i eth1 -j LOG iptables -A FORWARD -o eth0 -m state –state \ NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j LOG iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

29. Denetleme Araçları Chkrootkit Ağ içerisindeki trojan, worm ve açıkları tarar. http://www.chkrootkit.org Nessus Uzak güvenlik tarayıcısı Ağ güvenlik açıklarının taranmasında kullanılır. http://nessus.org

30. Nessus Nessus %100 özelleştirilebilir, profesyonel seviye bir güvenlik tarayıcısıdır. Kendi güvenlik testlerinizi kod yazmaya gerek kalmadan ekleyebilirsiniz. NASL diliyle kendi testlerinizi yazabilirsiniz. Güncel güvenlik zayıflıkları veritabanı Aynı anda sınırsız sayıda istemciyi test edebilirsiniz. Akıllı servis tanıma

31. Nessus Aynı istemci üzerinde aynı işi yapan birden fazla sunucuyu tarayabilirsiniz. Raporlama SSL destekli protokoller üzerinde denetlmee yapabilirsiniz. Ağınıza zarar vermeyecek güvenli taramalar gerçekleştirebilirsiniz.

32. Nessus Nessus Plugins Backdoors - CGI abuses - CISCO - Default Unix Accounts - Denial of Service - Finger abuses - Firewalls - FTP - Gain a shell remotely - Gain root remotely - Netware - NIS - Peer-To-Peer File Sharing - Port scanners - Remote file access - RPC - System Settings - SMTP problems - SNMP - Useless services - Windows - Windows : User M anagement Kötü yanı artık şirket kullanımı ücretli hale geldi.

33. Denetleme Araçları Ethereal Ağ trafiğinizi GUI veya uçbirim üzerinden canlı dinleyebilirsiniz. Ağ üzerindeki veriyi yakalayıp saklayabilirsiniz. Böylece ağınızdaki şüpheli aktiviteleri takip edebilirsiniz. 500’den fazla protokolü destekler Yakaladığınız ağ verisi üzerinde filtreleme yapabilirsiniz.

34. Denetleme Araçları NMap NMap, ağınızda bulunan bilgisayarları tarayarak hangi portların açık olduğundan başlayarak protokol ve paket tipine göre taramalar yapabilir. Periyodik NMap taramaları oldukça faydalıdır.

35. NMap Belirtilen IP bloklarında 143 numaralı portu açık olan bilgisayarları tespit eder. nmap -Up 143 166.66.0.0/16 166.67.0.0/16 Warez.com C sınıfı IP bloğu üzerinde belirtilen portları tarar. nmap -fsp 21,22,23,25,80,110 warez.com/24 Ele geçirilmiş bilgisayarların tespiti nmap 192.168.0.* -p 80,8080,8088 -sV -vv

36. Saldırı Tespit Sistemleri Saldırı tespit sistemleri, bütün önemli ağların önemli bir parçasıdır. Internet sürekli gelişen yapısının içerisinde yeni açıkların ve zayıflıkların bulunmasına neden olur. İşte saldırı tespit sistemleri izinsiz girişlerin bulunmasını ve saldırganın hareketlerinden dolayı hesap verilebilirliği arttırmayı amaçlar.

37. Saldırı tespit sistemleri Tripwire Dosya bütünlük kontrol yazılımı Tripwire temel olarak verilen dosyanın sindirim değerini saklar Dosya değiştirildiği zaman Tripwire kullanıcıyı uyararak yeni dosya sindirim değerini kaydeder.

38. Saldırı tespit sistemleri Snort Örüntü eşleme yöntemi ile tampon bellek aşırı yükleme, gizli port taramaları, CGI saldırıları, SMB aramaları, NetBIOS sorguları, NMAP ve diğer port tarayıcıları gibi bilinen önemli arka kapılar ve sistem zayıflıkları için tanımlamalar ile saldırıları tespit eder. Syslog, SMB “WinPopUp” mesajları veya dosyalar ile sistem yöneticisini uyarır. Zayıflık için imza üretmek kolaydır. Genelde ağ üzerinde pasif olarak yerleştirilir.

39. Snort Yerleştirimi Hublar ve switchler Ateş duvarı

40. Snort Snort kurallarını sürekli güncel tutabilmek için Oinkmaster’ı kullanabilirsiniz. Oinkmaster, BSD lisansı ile dağıtılan bir Perl betiğidir. Oinkmaster’ın kötü tarafı ise sizin yazdığınız kuralları silmesidir.

41. OpenSSH OpenSSH, ağ seviyesi saldırılarını engellemek için ağ üzerinden şifreler dahil olmak üzere tüm verileri şifreli olarak gönderir. OpenSSH sadece bir uzak uçbirim değildir. Kriptografik anahtarlar ile public anahar yetkilendirmesi ssh-keygen ile private/public anahtar üretebilme Private anahtar izinlerinin kontrol edilmesi Public anahtarı $HOME/.ssh/authorized_keys dosyası içerisinde saklanmalıdır.

42. OpenSSH OpenSSH ile port yönlendirme yapılabilir. ssh -N -f -L 20110:mailserver:110 [email_address] -N – uçbirim açma -f – arka plana git -L - yerel porttan uzak porta yönlendir

43. OpenSSH Verinin, SSH üzerinden akıtılması da mümkündür. Yazdırma için cat print.ps |ssh -l user remote.server lpr –Pprintername Herhangibir komut Dosya yedekleme tar zc /home|ssh username@remote.server tar zx

44. OpenSSH Esas problem ateş duvarınız üzerinde engellediğiniz portlar dışında, SSH tünelleme ile yerel portlar üzerinden işlem gerçekleştirilebilmesi

45. İçerik Filtreleme Fındık Project Modüler yapı ile yeni filtre ve protokol desteği ekleyebilme Log4j tabanlı kayıt alma HTTP filtreleme Antivirüs, LDAP ve AD desteği SSL filtreleme desteği Web tabanlı yönetim Veritabanı destekli kural yönetimi

46. Bilgi Sızıntısı Engelleme İstemci tabanlı OpenDLP Ağ tabanlı MyDLP

47. Antivirus ve Antispam Antivirus Kapalı kaynak olsa da Kaspersky ClamAV özellikle mail sunucularında ve istemcilerde Antispam Amavis ve SpamAssassin

48. Teşekkürler Sorularınız? [email_address]