Mysystem.org [Technical Preview] » Network & Güvenlik

Güvenlik Duvarı Testi

Mustafa Serdar SARIOGLU — Mon, 28 Nov 2011 09:08:45 +0000

Herhangi bir firewall arkasından, dış dünyaya hangi portların açık olduğunu tespit etmek için buradaki siteyi kullanabilirsiniz. Buradaki sunucu 1 – 65535 arasındaki tüm portlara web sunucundan cevap verecek şekilde ayarlanış.

Engellenen Sitelere Girmek

Mustafa Serdar SARIOGLU — Thu, 10 Nov 2011 22:30:52 +0000

Özellikle site erişimlerini engelleme konularında yazdığım yazılılara gelen tepkiler üzerine, engelleme yapılan bir sistemden, kural dışı! erişim yöntemleri konusunda bir yazı yazmaya karar verdim =) Tabi klasik bir cümledir ve hack – crack sitelerinde sıkça görürsünüz. ” Burada yazılanları uygulamak sizin sorumluluğunuzdadır. Kanunen bu erişimler başınızı ağrıtabilmekle beraber, yazılan eğitim amaçlıdır vs…”

1) Kısa URL Redirect: Yöntemlerden birincisi olan kısaltılmış url yöntemi şu şekilde çalışıyor. Erişmek istediğiniz site, sistem tarafından kesiliyor. Buraya kadar herşey normal. Peki aynı url i başka bir url den erişilirse? Örneğin sex.com a izin vermeyen sistem http://snipurl.com/2m71d3 izin verecektir. URL kısaltan bazı siteler: TinyURL, MooURL ve SnipURL

2) Google Cache: Bildiğiniz üzere, google index yaptığı sitelerin bir kopyasını (genelde text kısımları) cache tutarak bunu paylaşıyor. Genelde de url engelleme sistemleri google’ı engellemez ki false pozitif olmasın =)

3) URL Yerine IP Adresi: Genelde pek tutmayan bir yöntemdir ancak, dedike ip kullanan sitelere ip adresini direk yazarak erişmeye çalışılabilir.

4) Çevirmen Siteleri Kullanma: Tıpkı kısa url yöntemi gibi, erişim sağlamak istediğiniz siteyi çevviri yapan sitelerden istederek yasakları delebilirsiniz. Çevirmen siteler: Google Translate, BabelFish

4) Proxy Kullanma: URL filtreleme ürünlerine ciddi anlamda darbe vuran proxy sistemleri. halen SSL inspection yapman bir çok sistem 443. porta direk olarak erişim veriyor. Aşağıda 50 etkin proxy adresine ulaşabilirsiniz.

http://www.freeproxy-list.com/

http://www.hidemyass.com

http://www.anonymizer.com

http://www.wujie.net

http://www.ultrareach.net

http://ndparking.com/surfshield.net

http://www.guardster.com/free/

http://anonymouse.org/anonwww.html

http://www.browser-x.com

http://www.spysurfing.com

http://www.xerohour.org/hideme

http://www.proxyz.be

https://www.proxify.us

http://kproxy.com/index.jsp

http://www.brawl-hall.com/pages/proxy.php

http://www.proxify.net

http://flyproxy.com

http://alienproxy.com

http://proxify.com/

http://www.unfilter.net

http://www.proxymouse.com

http://www.superproxy.be/browse.pl

http://www.websiteguru.com/mrnewguy

http://www.letsproxy.com

http://www.fsurf.com

http://indianproxy.com

http://www.letmeby.com

http://Boredatschool.net

http://ibypass.com

http://www.ipzap.com/

https://proxify.biz

http://kproxy.com/index.jsp

http://www.attackcensorship.com/attack-censorship.html

http://mrnewguy.com

http://www.proxify.info

http://www.torify.com

http://www.switchproxy.com

http://www.proxifree.com

https://www.secure-tunnel.com/

http://www.arnit.net/utilities/webproxy/new/

http://www.betaproxy.com

http://www.proxify.org

http://www.proxychoice.com

http://www.proxysnail.com

Türkçe Engellenebilecek Siteler

Mustafa Serdar SARIOGLU — Thu, 10 Nov 2011 21:57:20 +0000

Kurumsal ağınızda kullandığınız url filtreleme çözümleri bazen türkçe siteler için yetersiz kalabiliyor. Buradan indirebileceğiniz txt dosyasını, güvenlik duvarınızda ya da url fitreleme çözümünüze eklerseniz, büyük ölçüde türkçe siteleri engellemiş olacaksınız.

Android Uygulamaları Junos – SSL VPN

Mustafa Serdar SARIOGLU — Sat, 05 Nov 2011 20:48:51 +0000

Mobil cihazların kullanımım artması ile beraber, bu cihazların şirket içinde çalışmaları kaçınılmaz bir hale geldi. Şu aşamada cihazların güvenli bir şekilde ağınıza ulaşması için önümüzüde 2 çözüm bulunuyor. Bunlardan birincisi; Kurulumu zor olmak ile beraber son kullanıcı tarafından kullanması kolay olan APN. GSM sağlacısı tarafından size özel oluşturulan ve, sizin ağınızda vpn tünel ile sonlandırılması ile kurulan sistemde, kullanıcıların hiç bir ayar yapmasına gerek kalmadan yetki ve erişimini sağlayabiliyorsunuz.

İkinci ve biraz daha son kullanıcıya yük getiren yöntem ise, mobil vpn client uygulamarı. Daha önce Check Point için yayınladığım programmın Juniper SSL Vpn çözümüne (JUNOS) buradan ulaşabilirsiniz.

Websense Lisans Kullanım Miktarını Görüntüleme

Mustafa Serdar SARIOGLU — Sat, 01 Oct 2011 17:34:25 +0000

Websense bildiğinizi gibi lisans bazlı çalışan bir uygulama. Websense’te ile URL filtering işi yapıyorsanız, ödeme yaptığınız uygulama değil, URL veritabanıdır. Örneğin URL veritabanınız 1 hafta güncellenemez ise Websense size sıkıntılar çıkartacaktır. 2. dikkat gerektiren nokta ise, lisans sayınız ve internete erişim sağlayan IP sayınızdır. Örneğin 2000 lisanslı bir modelde 2001′nci ip geldiğinde facebook açılacaktır =)

Peki Websense te kullanım miktarı nasıl hesaplanır? İşte cevabı:

Version: 6.3, 7.0, 7.1, 7.5, and 7.6 (Windows) için

1) Önce Command Promp ekranından websense \bin klasörüne düşmeniz lazım. Genelde Program files\Websense (32 sistemlerde) altında yer alır.

2) Komut satırından, ConsoleClient sunucu_ip_adresi 15869 yazdıktan sonra sırası ile,

3) 2. seçenek PrintSelf, 1. Seçenek Dump to Local File, 3. Seçenek Data Dump Level ve dump çıkmasını istediğinizi dump.txt yazarak çıktıı aldırıyoruz.

Son olarak 16. satırda SubscriptionTracker bulduktan sonra, detaylara ulaşabilirsiniz.

Check Point VPN Client 4 Android

Mustafa Serdar SARIOGLU — Sun, 18 Sep 2011 18:42:08 +0000

Mobil cihazların, hayatımızdaki yeri artık ciddi bir seviyeye geldi. Özellikle tabletlerin güçlenmesi ile beraber, birçok insan günlük işlerini mobil cihazlar ile halletmeye başladı. Bu gelişmeler kaşısında güvenlik dünyasında kayıtsız kalmıyor.

Check Point yakın zamanda Android için vpn client‘ını yayınladı. Bunun anlamı android bir cihazınız ve Check Point VPN çözümünüz varsa, artık istediğiniz an şirket ortamında çalışmaya başlayabileceğinizdir. Örneğin, vpn kurduktan sonra, SAP mobile ile kritik bir işinizi halledebilir, kurumsal portalinizde dolaşabilir, dosya sunucunuzdan exel dosyalarınıza ulaşabilirsiniz.

Hatta biraz network bilgisi ile, mobil cihazınız vpn oturumda iken, kablosuz paylaşımı açarak, diğer cihazlarınızı da tünele dahil edebilirsiniz. Ancak cihaza dışarıdan bir müdahelenin güvenlik açısından sakınca doğrabileceği gerçeğini göz ardı etmemeniz gerekiyor.

Check Point tarafından Android markette yayınlanan uygulamanın detaylarına, buradan ulaşabilirsiniz.

SSL Sağlayıcısının Sisteme Etkileri

Mustafa Serdar SARIOGLU — Thu, 01 Sep 2011 10:40:48 +0000

SSL sistemleri, güvenliğin önem kazandığı ortamlarda, gün geçtikçe populer hale gelmeye başladı. Ancak SSL kullanılmaya başlandığı andan itibaren yapılan 2 ölümcül hata var. Bunlardan birincisi, nasıl olsa SSL aktif ettik, artık güvendeyiz mantığı ikincisi ise, SSL sağlayıcınızın down olma durumda, sizinde de down olacağınız gerçeği!

SSL Kullanırken, şu adımlara dikkat etmenizde fayda var.

SSL Sağlayıcı Root sertifika sunucularının (CA), dünyada kabul görmüş olup olmaması. SSL sağlayan bir sistemin güvenlik maliyeti yaklaşık 1. 000 000 $ bulmakta. Taktir edersiniz ki, bu yatırımın müşteriye yansıması olmalı.
Yine CA sunucularının uptime oranlarının %100 e yakın olması. Aşağıdaki görüntüde, SSL sunucusundan dolayı site hizmet veremez durumda.
Sistemde kullanılan, sabit content (jpg, gif vs) SSL olarak değil, clear bir şekilde istemciye iletilmesi. Bu size daha az CPU yükü ve Band olarak dönecektir.
Sertifika sürelerini size hatırlatan bir sistemin olması.

Down olan bir sitenin ekran görüntüsü:

IP Subnet

Mustafa Serdar SARIOGLU — Sat, 20 Aug 2011 22:29:59 +0000

Kısaca IP Subnet Haritası
# bits	# hosts	Usable hosts	netmask		Cisco mask
/4	268435456	268435454	240.0.0.0		15.255.255.255
/5	134217728	134217726	248.0.0.0		7.255.255.255
/6	67108864	67108862	252.0.0.0		3.255.255.255
/7	33554432	33554430	254.0.0.0		1.255.255.255
/8	16777216	16777214	255.0.0.0	class A network	0.255.255.255
/9	8388608	8388606	255.128.0.0		0.127.255.255
/10	4194304	4194302	255.192.0.0		0.63.255.255
/11	2097152	2097150	255.224.0.0		0.31.255.255
/12	1048576	1048574	255.240.0.0		0.15.255.255
/13	524288	524286	255.248.0.0		0.7.255.255
/14	262144	262142	255.252.0.0		0.3.255.255
/15	131072	131070	255.254.0.0		0.1.255.255
/16	65536	65534	255.255.0.0	class B network	0.0.255.255
/17	32768	32766	255.255.128.0		0.0.127.255
/18	16384	16382	255.255.192.0		0.0.63.255
/19	8192	8190	255.255.224.0		0.0.31.255
/20	4096	4094	255.255.240.0		0.0.15.255
/21	2048	2046	255.255.248.0		0.0.7.255
/22	1024	1022	255.255.252.0		0.0.3.255
/23	512	510	255.255.254.0		0.0.1.255
/24	256	254	255.255.255.0	class C network	0.0.0.255
/25	128	126	255.255.255.128		0.0.0.127
/26	64	62	255.255.255.192		0.0.0.63
/27	32	30	255.255.255.224		0.0.0.31
/28	16	14	255.255.255.240		0.0.0.15
/29	8	6	255.255.255.248		0.0.0.7
/30	4	2	255.255.255.252		0.0.0.3
/31		point to point links only
/32	1	1	255.255.255.255	single IP address	use host* notation*

Network Katmanları

Mustafa Serdar SARIOGLU — Sun, 07 Aug 2011 10:22:38 +0000

OSI Katmanlarını bir bakışta algılayabileceğiniz güzel bir çizim. Çizimde, kablo tiplerinden, topolojilere, katmanlardaki cihazlara kadar bir çok bileşenden bahsedilmiş.

BGP with VRRP IP

Ferdi BÜLBÜL — Fri, 01 Apr 2011 07:56:51 +0000

Sistemimizde bulunan iki adet local router ile ISP routerı arasında BGP kurmak istiyoruz “redundancy” e ihtiyacımız var. Bunu HSRP, VRRP ya da GLBP ile sağlayabiliriz.

Yukarıdaki topolojide ISP-R1 ve ISP-R2 arasında eBGP kurduk ve R1 ve R2 den 2.2.2.2/32 ip adresini eBGP ile advertise ettik. Fakat BGP ”best route election process” ine göre bir tane best-route seçti ve route tablomuza ekledi. R1 i seçti ve next-hop adres olarak da R1 interface IP si olan 192.168.100.2 seçti.

ISP#sh ip bgp
BGP table version is 2, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i – internal,
r RIB-failure, S Stale
Origin codes: i – IGP, e – EGP, ? – incomplete

Network          Next Hop            Metric LocPrf Weight Path
* 2.2.2.2/32       192.168.100.2            0             0 222 i
*>                  192.168.100.3            0             0 222 i
ISP#

ISP#sh ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route

Gateway of last resort is not set
1.0.0.0/32 is subnetted, 1 subnets
C       1.1.1.1 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
B       2.2.2.2 [20/0] via 192.168.100.3, 00:05:23
192.168.100.0/29 is subnetted, 1 subnets
C       192.168.100.0 is directly connected, FastEthernet0/0

ISP#

R1 üzerindeki interface down olduğunda; aradaki cihazlarımız L2 olduğundan ve BFD gibi bir L2 detection sistemi kullanılmadığından ISP router ı linkin down olduğunu anlayamaz ve ISP interface up durumda kalır. BGP convergence süresi kadar kesintiden sonra (keepalive 60sn, holdtime 180sn) R3 ten ogrendıgımız route ip-route tablosuna yazılır.

ISP#ping 2.2.2.2 repeat 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!……………
……………………………………!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 49 percent (55/112), round-trip min/avg/max = 4/11/56 ms

ISP#ping 2.2.2.2

Aşagıdaki config ile; R1 ve R2 cihazları arasında VRRP redundancy protokolü koştugumuzda ve ISP router ına next-hop olarak VRRP IP adresini bildirdigimizde

R1#sh run int fa 0/0
interface FastEthernet0/0
ip address 192.168.100.2 255.255.255.248
vrrp 3 ip 192.168.100.5
vrrp 3 preempt delay minimum 15
vrrp 3 priority 200
end

R2#sh run int fa 0/0
interface FastEthernet0/0
ip address 192.168.100.3 255.255.255.248
vrrp 3 ip 192.168.100.5
vrrp 3 preempt delay minimum 15
end

R2#sh run
route-map nh permit 10
set ip next-hop 192.168.100.5
!
router bgp 222
bgp router-id 3.3.3.3
network 2.2.2.2 mask 255.255.255.255
neighbor 192.168.100.1 remote-as 111
neighbor 192.168.100.1 route-map nh out
R2#

R1#sh run
route-map nh permit 10
set ip next-hop 192.168.100.5
!
router bgp 222
bgp router-id 2.2.2.2
network 2.2.2.2 mask 255.255.255.255
neighbor 192.168.100.1 remote-as 111
neighbor 192.168.100.1 route-map nh out
no auto-summary
R1#

ISP routerında; advertise yaptıgımız 2.2.2.2/32 route ı için next-hop IP adresi VRRP IP si görmekteyiz.

Fakat, R1 routerının VRRP statusu master olduğundan(VRRP priority si yüksek) route R1 üzerinden next-hop VRRP IP olacak şekilde gelmektedir. .

ISP#sh ip bgp
BGP table version is 4, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i – internal,
r RIB-failure, S Stale
Origin codes: i – IGP, e – EGP, ? – incomplete

Network          Next Hop            Metric LocPrf Weight Path
*> 2.2.2.2/32       192.168.100.5 0             0 222 i
* 192.168.100.5 0             0 222 i
ISP#sh ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
C       1.1.1.1 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
B       2.2.2.2 [20/0] via 192.168.100.5, 00:13:45
192.168.100.0/29 is subnetted, 1 subnets
C       192.168.100.0 is directly connected, FastEthernet0/0

ISP#sh ip route 2.2.2.2
Routing entry for 2.2.2.2/32
Known via “bgp 111″, distance 20, metric 0
Tag 222, type external
Last update from 192.168.100.5 00:17:33 ago
Routing Descriptor Blocks:
* 192.168.100.5, from 192.168.100.2, 00:17:33 ago
Route metric is 0, traffic share count is 1
AS Hops 1
Route tag 222
ISP#

Aynı şekilde R1 in f0/0 interface ini kapatarak bir ping testi başlattıgımızda sadece 1 tane ping kayıbı gözlemlemekteyiz. Tabiiki net olarak kayıbı gözlemlemek için tester cihazları ile daha hassas testler yapmamız gerekecektir.

ISP#ping 2.2.2.2 repeat 1000
Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 99 percent (999/1000), round-trip min/avg/max = 4/10/72 ms
ISP#

Bu şekilde; VRRP kullanarak “reduncancy” sağlamış olduk fakat VRRP nin çalışma mantığı gereği (bir masterrouter diğer router standby) sadece bir router ımız aktif olduğundan “load-sharing” sağlayamıyoruz.