Ids Honeypot

Seneryo

Hackerlar arasında bir haber yayılmaktadır ; ‘ Ünlü bir güvenlik sitesinde bir zayıflık tespit edilmiştir.’

Kötü niyetli hacker olan Redb0z açık farkedilmeden arka kapı kurmak istemektedir.Birçok araç kullanarak web server ı hacklemiştir. Redb0z çok memnudur.Fakat ozan sitenin

güvenlik uzmanı, Redb0z u honeypot kurarak kandırmıştır.Crackerlar serverda olduklarını düşünürken çok yanılmışlardır.

En iyi uzaktan erişim trojanını seçmiş ve birkaç byte ekleyerek onu görünmez yapmıştır.Sniff ederek tarayarak, ve enumeration tekniklerini kullanarak IDS in, routerın ve firewallun yerini öğrenmiştir.Aracının imzasını değiştirmiş ve IDS i geçmiştir. Firewall dan cevap almış ve firewalla da yakalanmamıştır. Sonunda web servera ulaşmış ve yetkilerini yükseltmiştir.

Fakat Redb0z’dan mutlu biri daha vardır. Hackediğini sandığı Sitenin güvenlik uzmanı ozan, Çünkü Redb0z un hacklediğini sandığı site Honeypottur ,Redb0z honeypot tarafından kandırılmıştır.Bir çok cracker bu şekilde kandırılmaktadır. Makalenin Amaçları -IDS sistemlerine giriş

-Kaçak girişi tespit etmenin yolları -IDS çeşitleri

-Sistem güvenilirlik doğrulayıcıları nelerdir -IDS ile bir saldırının Tespit edilmesi -IDS leri aşmanın yolları

-IDS leri aşmak için araçlar -Firewall ve tanımlaması -Firewall u geçmek

-Honeypot ve çeşitleri -Honeypot tespit yöntemleri Makelenin Akışı -IDS nedir?

-Kaçak girişi tespit etmenin yolları -IDS çeşitleri -IDS araçları

-IDS atlatma

-IDS atlatma yolları -IDS atlatma araçları -Firewall

-Firewall Çeşitleri

-Firewall üreticileri -Firewall u atlatma -Honeypot

-Honeypot çeşitleri

-Honeypotları tespit etmek için araçlar -Korunma yolları

Giriş

-Saldırganlar, Hackerlar networklere sızmak için herzaman hazırdırlar. -Ayarları değiştirmek hackerların kolay erişimini engelleyecektir.

-IDS , Firewall ve Honeypotlar saldırganın networke girmesini engelleyen önemli teknolojilerdir. Terminoloji -IDS

IDS gelen ve giden trafiği inceler , şüpheli paketleri tespit ederek keser yada admine uyarı verir.

-Firewall Firewall özel networkün kaynaklarını diğer network kullanıcılarından koruyan basit bir program yada cihazdır. -Honeypot

Honeypot sisteme gelen saldırı ları tespit etmek , loglamak ve hedef şaşırtmak için hazırlanmış yazılımlardır. IDS -IDS networkten , sistemlerden gelen trafiği inceleyerek kendi güvenlik kurallarıyla uyuşmayanları tespit eder.

-IDS aynı zamanda paket sniffer olarak ta adlandırılabilir , paketlerin önünü keserek inceler. -Paketler capture edildikten sonra değişik yöntemlerle analiz edilir.

-IDS şüpheli paketleri tespit eder ve gerekli yerlere alarm verir yada paketin önünü keser. Şüpheli Giriş Tespit Metodları -Kaçak girişi tespit etmenin 3 yolu vardır. 1. İmza Tanıma

Aynı zamanda kötü kullanma olarak bilinir. Veri tabanındaki imzalar ile paketin imzasını karşılaştırır.

2. Anormallik Tanıma

İmza tabanlı taramadan farklıdır, paket modelini inceler. 3. Protokol anormalliği Tespit Etme

Bu tarz tespit etmede , TCP/IP protokolleri ve özellikleri ile modeller oluşturulur. IDS Çeşitleri

İki temel çeşit IDS vardır -Network tabanlı IDS

Network tabanlı IDS ler de network üzerinden geçen paketler incelenir ve içeri giriş olup olmadığı tespit edilmeye çalışılır. -Host Tabanlı IDS

Host tabanlı sistemde IDS tüm sistemlerde yada hostta aktiviteleri denetler. HIDS bir çok değişik sisteme , serverlara , laptoplara kurulur.

Sistem Güvenilirlik Doğrulayıcıları

-SIV ler system dosyalarını izliyerek saldırgan tarafından değişiklik yapılan dosyaları tespitte kullanılır.

-Tripwire en ünlü SIV lerden biridir. -SIV ler registry gibi cron ( zamanlanmış görevler ) konfigrasyonu gibi bileşenleri de kontrol ederler.

IDS Araçları Snort 2.1.0

Symantec ManHunt LogIDS 1.0

SnoopNetCop Standard

Prelude Hybrid IDS version 0.8.x Samhain Snort 2.1 -Snort açık kaynak kodlu NIDS tir , Gerçek zamanlı trafik analizi ve paket loglama yapabilir. -Protokol analizi yapar , içeriği inceler, bir çok saldırı çeşidini tespit eder , Buffer overflow gibi , Gizli port tarama , CGI saldırıları , SMB , işletim sistemi tespit denemeleri gibi. Snort –W ( interfaceleri gösterir ) Snort –i (interface)

Snort –dev (başlatır)Linux C:\Snort\bin\snort.exe -c "C:\Snort\etc\snort.conf" -l "C:\Snort\log" –N –A console Eaglex kurulumu snort.panel IDScenter

IDS Symantec Manhunt

-Yüksek hızlı NIDS tir , Gerçek zamanlı analiz yapar , iç ve dış networkleri inceler DOS saldırılarına karşı savunur.

-Yeni versiyonu Red Hat Linux ta destekler. -Değiştirlebilir esnek bir yapıya sahiptir.

-Protokol anormallik tespiti yaparak kaçak girşi engellemeye çalışır. LogIDS 1.0

-LOgIDS log tabanlı kaçak giriş tespit sistemidir, Gerçek zamanlı logları analiz etme özelliği vardır.

-Grafik arayüzü ile network haritası çıkarabilir, her node u ayrı olarak gösterir Snoop Netcop Standart

-SnoopNetCop Standard network üzerindeki paket sniff etme saldırılarını tespit edebilir. -Aynı zamanda Promiscous modda çalışan network kartların tespitte kullanılır.

Prelude Hybrid IDS Version 0.8.x

-Network IDS olarak yada Host IDS olarak çalışabilir. -BSD sistemelri destekler

-Hem HIDS hem NIDS olarak çalışır. Samhain

-Açık kaynak kodlu bir sistem güvenilirlik denetleyicisi ve Host tabanlı kaçak tespit sistemidir.

-Dosyaların değişikliklerini şifreleme yöntemleri kontrol eder. -Linux ve FreeBSd için rootkitleri tespit edebilir. IDS saldırı tespit ettikten sonra yapılacaklar -Firewall u kaçak giriş yapmaya çalışan kişini IP sini filtrelemek üzere ayarlayın. -Kullanıcı yada admine mail atması için konfigure edin. -Even t log’ a girin.

-Saldırı bilgisini kaydedin , ( Zamanı, saldırganın ip adresini, Kurbanın adresini, port ve protokol bilgisini )

-Ham paketleri daha sonra analiz etmek için kaydedin -TCP bağlantısını sonlandırın. IDS sistemleri Geçme -Birçok nasit NIDS imza tespiti ile çalışır.

-Saldırı scriptlerinin imzaları veritabanında kayıtlıdır bunun la saldırıyı karşılaştırır, script üzerinde ufak değişiklik IDS ten geçmesine sebep olur.

-IDS leri geçme imza benzeşmesini uyumsuz hale getirmekle olur. -Örnek olarak bazı pop3 serverlar uzun şifre girmek gibi bufer overflow saldırılarına karşı zayıftırlar , Script üzerinde basit değişiklikle bu saldırı maskelenebilir. IDS i Atlatmanın Yolları -Ekleme

-Atlatma -DOS

-Karışık Saldırı -Şaşırtma

-Senkronizasyonu Bozma – Bağlantı sonrası -Senkronizasyonu Bozma – Bağlantı öncesi -Bölme

-Oturum Ekleme

IDS leri atlatmak için araçlar Admutate -Admutate buffer overflow exploitini değiştirerek işlevini bozmadan tanınmaz hale getirir. -Yeni bir saldırı bulunduğunda IDS üreticileri birkaç saat ve gün sonra saldırının imzasını yayınlarlar , fakat Admutate in kullandığı yöntemle değiştirilmiş saldırını imzasını tespit etmek kullandığı değişik metodlar sayesinde uzun zaman alır. Firewall Nedir ?

-Lan ‘ a ve Lan’ dan erişimi güvenlik altına alan yazılım ve donanım kombinasyonu sistemdir.

-3 Çeşit firewall vardır. -Paket Filtreleme -Proxy Tabanlı

-Stateful Paket Filtreleme Firewall Tanıma Aşağıda listelen bazı teknikler firewall un çeşidini türünü , ve kurallarını anlamak için kullanılabilir.

-Port Scanning. -Firewalking.

-Banner grabbing. -nmap

-superscan (host discovery kapalı , tcp connect ) -superscan enumeration

-RPC GUI v2 - r3L4x.exe Firewalking Firewall un arkasındaki networkler hakkında bilgi toplamak için kullanılan metodtur. Firewall ve Routerlar üzerindeki Erişim listeleri hakkında bilgi toplamaya yarar. Üç Hosta ihtiyaç duyar ;

-Firewalking Yapan Host -Gateway Host -Hedef Host

Banner Grabbing

Banner lar bağlantı sırasında servislerin verdiği bilgilerdir. Banner sistemde hangi servisin çalıştığını verirler.

Banner Grabbing işletim sistemi tespit etmenin en kolay yöntemidir. Banner grabing aynı zamanda firewallarda çalışan servislerin tespitinde kullanılabilir. Banner bilgisi gönderen 3 ana servis FTP, telnet, ve web serverlardır. -telnet mail.targetcompany.org 25

-Essential Tools : Netaudit telnet

C:\11>nc -vv 192.168.1.19 80 Firewalları geçme -Firewalları geçmede kullanılan en kolay yol iç sisteme port yönlendirme yapabilen bir araç kurmaktır.

-En popüler port 53 tür, DNS tarafından kullanılır.

-Bir çok firewall port 53 e izin verir , çünkü network yönetimini hızlandırır, isim çözümleme sorunlarını aşar. 2k da : nc –l –p 3389 –e cmd.exe HTTPtunel Kullanarak Firewalları geçme

Httptunel sanal bir yol oluştururak paketler http istekleri içinde geçmesini sağlar. Firewalların arkasına Arka kapı kurmak Ters wwwshell

-Bu arka kapı tüm firewallar üzerinde çalışıp kullanıcıların web te sur yapmalarını sağlar, içerdeki host üzerinde çalışır. Hergün özel bir zamanda çocuk üretir.

-Firewall için child bir kullanıcı gibi davranır. Web te surf yapıyormuş gibi görünür , fakat uzak saldırgana ters shell verir.

-Child komutu alır getirir ve çalıştırır. Gizli kanalın arkasına saklanmak : Loki

Loki bir tunelleme aracıdır. Loki icmp kullanarak veri gönderir. ICMP içinde veri taşıyarak içindeki veriyi gizler.

Basit shell komutları tunel içine sokulur, Trafic kontrol eden sistem paketleri normalmiş gibi görür fakat içerde kurulu olan lokinin Daemonu paketleri algılar ve komutları çalıştırır. ACK Tunnelling -Trojanlar genelde server- client bağlantılarında normal bağlantı kullanırlar.

-Saldırgan ile kurban arasındaki herhangi bir firewall kolayca bu trafiği keser trojanları çalışmaz hale getirir. ICMP kapalı olan firewallar için ACK paketleri ile bağlantı kurulabilir. Firewalları aşmak için Programlar 007 Shell

007 shell Loki ye benzer olarak ICMP tunel kullanarak çalışan bir programdır. ICMP nin içine veri sokarak çalışır. ICMP Shell ICMP shell telnet benzeri bir programdır. Uzaktaki hosta shell bağlantısı yapar ve paketlerin ICMP içerisinde geçmesini sağlar

ISH server içerde çalışır , ve gelen bağlantıyı kabul eder.

Firewalları aşmak için Programlar ACKcmd

Ackcmd win2k için client /server programıdır uzaktan command shell açarak çalışır. TCP / ACK segmentinde iletişime geçer. Covert TCP 1.0

TCP/IP header ları değiştirerek dosya transferi sağlar . Bir seferde tek byte gider. Veri Ip headerın içine gizlenerek gider.

Bu teknik firewalları geçmede kullanılır , içerden dışarı . Korunmak için Yapılması Gerekenler IDS ayarlarının açılması ,

Network kartından paylaşımların kapatılması. SNMP nin kapatılması . Firewall tester

-Andrea Barisani tarafından yazılımıştır. System admini ve güvenlik uzmanıdır. -Firewalları ve IDS leri test etmek için yazılmıştır.

-Client / server yapısıyla , TCP bağlantısı kurarak çalışır. -Ftest : client paket oluşturma aracıdır. Ftestd : hızlı network dinleyicisidir, ftest in paketlerine cevap verir. Honeypot nedir?

Honeypot yetkisiz ve yasak giriş ler hakkında bilgi toplamak için hazırlanmış sistemdir. Honeypot erişim , portlar ve saldırganın yaptıklarını loglar. Bu olası saldırılar hakkında bilgi toplamaya yarar. Honeynet Projesi

-1999 da kurulmuştur. Kar gütmeyen güvenlik profesyonellerine adanmış araştırma organizasyonudur.

-Organisazyonun tüm işi açık kaynak kodludur ve paylaşılır. -Proje hackerlar hakkında bilgi toplama amaçlıdır. -Honeynet projesi 4 evreli projedir. Honeypot Çeşitleri

Honeypotlar iki temel kategoriye ayrılır. 1. Düşük etkileşimli Honeypotlar Spector, Honeyd, honeypot

2. Yüksek etkileşimli Honeypotlar Honeynets

Honeypotların Avantajalrı ve Dezavantajları Avantajları -Az veri toplar fakat değeri büyüktür. -Yanlış pozitifleri azaltır.

-Yeni saldırıları yakalar,Yanlış negatifleri

-Şifreli yada Ipv6 standartlarında çalışabilir. -Basit bir düşüncedir , çok az kaynak ister Dezavantajları Kısıtlı alanı görmeye olanak tanır.

Çok etkileşimli Honeypotlarda risk vardır Honeypotlar:

Ticari ve Açık kaynak Kodlu Honeypotlar internette bulunabilir. Ticari Olanlar , •KFSensor

•NetBait•ManTrap•SpecterAçık Kaynak Kodlu •Bubblegum Proxypot •Jackpot

•BackOfficer Friendly •Bait-n-Switch •Bigeye

•HoneyWeb

•Deception Toolkit •LaBrea Tarpit •Honeyd

•Honeynets

•Sendmail SPAM Trap •Tiny Honeypot Honeypot – SpecterSpecter honeypot ve kandırı sistemidir. -Specter saldırgan içeri girmeye çalışırken otomatik olarak saldırganı araştırır. Honeypot – Honeyd -Honeyd Google da çalışan bir yazılım uzmanı tarafından geliştirilmiş bir programdır. -Honeyd network üzerinde hostlar oluşturan ufak bir processtir. -Açık kaynak kodlu bir yazılımdır. Honeypot – Kfsensor Kfsensor host tabanlı IDS tir. Hackerları porttaramaları , zayıf sistem gibi gözükerek loglar trojanları tespit eder. Sebek

Sebek veri capture etme aracıdır. Sebek in ilk verisyonu kernelde basılan tuşları kaydetmek için dşünülmüştür.

Sebek aynı zamanda içerdeki işleri de monitor edebilir. Bilinen kötü yöntemleri izler. Trap Server.exe

Honeypotları Tespit eden Araçlar Send-Safe Honeypot Hunter

Honeypotları tespit eden bir araçtır. Nessus Güvenlik Tarayıcısı Nessus un içerisinde kendine özel saldırı diliyle yazılmış bölümü vardır ,bu sayede hızlı çalışır.

Nessus un SSL li servisleri de kontrol etme kabiliyeti vardır. Hacklenince ne yapmalısınız ? -Olay karşılık takımı oluşturun.

-Olay olduğunda aranacak kişileri belirleyin . -Karşılık Prosüdürü

-Kaçak giriş bulunmasıyla networkün açık olması arasındaki öncelikler belirlenmeli . -Network kablolarını çekmek mi yoksa kaçak hakkında bilgi toplamaya mı çalışacaksınız ?

-Sizin üstünüzdeki kişilere sırasıyla , genel müdüre kadar haber vermelisiniz. FBI yada polise haber vermek konusunda karar verilmeli.

-Müşterilerinize ve satıcılarınıza haber vermelisiniz. Özet IDS ler networkteki paketleri incelerler ve hacker sisteme girmeye çalışıyormu tespit etmeye çalışırlar. SIV ler sistem dosyalarını kontrolo ederler ve saldırgan dosyaları değiştirmişmi kontrol ederler. Kaçak Tespiti Anormallik Tespiti ve İmza tespiti ile yapılır Honeypotlar bir yada fazla portu açık gibi gösterip loglama bilgi amaçlı çalışırlar.

Ozan UÇAR [email protected]