Her şeyden evvel kötü niyetli (malicious) olarak tanımladığımız kişilerin tanımını yapmalıyız. Kötü niyet (ill-will) den kasıt, yapılanların öyle yada böyle bazı masum kişileri (innocent) zarara uğratmasıdır. Birileri üzülüyor ve zarara uğruyorsa amaç ne olursa olsun buna iyi niyet (goodwill) denemez değil mi? Ama buna rağmen bu kötü niyetli (malicious) kişilerinde bu işi yapmalarının kendilerine göre gerekçeleri (reasons) vardır. Önce belli tanımları yapalım, ne nedir, kim kimdir belirleyelim ki konumuzu anlatırken her şey yerli yerine otursun. Yine baştan başlayalım değil mi? Belki tekrar olacak ama, zararı yok.
Hacker (çökertici)
Programlama dillerinden (programming languages) en az birini bilen, işletim sistemlerinin (operating systems) nasıl işlediginden anlayan ve iletişim sistemlerinin (communication structures) TCP/IP gibi, nelerden oluştugunu bilen kötü niyetli kişi yada kişiler.
Cracker (şifre kırıcı)
Programlama dillerinden (programming languages) en az birini bilen, işletim sistemlerinin (operating systems) nasıl işlediginden anlayan, iletişim sistemlerinin (communication structures) TCP/IP gibi, nelerden oluştugunu bilen, şifreleme teknolojilerinden haberdar ve hackleme programlarının nasil kullanıldığını çok iyi bilen kötü niyetli kişi yada kişiler.
/about/hacker-Gu-577f9e9d3df78c1e1fb0b9c4.jpg)
Lamer (çökertici özentisi)
Bir tür hacker, aslında hackleme konusunda yetenekli ve bilgi olamayan ama kendisini hacker zannedip UYA (Uzaktan Yönetim Araçları, RATs)ları kullanmaktan başka bir iş yapmayan kişi yada kişiler.
Intruder (sızıcı)
Bunun tanımı hackerın tanımı ile benzerlik arzeder, bir farkı vardır, bu tip kişiler kendilerinin sadece bilgi peşinde olduklarını savunurlar.
Kötü kodlama (malicious coding)
Virüs, Truva Atı, Solucan (Worm) yada UYA (RATs / TMTs).
Virüs, Truva Atı, Solucan (Worm) yada UYA, Uzaktan Yönetim Araçları [RATs, (Remote Administration Tools) / TMTs (Remote Monitoring Tools)]:
bilgisayarlarımızda zarara, yıkıma ve çökmelere yol açan, önemli (confidential) ve mahrem bilgilerimizin (privacy) çalınmasını, araklanmasını yada tırtıklanmasını sağlayan yazılım yada programlardan başka bir şey değildir.
Intrusion (sızma)
Başkalarına ait sistem yada bilgisayarlara (systems or computers), yetki dışında (unauthorised) sızılma (penetration) eylemidir.
Bulaşma Ortamları
(Infection Environments)
Sanal Dünya da ne kadar bilgisayar yada sistemin virüs ve benzeri kodlamalardan etkilendiği yada ne kadarına kötü kodlama bulaştığını hiç merak ettik mi? Yaklaşık 50 milyon filanmış. Bunu nasıl belirliyorlar? Sanırım bu Symantec, McAfee gibi virüs takip ve denetleme firmalarının işi. Bulaşmanın bu boyutlara ulaşmasının başılıca nedeni, IRC, mIRC ve IQC nun çok yaygın olarak kullanılıyor olması. Sıradan bir bilgisayar kullanıcısı, ICQ ortamında ne gibi risklerle yüz yüze olduğundan hiç haberdar değildir. Kullandığımız ICQ Hesap Numaramız (Account Number) IP Numaramızı herkese açık hale yani görülebilir hale sokar. ICQ unun IP Numarasını genele göstermeme seçeneğini işaretlesek bile bu pek işe yaramaz. Yaramaz çünkü IP Numarası koklama programları (IP Sniffer programs) vardır ve bu programlarla rahatlıkla ICQ ortamında IP numaralarımız tespit edilebilir. Nedir bu IP Numarası? IP Numaramiz, bilgisayar yada sistemimizin Internet Protokol Adresidir (Internet Protokol Address). Nasıl yani, yine anlamadım mı dediniz? Şöyle örnek verelim; IP Numaramız kimliğimizdeki (Nüfus Cüzdanı) seri numarası gibi bir numaradır. Internet te bilgisayarlar bu numaralarla tanınırlar. Kimliğimizdeki ismimizde bilgisayarlardaki DNS (Domain Name Systems) gibidir. Kimliğimizdeki numara ve ismimiz sabittir. Ama bu bilgisayarlarımızda durum biraz farklılık arzeder.
IP Numaraları
(IP Numbers)
Ne demiştik, IP Numaralarımız bilgisayarımızın Internet Protokol Adresidir. IP Numaralarımız kullandığımız ISS (ISP) tarafından bizi yani bilgisayarımızı tanımlamak için verilir. Her bağlandığımızda bize ayrı bir IP Numarası atanır. Yani klasik ve yavaş akan modemli bağlanti yönteminde atanan IP Numaraları değişkendir (not static). Ama DSL (Dynamic Subscriber Lines=Dinamik Abone Hatları) ve Kablolu (cable connection) Bağlantıda durum farklıdır. Atanan IP Numaraları sabittir (static). Biz bu numarayı kimlik numaramızla karşılaştırmıştık. Aslında Türkiye de olmayan ABD ve Avrupa da kullanılan Sosyal Güvenlik Kimlik Numaraları vardır, bu daha çok ona benzer. Bu numara ile ilgili kişi hakkında herşey elde edilebilir. İşte bu Sosyal Güvenlik Kimlik numarası gibi olan IP Numaramızı ele geçiren kişiler, isterlerse bizimle ilgili herşeyi öğrenebilirler. elde edebilir. Eğer haclker kurnaz (tricky) bir kişiyse ve uğraşırsa bize ait bir çok gizli ve önemli bilgileri elde edebilir.
Mesela 127.0.0.1. gibi bir IP Numarası bizim yerel hostumuzun numarasıdır. 126.568.650.496 gibi bir numarada bir IP adresidir. Bunları çevirme yolları vardır ve bu yolla bizim host adresimize ulaşılır. Şimdi bazı kötü niyetli kişilerin neden bilgisayarlarımıza sızmak yada Truva Atı vb UYA ları göndermek istediklerini kavrayabildik mi? ya bilgisayarımıza komple hükmetmek (completely command) istiyorlar yada zarar ve yıkım yaratmak istiyorlar. Truva Atı ve Virsülerin aslında ilk amacı budur.
Truva Atı Bulaşmış Bilgisayarımızda Neler Olabilir?
(What A Trojan Horse Causes To Our PCs?)
Bir çok Truva Atı yaga UYA programları çalıştırılabilir (executable) özelliği olan .exe uzantılı çok küçük dosyalardır (files). Boyutları oldukça küçüktür, 15 Kb, 30Kb, 80 Kb gibi. Küçük olmalarının sebebi, insanlar 100Kb ın üzerindeki dosyaları pek yüklemek istemezlermiş. Bu çalıştırılabilir dosyalara tıklandığında pek bir şey olmaz. Ancak geri planda bilgisayarımızda gizli bir port (hidden port) açar. Gizli (hidden) olduğu için ne olduğunu anlayamayız. Dosyayı açmamızın hemen ardından, bilgisayarımızın denetimi, bize bu Truva Atı nı yollayan kişinin eline geçer. Artık onun bilgisayarımıza tam erişim hakkı vardır. Bilgisayarımıza yerleştirilen Truva Atı bir istemci (client) vazifesi görmeye başlar. Kendisini gönderene ne isterse onu yapma olanakları sağlar.
Nedir bunlar?
- Şifrelerimiz çalmak (stealing passwords),
- Dizin erişimi (directory accessing),
- Bilgisayarımızı açıp kapatma (rebooting/shutting-down),
- Keylogging (keylogging),
- Bilgisayarımıza ekran koruyucu yerlestirme (changing screenshots),
- CD-Rom sürücümüzü açıp kapatma (openining /closing cd-rom drive),
- Ekrana görüntü yerleştirme (image),
- Fare hareketlerini değiştirme (swapping mouse controls),
- Herhangi bir programı devreye sokma (starting a program),
- E-mail programımızı kullanarak mesaj gönderme (sending messages),
- Portlarımızı yeniden yönlendirme (port redirection),
- Faremizin tüm denetimini elimizden alma (controling mouse), ve sayamayacağımız kadar başka şeyler, artık kötü niyetli kişinin hayal gücüne kalmış.
Yukarıda saydıklarımız, bilgisayarımıza bir Truva Atı bulaştıktan sonra, onu denetleyen kişinin yapabileceklerine bir kaç örnekten ibarettir ve bunlarla sınırlı değildir. Bir hacker yada lamer in bilgisayarımıza Truva Atı yerleştirme çabasının ilk adımı bize ait IP Numarasını elde etmektir. Bununda nasıl elde edildiğini yukarıda anlatmıştık.
Truva Atı Yükleyen Programlar
(Binders)
Başka programlarla kendilerini yükleyen Truva Atı türleri de mevcuttur. Hackerların yada lamer ların ifadesi ile buna Bağlama (Binding) denir. Örnegin Whackamole isimli program kullanılar. Bu isme dikkat edelim lütfen. Hacker yada lamerlar bu programı oyun programı kisvesi altında kurbanlara (victims) göndermektedirler. Program ileti (email) ekinde (attachment) game.exe isimli dosya olarak gönderilmektedir. Ama ismi değiştirilebilmektedir. Kurban (victim) bu çalıştırılabilir (executable) dosyayı (file) tikladığında, dosya otomatikman Truva Atını bilgisayarımıza yükler ve whackamole game isimli dosyayı çalıştırır. Fakat aynı zamanda program kendisini yüklerken NetBus virüs programını da bilgisayarımızın C:\Windows\Directory dizinine yükler. Tüm anlattıklarım geri planda gerçekleşir böylece kurban (victim) bilgisayarına virüs bulaşıp bulaşmadığını anlayamaz. bilgisayarlara Truva Atı yerleştiren programların başka örnekleri de vardır. Bu nedenle burada ismini verdiğim programin bir tane olduğu duşünülmesin. Bunların çeşitleri hakkında Symantec yada McAfee nin virüs merkezinde ayrıntılı bilgi edinilebilir.
Truva Atı dünyasının gelmiş geçmiş en iyi tanınan Truvası BackOrifice dir. cDc lakaplı biri tarafından yazılmış/programlannmıştır. Yeraltı dünyasında oldukça tutulan bir UYA dır. Bunun birden fazla varyantı (değiştirilmiş türü) vardır. BackOrifice in bu denli yeraltı dünyasında rağbet görme nedeni, onun Windows NT lerde kullanılabilmesidir. Bu Truva Atının en tehlikeli tarafı kaynak kodudur (source code). Microsoft un İşletim sistemlerinde oldukça fazla güvenlik boşlukları mevcuttur. Güvenlik açığı yada gediği (bug, flaw, vulnerability) olmayan bir işletim sistemi yapmak imkansızın da ötesinde bir şeydir. Ama böyle bir işletim sistemi oluşturma çabalarıda sürmektedir.
Bilgisayarlarımıza Sızılmasını Nasıl Engelleriz?
(How Could We Prevent Not Accessed To Our Computers?)
Evet bilgisayarlarımıza yada sistemimize hackerların, lamerlerin yada genel anlamı ile kötü niyetli kişilerin erişimini nasıl engelleyebiliriz? Önemli ve kişisel bilgilerimizi çalınmaktan nasıl koruyabiliriz? Eger bilgisayarımıza kötü kodlamalardan birisinin bulaştığıını anladık yada farkettiysek ve bundan da eminsek, onu geçikmeden bu kötü kodlamalardan temizlememiz gerekir. Anacak bu duruma düşmeden önce temiz ve güvenli bir bilgisayar için almamız gerek bazı önlemler vardır;
- Internet ve PC güvenliği konusunda yazmış olduğum diğer çalışamalarda sözü edilen, Güvenli - Internet ve Bilgisayar için alınabilecek tüm önlemleri almak,
- Kuvvetli bir AVP programı kullanmak,
- Kuvvetli ve güncellenmiş bir Firewall kullanmak,
- The Cleaner gibi Truva Atı tarayıcı (Trojan Scanner) programı kullanmak, Bu program için en iyi Truva Atı Avcısı denmektedir. Birçok AVP de olmayan özelliklere de sahiptir. Bulabilirsek ki mutlaka buluruz, The Cleaner ı yüklemek bize oldukça yarar sağlar.
- McAffe yada N2K kullanıyorsak, bunları mutlaka güncellemiz gerekir. Bu güncelleme işi çok ciddi bir koduru. Çünkü ortalama her hafta 1000 nin üzerinde yeni kötü kodlama Internet te dolaşıma salınıyormuş. Eğer AVP mizi güncel tutarsak, bilgisayarımızın temiz ve güvende kalması için ona güvenebiliriz.
Başka Hangi Tedbirleri Alabilriz?
(What Other Ways Could be Applied?)
Tüm anti-virüs programları yüzde yüz güvenli diye bir kural yoktur. Nasıl ki İşletim Sistemleri nin (Oss) bazi açık ve gedikleri varsa, AVP lerinde bazı gedikleri vardır. O zaman başka neler yapabiliriz? Denetim için kullanabileceğimiz başka yollar varmıdır? Evet var. Onlarıda şöyle sıralarsak;
Şayet bir çalıştırılabilir (executable) dosya yada ne tür dosya olursa olsun, alırsak yada yüklersek,
Bu dosyayı açmadan önce içerisinde ne taşıdığına bakmamızda yarar vardır, Bunu yapmak için,
Başlat (Start),
Prorgramlar (Programs),
MS-DOS Komut İstemcisi (MS-DOS Prompt),
Dosyayı açarız ve içersinde şu kelimeleri ararız; Access, Port, Winsock, yada bize şüpheli gelebilecek herhangi bir kelime,
Sistemlerle ilgili Alınacak Önlemler
(Some Considerations About Systems Security)
Buraya kadar hep bilgisayarlarımızla ilgili alınabilecek önönlemlerden söz ettik. Bundan sonraki kısımda az da olsa öğrendiğim, sistemler için ne gibi güvenlik önlemleri alınabilir konusunada özet olarak değinmeye çalışacağım. Elbet, bu kısımdan sonraki anlatılanları, sistemi tanıyanlar yada bir şekilde sistemle ilintili olanlar daha iyi anlayacaktır. Belkide seçmis olduğum düz anlatım kendilerini pek tatmin etmeyecektir. Ama yinde yararlı olacağını düşünüyorum.
Birazda Linux Güvenlik Önerileri
(Some Clues About Linux Security)
Ben Windowsx dışında bir işletim sistemi (os) kullanmadım. Ama meraklı olan herkes gibi Unix ve Linux un nasıl çalıştığını merak edenlerdenim. Ancak aramızda mutlaka işletim sistemi olarak Linux u kullananlarımız vardır. Linux kullanıcıları için yararlı olabilecek bazı güvenlik önlemleri öğrendim onlardan söz edeceğim. Bunu neden açıkladım, çünkü öğrendiklerimi aktarırken belki işin tekniğiniden biraz uzaklaşabilirim. Yani anlattklarim daha çok düz metin anlatımı şeklinde olacaktır.
Kayıtların (logs) Okunması
Linux sistemi içersinde ne olup bittiğini anlamanın yegane yolu kayıtları (logs) okumaktır. Şüphesiz bu saldırganın (attacker) bu kayıtları yoketmemesi (corrpt) durumunda geçerlidir. Bu kayıtlarda yapılan tüm bağlantıların ve varsa bir saldırı girşimi, onun neler yaptıgının tüm izlerini bulabiliriz. Kayıtları (logs) anlamada yada yorumlamada zorluk çekersek, üyesi olabileceğimiz bir sürü Linux kulüpleri vardır, oralarda bunları sorup yorumlatabiliriz. Bilmediğimiz bir şeyi sorup bilen birisinden yardım talep etmemizde garip bir şey yoktur, değilmi? Bu gayet doğaldır. Çünkü herşeyi bilmemizin olanağı yoktur. Örneğin ben Linux güvenliği konusunda anlattıklarımı sözünü ettiğim Linux kulüplerinde elde ettim.
Oyunlara Dikkat
Suid kök oyunları (suid root games) eğlencelidir, vakit öldürmeye yarar ama tanıyıp bilmediğimiz oyunlarda, binlerce kötü kodlamaları içerebilmektedir. Bilmediğimiz oyunları kabul ederken düşünmemiz gerekir. Bu tür oyunların üreticilerini denetlememiz yada üreticilerin güvenli olup olmadığı bilmemiz o kadar kolay değildir. Kısaca suid kök lü oyunlardan uzak durmamız gerekir. hani işyerlerinde ag üzerinde oynanan oyunlar vardır, birisi oyunda öncü olur ve oyunu başlatır. Bu tür oyunlar Linux işletim sisteminde kök sistemden yararlanır.
Sistemimizde suid köklü programları mümkün oranda kullanmamak :
İşte bu suid köklü oyunlar Unix işletim sisteminin tanrısı kabul edilen kök (root) seviyesinden çalıştırılmaktadır. İşte bu nedenle güvenliğin altın kuralı sayılan sistemin köküne erişimin ancak belli seviyelerdeki yöneticilere sağlanması durumunu riske etmektedir. Bu tür oyunları oynayan kullanıcıların ne olup bittiğinden haberdar olmaları da olanak dışıdır. O zaman yapılması gereken bu tür oyunlara sistemde izin vermemektir.
Programları ayrıcalıklı erişimle çalıştırmak:
Yukarılarda sözünü ettiğimiz gibi bazı programlar sistemde kök (root) seviyede çalışmak isterler. Bu durumda bu tür olaylar için bazı imtiyazlı erişim hakları sağlanabilir. Örneğin yazıcı hattı (Line Printer) komutları yazıcıya erişmek için sıradan kullanıcı erişiminden daha yüksek seviyeli erişim talep eder. Ama burada çok küçük bir kısım kök seviyede çalışır. İşte bu gibi durumlarda akıllıca davranış bir lp kullanıcı lp (/bin/true as the shell) ve lp isimli bir grup yaratmaktır. Böylece o gruptan herhangi bir kullanıcı burada sadece lp komutunu kullanabilir ve bunun dışına çıkamaz.
İhtiyacımız olamayan yada kullanılmayan servisleri kapatmak
Eğer rpc.mountd, rpc.nfsd yada diğer benzer damonları (daemons) kullanmıyorsak, bunları kapatalım. Onları kill -9 ile etkisizleştirip /etc/rc.d ifadelerine (scripts) gidip yanlarına yorum koyalım. Bunlar belleği tüketmekte, işlemcinin hızını azaltmakta ve saldırganlara Linux sistemi hakkında bilgi elde etmelerine olanak sağlamaktadırlar.
En son /libs dosyalarına sahip olamak:
Lib dosyaları paylaşılmış dosyalardır. Bir program birazcık bir koda gereksinim duyunca bunu elde etmek için bu libs dosyalarına gider ve ihtiyacı olanı oradan alır. Sağlanan kolaylık gayet açıktır. Programlar daha küçük hacimlerde derlenmektedir. Şayet bir parça lib kodu bozulmuşsa, yapılacak şey onu güncellemektir. Bir çok program aynı kodlamayı kullanmaktadır. Programcılar daha önce yazdıkları bir kodlamayı tekrara yazmaya değilde, programın işlevselliği üzerinde yoğunlaşmaktadırlar. Bunun dezavantajı da vardır: liblerde bozulmuş bir kod bir çok programı etkileyecektir. Şayet saldırgan liblerle oynamışsa o zaman başımız gerçekten dertte demektir. Yapılabilecek en iyi şey, libleri güncelleştirmek ve meydana gelen değişiklikleri tarih ve boyutlarını kontrol etmektir.
Bağlantıları şifrelemek
Paket koklama (packet sniffing) şifre elde etmke için kullanılan en yaygın yöntemdir. Şifrelenmemiş bir subnet üzerinde, elegeçirilmiş bir bilgisayara yüklenmiş bir paket koklama programı (packet sniffer) ile hackerler binlerce şifre elde edebilirler. Yerel bilgisayarlardan, diğer bilgisayar şebekelerinden. İster şebekeniz firewall ile korunmuş olsun ister olmasın. Anlatıldığına göre koklama saldırılarının çoğu Firewall ile korunmuş şebekelere yapılıyormuş. Şifreleme de (encryption) güvenli olamayan şebekelerin kullanılmasına yol açmaktaymış. Bunun için engüvenli şifreleme paketlerini içeren güvenli Firewall lar kullanmak gerekiyormuş.
Kernel dosyalarını güncel ve istikrarlı tutmak
Kernel konusu daha çok sistemlerinde kullanıcısı olanalar için geçerli bir konuymuş. Eski tarihli Kernel lerin gedikleri oldukça fazlaymış. Beta kernel lar ise istikrarlı çalışmıyormuş. Vede 2.0.X Kernel lar 1.2.X Kernel lardan daha hızlı ve 1.3.X Kernels lardan da daha istikrarlı imiş.
Kernel ları derlerken sadece ihtiyaç duyula ve kullanılacak olanları kodlamak:
Kernel ların kodlamanın dört gerekçesi varmış: Kernel daha hızlanırmış, daha fazla bellek alanı elde edilirmiş, daha istikrarlı çalışırmış ve kullanılmayan kısımlar da kapatılırmış. Eğer kapatılmazsa bu kısımlar saldırganlar için sistemi sondalama ve bilgi elde etmek için kullanılabilirmiş.
Mümkün orada sistemi başkalarına kapalı tutmak
Basit bir parmaklama (fingering) bir sistem hakkında bundan anlayan için oldukça fazla bilgi sağlar. Ne tür bilgiler? Sistemin kaç kullanıcısı var?, yönetici ne zamanlar sistemde?, Ne zamanlar çalışıyorlar?, Kim kimdir?, Sistemi kimler kullanıyor?, ve personal bilgileri. İşte bu tür bilgiler saldırgana sistem de kullanılan kullanıcı adı ve şifreleri ile ilgili tahminler yürütmesini sağlayabilecek bilgilerdir. Buna karşı kuvvetli parmaklama damonları (finer deamon) kullanılmalı ve sisteme kimlerin erişebileceğini belirleyen tcpd kodlamasını kullanmak.
Kuvvetli Şifre kullanımını zorunlu kılmak
Şurası kabul edilmelidir ki, kullanılan basit ve zayıf şifreler sisteme kolay sızılmasının yegane nedenidir. Bir kutuya Shadow yüklenirse, kullanılmadan önce kötü şifreler seçip çıkartabilir. Kırma programını test için kullanmakta başka bit yöntemdir. Sistemde çok az kullanıcı da olsa, her kullanıcıyı tanıyor da olsak, kötü şifreler mutlaka çıkacaktır ve buda birilerini köy seviyeye erişebilmesine olanak tanıyacaktır.
Linux box e erişimi mümkün oranda sınırlamak
Mesela, bilmem ne ? Üniversitesinin bilgisayar odasındasındayız yada kütüpanesindeyiz ve orada 10BaseT bağlantı olanağımız var. Ve sürekli olarak neato Linux box umuzu açık bırakıyoruz. Bu durumda ne olabilir okul arkadaşlarımızı yada herhangi birisi giriş (login) yapabilir. Ama, bunların hepside Üniversite nin syubnet inden bağlanabilir. Burada Üniversite nin subnet in dışarıdan bağlantıları engellemek yararlıdır. Tcpd ve birazda duyarlı davranmak sistemi güvende tutacaktır. Yeni başlayanlar bir Linux sistemine 10BaseT ye kancalanarak çalıştıracağı için, etrafı gözetleyen bir kötü niyetli kişi için hedef teşki edecektir. Kötü niyetli kişi sistemde '+o0 kewl/<-rad 31i+3 WaReZ SiTeZ' olup olmadığına bakmaya çalışacaktır.
Evet Linux sistemi ile ilgili alınması gereken güvenlik önlemlerinde söz etmeye çalıştım. Linux ve Unix, Temelde olmasa da Windowsx lerde oldukça farklı ve oldukça şey bilinmesini gerektiriyor. Ben burada üyesi bulunduğum yerlerden sağladığım bilgilerle ve soru-cevap şeklinde yer alan metinlerde geçen bilgileri düz metin halinde aktarmaya çalıştım. Düz metin diyorum, çünkü anlatımda teknik düzeyden mümkün oranda uzak durmaya çalıştım. Linux kullanıcıları bunu zaten fark edeceklerdir.
Telnet Ilgili Bilgiler
Şifrelenmiş Kerberize Telnet
Şifrelenmiş bir kerberize Telnet özelliği bir router in şifrelenmiş Telnet oturumunu (session) başlatmasını ve almasını sağlar. Dahaönceleri, Tüm Telnet oturum trafiği okunabilir veri olarak aktarılabiliyordu. Bir router a yadan router dan bir Telnet oturumu oluştururken şifrelenmiş kerberize Telnet kullanılabilmektedir. Bu özellik kullanıldığı zaman, önce bize kerberos verileri ile bize bir yetki verilir, ve ardından şifrelenmiş bir oturum oluşturulur. Cisco 'nun Şifrelei Kerberize Telneti aşağıda belirtilen şifreleme standardını kullanmaktadır: 64 bitlik Sıfır Geribesle meli [64-bit Cipher Feedback (CFB)] bir 56 bitlik Veri Şifreleme Standardı [56-bit Data Encryption Standard (DES)]. Bu özellik, eğer sistemde 56 bitlik bir şifreleme görüntüsü (56-bit encryption image) varsa geçerlidir. 56 bitlik Veri Şifreleme Standardı (56-bit DES encryption) şifreleme yöntemi de ABD Devlet İhracat Denetim Yönetmeliklerine tabi bir yazılıdır. Yani ABD dışına satımı yada çıkartılması devletin özel izinlerine tabidir. Ama bu şifreleme yöntemleri bazı sistemlerde kullanılmaktadır.
Yararları
Kerberos şifreleme yöntemlerinin kullanılmasında bazı yararlar vardır. Telnet oturumlarını şifrelemek Telnet trafiğinde araya sızmaları yada aktarılmakta olan bilgilerin başkaları tarafından okunması gibi riskleri en aza indirmektedir. Bu özellik, bilhassa uzaktan yönetilen router larla Telnet oturumlarını kullanan sistem yöneticileri içim oldukça yararlı ve değerli olacaktır. Normal Telnet oturumlarında yani şifrelenememiş Telnet oturumlarında, bir saldırgan (attacker, intruder) araya girip Telnet trafiğinde olup bitenleri okuyabilir. Şayet trafikte bir router in kurlum bilgileri yer alıyorsa, router in bütünlüğü tehlikeye girecek demektir. Şifrelenmiş Telnet oturmu kullanarak bir Router i yönetmek, o Router in bütünlüğünün korunmasında yardımcı olacaktır. Cisco, bir Router a yada başka bir Cisco aygıtına o aygıtı yönetmek için bir Telnet oturumu başlatıldığında şifrelenmiş kerberize Telnet kullanılmasını önermektedir.
Tanımlar
Okunabilir Veri (Cleartext data)
Başka bir ifade ile şifrelenmemiş veri demektir. Aktarım esnasında araya girilebilip başkaları tarafından okunabilir veridir. Plaintext data diyede bilinir. Data that is readable if intercepted during transmission. Also called "plaintext" data.
Şifreleme (Encryption)
Anlaşılır ve anlamlı düz metinleri okunup anlaşılamayan şekle dönüştürme yöntemidir. Şayet verilen aktarımdan önce şifrelenirse (okunamaz hale getirilirse) aktarım esnasında müdahale edip araya girilse de okunamaz durumda olacaktır. Veriler varacakları yer ulaştıklarında, tekrar eski hallerinde dönüştürülecektir. Deşifre denilen bir işlemden geçirilirler.
Desteklenen Platformlar
Şifrelenmiş Kerberize Telnet Oturum özelliği şu platformları desteklemektedir;
Cisco 2500 serileri
Cisco 4000 serileri (Cisco 4000, 4000-M, 4500, 4500-M, 4700, and 4700-M)
Cisco 7000 serileri
Cisco 7500 serileri,
Sistem Koşulları
Bu özelliğin kullanılabilmesi için, telnet oturumu kurulmak istenilen her bir Router için daha önceden kurulumu yapılmış Kerberos ların olması gerekir. Kerberos kurulumları hakkında ayrıntılı bilgi almak isteyen yada Telnet oturumlarının güvenliğine dair daha başka şeyler öğrenmek isteyen, sistem yöneticileri, sistemle ilintili olan kişiler yada anlatılarımı çok basit düzmetin olarak gören kişiler, Cisco IOS un 11.2 Nolu Açıklamasının Güvenlik Kurulum Elkitapçığı na (Cisco IOS Release 11.2 Security Configuration Guide) başvurabilir yada Cisco nun Web sayfasından inceleyebilirler.
Hacker (çökertici)
Programlama dillerinden (programming languages) en az birini bilen, işletim sistemlerinin (operating systems) nasıl işlediginden anlayan ve iletişim sistemlerinin (communication structures) TCP/IP gibi, nelerden oluştugunu bilen kötü niyetli kişi yada kişiler.
Cracker (şifre kırıcı)
Programlama dillerinden (programming languages) en az birini bilen, işletim sistemlerinin (operating systems) nasıl işlediginden anlayan, iletişim sistemlerinin (communication structures) TCP/IP gibi, nelerden oluştugunu bilen, şifreleme teknolojilerinden haberdar ve hackleme programlarının nasil kullanıldığını çok iyi bilen kötü niyetli kişi yada kişiler.
Lamer (çökertici özentisi)
Bir tür hacker, aslında hackleme konusunda yetenekli ve bilgi olamayan ama kendisini hacker zannedip UYA (Uzaktan Yönetim Araçları, RATs)ları kullanmaktan başka bir iş yapmayan kişi yada kişiler.
Intruder (sızıcı)
Bunun tanımı hackerın tanımı ile benzerlik arzeder, bir farkı vardır, bu tip kişiler kendilerinin sadece bilgi peşinde olduklarını savunurlar.
Kötü kodlama (malicious coding)
Virüs, Truva Atı, Solucan (Worm) yada UYA (RATs / TMTs).
Virüs, Truva Atı, Solucan (Worm) yada UYA, Uzaktan Yönetim Araçları [RATs, (Remote Administration Tools) / TMTs (Remote Monitoring Tools)]:
bilgisayarlarımızda zarara, yıkıma ve çökmelere yol açan, önemli (confidential) ve mahrem bilgilerimizin (privacy) çalınmasını, araklanmasını yada tırtıklanmasını sağlayan yazılım yada programlardan başka bir şey değildir.
Intrusion (sızma)
Başkalarına ait sistem yada bilgisayarlara (systems or computers), yetki dışında (unauthorised) sızılma (penetration) eylemidir.
Bulaşma Ortamları
(Infection Environments)
Sanal Dünya da ne kadar bilgisayar yada sistemin virüs ve benzeri kodlamalardan etkilendiği yada ne kadarına kötü kodlama bulaştığını hiç merak ettik mi? Yaklaşık 50 milyon filanmış. Bunu nasıl belirliyorlar? Sanırım bu Symantec, McAfee gibi virüs takip ve denetleme firmalarının işi. Bulaşmanın bu boyutlara ulaşmasının başılıca nedeni, IRC, mIRC ve IQC nun çok yaygın olarak kullanılıyor olması. Sıradan bir bilgisayar kullanıcısı, ICQ ortamında ne gibi risklerle yüz yüze olduğundan hiç haberdar değildir. Kullandığımız ICQ Hesap Numaramız (Account Number) IP Numaramızı herkese açık hale yani görülebilir hale sokar. ICQ unun IP Numarasını genele göstermeme seçeneğini işaretlesek bile bu pek işe yaramaz. Yaramaz çünkü IP Numarası koklama programları (IP Sniffer programs) vardır ve bu programlarla rahatlıkla ICQ ortamında IP numaralarımız tespit edilebilir. Nedir bu IP Numarası? IP Numaramiz, bilgisayar yada sistemimizin Internet Protokol Adresidir (Internet Protokol Address). Nasıl yani, yine anlamadım mı dediniz? Şöyle örnek verelim; IP Numaramız kimliğimizdeki (Nüfus Cüzdanı) seri numarası gibi bir numaradır. Internet te bilgisayarlar bu numaralarla tanınırlar. Kimliğimizdeki ismimizde bilgisayarlardaki DNS (Domain Name Systems) gibidir. Kimliğimizdeki numara ve ismimiz sabittir. Ama bu bilgisayarlarımızda durum biraz farklılık arzeder.
IP Numaraları
(IP Numbers)
Ne demiştik, IP Numaralarımız bilgisayarımızın Internet Protokol Adresidir. IP Numaralarımız kullandığımız ISS (ISP) tarafından bizi yani bilgisayarımızı tanımlamak için verilir. Her bağlandığımızda bize ayrı bir IP Numarası atanır. Yani klasik ve yavaş akan modemli bağlanti yönteminde atanan IP Numaraları değişkendir (not static). Ama DSL (Dynamic Subscriber Lines=Dinamik Abone Hatları) ve Kablolu (cable connection) Bağlantıda durum farklıdır. Atanan IP Numaraları sabittir (static). Biz bu numarayı kimlik numaramızla karşılaştırmıştık. Aslında Türkiye de olmayan ABD ve Avrupa da kullanılan Sosyal Güvenlik Kimlik Numaraları vardır, bu daha çok ona benzer. Bu numara ile ilgili kişi hakkında herşey elde edilebilir. İşte bu Sosyal Güvenlik Kimlik numarası gibi olan IP Numaramızı ele geçiren kişiler, isterlerse bizimle ilgili herşeyi öğrenebilirler. elde edebilir. Eğer haclker kurnaz (tricky) bir kişiyse ve uğraşırsa bize ait bir çok gizli ve önemli bilgileri elde edebilir.
Mesela 127.0.0.1. gibi bir IP Numarası bizim yerel hostumuzun numarasıdır. 126.568.650.496 gibi bir numarada bir IP adresidir. Bunları çevirme yolları vardır ve bu yolla bizim host adresimize ulaşılır. Şimdi bazı kötü niyetli kişilerin neden bilgisayarlarımıza sızmak yada Truva Atı vb UYA ları göndermek istediklerini kavrayabildik mi? ya bilgisayarımıza komple hükmetmek (completely command) istiyorlar yada zarar ve yıkım yaratmak istiyorlar. Truva Atı ve Virsülerin aslında ilk amacı budur.
Truva Atı Bulaşmış Bilgisayarımızda Neler Olabilir?
(What A Trojan Horse Causes To Our PCs?)
Bir çok Truva Atı yaga UYA programları çalıştırılabilir (executable) özelliği olan .exe uzantılı çok küçük dosyalardır (files). Boyutları oldukça küçüktür, 15 Kb, 30Kb, 80 Kb gibi. Küçük olmalarının sebebi, insanlar 100Kb ın üzerindeki dosyaları pek yüklemek istemezlermiş. Bu çalıştırılabilir dosyalara tıklandığında pek bir şey olmaz. Ancak geri planda bilgisayarımızda gizli bir port (hidden port) açar. Gizli (hidden) olduğu için ne olduğunu anlayamayız. Dosyayı açmamızın hemen ardından, bilgisayarımızın denetimi, bize bu Truva Atı nı yollayan kişinin eline geçer. Artık onun bilgisayarımıza tam erişim hakkı vardır. Bilgisayarımıza yerleştirilen Truva Atı bir istemci (client) vazifesi görmeye başlar. Kendisini gönderene ne isterse onu yapma olanakları sağlar.
Nedir bunlar?
- Şifrelerimiz çalmak (stealing passwords),
- Dizin erişimi (directory accessing),
- Bilgisayarımızı açıp kapatma (rebooting/shutting-down),
- Keylogging (keylogging),
- Bilgisayarımıza ekran koruyucu yerlestirme (changing screenshots),
- CD-Rom sürücümüzü açıp kapatma (openining /closing cd-rom drive),
- Ekrana görüntü yerleştirme (image),
- Fare hareketlerini değiştirme (swapping mouse controls),
- Herhangi bir programı devreye sokma (starting a program),
- E-mail programımızı kullanarak mesaj gönderme (sending messages),
- Portlarımızı yeniden yönlendirme (port redirection),
- Faremizin tüm denetimini elimizden alma (controling mouse), ve sayamayacağımız kadar başka şeyler, artık kötü niyetli kişinin hayal gücüne kalmış.
Yukarıda saydıklarımız, bilgisayarımıza bir Truva Atı bulaştıktan sonra, onu denetleyen kişinin yapabileceklerine bir kaç örnekten ibarettir ve bunlarla sınırlı değildir. Bir hacker yada lamer in bilgisayarımıza Truva Atı yerleştirme çabasının ilk adımı bize ait IP Numarasını elde etmektir. Bununda nasıl elde edildiğini yukarıda anlatmıştık.
Truva Atı Yükleyen Programlar
(Binders)
Başka programlarla kendilerini yükleyen Truva Atı türleri de mevcuttur. Hackerların yada lamer ların ifadesi ile buna Bağlama (Binding) denir. Örnegin Whackamole isimli program kullanılar. Bu isme dikkat edelim lütfen. Hacker yada lamerlar bu programı oyun programı kisvesi altında kurbanlara (victims) göndermektedirler. Program ileti (email) ekinde (attachment) game.exe isimli dosya olarak gönderilmektedir. Ama ismi değiştirilebilmektedir. Kurban (victim) bu çalıştırılabilir (executable) dosyayı (file) tikladığında, dosya otomatikman Truva Atını bilgisayarımıza yükler ve whackamole game isimli dosyayı çalıştırır. Fakat aynı zamanda program kendisini yüklerken NetBus virüs programını da bilgisayarımızın C:\Windows\Directory dizinine yükler. Tüm anlattıklarım geri planda gerçekleşir böylece kurban (victim) bilgisayarına virüs bulaşıp bulaşmadığını anlayamaz. bilgisayarlara Truva Atı yerleştiren programların başka örnekleri de vardır. Bu nedenle burada ismini verdiğim programin bir tane olduğu duşünülmesin. Bunların çeşitleri hakkında Symantec yada McAfee nin virüs merkezinde ayrıntılı bilgi edinilebilir.
Truva Atı dünyasının gelmiş geçmiş en iyi tanınan Truvası BackOrifice dir. cDc lakaplı biri tarafından yazılmış/programlannmıştır. Yeraltı dünyasında oldukça tutulan bir UYA dır. Bunun birden fazla varyantı (değiştirilmiş türü) vardır. BackOrifice in bu denli yeraltı dünyasında rağbet görme nedeni, onun Windows NT lerde kullanılabilmesidir. Bu Truva Atının en tehlikeli tarafı kaynak kodudur (source code). Microsoft un İşletim sistemlerinde oldukça fazla güvenlik boşlukları mevcuttur. Güvenlik açığı yada gediği (bug, flaw, vulnerability) olmayan bir işletim sistemi yapmak imkansızın da ötesinde bir şeydir. Ama böyle bir işletim sistemi oluşturma çabalarıda sürmektedir.
Bilgisayarlarımıza Sızılmasını Nasıl Engelleriz?
(How Could We Prevent Not Accessed To Our Computers?)
Evet bilgisayarlarımıza yada sistemimize hackerların, lamerlerin yada genel anlamı ile kötü niyetli kişilerin erişimini nasıl engelleyebiliriz? Önemli ve kişisel bilgilerimizi çalınmaktan nasıl koruyabiliriz? Eger bilgisayarımıza kötü kodlamalardan birisinin bulaştığıını anladık yada farkettiysek ve bundan da eminsek, onu geçikmeden bu kötü kodlamalardan temizlememiz gerekir. Anacak bu duruma düşmeden önce temiz ve güvenli bir bilgisayar için almamız gerek bazı önlemler vardır;
- Internet ve PC güvenliği konusunda yazmış olduğum diğer çalışamalarda sözü edilen, Güvenli - Internet ve Bilgisayar için alınabilecek tüm önlemleri almak,
- Kuvvetli bir AVP programı kullanmak,
- Kuvvetli ve güncellenmiş bir Firewall kullanmak,
- The Cleaner gibi Truva Atı tarayıcı (Trojan Scanner) programı kullanmak, Bu program için en iyi Truva Atı Avcısı denmektedir. Birçok AVP de olmayan özelliklere de sahiptir. Bulabilirsek ki mutlaka buluruz, The Cleaner ı yüklemek bize oldukça yarar sağlar.
- McAffe yada N2K kullanıyorsak, bunları mutlaka güncellemiz gerekir. Bu güncelleme işi çok ciddi bir koduru. Çünkü ortalama her hafta 1000 nin üzerinde yeni kötü kodlama Internet te dolaşıma salınıyormuş. Eğer AVP mizi güncel tutarsak, bilgisayarımızın temiz ve güvende kalması için ona güvenebiliriz.
Başka Hangi Tedbirleri Alabilriz?
(What Other Ways Could be Applied?)
Tüm anti-virüs programları yüzde yüz güvenli diye bir kural yoktur. Nasıl ki İşletim Sistemleri nin (Oss) bazi açık ve gedikleri varsa, AVP lerinde bazı gedikleri vardır. O zaman başka neler yapabiliriz? Denetim için kullanabileceğimiz başka yollar varmıdır? Evet var. Onlarıda şöyle sıralarsak;
Şayet bir çalıştırılabilir (executable) dosya yada ne tür dosya olursa olsun, alırsak yada yüklersek,
Bu dosyayı açmadan önce içerisinde ne taşıdığına bakmamızda yarar vardır, Bunu yapmak için,
Başlat (Start),
Prorgramlar (Programs),
MS-DOS Komut İstemcisi (MS-DOS Prompt),
Dosyayı açarız ve içersinde şu kelimeleri ararız; Access, Port, Winsock, yada bize şüpheli gelebilecek herhangi bir kelime,
Sistemlerle ilgili Alınacak Önlemler
(Some Considerations About Systems Security)
Buraya kadar hep bilgisayarlarımızla ilgili alınabilecek önönlemlerden söz ettik. Bundan sonraki kısımda az da olsa öğrendiğim, sistemler için ne gibi güvenlik önlemleri alınabilir konusunada özet olarak değinmeye çalışacağım. Elbet, bu kısımdan sonraki anlatılanları, sistemi tanıyanlar yada bir şekilde sistemle ilintili olanlar daha iyi anlayacaktır. Belkide seçmis olduğum düz anlatım kendilerini pek tatmin etmeyecektir. Ama yinde yararlı olacağını düşünüyorum.
Birazda Linux Güvenlik Önerileri
(Some Clues About Linux Security)
Ben Windowsx dışında bir işletim sistemi (os) kullanmadım. Ama meraklı olan herkes gibi Unix ve Linux un nasıl çalıştığını merak edenlerdenim. Ancak aramızda mutlaka işletim sistemi olarak Linux u kullananlarımız vardır. Linux kullanıcıları için yararlı olabilecek bazı güvenlik önlemleri öğrendim onlardan söz edeceğim. Bunu neden açıkladım, çünkü öğrendiklerimi aktarırken belki işin tekniğiniden biraz uzaklaşabilirim. Yani anlattklarim daha çok düz metin anlatımı şeklinde olacaktır.
Kayıtların (logs) Okunması
Linux sistemi içersinde ne olup bittiğini anlamanın yegane yolu kayıtları (logs) okumaktır. Şüphesiz bu saldırganın (attacker) bu kayıtları yoketmemesi (corrpt) durumunda geçerlidir. Bu kayıtlarda yapılan tüm bağlantıların ve varsa bir saldırı girşimi, onun neler yaptıgının tüm izlerini bulabiliriz. Kayıtları (logs) anlamada yada yorumlamada zorluk çekersek, üyesi olabileceğimiz bir sürü Linux kulüpleri vardır, oralarda bunları sorup yorumlatabiliriz. Bilmediğimiz bir şeyi sorup bilen birisinden yardım talep etmemizde garip bir şey yoktur, değilmi? Bu gayet doğaldır. Çünkü herşeyi bilmemizin olanağı yoktur. Örneğin ben Linux güvenliği konusunda anlattıklarımı sözünü ettiğim Linux kulüplerinde elde ettim.
Oyunlara Dikkat
Suid kök oyunları (suid root games) eğlencelidir, vakit öldürmeye yarar ama tanıyıp bilmediğimiz oyunlarda, binlerce kötü kodlamaları içerebilmektedir. Bilmediğimiz oyunları kabul ederken düşünmemiz gerekir. Bu tür oyunların üreticilerini denetlememiz yada üreticilerin güvenli olup olmadığı bilmemiz o kadar kolay değildir. Kısaca suid kök lü oyunlardan uzak durmamız gerekir. hani işyerlerinde ag üzerinde oynanan oyunlar vardır, birisi oyunda öncü olur ve oyunu başlatır. Bu tür oyunlar Linux işletim sisteminde kök sistemden yararlanır.
Sistemimizde suid köklü programları mümkün oranda kullanmamak :
İşte bu suid köklü oyunlar Unix işletim sisteminin tanrısı kabul edilen kök (root) seviyesinden çalıştırılmaktadır. İşte bu nedenle güvenliğin altın kuralı sayılan sistemin köküne erişimin ancak belli seviyelerdeki yöneticilere sağlanması durumunu riske etmektedir. Bu tür oyunları oynayan kullanıcıların ne olup bittiğinden haberdar olmaları da olanak dışıdır. O zaman yapılması gereken bu tür oyunlara sistemde izin vermemektir.
Programları ayrıcalıklı erişimle çalıştırmak:
Yukarılarda sözünü ettiğimiz gibi bazı programlar sistemde kök (root) seviyede çalışmak isterler. Bu durumda bu tür olaylar için bazı imtiyazlı erişim hakları sağlanabilir. Örneğin yazıcı hattı (Line Printer) komutları yazıcıya erişmek için sıradan kullanıcı erişiminden daha yüksek seviyeli erişim talep eder. Ama burada çok küçük bir kısım kök seviyede çalışır. İşte bu gibi durumlarda akıllıca davranış bir lp kullanıcı lp (/bin/true as the shell) ve lp isimli bir grup yaratmaktır. Böylece o gruptan herhangi bir kullanıcı burada sadece lp komutunu kullanabilir ve bunun dışına çıkamaz.
İhtiyacımız olamayan yada kullanılmayan servisleri kapatmak
Eğer rpc.mountd, rpc.nfsd yada diğer benzer damonları (daemons) kullanmıyorsak, bunları kapatalım. Onları kill -9 ile etkisizleştirip /etc/rc.d ifadelerine (scripts) gidip yanlarına yorum koyalım. Bunlar belleği tüketmekte, işlemcinin hızını azaltmakta ve saldırganlara Linux sistemi hakkında bilgi elde etmelerine olanak sağlamaktadırlar.
En son /libs dosyalarına sahip olamak:
Lib dosyaları paylaşılmış dosyalardır. Bir program birazcık bir koda gereksinim duyunca bunu elde etmek için bu libs dosyalarına gider ve ihtiyacı olanı oradan alır. Sağlanan kolaylık gayet açıktır. Programlar daha küçük hacimlerde derlenmektedir. Şayet bir parça lib kodu bozulmuşsa, yapılacak şey onu güncellemektir. Bir çok program aynı kodlamayı kullanmaktadır. Programcılar daha önce yazdıkları bir kodlamayı tekrara yazmaya değilde, programın işlevselliği üzerinde yoğunlaşmaktadırlar. Bunun dezavantajı da vardır: liblerde bozulmuş bir kod bir çok programı etkileyecektir. Şayet saldırgan liblerle oynamışsa o zaman başımız gerçekten dertte demektir. Yapılabilecek en iyi şey, libleri güncelleştirmek ve meydana gelen değişiklikleri tarih ve boyutlarını kontrol etmektir.
Bağlantıları şifrelemek
Paket koklama (packet sniffing) şifre elde etmke için kullanılan en yaygın yöntemdir. Şifrelenmemiş bir subnet üzerinde, elegeçirilmiş bir bilgisayara yüklenmiş bir paket koklama programı (packet sniffer) ile hackerler binlerce şifre elde edebilirler. Yerel bilgisayarlardan, diğer bilgisayar şebekelerinden. İster şebekeniz firewall ile korunmuş olsun ister olmasın. Anlatıldığına göre koklama saldırılarının çoğu Firewall ile korunmuş şebekelere yapılıyormuş. Şifreleme de (encryption) güvenli olamayan şebekelerin kullanılmasına yol açmaktaymış. Bunun için engüvenli şifreleme paketlerini içeren güvenli Firewall lar kullanmak gerekiyormuş.
Kernel dosyalarını güncel ve istikrarlı tutmak
Kernel konusu daha çok sistemlerinde kullanıcısı olanalar için geçerli bir konuymuş. Eski tarihli Kernel lerin gedikleri oldukça fazlaymış. Beta kernel lar ise istikrarlı çalışmıyormuş. Vede 2.0.X Kernel lar 1.2.X Kernel lardan daha hızlı ve 1.3.X Kernels lardan da daha istikrarlı imiş.
Kernel ları derlerken sadece ihtiyaç duyula ve kullanılacak olanları kodlamak:
Kernel ların kodlamanın dört gerekçesi varmış: Kernel daha hızlanırmış, daha fazla bellek alanı elde edilirmiş, daha istikrarlı çalışırmış ve kullanılmayan kısımlar da kapatılırmış. Eğer kapatılmazsa bu kısımlar saldırganlar için sistemi sondalama ve bilgi elde etmek için kullanılabilirmiş.
Mümkün orada sistemi başkalarına kapalı tutmak
Basit bir parmaklama (fingering) bir sistem hakkında bundan anlayan için oldukça fazla bilgi sağlar. Ne tür bilgiler? Sistemin kaç kullanıcısı var?, yönetici ne zamanlar sistemde?, Ne zamanlar çalışıyorlar?, Kim kimdir?, Sistemi kimler kullanıyor?, ve personal bilgileri. İşte bu tür bilgiler saldırgana sistem de kullanılan kullanıcı adı ve şifreleri ile ilgili tahminler yürütmesini sağlayabilecek bilgilerdir. Buna karşı kuvvetli parmaklama damonları (finer deamon) kullanılmalı ve sisteme kimlerin erişebileceğini belirleyen tcpd kodlamasını kullanmak.
Kuvvetli Şifre kullanımını zorunlu kılmak
Şurası kabul edilmelidir ki, kullanılan basit ve zayıf şifreler sisteme kolay sızılmasının yegane nedenidir. Bir kutuya Shadow yüklenirse, kullanılmadan önce kötü şifreler seçip çıkartabilir. Kırma programını test için kullanmakta başka bit yöntemdir. Sistemde çok az kullanıcı da olsa, her kullanıcıyı tanıyor da olsak, kötü şifreler mutlaka çıkacaktır ve buda birilerini köy seviyeye erişebilmesine olanak tanıyacaktır.
Linux box e erişimi mümkün oranda sınırlamak
Mesela, bilmem ne ? Üniversitesinin bilgisayar odasındasındayız yada kütüpanesindeyiz ve orada 10BaseT bağlantı olanağımız var. Ve sürekli olarak neato Linux box umuzu açık bırakıyoruz. Bu durumda ne olabilir okul arkadaşlarımızı yada herhangi birisi giriş (login) yapabilir. Ama, bunların hepside Üniversite nin syubnet inden bağlanabilir. Burada Üniversite nin subnet in dışarıdan bağlantıları engellemek yararlıdır. Tcpd ve birazda duyarlı davranmak sistemi güvende tutacaktır. Yeni başlayanlar bir Linux sistemine 10BaseT ye kancalanarak çalıştıracağı için, etrafı gözetleyen bir kötü niyetli kişi için hedef teşki edecektir. Kötü niyetli kişi sistemde '+o0 kewl/<-rad 31i+3 WaReZ SiTeZ' olup olmadığına bakmaya çalışacaktır.
Evet Linux sistemi ile ilgili alınması gereken güvenlik önlemlerinde söz etmeye çalıştım. Linux ve Unix, Temelde olmasa da Windowsx lerde oldukça farklı ve oldukça şey bilinmesini gerektiriyor. Ben burada üyesi bulunduğum yerlerden sağladığım bilgilerle ve soru-cevap şeklinde yer alan metinlerde geçen bilgileri düz metin halinde aktarmaya çalıştım. Düz metin diyorum, çünkü anlatımda teknik düzeyden mümkün oranda uzak durmaya çalıştım. Linux kullanıcıları bunu zaten fark edeceklerdir.
Telnet Ilgili Bilgiler
Şifrelenmiş Kerberize Telnet
Şifrelenmiş bir kerberize Telnet özelliği bir router in şifrelenmiş Telnet oturumunu (session) başlatmasını ve almasını sağlar. Dahaönceleri, Tüm Telnet oturum trafiği okunabilir veri olarak aktarılabiliyordu. Bir router a yadan router dan bir Telnet oturumu oluştururken şifrelenmiş kerberize Telnet kullanılabilmektedir. Bu özellik kullanıldığı zaman, önce bize kerberos verileri ile bize bir yetki verilir, ve ardından şifrelenmiş bir oturum oluşturulur. Cisco 'nun Şifrelei Kerberize Telneti aşağıda belirtilen şifreleme standardını kullanmaktadır: 64 bitlik Sıfır Geribesle meli [64-bit Cipher Feedback (CFB)] bir 56 bitlik Veri Şifreleme Standardı [56-bit Data Encryption Standard (DES)]. Bu özellik, eğer sistemde 56 bitlik bir şifreleme görüntüsü (56-bit encryption image) varsa geçerlidir. 56 bitlik Veri Şifreleme Standardı (56-bit DES encryption) şifreleme yöntemi de ABD Devlet İhracat Denetim Yönetmeliklerine tabi bir yazılıdır. Yani ABD dışına satımı yada çıkartılması devletin özel izinlerine tabidir. Ama bu şifreleme yöntemleri bazı sistemlerde kullanılmaktadır.
Yararları
Kerberos şifreleme yöntemlerinin kullanılmasında bazı yararlar vardır. Telnet oturumlarını şifrelemek Telnet trafiğinde araya sızmaları yada aktarılmakta olan bilgilerin başkaları tarafından okunması gibi riskleri en aza indirmektedir. Bu özellik, bilhassa uzaktan yönetilen router larla Telnet oturumlarını kullanan sistem yöneticileri içim oldukça yararlı ve değerli olacaktır. Normal Telnet oturumlarında yani şifrelenememiş Telnet oturumlarında, bir saldırgan (attacker, intruder) araya girip Telnet trafiğinde olup bitenleri okuyabilir. Şayet trafikte bir router in kurlum bilgileri yer alıyorsa, router in bütünlüğü tehlikeye girecek demektir. Şifrelenmiş Telnet oturmu kullanarak bir Router i yönetmek, o Router in bütünlüğünün korunmasında yardımcı olacaktır. Cisco, bir Router a yada başka bir Cisco aygıtına o aygıtı yönetmek için bir Telnet oturumu başlatıldığında şifrelenmiş kerberize Telnet kullanılmasını önermektedir.
Tanımlar
Okunabilir Veri (Cleartext data)
Başka bir ifade ile şifrelenmemiş veri demektir. Aktarım esnasında araya girilebilip başkaları tarafından okunabilir veridir. Plaintext data diyede bilinir. Data that is readable if intercepted during transmission. Also called "plaintext" data.
Şifreleme (Encryption)
Anlaşılır ve anlamlı düz metinleri okunup anlaşılamayan şekle dönüştürme yöntemidir. Şayet verilen aktarımdan önce şifrelenirse (okunamaz hale getirilirse) aktarım esnasında müdahale edip araya girilse de okunamaz durumda olacaktır. Veriler varacakları yer ulaştıklarında, tekrar eski hallerinde dönüştürülecektir. Deşifre denilen bir işlemden geçirilirler.
Desteklenen Platformlar
Şifrelenmiş Kerberize Telnet Oturum özelliği şu platformları desteklemektedir;
Cisco 2500 serileri
Cisco 4000 serileri (Cisco 4000, 4000-M, 4500, 4500-M, 4700, and 4700-M)
Cisco 7000 serileri
Cisco 7500 serileri,
Sistem Koşulları
Bu özelliğin kullanılabilmesi için, telnet oturumu kurulmak istenilen her bir Router için daha önceden kurulumu yapılmış Kerberos ların olması gerekir. Kerberos kurulumları hakkında ayrıntılı bilgi almak isteyen yada Telnet oturumlarının güvenliğine dair daha başka şeyler öğrenmek isteyen, sistem yöneticileri, sistemle ilintili olan kişiler yada anlatılarımı çok basit düzmetin olarak gören kişiler, Cisco IOS un 11.2 Nolu Açıklamasının Güvenlik Kurulum Elkitapçığı na (Cisco IOS Release 11.2 Security Configuration Guide) başvurabilir yada Cisco nun Web sayfasından inceleyebilirler.
