Palo Alto Networks Yeni Nesil Güvenlik Duvarına Genel Bakış

Uygulama ve tehdit dünyasında, kullanıcı davranışlarında ve ağ altyapılarında oluşan önemli farklılıklar, port ve protokol bilgisini esas alan klasik güvenlik duvarlarının bir zamanlar sağladığı güvenliği sürekli olarak zayıflatmış bulunmaktadır. Artık kullanıcılar, işlerinin gereği olarak, birçok farklı cihaz türünü kullanarak her türlü uygulamaya erişim sağlamaktadır. Bunun yanı sıra veri merkezlerinin genişlemesi, sanallaştırma mobilite ve bulut tabanlı servisler gibi unsurlar, bir yandan uygulamalara erişim sağlanırken diğer yandan da ağların nasıl korunacağı konusunu yeniden düşünülmesi gerektiğini ortaya koymaktadır.

Bu durum karşısında güvenlik duvarına ek olarak önerilen klasik çözümler arasında, işin yapılmasını engelleyebilecek olan, bütün uygulama trafiğinin yalnızca sayısı sürekli artan bir nokta teknolojisi listesi üzerinden yapılması ya da aynı oranda kabul edilemez iş ve güvenlik risklerine neden olan, tüm uygulamalara izin verilmesi seçenekleri sayılabilir. Burada üstesinden gelmeniz gereken güçlük, klasik port ve protokol bilgisini esas alan güvenlik duvarının, uygulamaların son derece sıkı bir biçimde engellenmesine karşın yine de her iki yaklaşıma karşı bir seçenek oluşturmamasıdır. Her şeyin engellenmesi ile her şeye izin verilmesi seçenekleri arasında bir denge tutturmak için uygulama kimliği, uygulamayı kimin kullandığı ve içerik türü gibi yapılan işe ilişkin unsurları güvenlik duvarının ana trafik sınıflandırma ölçütü olarak kullanarak uygulamaları güvenli kılmanız gerekir.

Uygulamaları Güvenli Kılmanın Temel Gereksinimleri:

v Portları değil uygulamaları belirtmek. Kullanılan protokol, şifreleme veya tehdit önlemeyi atlatma taktiği ne olursa olsun uygulama kimliğini saptamak için güvenlik duvarına gelir gelmez trafiği sınıflandırın. Sonra bu uygulama kimliğini bütün güvenlik kararların için temel alın.

v Uygulama kullanımını, konuma veya cihaza bakmaksızın, IP adresine değil, kullanıcı kimliğine bağlayın. Konumları veya kullandıkları cihaz ne olursa olsun, bütün kullanıcıları kapsayan tutarlı güvenlik politikaları oluşturmak için kuruluşların dizin sunucularındaki veya diğer kullanıcı adres veritabanlarındaki kullanıcı ve grup bilgilerinden yararlanın.

v Bilinen veya bilinmeyen tüm tehditleri önleyin. Trafiği bilinen güvenlik açıklıkları, zararlı yazılımlar, casus yazılımlar, kötü amaçlı URL’ ler açısından analiz edin ve otomatik olarak yüksek oranda hedeflenen ve daha önceden bilinmeyen kötü amaçlı yazılımlara karşı koruma sağlarken bilinen tehditleri de önleyin.

v Politika yönetimini basitleştirin. Kullanımı kolay grafiksel araçlarla, entegre politika düzenleyicisi ve cihaz gruplarıyla yönetimsel işleri azaltıp uygulamaları güvenli kılın.

Güvenli uygulama kullanım politikaları, hangi lokasyon söz konusu olursa olsun, güvenlik seviyenize ait büyük resminizi geliştirmenizi sağlar. İstenmeyen bir dizi uygulamayı dış katmanda engelleyip ardından izin verilen uygulamaları hem bilinen, hem bilinmeyen tehditler açısından inceleyerek tehdit olasılığını azaltabilirsiniz. Klasik veya sanal olsun veri merkezinde güvenli uygulama kullanımını etkinleştirme, taşınan içeriğin tehditlerden ayıklanarak ve sanal altyapıların dinamik doğası gereği karşılaşılan güvenlik sorunları giderilerek veri merkezi uygulamalarının yalnızca yetkili kullanıcılar tarafından kullanılması anlamına gelir. Kuruluşunuzun şubeleri ve uzak kullanıcılar, tarafından kullanılması anlamına gelir. Kuruluşunuzun şubeleri ve uzak kullanıcılar, şirket merkez lokasyonunda uygulanan güvenli uygulama kullanım politikalarının aynısı ile korunarak kurum çapında güvenlik politikalarında tutarlık sağlanır.

Güvenli Kullanım politikalarını Organizasyon Genelinde Dağıtın.

CentOS Üzerine Bacula Server/Sunucu Kurulumu

Komut satırını kullanarak Bacula ve MySQL server kurulumlarını gerçekleştirmek için aşağıdaki komutu çalıştırıyoruz. Arkadaşlar ekran görüntülerini her komut satırından sonra görebilirsiniz. İlk önce root haklarına geçiş yapmamız gerekiyor. ilgili komut aşağıdaki gibidir.

#  su - root     

 (root haklarını kullanabilmek için password bilgisi gerekmektedir. Şifre girildikten sonra kuruluma başlayabiliriz)

Aşağıda vermiş olduğum komut satırında ben tek seferde yazdım isterseniz siz her seferinde "yum -y install <ilgili komut>" yazarak ta yapabilirsiniz. Burda ise peşi sıra yazmak daha mantıklı geldiği için ben bu şekilde yaptım.

# yum -y install bacula-director-mysql 
# yum -y install bacula-console 
# yum -y install bacula-client
# yum -y install bacula-storage-mysql 
# yum -y install mysql-server 
# yum -y install mysql-devel


# yum -y install bacula-director-mysql bacula-console bacula-client bacula-storage-mysql mysql-server mysql-devel

Burda dikkatinizi çekmek istedim yukarıda yazdığım komut satırındaki 

bacula-director-mysql 
bacula-console 
bacula-client 
bacula-storage-mysql
mysql-server 
mysql-devel

ifadelerinin kurulduğunu görürsünüz.

Aşağıdaki komutun çalıştırılması ile öncelikle MySQL sunucusu başlatılır. Sonra mysql servisinin, bilgisayarın her yeniden başlaması sonrası otomatik olarak başlatılması için gereken komutu çalıştırılır:


# service mysqld start && chkconfig mysqld on

MySQL root kullanıcısı için aşağıdaki komutu çalıştırarak şifre oluşturulur. (Benim kullandığım şifre 'karakul' olduğu için aşağıdaki ekran görüntüsünde görüldüğü üzere komutta <root_şifreniz> yazan yere “karakul” yazdım. Sizde kendi şifrenizi yazabilirsiniz.)


# mysqladmin -u root password <root_şifreniz>

Bu adımda ise Bacula için gerekli olan veritabanı ve tabloların kurulumu gerçekleştirilecektir. Bunun için aşağıdaki komutların sırası ile tek tek çalıştırılması gerekmektedir.Bütün komutların çalıştırılmasına ait ekran görüntüsünü aşağıda bulabilirsiniz:

Not: Arkadaşlar ben burda ekran görüntülerini peşi sıra vereceğim o yüzden dikkat etmenizi istiyorum.


# /usr/libexec/bacula/grant_mysql_privileges -u root -p

# /usr/libexec/bacula/create_mysql_database -u root -p

# /usr/libexec/bacula/make_mysql_tables -u root -p

# /usr/libexec/bacula/grant_bacula_privileges -u root -p

Yukarıdaki komutların çalıştırılması neticesinde oluşturulan bacula isimli kullanıcının MySQL veritabanı bağlantı şifresini vermek için aşağıdaki komut ile root kullanıcısı olarak MySQL’e bağlanılır:



# mysql -u root –p

Yukarıdaki komutu girdikten sonra aşağıdaki ekran görüntüsünde görüldüğü gibi daha önce belirlemiş olduğumuz mysql root kullanıcı şifresi olan karakul şifresini girmeliyiz

Giriş yaptıktan sonra mysql konsoluna düşmeniz gerekiyor. Bu konsolda da sırasıyla şu komutlar çalıştırılır:

mysql> UPDATE mysql.user SET password=PASSWORD("<şifre>") WHERE user='bacula';

mysql> FLUSH PRIVILEGES;

mysql> exit;

Not: Burda ikinci komutu yazarken ; işartini koymayı unutmuşum o yüzden enter tuşuna yanlışlıkla iki kere basılmıştır. Burda benim yaptığım hataya düşmeyiniz.

CentOS Üzerine Bacula Server/Sunucu Kurulumu burada tamamlanmış oluyor. Bundan sonraki adım yapılandırma dosyalarının ayarlanması. Bu başlık altında sadece Bacula Server/Sunucu Kurulumu ele alındığı için konfigürasyonların nerede va nasıl yapıldığını BACULA YAPILANDIRMA DOSYALARI - AYARLARI başlığı altında daha sonra incelemeye çalışacağız arkadaşlar.

Bir diğer yapılması gereken işlem ise güvenlik duvarı izinlerinin tanımlanmasıdır. Daha sonrada yapılabilir fakat hazır burada Bacula sunucusu kurulumunu tamamlanmışken, Bacula’nın sorunsuz bir şekilde çalışabilmesi için kullandığı portlarla ilgili izinleri güvenlik duvarı üzerinde tanımlayalım. Aşağıdaki komutla izinlerin tanımlayacağı dosya açılır:



# vi /etc/sysconfig/iptables

Aşağıdaki ekran görüntüsünde ise dosyanın en alt satırında bulunan COMMIT komutundan ve varsa engelleme kurallarından önce olacak şekilde aşağıdaki komutlar kopyalanır ve kaydedilip çıkılır.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 9101 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 9102 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 9103 -j ACCEPT

Son olarak da yapılan değişikliklerin geçerli olabilmesi için iptables yeniden başlatılır. Bunun için de şu komutlardan biri çalıştırılabilir:



# service iptables restart veya # /etc/init.d/iptables restart

Backtrack5 te crunch metodu ile worldlist oluşturma

Arkadaşlar wpa\wpa2 şifrelerini kırmak için kullanılan dictionary attack şifre çözme işlemleri elinizde  bulunan sözlüğünüzün sağlamlığı ile ilgilidir. İçinde ne kadar türkçe isimler,karışık harflerden ve sayılardan oluşması sizin için şifre çözme adına iyi bir avantaj olur. O yüzden en iyi yolu kendi word listinizi oluşturmanız. Bu yüzden size bu makalemde worldlist nasıl oluşturulur onu anlatmaya çalışacağım.

Yazacağımız komutla crunch'a ulaşmak için yolu girelim. 

# cd /pentes/password/crunch/

 

Resimde görüldüğü gibi dosyanın içindeyiz. Şimdiki komutta dikkat etmemiz gereken bazı noktalar var. Komutun kullanımında yapılması gereken ilk adım şifrenin başlangıç noktası ile bitiş noktasının ayarlanması. bitiş noktası demek alacağı max şifre aralığı demektir.

# ./crunch 1 5 abcde12345 -o (worldlistin yazılacağı yerin belirlenmesi)

burdaki komut bize 1' den 5' e kadar yani  5 karakterli abcde12345 karakterlerini kullanarak size listeyi oluşturmuş olur ve belirttiğimiz adrese dosyayı koplayalar. Komutun devamını yazacak olursak eğer 

# ./crunch 1 5 abcde12345 -0 /root/Desktop/worldlist.txt

bu komutta bana yapacağı worldlistin içinde minimum 1 karakter max 5 karakterlerden oluşan  bir sözlük üretecektir. a dan başlayarak 5 sayısına kadar taratıp sonrasında bi sonraki karakterin en baştaki karakterden başlayarak sondaki karaktere kadar devam ede gelen bir döngü oluşturup worldlisti bana oluşturacaktır.

Komut satırının tamamı yukarıdaki şekilde verilmiştir. aşağıya bazı değerler belirtmiş. Burda dikkat edilmesi gereken şudur. "Crunch will now generate the following cumber of lines: 111110"  bizim verdiğimiz komuttaki oluşturduğumuz şifre adedi 111110 dur. 

Arkadaşlar bu listeyi istediğiniz gibi şekillendirebilirsiniz. Canınız nasıl isterse öyle bir worldlist oluşturun ve cap dosyalarınızın içindeki şifrelerinizi kırın :))

listemizi oluşturmuş bulunmaktayız arkadaşlar.

WPS Desktekli Modemlerde WPA&WPA2 Şifresi Kırma

Bu konuyla ilgili bir önceki makalede size dictionary atak anlatmıştım.Şimdiki ise size daha basit olan bir konuyu anlatmaya çalışacağım.Öncelikle size konuya giriş yapmadan wps  ile ilgili kısa bir bilgi vermek isterim.

WPS Nedir?

Wi-Fi Protected Setup (WPS), kablosuz ağın güvenlik ayarlarını hızlı ve kolayca ayarlamak için yapılmış bir sistemdir.

WPS; kablosuz ağ cihazını ayarlarken, cihaza tanımlanmış PIN numarası yapılandırılmasını sağlar.

Saldırgan , WPS’de bulunan güvenlik zafiyetiyle hedefin(modemin) PIN numarasını tahmin ederse WPA/WPA2 şifresini kırabilir :(((

Hedefteki kişinin WPA/WPA2 şifresi ne kadar karmaşık ve uzun hanelerden olursa olsun, PIN numarası tahmin edildiğinde şifresi kolayca elde edilebilir!

O yüzden arkadaşlar bu işlemi anlattıktan sonra önlem anlamınız gerektiğini anlatmış olacağım. Bende bu yöntemi oturduğum apartmanda denedim. Ve ne göreyim, sizinde birazdan göreceğiniz gibi arkadaşlar %90 modemlerin wps özelliği no.  Yani default ayarları değiştirilmemiş.Tavsiyem hemen değiştirmeniz.

Öncelikle Backtrack5 ağ kartımızı tanıyıp tanımadığının kontrolünü yapalım

#iwconfig

şekilde görüldüğü gibi ağ kartımızın wlan2 olarak görmüş.Şimdi ise monitor moda almamız gerekiyor. Komut ise aşağıdaki gibidir.

#airmon-ng start wlan2

 

Artık monitor moda aldığımıza göre kablosuz ağları  görmek için ilk adımımızı atabiliriz.

#wash -i mon0 -D -C

Arkadaşlar listede bulunan kablosuz ağların essid lerini gizlemem gerekiyordu.Apartman daki açık yayın yapan kablosuz ağlar listemde gördüğünüz gibi.Şimdi bizim hedefimizdeki ağ aşağıdaki resimde belirttiğim kırmızı kutucukların içindeki kablosuz ağdır.

Wps Locked sutununa dikkatinizi çekmek isterim.Çünkü WPS LOCKED özelliği yes olan kablosuz ağı kırmanız mümkün değildir. No olması açıklığı ifade eder. Dolayısıyla yes olan kablosuz ağı boşuna uğraşmayınız.Burdaki resimde biraz kayma olmuş arkadaşlar. ESSID olan yerde kablosuz ağların listesinin no ve yes ola sutunun ise WPS LOCKED başlığı altında olması gerekiyordu. Ama bizim resimimizde bir kayma oldu , belirtmek isterim.

Şimdi ise belirttiğimiz hedefe brute force yapabiliriz. Yani reaver komutunu yazalım arkadaşlar.

#/usr/local/bin/reaver -i mon0 -b(hedefin bssid' si) -d 10 -t 10 -x 120 -vv

arkadaşlar burada bu parametler ne işe yarıyor diye sorabilirsiniz. Bunun için size komut satırına #reaver --help komutunu yazmanızı tavsiye edebilirim.Orada bu yazılan parametlerin ne işe yaradığı yazmaktadır.

ve işte beklenen mutlu son arkadaşlar :))

ama bu işin yasal olmadığını hatırlatmak isterim. Bu makalenin amacı arkadaşlar bu özelliğin çok basit yöntemlerle egale edilebileceği ve sonuçta bu özelliği kapalı hale getirilmesi gerektiğidir.

Backtrack5 Wifi WPA\WPA2 Şifre Kırma(dictionary attack)

WPS (Wi-Fi Protected Setup) teknolojisi, kablosuz ağın güvenlik ayarlarını kolayca ayarlamak için kullanılan esnek bir teknolojidir.


Kablosuz ağ cihazını yapılandırırken, üzerinde bulunan PIN numarası ile cihazın yapılandırılmasını sağlar.


Saldırgan, WPS’de bulunan güvenlik zaafiyeti ile bu PIN numarasını tahmin ederse WPA/WPA2 anahtarını ele geçirebilir. WPA/WPA2 anahtarı ne kadar karmaşık ve uzun olursa olsun, PIN numarası tahmin edildiğinde anahtar elde edilebilir.

WPA şifre kırma işlemine geçmeden önce biraz size el sıkışmasından(handshake) olayından bahsetmem gerekir.



WPA korumalı ağlarda istemci ve AP (Access point=erişim noktası)her oturum için PTK(Pairwise Transient Key) adı verilen bir anahtar oluşturup aralarındaki tüm trafiği bu anahtar ile şifrelerler. PTK, SSID ANounce(AP’den gelen bir kerelik rastgele bir sayı), SNounce(istemciden gelen bir kerelik rastgele bir sayı), AP MAC adresi, istemci MAC adresi ve ağ parolası kullanılarak oluşturulur. WPA/WPA2 kullanılan bir ağın parolası bilinse bile bir istemcinin trafiğini deşifre etmek için oturumun başlangıcındaki el sıkışmaya ihtiyaç duyulmasının sebebi de budur.



Not: Burda AP' yi siz illa belli bir wifi yayını yapan nokta olarak düşünmeyin.Örneğin Cep telefonunuzun hotspot özelliğini kullanarak sizde telefonunuzu bir AP olarak kullanabilirsiniz.



İşlemlere geçmeden önce bir kaç tanım vermek istiyorum.İşlemler sırasında buradan tekrar bakarak okuyabilrisiniz.



Aircrack' i kısaca Wireless Hacking Tool olarak adlandırabiliriz.


-airodump : 802.11 Standartı için Packet Yakalama Programı

-aireplay : 802.11 Standartı için Paket İnjection Programı

-aircrack : static WEP ve WPA Anahtar Cracker



Şimdi arkadaşlar komutları yazmaya başlayalım.İlk önce sistemimizin ağ kartını gördüğüne emin olalım.



1- iwconfig komutu size kartınızın durumunu gösterecektir.







bizim ağ kartımız ekranda wlan2 olarak görülüyor.yalnız sizde muhtemelen wlan0 olarak görülecektir. Buna dikkat etmelisiniz. Unutmayınız.



2- Bu işlemleri yapmak için, ağ kartının monitor modu desteklemesi lazım. Komut ise aşağıdaki gibidir.

#airmon-ng start wlan2

yukarıdaki şekilde beyaz yerle belirttiğim yer bana ekranın monitör moda aldığımı gösteriyor.


3-Şimdi ise ilerki aşamalarda handshake yakalama adına ilk adımımızı atalım.

# airodump-ng --encrypt wpa mon0

şekilde görüldüğü gibi arkadaşlar etrafta ne kadar wiriless ağı varsa ortada duruyor.şimdi biz burda kendimize ait olan ykarakul essid ye sahip olan ağın şifresini kırmaya çalışacağız.


4- Şimdi komutta oluşturacağım essid ismiyle ykarakul ifadesini burda handshake yakalamak için kullanacağız.


-w burda ykarakul ifadesinin olduğu yeri belirtiyor

-c channel nosunu

--bssid ise kurbanın mac adresi gibi düşünebilirsiniz.




#airodump-ng -w ykarakul --encrypt wpa -c 1 --bssid BA:B4:2E:EE:E0:8A mon0


(komut aralarındaki boşluk birer karakterdir.Dikkat etmeliyiz)






yukarıdaki resim de olduğu gibi arkadaşlar burda hedefimizdeki wifi ağının handshake yakalamak üzere 1. adımı hazır etmiş bulunmaktayız.









yukarıdaki resim de ise hedep ağımıza bağlı bir bilgisayarın station bilgisini aldıktan sonra aşağıdaki komut satırına yazalım ve sonunda handshake yakalamak üzere 2. adımda hazırlanmış olalım.



5- #aireplay-ng -0 0 -a (bssid) -c (station) mon0










Yukarıdaki şekilde görüldüğü gibi arkadaşlar hedef wifi' nin bssid sinin ve bu wifi ağına bağlı olan bilgisayarın station adresini yazdıktan sonra hedefteki ağa bağlı olan bilgisayarı ağdan düşürüp tekrar bağlanmasını beklemeliyiz.Bağlandıktan sonra handshake yakalama olayımız gerçekleşmiş olacaktır.








arkadaşlar şu anda gördünüz üzere burda daha önce bağlı olan kullanıcı ykarakul adındaki ağa tekrar bağlanması sonucu sağ yukarıdaki WPA handshake bölümünde handshake yakalama istediğimizi gerçekleştirmiş bulunmaktayız. Artık geriye sadece komutu yazıp dictionary attack yapıp şifreyi kırmak kalıyor.




6- # aircrack-ng -w /root/Desktop/wifi passwd.txt ykarakul-01.cap



Bu komutta arkadaşlar -w ile dictionary attack yapacağınız (şifre sözlüğünüzün) dosyanın yolunu belirtmelisiniz. önceki komutlarda oluşturduğumuz ykarakul adındaki handshake mize de belirtiyoruz. ve sonra kullandığınız sözlüğünüzün büyüklüğüne göre belli bir süre beklemeniz gerekecek.Burda önemli olan sağlam bir sözlüğe sahip olmanız. bu süre 1 dakikada olabilir 20 dakikada 2 saatte olabilir.Dediğim gibi arkadaşlar o sizin sözlüğünüzün içeriğine ve bilgisayarınızın özelliklerine bağlıdır.







yukarıda anlattığım gibi sözlüğünüz ne kadar güçlüyse o kadar hızlı çözer.benim şifrenin çözülme süresi yaklaşık 19 dakika sürdü.



Tabi arkadaşlar bur da bir de not düşmek lazım;



Handshake yakaladigimiz anda aircrack-ng ile wordlist ile dictionary attack, yani sözlük atagini baslatiyoruz ama Eger sifre listede varsa, sansliyiz demektir yoksa baska bir yol denemek gerekecek.