m0n0wall 1.31 yayınlandı

Etiketler: ,

m0n0wall Firewallm0n0wall , FreeBSD tabanlı gelişmiş bir güvenlik duvarı.Manuel Kasper tarafından, m0n0wall 1.31 sürümünü yayımlandı.

Bu sürümdeki yeniliklerin/değişikliklerin hızlı bir özeti;

  • various IPv6 improvements (in DNS forwarder, DHCPv6, AYIYA, etc.)
  • bridge “disable spoof check” option (for non-m0n0wall DHCP and multicast)
  • fans/temperature monitoring on status page for supported platforms (unfortunately Soekris/PC Engines not included
  • fix for OpenSSL session renegotiation vulnerability (-> HTTPS webGUI)
  • patch to DHCP server daemon to reduce lease file growth

Download ve Changelog | m0n0wall website


13 March 2010 | ozan | Firewall | 0 Yorum | Devam

Bridge FreeBSD PF ve Transparent Squid

Etiketler: , , ,

Bridge FreeBSD PF ve Transparent Squid

FreeBSD  işletim sistemini bridge modda yapılandırıp üzerinde PF (packet filter) ile transparent squid kullanımı anlatılmıştır.

Nasıl Çalışır
FreeBSD PF fiziksel olarak gateway ile istemciler arasına yerleştirilir, mevcut network yapısı ve istemcilerin ağ ayarları değiştirilmeden  (proxy, gateway vs.) layer 2 seviyesinde filtreleme yapılır.İstemciler bilinmeyenlerin çıkış noktası olarak yine gateway’lerini görürler ve internete çıkmak için tüm paketleri gateway’lerine iletirler fakat gateway’lerine paketler ulaşmadan bridge modda çalışan PF ve Squid bunları işlenen kural listesine göre süzüp ardından trafiği olduğu gibi (nat vs. yapmadan) gateway’e iletir.Bridge modda FreeBSD tıpkı bir switch gibi çalışır …

Böylelikle görünmez modda PF ve Squid çalıştırmış oluyoruz.

İstenilen Network Yapısı

FreeBSD  bridge yapılandırması

Ağ kartlarının “fxp0” ve “fxp1” olduğu düşünülmüştür.

# ifconfig bridge create
bridge0
# ifconfig bridge0
bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0

# ifconfig bridge0 addm fxp0 addm fxp1 up
# ifconfig fxp0 up
# ifconfig fxp1 up

Ayarların açılışta geçerli olması için /etc/rc.conf dosyasına aşağıdaki satırlar eklenir;

cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0 addm fxp1 up"
ifconfig_fxp0="up"
ifconfig_fxp1="up"

Bridge interface için ip ataması yapılmak isteniliyorsa;
ifconfig bridge0 inet 192.168.0.1/24

PF (Packet Filter) ile istemcilerden gelen ve hedef port 80 olan isteklerin squid’e yönlendirilmesi 

PF aktif edilmesi ;

kldload pf.ko
/etc/rc.conf;
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Servisin başlatılması
#/etc/rc.d/pf start 

Kural dosyası
# touch /etc/pf.conf
İstemcilerden gelen herhangi bir hedefin 80. Portuna giden istekler squid e yönlendirilir
pf.conf ;
int_if=”vr0″
ext_if=”fxp0″
rdr on $int_if inet proto tcp from $lan to any port { 80 443 } -> 127.0.0.1 port 3128
pass in quick on $int_if route-to lo0 inet proto tcp from $lan to 127.0.0.1 port 3128 keep state

Not:  $lan = yerel network aralığınız. Örnek : 192.168.5.0/24

Squid Kurulumu;
-Port ağacından kurulumu ;
# cd /usr/ports/www/squid && make install clean

Not: squid port ağacından kurarken PF desteğini aktif etmenizde fayda var.

- Depodan kurulumu
# pkg_add  –rv ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/Latest/squid.tbz

Transparent olarak çalışması için squid.conf dosyasına eklenecek satır ;
http_port 127.0.0.1:3128 transparent

Eğer herşey yolunda gittiyse squid.conf dosyasına aşağıdaki gibi bir kural tanımlayıp test edebilirsiniz ;

acl yasakli dstdomain .yahoo.com
http_access deny yasakli

Daha fazla bilgi;
Bridge: http://www.freebsd.org/doc/handbook/network-bridging.html
Pf ve Squid : http://www.benzedrine.cx/transquid.html


03 February 2010 | ozan | Firewall, Güvenlik, Püf Noktalar | 0 Yorum | Devam

Bilişimin Karanlık Yüzü

Yaklaşık 8 ay süren yoğun  çalışmaların sonucu; bilgi güvenliğinin farkındalığını arttırmak ve bu alanda eksikliği hissedilen bilişim güvenliği uzmanlarına türkçe kaynak oluşturmak amacıyla hazırladığımız kitabımız “Bilişimin Karanlık Yüzü”  yayımlanmıştır.

Bilgi güvenliğini kapsayan tüm konuların ve bu konulardaki tecrübelerin paylaşıldığı 477 sayfalık kitabımız şu an yayımlanan en geniş içeriğe sahiptir.
Kitabın içerik tablosuna www.cehturkiye.com/bilisimin-karanlik-yuzu.pdf adresinden ulaşabilirsiniz.

Soru ve görüşleriniz için info@kamilburlu.com adresime mail atabilirsiniz.


24 January 2010 | Kamil Burlu | Kitap | 4 Yorum | Devam

Honeysnap – Pcap Paket Ayrıştırma Aracı

Etiketler: , , , ,

Honeysnap, pcap formatında kaydedilmiş network trafiğini analiz eden bir komut satırı aracıdır.
Pratik kullanımı ve yüksek öneme sahip bir çok protokolü desteklemektedir.Birden çok pcap dosyasını aynı anda analiz edebilmekte.
Unix/linux ve BSD sistemlerde komut satırından çalışan bu araç, Sebek, HoneyD gibi tuzak sistemler hazırlayan HoneyNet.org ekibinin bir projesi.
Şu an desteklediği protokoller;

  • DNS
  • FTP
  • HTTP
  • IRC
  • Socks
  • Sebek

Örnek bazı fonksiyonları ;

  • Paket ve bağlantı özeti
  • Binary dosya ayrıştırma
  • ASCII tabanlı ayrıştırma
  • Gelen ve giden bağlantıların akış özeti
  • IRC trafiğini yorumlama ve ayrıştırma
  • Bir çok internet protokolünü ayrıştırma
  • Socks decode

Kurulum

Gerekli yazılım ve kütüphanelerin kurulumu ;

$ apt-get install python2.4-dev
$ apt-get install libpcap0.8 libpcap0.8-dev
$ wget https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/pypcap-1.1.tar.gz
$ tar xvzf pypcap-1.1.tar.gz
$ cd pcap-1.1
$ python setup.py install

Honeysnap download adresi = https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/honeysnap-1.0.6.14.tar.gz


$ tar xvzf honeysnap-1.0.6
$ cd honeysnap-1.0.6
$ python setup.py install

Yukarıdaki adımları sorunsuz uyguladıysanız honeysnap sisteminize kurulmuş olucaktır.

Kullanımı

Honeysnap,  tüm ayarlarını honeynet.cfg dosyasında tutar.

Yapacağınız analiz şekline göre .cfg dosyasını düzenlemeniz gerekmektedir.

root@pentester:~/honeysnap-1.0.6.14#honeysnap -h
Usage: honeysnap [options]

Options:
–version             show program’s version number and exit
-h, –help            show this help message and exit
-c CONFIG, –config=CONFIG
Config file
-f FILE, –file=FILE  Write report to FILE
-o DIR, –output=DIR  Write output to DIR, defaults to ‘output’
-H HONEYPOTS, –honeypots=HONEYPOTS
……………………

Örnek uygulamalar ;

Pcap dosyasından network aktiviteleri hakkında istatiksel veri almak için ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -c honeynet.cfg zararziyan.pcap

Birden çok pcap dosyasını analiz etmek için ;

honeysnap -c honeysnap.cfg zararziyan.pcap zararziyan2.pcap zararziyan3.pcap

Bir host’a ait trafik bilgilerini almak için ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 zararziyan.pcap

Analysing file: zararziyan.pcap

Pcap file information:
File name: zararziyan.pcap
Number of packets: 2768
File size: 505559 bytes
Data size: 461247 bytes
Capture duration: 38.024023056 seconds
Start time: Tue Jan 19 10:52:25 2010
End time: Tue Jan 19 10:53:03 2010
Data rate: 12130.4102756 bytes/s
Data rate: 97043.2822051 bits/s
Average packet size: 166.635476879 bytes

Not:birden fazla host için trafiği analiz edicekseniz -HIP,IP2,IP3 şeklinde kullanabilirsiniz.

Bir host’a ait HTTP trafiğini ayrıştırmak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-http zararziyan.pcap

HTTP summary for 192.168.5.202

requested_files:

74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/http/outgoing/default.jpg.3, filetype: image/jpeg, md5 sum: 2b94c9bf5b1717db5b31fdcbd3a31036
74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010

Bir Host’a ait FTP trafiğini ayrıştırmak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-ftp zararziyan2.pcap

Analysing file: zararziyan2.pcap

Pcap file information:
File name: zararziyan2.pcap
Number of packets: 11620
File size: 10981775 bytes
Data size: 10795831 bytes
Capture duration: 98.1785218716 seconds
Start time: Tue Jan 19 12:11:01 2010
End time: Tue Jan 19 12:12:40 2010
Data rate: 109961.22975 bytes/s
Data rate: 879689.837997 bits/s
Average packet size: 929.0732358 bytes

Extracting from FTP
FTP summary for 192.168.5.202

requested_files:
192.168.5.202 requested perl5-Curl.tar.gz from 89.19.25.155 (Unknown, Unknown) at Tue Jan 19 12:11:16 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/ftp/outgoing/perl5-Curl.tar.gz.1, filetype: application/x-gzip, md5 sum: 965958197b3fa0b768d0d1d6853c6934
0 requests served by honeypot

Desteklenen protokoller ve kullanılabilir diğer seçenekler ile analiz yapmak için ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202,192.168.5.180 –do-outgoing –do-irc –do-ftp –do-sebek –do-htp –do-outgoing -o /home/ozanus/analysis -f /home/ozanus/analysis/sonucbuiste.txt

Binary dosyayı ayıklamak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –all-flows zararziyan2.pcap -o /root/analysis -f /root/sonucistebu.txt

root@pentester:~/honeysnap-1.0.6.14# ls /root/analysis/192.168.5.202/flows/
incoming  outgoing

Bu yazı güncellenecektir.


19 January 2010 | ozan | Güvenlik, Püf Noktalar | 0 Yorum | Devam