Linux

1
BILGISAYAR TEKNOLOJILERI VE PROGRAMLAMA BÖLÜMÜ
BILG 224 AG ISLETIM SISTEMLERI II DERSI
Linuxte Güvenlik
Ögr. Gör. Mustafa SARIÖZ
2
Neden Güvenlik

• Veriniz A noktasindan B noktasina Internet
  üzerinde giderken, yolu boyunca bir dizi baska
  noktalardan geçebilir, ve bu sekilde diger
  kullanicilar
• Gönderdiginiz verinin yolunu kesebilir,
• Veriyi degistiribilir
• Kötü niyetle, sizin isteginiz disinda verinizi
  baska bir sekle sokabilir.
• Sisteminize izinsiz erisim saglayabilir
• Ileri düzey bilgileri kullanarak sizmissiniz gibi
  davranabilir
• Sizden bilgi çalabilir
• Hatta kendi kaynaklariniza erisiminizi
  engelleyebillir

3
Ne kadar Güvenlik?

• Hiçbir bilgisayar sisteminin tamamen güvenli
  degildir.
• Güvenlik önemleriniz arttikça, bu güvenlik
  önlemlerinin kendisi sistemi kullanilmaz hale
  getirebilmektedir.

4
Güvenlik Politikasi

• Eger orta büyüklükte veya büyük bir siteyseniz,
  bir güvenlik politikasi olusturmali, ve bu
  politika sisteminizin ne kadar güvenlige
  gereksinimi oldugunu belirtiyor olmalidir.
• Genel olarak kabul edilmis bir güvenlik
  politikasi
• Izin verilmemis hersey yasaklanmistir.
• Gerçek hayatta güvenlik politikalari nasil oluyor
  görmek isterseniz
• ftp//coast.cs.purdue.edu/pub/doc/policy

5
Genel Linux Güvenligi

• 1.Güvenlik Duvari
• 2. TCP Wrappers
• 3. Xinetd
• Linux isletim sistemlerinde servislerin erisim
  kontrölü için Ag üzerinden gelen istekler
  öncellikle güvenlik duvari ile filtrelenir.
  Arkasindan servislere erisim kontrölü için iki
  sistem kullanilabilir.

6
Genel Linux Güvenligi

• Iptables, ethernet aygitimiz üzerinden geçen
  trafikdeki datalari basliklarina bakarak erisim
  denetimlerini saglar.
• TCP Wrappers servislere hangi istemcilerin
  erisebilecegi ve erisimler ile ilgili kayitlarin
  tutulmasini saglar.
• Xinetd, TCP Wrappersin sagladigi kontrollerin
  yani sira servis üzerinde daha gelismis bir
  kontrol mekanizmasina sahiptir.

7
Güvenlik Duvari

• Güvenlik duvari, yerel aginizin içine giren ve
  disina çikan bilgiyi denetim altinda tutmanin bir
  yoludur. Tipik bir güvenlik duvari, Internete ve
  yerel aginiza baglanmis durumdadir, ve yerel
  aginizdan Internete tek çikis yolu güvenlik
  duvarinin içinden geçmektir. Bu yolla güvenlik
  duvari yerel agdan Internete ya da Internetten
  yerel aga nelerin geçtigini denetleyebilir.

8
Güvenlik Duvari

• Güvenlik Duvarlari
• Packet Filter,
• IpFW,
• IpFilter,
• Iptables

9
Güvenlik duvari için örnek bir senaryo

• Sistemimizde HTTP, FTP, Pop3, Smtp servisleri
  çalisiyor olsun. Sistemimiz disaridan gelecek
  Ping'lere yani vermesin ve belirtilen servisler
  disindaki hiçbir porta talep gönderilemesin.

10
Kayit (LOG) Tutmak

• Merkezi Kayit Sunucusu Olusturmayi
  Hedeflemektedirler
• Ag Üzerinde Kayit Aktarimini Sifreli Olarak
  Saglayabilirler
• Farkli Sistemlerde Tutulan Kayitlari
  Özellestirebilir ve Gruplayabilirler
• Raporlari Belirli Özelliklerine Göre Grafiklerle
  Ifade Edebilirler

11
Kayit (LOG) Tutmak

• "Syslog", yazilimlarin sistem yöneticisini
  ilgilendiren iletileri teslim edecegi ve bu
  iletileri aktarmak için konsola çiktilama, belli
  bir sahsa postalama ya da ileride basvurulmak
  üzere bir günlük dosyasina kaydetme gibi çesitli
  yollari yapilandirabilecegi bir olusumdur.
• Syslog tarafindan tutulan kayitlar genellikle
  hata mesajlari veya çekirdek mesajlari gibi
  kayitlardir.
• syslogd sistem açilirken arkaplanda islemeye
  birakilir.

12
NAT
Dahili ag (örn. Ev agi) 10.0.0/24
Internetin geri kalani
10.0.0.1
10.0.0.4
10.0.0.2
138.76.29.7
10.0.0.3
NAT çevrim tablosu WAN tarafi adresi LAN tarafi
adresi
138.76.29.7, 5001 10.0.0.1, 3345

13
Saldiri Tespit

• Normal trafik -saldirgan trafigi ?
• Anormal trafigi izlemek ise yarar mi?
• En bilinen özgür (N)IDS Snort
• 7 yil öncesinde basit bir sniffer projesi..
• Günümüzde Ag temelli , imza tabanli saldiri
  tespit sistemi
• Açik kaynak kodlu, Aktif gelistirici toplulugu
• Snortsam ile Firewalla kural gönderme
• Onlarca yönetim arabirimi

14
Proxy (Vekil)

• Zaman zaman yetkili sunucu veya proxy olarak da
  anilan Vekil sunucu, internete erisim sirasinda
  kullanilan bir ara sunucudur. Bu durumda, örnegin
  bir web sayfasina erisim sirasinda direkt
  baglanti yerine
• Tarayici vekil sunucuya baglanir ve hangi sayfayi
  istedigini söyler
• Vekil sunucu gerekiyorsa o sayfaya baglanir ve
  içerigi alir
• Vekil sunucu tarayiciya içerigi gönderir

15
Proxy (Vekil)

• Bu teknoloji, birçok avantaj saglar
• Ekstra hiz
• Ekstra kontrol
• Ekstra güvenlik
• Ekstra gizlilik

16
Proxy (Vekil)

• Squid, HTTP istemcilerinin taleplerini
  karsilayan, yüksek hizli ve caching yapabilen bir
  proxy sunucudur.

17
VPN'ler - Sanal Özel Aglar

• VPN'ler, var olan bir agin üstüne "sanal" bir ag
  kurmanin bir yoludur. Bu sanal ag, bazi
  durumlarda sifreli olup, sadece aga katilmis olan
  ve kim oldugu bilinen bilgisayarlar arasindaki
  trafige izin verir.
• VPN'ler, çogunlukla evde çalisan birini, herkese
  açik Internet üzerinden dahili bir sirket agina
  baglamak için kullanilir.

18
VPN'ler - Sanal Özel Aglar
CorporateIntranet

• VPN Çesitleri
• Ipsec VPN, L2TP, PPTP, SSL VPN

Internet Adapter
VPN SERVER
VPN Remote Access Client
19
VPN'ler - Sanal Özel Aglar

• Linux'taki VPN çözümlerinden bir kaçi
• vpnd.
• http//sunsite.dk/vpnd/
• Free S/Wan,
• http//www.xs4all.nl/freeswan/
• vps (sanal özel sunucu) http//www.strongcrypto.c
  om
• yawipin
• http//yavipin.sourceforge.net
• ssh, bir VPN olusturmak için kullanilabilir.

20
Zayiflik Tarama Sistemleri

• Yayinlanmis, bilinen uygulama ve sistem
  zayifliklarini test eden araçlardir
• Veritabanlarinda bulunan zayifliklari hiçbir özel
  yöntem uygulamadan test etmektedirler
• Zaman içerisinde olusabilecek zayifliklari
  düzenli takip etmeyi saglarlar
• Script dilleri sayesinde yeni zayifliklar kolayca
  tanimlanabilir
• 3 farkli mimaride çalisabilirler Ag Temelli,
  Uygulamaya özel ve Sunucu Temelli

21
Zayiflik Tarama Sistemleri

• Nessus, hackerlarin bilinen güvenlik açiklarindan
  faydalanmasindan önce açigi tespit etmek ve
  çözümünü bulmak için tasarlanmistir. Nessus bir
  sürü yetenekleri olan çok iyi bir araçtir.
• Makinelerde veya aglarda port ve servis tabanli
  tarama yapan bir kaç farkli yazilim paketleri
  mevcut. SATAN ve ISS iyi bilinen diger zayiflik
  tarama sistemleri.

22
NMAP

• Nmap, bilgisayar aglari uzmani Gordon
  Lyon(Fyodor) tarafindan C/C ve Python
  programlama dilleri kullanilarak gelistirilmis
  bir güvenlik tarayicisidir.
• Taranan agin haritasini çikarabilir ve ag
  makinalarinda çalisan servislerin durumlarini,
  isletim sistemlerini, portlarin durumlarini
  gözlemleyebilir.
• Görsel arayüzü veya komut satiri kulanilabilir.

23
Paket Koklayicilar

• Saldirganlarin, aginiz üzerinde daha fazla
  sisteme erisim kazanmasinin en yaygin yollarindan
  biri, güvenligi ihlal edilen bilgisayarlardan
  birinin üzerinde bir paket koklayici
  çalistirmasidir.
• Bu "koklayici", paket akisi içinde passwd, login
  ve su gibi programlar için Ethernet portunu
  dinler ve günlük tutar. Bu yolla saldirganlar,
  girmeye hiç kalkismadiklari sistemlerin
  parolalarina dahi erisebilirler. Açik metin
  parolalar bu saldiriya karsi çok
  korunmasizdirlar.

24
Paket Koklayicilar

• ssh veya diger sifreli parola yöntemlerini
  kullanarak, bu saldirinin önüne geçilebilir.
• Örnek Paket koklayicilar
• Wireshark
• Görsel ara yüzlü
• Gelismis filtreleme
• Tcpdump
• Komut tabanli

25
REFERANSLAR

• csirt.ulakbim.gov.tr/dokumanlar/LinuxGuvenlikNasil
  .pdf
• http//www.bayar.edu.tr/bid/dokumanlar/lkd-nessus-
  mart.pdf

26

• SORULAR?