Linux - PowerPoint PPT Presentation

1 / 26
About This Presentation
Title:

Linux

Description:

B LG SAYAR TEKNOLOJ LER VE PROGRAMLAMA B L M B LG 224 A LET M S STEMLER II DERS Linux te G venlik r. G r. Mustafa SARI Z – PowerPoint PPT presentation

Number of Views:48
Avg rating:3.0/5.0
Slides: 27
Provided by: mustafa76
Category:
Tags: linux | wireshark

less

Transcript and Presenter's Notes

Title: Linux


1
BILGISAYAR TEKNOLOJILERI VE PROGRAMLAMA BÖLÜMÜ
BILG 224 AG ISLETIM SISTEMLERI II DERSI
Linuxte Güvenlik
Ögr. Gör. Mustafa SARIÖZ
2
Neden Güvenlik
  • Veriniz A noktasindan B noktasina Internet
    üzerinde giderken, yolu boyunca bir dizi baska
    noktalardan geçebilir, ve bu sekilde diger
    kullanicilar
  • Gönderdiginiz verinin yolunu kesebilir,
  • Veriyi degistiribilir
  • Kötü niyetle, sizin isteginiz disinda verinizi
    baska bir sekle sokabilir.
  • Sisteminize izinsiz erisim saglayabilir
  • Ileri düzey bilgileri kullanarak sizmissiniz gibi
    davranabilir
  • Sizden bilgi çalabilir
  • Hatta kendi kaynaklariniza erisiminizi
    engelleyebillir

3
Ne kadar Güvenlik?
  • Hiçbir bilgisayar sisteminin tamamen güvenli
    degildir.
  • Güvenlik önemleriniz arttikça, bu güvenlik
    önlemlerinin kendisi sistemi kullanilmaz hale
    getirebilmektedir.

4
Güvenlik Politikasi
  • Eger orta büyüklükte veya büyük bir siteyseniz,
    bir güvenlik politikasi olusturmali, ve bu
    politika sisteminizin ne kadar güvenlige
    gereksinimi oldugunu belirtiyor olmalidir.
  • Genel olarak kabul edilmis bir güvenlik
    politikasi
  • Izin verilmemis hersey yasaklanmistir.
  • Gerçek hayatta güvenlik politikalari nasil oluyor
    görmek isterseniz
  • ftp//coast.cs.purdue.edu/pub/doc/policy

5
Güvenlik Duvari
  • Güvenlik duvari, yerel aginizin içine giren ve
    disina çikan bilgiyi denetim altinda tutmanin bir
    yoludur. Tipik bir güvenlik duvari, Internete ve
    yerel aginiza baglanmis durumdadir, ve yerel
    aginizdan Internete tek çikis yolu güvenlik
    duvarinin içinden geçmektir. Bu yolla güvenlik
    duvari yerel agdan Internete ya da Internetten
    yerel aga nelerin geçtigini denetleyebilir.

6
Güvenlik Duvari
  • Güvenlik Duvarlari
  • Packet Filter,
  • IpFW,
  • IpFilter,
  • Iptables

7
Genel Linux Güvenligi
  • 1.Güvenlik Duvari
  • 2. TCP Wrappers
  • 3. Xinetd
  • Linux isletim sistemlerinde servislerin erisim
    kontrölü için Ag üzerinden gelen istekler
    öncellikle güvenlik duvari ile filtrelenir.
    Arkasindan servislere erisim kontrölü için iki
    sistem kullanilabilir.

8
Genel Linux Güvenligi
  • Iptables, ethernet aygitimiz üzerinden geçen
    trafikdeki datalari basliklarina bakarak erisim
    denetimlerini saglar.
  • TCP Wrappers servislere hangi istemcilerin
    erisebilecegi ve erisimler ile ilgili kayitlarin
    tutulmasini saglar.
  • Xinetd, TCP Wrappersin sagladigi kontrollerin
    yani sira servis üzerinde daha gelismis bir
    kontrol mekanizmasina sahiptir.

9
Güvenlik duvari için örnek bir senaryo
  • Sistemimizde HTTP, FTP, Pop3, Smtp servisleri
    çalisiyor olsun. Sistemimiz disaridan gelecek
    Ping'lere yanit vermesin ve belirtilen servisler
    disindaki hiçbir porta talep gönderilemesin.

10
Kayit (LOG) Tutmak
  • Merkezi Kayit Sunucusu Olusturmayi
    Hedeflemektedirler
  • Ag Üzerinde Kayit Aktarimini Sifreli Olarak
    Saglayabilirler
  • Farkli Sistemlerde Tutulan Kayitlari
    Özellestirebilir ve Gruplayabilirler
  • Raporlari Belirli Özelliklerine Göre Grafiklerle
    Ifade Edebilirler

11
Kayit (LOG) Tutmak
  • "Syslog", yazilimlarin sistem yöneticisini
    ilgilendiren iletileri teslim edecegi ve bu
    iletileri aktarmak için konsola çiktilama, belli
    bir sahsa postalama ya da ileride basvurulmak
    üzere bir günlük dosyasina kaydetme gibi çesitli
    yollari yapilandirabilecegi bir olusumdur.
  • Syslog tarafindan tutulan kayitlar genellikle
    hata mesajlari veya çekirdek mesajlari gibi
    kayitlardir.
  • syslogd sistem açilirken arkaplanda islemeye
    birakilir.

12
NAT
Dahili ag (örn. Ev agi) 10.0.0/24
Internetin geri kalani
10.0.0.1
10.0.0.4
10.0.0.2
138.76.29.7
10.0.0.3
NAT çevrim tablosu WAN tarafi adresi LAN tarafi
adresi
138.76.29.7, 5001 10.0.0.1, 3345

13
Proxy (Vekil)
  • Zaman zaman yetkili sunucu veya proxy olarak da
    anilan Vekil sunucu, internete erisim sirasinda
    kullanilan bir ara sunucudur. Bu durumda, örnegin
    bir web sayfasina erisim sirasinda direkt
    baglanti yerine
  • Tarayici vekil sunucuya baglanir ve hangi sayfayi
    istedigini söyler
  • Vekil sunucu gerekiyorsa o sayfaya baglanir ve
    içerigi alir
  • Vekil sunucu tarayiciya içerigi gönderir

14
Proxy (Vekil)
  • Bu teknoloji, birçok avantaj saglar
  • Ekstra hiz
  • Ekstra kontrol
  • Ekstra güvenlik
  • Ekstra gizlilik

15
Proxy (Vekil)
  • Squid, HTTP istemcilerinin taleplerini
    karsilayan, yüksek hizli ve caching yapabilen bir
    proxy sunucudur.

16
VPN'ler - Sanal Özel Aglar
  • VPN'ler, var olan bir agin üstüne "sanal" bir ag
    kurmanin bir yoludur. Bu sanal ag, bazi
    durumlarda sifreli olup, sadece aga katilmis olan
    ve kim oldugu bilinen bilgisayarlar arasindaki
    trafige izin verir.
  • VPN'ler, çogunlukla evde çalisan birini, herkese
    açik Internet üzerinden dahili bir sirket agina
    baglamak için kullanilir.

17
VPN'ler - Sanal Özel Aglar
CorporateIntranet
  • VPN Çesitleri
  • Ipsec VPN, L2TP, PPTP, SSL VPN

Internet Adapter
VPN SERVER
VPN Remote Access Client
18
VPN'ler - Sanal Özel Aglar
  • Linux'taki VPN çözümlerinden bir kaçi
  • vpnd.
  • http//sunsite.dk/vpnd/
  • Free S/Wan,
  • http//www.xs4all.nl/freeswan/
  • vps (sanal özel sunucu) http//www.strongcrypto.c
    om
  • yawipin
  • http//yavipin.sourceforge.net
  • ssh, bir VPN olusturmak için kullanilabilir.

19
Saldiri Tespit
  • Normal trafik -saldirgan trafigi ?
  • Anormal trafigi izlemek ise yarar mi?
  • En bilinen özgür (N)IDS Snort
  • 7 yil öncesinde basit bir sniffer projesi..
  • Günümüzde Ag temelli , imza tabanli saldiri
    tespit sistemi
  • Açik kaynak kodlu, Aktif gelistirici toplulugu
  • Snortsam ile Firewalla kural gönderme
  • Onlarca yönetim arabirimi

20
Zayiflik Tarama Sistemleri
  • Yayinlanmis, bilinen uygulama ve sistem
    zayifliklarini test eden araçlardir
  • Veritabanlarinda bulunan zayifliklari hiçbir özel
    yöntem uygulamadan test etmektedirler
  • Zaman içerisinde olusabilecek zayifliklari
    düzenli takip etmeyi saglarlar
  • Script dilleri sayesinde yeni zayifliklar kolayca
    tanimlanabilir
  • 3 farkli mimaride çalisabilirler Ag Temelli,
    Uygulamaya özel ve Sunucu Temelli

21
Zayiflik Tarama Sistemleri
  • Nessus, hackerlarin bilinen güvenlik açiklarindan
    faydalanmasindan önce açigi tespit etmek ve
    çözümünü bulmak için tasarlanmistir. Nessus bir
    sürü yetenekleri olan çok iyi bir araçtir.
  • Makinelerde veya aglarda port ve servis tabanli
    tarama yapan bir kaç farkli yazilim paketleri
    mevcut. SATAN ve ISS iyi bilinen diger zayiflik
    tarama sistemleri.

22
NMAP
  • Nmap, bilgisayar aglari uzmani Gordon
    Lyon(Fyodor) tarafindan C/C ve Python
    programlama dilleri kullanilarak gelistirilmis
    bir güvenlik tarayicisidir.
  • Taranan agin haritasini çikarabilir ve ag
    makinalarinda çalisan servislerin durumlarini,
    isletim sistemlerini, portlarin durumlarini
    gözlemleyebilir.
  • Görsel arayüzü veya komut satiri kulanilabilir.

23
Paket Koklayicilar
  • Saldirganlarin, aginiz üzerinde daha fazla
    sisteme erisim kazanmasinin en yaygin yollarindan
    biri, güvenligi ihlal edilen bilgisayarlardan
    birinin üzerinde bir paket koklayici
    çalistirmasidir.
  • Bu "koklayici", paket akisi içinde passwd, login
    ve su gibi programlar için Ethernet portunu
    dinler ve günlük tutar. Bu yolla saldirganlar,
    girmeye hiç kalkismadiklari sistemlerin
    parolalarina dahi erisebilirler. Açik metin
    parolalar bu saldiriya karsi çok
    korunmasizdirlar.

24
Paket Koklayicilar
  • ssh veya diger sifreli parola yöntemlerini
    kullanarak, bu saldirinin önüne geçilebilir.
  • Örnek Paket koklayicilar
  • Wireshark
  • Görsel ara yüzlü
  • Gelismis filtreleme
  • Tcpdump
  • Komut tabanli

25
REFERANSLAR
  • csirt.ulakbim.gov.tr/dokumanlar/LinuxGuvenlikNasil
    .pdf
  • http//www.bayar.edu.tr/bid/dokumanlar/lkd-nessus-
    mart.pdf

26
  • SORULAR?
Write a Comment
User Comments (0)
About PowerShow.com