<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<META NAME="GENERATOR" CONTENT="lfparser_2.43">
<META NAME="LFCATEGORY" CONTENT="SystemAdministration">
<link rel="icon" href="../../common/images/lf-16.png" type="image/png">
<TITLE>lf274, SystemAdministration: Debian GNU/Linux ile sald�r� sezimleme</TITLE>
<style type="text/css">
<!--
td.top {font-family: Arial,Geneva,Verdana,Helvetica,sans-serif; font-size:12 }
pre { font-family:monospace,Courier }
pre.code { font-family:monospace,Courier;background-color:#aedbe8; }
p.cl { color:#EE9500 }
a.nodec { text-decoration:none }
p.trans { font-size:8pt; text-align:right }
p.clbox { width:50%; alignment:center; background-color:#FFD700;
border-style:none; border-width:medium; border-color:#FFD700;
padding:0.5cm; text-align:center }
p.code { width:80%; alignment:center; background-color:#aedbe8;
border-style:none; border-width:medium; border-color:#aedbe8;
padding:0.1cm; text-align:left }
p.foot { background-color:#AAAAAA; color:#FFFFFF; border-style:none;
border-width:medium; border-color:#AAAAAA; padding:0.5cm ;
margin-top:0.1cm; margin-right:1cm; margin-left:1cm;
text-align:center }
.mark { background-color:#e6e6ff }
-->
</style>
</HEAD>
<BODY bgcolor="#ffffff" text="#000000">
<!-- this is generated html code. NEVER use this file for your
translation work. Instead get the file with the same article number
and .meta.shtml in its name. Translate this meta file and then
use lfparser program to generate the final article -->
<!-- lfparser can be obtained from http://www.linuxfocus.org/~guido/dev/lfparser.html -->
<!-- this is used by a number of tools:
=LF=AUTHOR: José Salvador González Rivera
=LF=CAT___: SystemAdministration
=LF=TITLE_: Debian GNU/Linux ile sald�r� sezimleme
=LF=NUMBER: 274
=LF=ANAME_: article274.shtml
-->
<!-- 2pdaIgnoreStart -->
<!-- start navegation bar, style=2 -->
<!-- top navegation bar -->
<TABLE summary="topbar_1" cellspacing="0" cellpadding="0" border="0" align="center" width="90%">
<TR bgcolor="#2e2292">
<TD class="top"><TABLE summary="topbar_1_logo" cellspacing="0" cellpadding="0" border="0" width=
"100%">
<TR><TD width="319"><IMG src="../../common/images/logolftop_319x45.gif"
alt="[LinuxFocus-icon]" width="319" height="45" align="left"
border="0"></TD>
<TD class="top">
<TABLE summary="topbar_1_links" width="100%">
<TR align="right">
<TD class="top">
<A class="nodec" href="index.shtml"><FONT color=
"#DDDDDD" size="2"><--</FONT></A> |
<A class="nodec" href="../index.shtml"><FONT color=
"#DDDDDD" size="2">Ana Sayfa</FONT></A> |
<A class="nodec" href="../map.html"><FONT color=
"#DDDDDD" size="2">Eri�imd�zeni</FONT></A> |
<A class="nodec" href="../indice.html"><FONT color=
"#DDDDDD" size="2">��indekiler</FONT></A> |
<A class="nodec" href="../Search/index.shtml"><FONT color=
"#DDDDDD" size="2">Arama</FONT></A> </TD>
</TR>
<TR align="right">
<TD class="top">
<HR width="100%" noshade size="1">
</TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
<!-- end top navegation bar -->
<!-- blue bar -->
<TABLE summary="topbar_2" cellspacing="0" cellpadding="0" border="0" align="center"
width="90%">
<TR bgcolor="#00ffff">
<TD><IMG src="../../common/images/transpix.gif" width="1" height=
"2" alt=""></TD>
</TR>
</TABLE>
<!-- end blue bar -->
<!-- bottom navegation bar -->
<TABLE summary="topbar_3" cellspacing="0" cellpadding="0" border="0" align="center"
width="94%">
<TR bgcolor="#000000">
<TD>
<TABLE summary="topbar_3_links" cellspacing="0" cellpadding="1" border="0" width=
"100%">
<TR align="center">
<TD WIDTH="20%"><A class="nodec" href="../News/index.html"><FONT color=
"#FFFFFF">Duyumlar</FONT></A> </TD>
<TD WIDTH="5%"><FONT color="#FFFFFF">|</FONT> </TD>
<TD WIDTH="20%"><A class="nodec" href="../Archives/index.html"><FONT color=
"#FFFFFF">Belgelikler</FONT></A> </TD>
<TD WIDTH="5%"><FONT color="#FFFFFF">|</FONT> </TD>
<TD WIDTH="20%"><A class="nodec" href="../Links/index.html"><FONT color=
"#FFFFFF">Ba�lant�lar</FONT></A> </TD>
<TD WIDTH="5%"><FONT color="#FFFFFF">|</FONT> </TD>
<TD WIDTH="20%"><A class="nodec" href="../aboutus.html"><FONT color=
"#FFFFFF">LF Nedir</FONT></A> </TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
<!-- end bottom navegation bar -->
<!-- stop navegation bar -->
<!-- SSI_INFO -->
<!-- tr_staticssi include virtual -->
<!-- tr_staticssi exec cmd -->
<!-- addedByLfdynahead ver 1.4 --><TABLE ALIGN="right" border=0><TR><TD ALIGN="right"><FONT SIZE="-1" FACE="Arial,Helvetica">Bu makalenin farkl� dillerde bulundu�u adresler: <A href="../../English/January2003/article274.shtml">English</a> <A href="../../Castellano/January2003/article274.shtml">Castellano</a> <A href="../../Deutsch/January2003/article274.shtml">Deutsch</a> <A href="../../Francais/January2003/article274.shtml">Francais</a> <A href="../../Nederlands/January2003/article274.shtml">Nederlands</a> <A href="../../Russian/January2003/article274.shtml">Russian</a> <A href="../../Turkce/January2003/article274.shtml">Turkce</a> <A href="../../Polish/January2003/article274.shtml">Polish</a> </FONT></TD></TR></TABLE><br>
<!-- SSI_INFO STOP -->
<!-- 2pdaIgnoreStop -->
<!-- SHORT BIO ABOUT THE AUTHOR -->
<TABLE ALIGN=LEFT BORDER=0 WIDTH="190" summary="about the author">
<TR>
<TD>
<IMG src="../../common/images/JoseGonzalez.jpg" alt="[Photo of the Author]" width="110" height="150">
<BR> José Salvador González Rivera <br> <small><jsgr(at)tec.com.mx></small>
<BR><BR>
<I>Yazar hakk�nda:</I><BR>
<!-- aboutauthor_start -->
<P>José Salvador González Rivera Meksika Linux
kullan�c�lar� grubunun aktif uyelerinden biridir. Serbest yaz�l�m
ve �zellikle Linux kullan�m�n� te�fik eden etkinliklerde yer
almaktad�r. Kendisi hen�z yeni Bilgisayar sistemleri mezunudur.
Kendisiyle ileti�imde bulunmak isterseniz,
jsgr(at)tec.com.mx or veya jsgr(at)linuxpuebla.org adreslerini
kullanabilirsiniz.</P>
<!-- aboutauthor_stop -->
<!-- TRANSLATED TO tr -->
<BR><BR><I>T�rk�e'ye �eviri:</I><BR>
Erdal Mutlu <small><erdal(at)linuxfocus.org></small>
<br>
<!--
=LF=TRANSTO=tr: Erdal Mutlu
-->
<!-- TRANSLATED TO STOP -->
<BR><i>��erik</i>:
<UL>
<LI><A HREF="#274lfindex0">Giri�</A></LI>
<LI><A HREF="#274lfindex1">Neden Debian GNU/Linux ?</A></LI>
<LI><A HREF="#274lfindex2">Bilgisayar i�in olan ara�lar</A></LI>
<LI><A HREF="#274lfindex3">Ba�lant� noktalar� taray�c�lar�n�n sezimlenmesi</A></LI>
<LI><A HREF="#274lfindex4">B�t�nl�k ��z�mlemesi</A></LI>
<LI><A HREF="#274lfindex5">�etele dosyalar� ��z�mlemesi</A></LI>
<LI><A HREF="#274lfindex6">A� ara�lar�</A></LI>
<LI><A HREF="#274lfindex7">Snort izleyici ve paket �etele tutma kipleri</A></LI>
<LI><A HREF="#274lfindex8">Snort sald�r� sezimleme kipi</A></LI>
<LI><A HREF="#274lfindex9">Di�er yararl� ara�lar</A></LI>
<LI><A HREF="#274lfindex10">�zleyicilerin sezimlenmesi</A></LI>
<LI><A HREF="#274lfindex11">Rootkit'lerin sezimlemesi</A></LI>
<LI><A HREF="#274lfindex12">Referanslar</A></LI>
<LI><A HREF="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=274">Bu yaz� i�in g�r�� bildiriminde bulunabilirsiniz</A></LI>
</UL>
</TD></TR></TABLE>
<!-- HEAD OF THE ARTICLE -->
<br>
<table border="0"><tr><td>
<H2>Debian GNU/Linux ile sald�r� sezimleme</H2>
<IMG src="../../common/images/debian.gif" width="51" height="62"
alt="[debian]" hspace="10">
<!-- ABSTRACT OF THE ARTICLE -->
<P><i>�zet</i>:
<P>
<!-- articleabstract_start -->
<P>G�n�m�zde bilgiler say�sal olarak elektronik
ortamlarda saklanmaktad�r ve durum b�yle olunca, onlara
bilgisayar a�lar� arac�l���yla kolayca eri�ilebilir.
Verilerin t�r� ister finanslal, ister y�netsel, ister askeri,
ister sanayi ve ister ticari olsun, bunlara uzaktan eri�mek art�k
�ok kolayd�r. Ne yaz�k ki, bunlar k�t� niyetli ki�ilerin verilere
eri�me veya onlar� yok etmek i�in kolayca hedef olmaktad�r.<br><BR>
Bunlara kar�� yapabilecei�imiz pek fazla bir �ey yoktur.
Bu k�sa yaz�da Debian GNU/Linux'ta sald�rganlar� belirlemede ve
izlemede kullan�lan teknikleri ve ara�lar� g�zden ge�irece�iz.
Kullan�c� belgelerindekileri burada tekrarlamaktansa,
ger�ek hayatta ne olabilece�i �zerinde durmak istiyorum.
</P>
<!-- articleabstract_stop -->
<br><!-- HR divider --><center><font color="#8282e0"><b>_________________ _________________ _________________</b></font></center><br>
</td></tr></table>
<!-- BODY OF THE ARTICLE -->
<A NAME="274lfindex0"> </A>
<H2>Giri�</H2>
<P>Linux da��t�m� se�imi yaparken, bir s�r� da��t�m�
g�z�n�nde bulundurmam�z gerekir. Conectiva (Brazilya), Hispa
(�spanya), Mandrake (Fransa), SuSE (Almanya), Caldera vs
gibi RedHat tabanl�d�r ve RPM paket sistemini kullanan bir�ok
Linux da��t�m� daha vard�r. Bir de geleneksel Unix'ler gibi sadece
.tgz ar�ivlerini kullanan ve b�ylece onlara daha yak�n olmaya �al��an
Slackware vard�r. Bunlar�n hemen hemen "hepsi" ticari �irketler
taraf�ndan geli�tirilmektedir, ancak Debian i�in bu do�ru de�ildir.
Debian �nternet'teki g�ncellemeleri denetleyen ve ba��ml�l�k
denetimlerinde bulunabilen, DPKG ad�nda bir paket y�neticisi
sunmaktad�r. B�ylece, hem sistem y�netimini kolayla�t�rmakta ve
hem de g�venlik ile ilgili yamalar g�z�n�nde bulunduruldu�unda
sistemin g�ncel kalmas�n� sa�lamaktad�r.</P>
<A NAME="274lfindex1"> </A>
<H2>Neden Debian GNU/Linux ?</H2>
<P>Debian ayr�ca birka� �nemli �zellik daha sunmaktad�r:<BR>
<BR>
1) Ticari bir amac� yoktur ve pazar�n getirmi� oldu�u bask�lar�
izlememektedir.<BR>
2) �yi bir hata izleme sistemine sahiptir ve hatalar 48 saatten daha
k�sa bir s�re i�erisinde giderilmektedir.<BR>
3)Ba��ndan beri amac�, tam ve g�venilir bir i�letim sistemi
geli�tirmektir.<BR>
4) T�m d�nya �zerinde olan g�n�ll� geli�tiriciler taraf�ndan
geli�tirilmektedir.<BR>
<BR>
Da��t�m�n her yeni s�r�m� yeni bir mimariyi daha desteklemektedir.
�u anda desteklenmekte olan mimariler �unlard�r:
Alpha, ARM, HP PA-RISC, Intel
x86, Intel IA-64, Motorola 680x0, MIPS, MIPS (DEC), Power PC, IBM
S/390, Sparc d�r. Sun UltraSparc ve Hitachi SuperH �zerindeki
�al��malar s�rmektedir. En fazla donan�m ortam�n� destekleyen sistem
Linux'dur.</P>
<P>Debian'�n var olan paketleri aras�nda,
k�t� niyetli ba�lant�lar� ger�ek zamanl� olarak sezebilecek
ara�lar da vard�r. Bunlar, a� �zerinden gelen sald�r�y� ve
belli bir bilgisayar�n �al��mas�n� izleyen iki t�rd�r.</P>
<A NAME="274lfindex2"> </A>
<H2>Bilgisayar i�in olan ara�lar</H2>
<P>Ba�lant� noktalar� taray�c�lar�n� sezimlemek i�in PortSentry'yi,
sistemdeki de�i�iklikleri sezimlemek i�in TripWire'� ve �etele
dosyalar�n� incelemek i�in LogSentry'yi kullanmaktay�z. Bunlardan
birincisi ve ���nc�s� Psionic Technologies �irketinin TriSentry
�r�n�n�n bir par�as�d�r.</P>
<A NAME="274lfindex3"> </A>
<H2>Ba�lant� noktalar� taray�c�lar�n�n sezimlenmesi</H2>
<P>PortSentry sistemimizdeki ba�lant� noktalar�n�
izlemekte ve ba�lant� yap�lmas�n� istemedi�imiz bir
ba�lant� noktas�na ba�lant� kurmaya �al��an olursa,
buna kar�� belli bir i�lemi (genelde ba�lant�y� kesme) yerine
getirmektedir.<BR>
<BR>
Program�n sanaldoku sayfas�
<A href="http://www.psionic.com/products/portsentry.html">http://www.psionic.com/products/portsentry.html</A>
adresindedir. Program, Solaris, BSD, AIX, SCO, Digital
Unix, HP-UX ve Linux alt�nda �al��maktad�r.<BR>
<BR>
Debian'da program� y�klemek i�in a�a��daki komutlar� �al��t�rman�z
gerekmektedir:<BR>
<BR>
apt-get install portsentry</P>
<P>classic, stealth ve advanced (geli�mi�) olmak �zere �� farkl� �al��ma kipi
se�ilebilir. Program�n yap�land�rma dosyas�
/usr/local/psionic/portsentry/portsentry.conf dur.<BR>
<BR>
Ana se�enekleri, José Torres Luque'in ES Linux Magazine'de
yay�nlanan yaz�s�nda a�a��daki gibi buldum:</P>
<P class="code">TCP_PORTS, ile ister classic isterse stealth kipinde
olsun, denetlenmesini istedi�iniz ba�lant� noktalar�
tan�mlanmaktad�r. Program� yazan ki�i, g�venlik seviyesine
g�re �� liste sunmaktad�r. Kullan�labilecek en fazla ba�lant� noktas�
64't�r.<BR>
<BR>
UDP_PORTS, UDP ba�lant� noktalar� i�in olup, bir �nceki se�enek
gibidir.<BR>
<BR>
ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, geli�mi� (advanced) kipinde
kullan�lacak en y�ksek ba�lant� noktas� numaras�n� belirtmektedir.
�nceden devre d��� b�rak�lanlar�n d���nda, bu say�lardan k���k numaraya
sahip her ba�lant� noktas� denetlenecektir. En b�y�k say� 65535
olabilir. Ancak, yanl�� uyar� olu�mas�na yol a�mamak i�in, 1024'�n �st�ndeki
say�lar� vermek pek �nerilmez.<BR>
<BR>
ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP devre d��� b�rak�lacak
ba�lant� noktalar�n�n listesidir. Bu b�l�mde bulunan ba�lant�
noktalar� geli�mi� (advanced) kipte izlenmeyeceklerdir.
Genellikle buraya, uzaktan eri�im yapan istemcilerin ba�land�klar�
noktalar� ve ident gibi ger�ek servis olmayanlar� yazabilirsiniz.<BR>
<BR>
IGNORE_FILE'da izleme s�ras�nda atlanacak IP'lerin yer ald���
dosyan�n yoltan�m� belirtiliyor. Yerel a� aray�z�, lo dahil
bu dosyada yer almal�d�r. E�er isterseniz, yerel IP numaras�n� da
ekleyebilrsiniz.<BR>
<BR>
KILL_ROUTE'da sald�r�y� yapan bilgisayar� durdurmak i�in
�al��t�r�lmas� gereken komutu yazabiliriz. S�zgelimi : iptables -I
INPUT -s $TARGET$ -j DROP. Buradaki $TARGET$, sald�r�y�
ger�ekle�tiren bilgisayar� i�aret etmektedir.<BR>
<BR>
KILL_RUN_CMD'de sald�rgan�n bilgisayar�ndan olan eri�imi
engellemeden �nce �al��t�r�lmas� gereken komut yer al�yor.<BR>
<BR>
SCAN_TRIGGER'de uyar�y� �al��t�rmadan �nce yap�lmas� gereken deneme
say�s� belirtilmektedir.<BR>
<BR>
PORT_BANNER, a��k olan ba�lant� noktalar�nda
ba�lanma kipinde iken bir ileti g�stermektedir.<BR>
<BR>
Yap�land�rma bittikten sonra program�, a�a��daki �� �al��t�rma
kipinden birinde ba�latman�z gerekiyor. Bunun i�in kullanabilece�iniz
se�enekler: TCP i�in -tcp (temel kip), stealth kipi i�in -stcp
ve geli�mi� (advanced) kip i�in -atcp. UDP'ler i�in ise,
s�ras�yla -udp, -sudp ve -audp kullan�labilir.</P>
<A NAME="274lfindex4"> </A>
<H2>B�t�nl�k ��z�mlemesi</H2>
<P>TripWire, dosya sistemi b�t�n���� denetlemesi yapmaktad�r.
Program�n sanaldoku y�resini
<A href="http://www.tripwire.org">http://www.tripwire.org</A>
adresinde bulabilirsiniz. Program� Linux i�in paras�z ve Windows NT,
Solaris, AIX ile HP-UX i�in parayla elde edebilirsiniz.<BR>
<BR>
Debian'da program� y�klemek i�in a�a��daki komutu �al��t�rman�z
yeterlidir:<BR>
<BR>
apt-get install tripwire<BR>
<BR>
Bilgileri saklamak i�in iki adet anahtara gerek vard�r.
Birinci anahtar ('site key') yap�land�rma dosya ve ilkeleri,
ikinci anahtar (yerel 'local key') ise, izlenmesi yap�lm��
dosya durum bilgilerini kodlamada kullan�lmaktad�r.<br>
<BR>
Yap�land�rmalar basit�e /etc/tripwire/twpol.txt dosyas�nda yap�lmakta ve
haz�r olundu�unda "y�klemek" i�in a�a��daki komut �al��t�r�l�r:<br>
<BR>
twadmin -m P /etc/tripwire/twpol.txt<BR>
<BR>
Dosyalar�n son durumnu i�eren veritaban�n� ilk defa olu�tururken
a�a��daki komut �al��t�r�l�r:<br>
<BR>
tripwire -m i 2<BR>
<BR>
Dosya sisteminin b�t�nl���n� denetlemek istenildi�inde a�a��daki
komut �al��t�r�l�r:<br>
<BR>
tripwire -m c<BR>
<BR>
Hangi dosyalar�n de�i�ti�ini sald�rgan�n taraf�ndan ��renilmesini engellemek i�in
a�a��daki komut arac�l��� ile yap�land�rma dosyalar� silinebilir:<br>
<BR>
rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt<BR>
<BR>
Gerekti�inde tekrar yaratmak i�in a�a��daki komut kullan�labilir:<br>
<BR>
twadmin -m p > /etc/tripwire/twpol1.txt twadmin -m f >
/etc/tripwire/twcfg.txt</P>
<A NAME="274lfindex5"> </A>
<H2>�etele dosyalar� ��z�mlemesi</H2>
<P>LogCheck, LogSentry'nin bir par�as�d�r ve �etele
dosyalar�n ��z�mlenmesinde kullan�lmaktad�r ve bu i�i �ok
etkin bir �ekilde yapmaktad�r, ��nk� yap�lan etkinlikler ve
okunmas� gereken olu�mu� hatalar hakk�nda raporlar haz�rlamaktad�r.
D�rt farkl� �eteleme seviyesi sunmaktad�r: ignore (g�zard� et),
unusual activity (s�radan olmayan etkinlik), violation of security
(g�venli�in ihlali) ve attack (sald�r�).<BR>
<BR>
Program�n sanaldoku sayfas�na
<A href="http://www.psionic.com/products/logsentry.html">http://www.psionic.com/products/logsentry.html</A>
adresinden ula�abilirsiniz. Program�n, Solaris, BSD, HP-UX ve Linux
i�in s�r�mleri vard�r.<BR>
<BR>
Program� Debian'da y�klemek i�in a�a��daki komut �al��t�r�labilir:<br>
<BR>
apt-get install logcheck<BR>
<BR>
Bu, ��z�mlenmi� dosyalar�n listesini tutabilmek i�in logtail program�n�
/usr/local/bin dizinine y�klemektedir. Ayr�ca, a�a��daki dosyalar
da y�klenmektedir:</p>
<P class="code">Logcheck.sh,<BR>
temel yap�land�rmalar� i�eren betik program�d�r.<BR>
<BR>
Logcheck.hacking,<BR>
etkinlik seviyelerinin tan�mland��� kurallar�n� i�erir.<BR>
<BR>
Logcheck.ignore,<BR>
g�zard� edilecek ifadeleri i�erir.<BR>
<BR>
Logcheck.violations,<BR>
g�venlik ihlali say�lacak ifadeleri i�erir.<BR>
<BR>
Logcheck.violations.ignore,<BR>
bu dosyada yer alan ifadeler g�zard� edilecektir.<BR>
<BR>
</P>
<P>�etele dosyalar�n� saat ba�� denetlemek i�in cron tablosuna : <br>
0 * * * * /bin/sh /usr/local/etc/logcheck.sh <br>
sat�r� eklenebilir.</P>
<A NAME="274lfindex6"> </A>
<H2>A� ara�lar�</H2>
<P>A� �zerinden gelecek sald�r�lar� sezimleyebilmek i�in Snort
kullan�yoruz. Snort'un sanaldoku y�resini
<A href="http://www.snort.org">http://www.snort.org</A> adresindedir
ve BSD, Solaris, AIX, Irix, MacOS ve Linux sistemleri i�in s�r�mleri
vard�r.<br>
Debian'da program� y�klemek i�in a�a��daki komut �al��t�r�labilir:<br>
<BR>
apt-get install snort<BR>
<BR>
Program �� farkl� kipte �al��maktad�r: sniffer (izleyici, dinleyici),
a� paketleri �etele tutucu ve sald�r� sezimleme.</P>
<P>A�a��daki parametreler kullan�labilir:</P>
<P class="code">-l dizin<BR>
dosyalar�n sakland��� dizini g�stermektedir.<BR>
<BR>
-h IP<BR>
denetlemek istedi�imiz a� IP numaras�n� belirtiyor.<BR>
<BR>
-b<BR>
t�m a� paketlerini binary olarak yakalamaktad�r.<BR>
<BR>
-r dosya<BR>
binary dosyay� incelemektedir.</P>
<A NAME="274lfindex7"> </A>
<H3>Snort izleyici ve paket �etele tutma kipleri</H3>
<P>�zleme (sniffer) kipinde, a� �zerinde dola�an paketler
ekranda g�r�nt�lenirken, �etele tutma (logger) kipinde ise,
veriler bir dizindeki dosyaya yaz�lmaktad�r.<br>
<BR>
Snort -v<BR>
<BR>
IP ba�l�klar�n� g�stermektedir.<BR>
<BR>
Snort -dv<BR>
<BR>
Ayn� zamanda dola�makta olan verileri g�stermektedir.<br>
<BR>
Snort -dev<BR>
<BR>
Daha ayr�nt�l� bilgi vermektedir.</P>
<A NAME="274lfindex8"> </A>
<H3>Snort sald�r� sezimleme kipi</H3>
<P>Bu kipte snort, ba�lant� noktalar� taramas�, servisleri engelleme
sald�r�s� (DoS Deny of Service), g�venlik a��klar� vs gibi olaylar
hakk�nda bizi bilgilendirmektedir. snort /usr/local/share/snort
dosyas�nda yer alan kurallar�na dayanmaktad�r. Saat ba�� g�ncellenen bu dosyay�,
program�n �nternet sayfas�ndan indirebilirsiniz.<br>
<BR>
Sadece a� yap�land�rma ve �al��ma dizinleri bilgilerini
snort.conf yap�land�rma dosyas�nda belirterek ve �zerinde �e�itli
de�i�iklikler yaparak, program�n yap�land�r�lmas� kolayca
yap�lmaktad�r. Sadece IP numaras�n� de�i�tirin:<br>
<BR>
var HOME_NET IP<BR>
<BR>
snort'u �al��t�rmak i�in a�a��daki komut kullan�labilir:<BR>
<BR>
snort -c snort.conf<BR>
<BR>
Sald�rganlar�n�n IP numaralar�n� de g�rebilece�imiz �etele dosyalar�
/var/log/snort dizininde saklanmaktad�r. Snort'la yapabilecekleriniz
bu kadar� ile s�n�rl� de�il tabii. Daha fazla bilgi i�in snort
hakk�ndaki yaz�lar� ve belgeleri okuman�z� �neririm. �e�itli
organizasyonlar�n, dergilerin ve g�venlik gruplar�n�n �o�u
sald�r� sezimleme sistemleri aras�nda her UNIX veya Windows i�in
snort'un en iyisi oldu�unu belirtmektedir. Silicon Defense ve Source
Fire gibi �irketler, ticari destek vermektedir. Sonu�lar� daha
�ekici bi�imde sergilemek i�in de grafik kullan�c� aray�zleri
de ortaya ��kmaktad�r.<br>
<BR>
Bazen bir an �nce ��z�lmesi gereken, �ng�r�lmemi� ve daha ayr�nt�l�
��z�mlenmesi gerekn acil durumlar ortaya ��kabilir.<br>
<BR>
Bu sorunlar k�t� niyetli insanlar veya o veya
bu nedenden dolay� sunucular�m�za eri�mek,
sistemde daha fazla eri�im haklar�na sahip olmak i�in
izleme veya root-kit'ler y�kleyerek o veya bu �ekilde
sunucular�m�za eri�mek ve
b�ylece verilerimizi �almak veya de�i�tirmek yada
bizim bilgisayarlar� kullanarak ba�kalar�na sald�r�da
kullanmak isteyen sald�rganlar taraf�ndan yap�lmaktad�r.</P>
<A NAME="274lfindex9"> </A>
<H2>Di�er yararl� ara�lar</H2>
<A NAME="274lfindex10"> </A>
<H3>�zleyicilerin sezimlenmesi</H3>
<P>�zleyici (sniffer), a� aray�z�n� promiscuous kipine
ge�irerek, t�m a� �zerindeki trafi�i izlemek veya dinlemek isteyen
araca denir. A� aray�z�n�n t�m bilgilerini ifconfig komutyla
��renebilirsiniz.</P>
<P class="code">eth0 Link encap:Ethernet HWaddr
00:50:BF:1C:41:59<BR>
inet addr:10.45.202.145 Bcast:255.255.255.255
Mask:255.255.128.0<BR>
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<BR>
RX packets:7180 errors:0 dropped:0 overruns:0 frame:0<BR>
TX packets:4774 errors:0 dropped:0 overruns:0 carrier:0<BR>
collisions:0 txqueuelen:100<BR>
RX bytes:8122437 (7.7 MiB) TX bytes:294607 (287.7 KiB)<BR>
Interrupt:10 Base address:0xc000<BR>
</P>
<P>Ancak, ifconfig komutu de�i�tirildiyse veya
izleyiciler a�'daki ba�ka bilgisayardan �al���yorlarsa, o zaman
'garip' adreslere e-ileti g�ndererek veya izleyicinin
�etele dosyalar�n� bularak, d�� ba�lant�lar� denetlemek gerekecektir.</P>
<P>A�'daki promiscuous kipinde �al��an a� aray�zlerinin
varli�ini belirlemeye yarayan ve �spanyol k�r�c�lar taraf�ndan
tasarlanan neped ad�nda bir ara� vard�r. Bu Debian'n�n paketleri
aras�nda yoktur, ama �ntrenet'teki
<A href="ftp://apostols.org/AposTools/snapshots/neped/neped.c">ftp://apostols.org/AposTools/snapshots/neped/neped.c</A>
adresinden indirebilirsiniz.<BR>
Not: Bu sunucu birka� haftad�r �al��m�yordu.</P>
<P>Bu program� �al��t�rd���n�zda, a�a��daki gibi bir ��kt�
elde edilmektedir:</P>
<P class="code">neped eth0<BR>
----------------------------------------------------------<BR>
> My HW Addr: 00:80:F6:C2:0E:2A<BR>
> My IP Addr: 192.168.0.1<BR>
> My NETMASK: 255.255.255.0<BR>
> My BROADCAST: 192.168.1.255<BR>
----------------------------------------------------------<BR>
Scanning ....<BR>
* Host 192.168.0.2, 00:C2:0F:64:08:FF **** Promiscuous mode
detected !!!<BR>
End.<BR>
</P>
<P>191.168.0.1'den 192.168.0.2'ye bir IP paketi g�ndermek
istedi�imizde, onun MAC adresini bilmemiz gerekir. �lgili IP
numaras�n�n MAC adresini ��renmek i�in, a�'ya bir yay�m (broadcast)
paketi g�nderilmektedir. A�'daki t�m bilgisayarlar paketi ald�klar�
halde, sadece do�ru olan yani o IP numaras�na sahip olan
bilgisayar cevap vermektedir.<br>
<BR>
Bu durumda neped a�'daki her IP numaras�n� sorgulamaktad�r,
ancak yay�m paketi kullanmayarak, var olmayan bir IP
numaras� kullanmaktad�r. A� aray�zleri promiscuous kipinde
olan bilgisayarlar cevap verecektir, ��nk� sadece onlar bu paketi
g�rebilmektedir.<br>
<BR>
Bu program� casus sezimleme hakk�nda olan, �nternet'teki bir yaz�da okumu�tum.
Yaz�da benzer bir �rnek vard�. E�er, bu yaz�n�n adresini
biliyorsan�z, l�tfen bana bir ileti at�n, ��nk� yaz�y�
kaybettim:-)</P>
<A NAME="274lfindex11"> </A>
<H3>Rootkit'lerin sezimlemesi</H3>
<P>Rootkit'ler s�radan kullan�c�lar�n sahip olduklar�
eri�im haklar�ndan daha fazlas�n� elde etmeye yaramaktad�r.
Genelde, sistemimizdeki �al��an programlar�, daha sonra
sisteme eri�im sa�layacaklar� ba�kalar� ile de�i�tirmektedir.
��te bu y�zden, hala programlar�n as�llar�na sahip olup olmad���m�z�
chkrootkit program�n� kullanarak denetlemek zorunday�z.
Program� a�a��daki gibi y�kleyebilirsiniz:</P>
<P>apt-get install chkrootkit</P>
<P><A href="http://www.chkrootkit.org/">www.chkrootkit.org</A>
adresinden program�n sanaldoku y�resine ula�abilirsiniz. Program�n
denetledi�i dosyalar ise, �unlard�r:</P>
<P class="code">aliens, asp, bindshell, lkm, rexedcs, sniffer,
wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname,
echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig,
inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof,
mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps,
pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd,
tar, tcpd, top, telnetd, timed, traceroute, w, write<BR>
<BR>
Program� kullanmak i�in:<BR>
<BR>
chkrootkit<BR>
<BR>
komutu �al��t�r�l�r. B�ylece dosyalar denetlenmekte, bilinen izleyiciler ve
rootkitler aranmaktad�r. A� aray�z�n�n promiscuous kipinde �al���p
�al��mad���n� bize s�yleyen ifpromisc, �etele dosyalar�n�n
de�i�tirilip de�i�tirilmedi�ini denetleyen chkwtmp ve
chklastlog gibi ba�ka ara�lar da vard�r.</P>
<A NAME="274lfindex12"> </A>
<H2>Referanslar</H2>
<P>Man sayfalar�n� okuman�z� �neriyorum. Size kulland���m
baz� referanslar�n adresinini burada yaz�yorum. E-ileti
adresime
�neri ve d���ncelerinizi l�tfen e-ileti adresime g�ndermekten
�ekinmeyin.<br>
<BR>
<BR>
</P>
<UL>
<LI>Alexander Reelsen, Debian'� g�venli k�lma NASIL belgesi, 1.4
s�r�m�, 18 �ubat 2001<BR>
</LI>
<LI>Anónimo, Linux Máxima Seguridad, Pearson
Educación, Madrid 2000<BR>
</LI>
<LI>Brian Hatch, Hackers in Linux (Linux'taki k�r�c�lar), Mc Graw Hill 2001<BR>
</LI>
<LI>Jim Mellander, A� g�venli�i, A Stealthy Sniffer Detector, Network
Security<BR>
</LI>
<LI>Antonio Villalón Huerta, Seguridad en Unix y redes,
Open Publication License, octubre 2000<BR>
</LI>
<LI>CSI FBI Computer Crime and Security Survey (CSI FBI bilgisayar
su�u ve g�venlik anketi), CSI Issues&Trends, Vol.7<BR>
</LI>
<LI>A�'�n�z� kim dinliyor?,
<A href="http://www.linuxsecurity.com/articles/intrusion_detection_article-798.html">
www.linuxsecurity.com/articles/intrusion_detection_article-798.html</A></LI>
<LI>Root-kitler ve b�t�nl�k:
<A href="../November2002/article263.shtml">LinuxFocus yaz�s�, Kas�m 2002</A></LI>
</UL>
<BR>
<BR>
<!-- vim: set sw=2 ts=2 et tw=74: -->
<!-- 2pdaIgnoreStart -->
<A NAME="talkback"> </a>
<h2>Bu yaz� i�in g�r�� bildiriminde bulunabilirsiniz</h2>
Her yaz� kendi g�r�� bildirim sayfas�na sahiptir. Bu sayfaya yorumlar�n�z� yazabilir ve di�er okuyucular�n yorumlar�na bakabilirsiniz.
<center>
<table border="0" CELLSPACING="2" CELLPADDING="1" summary="tb-button-outerpart">
<tr BGCOLOR="#C2C2C2"><td align=center>
<table border="3" CELLSPACING="2" CELLPADDING="1" summary="tb-button">
<tr BGCOLOR="#C2C2C2"><td align=center>
<A href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=274"><b> talkback page </b></a>
</td></tr></table>
</td></tr></table>
</center>
<HR size="2" noshade>
<a style="background-color:#bdc6d5" href="index.shtml"><--, Bu say�n�n ana sayfas�na gider </a><br><HR size="2" noshade>
<!-- ARTICLE FOOT -->
<CENTER><TABLE WIDTH="98%" summary="footer">
<TR><TD ALIGN=CENTER BGCOLOR="#bdc6d5" WIDTH="50%">
<A HREF="../../common/lfteam.html">G�rsely�re sayfalar�n�n bak�m�, LinuxFocus Edit�rleri taraf�ndan yap�lmaktad�r</A>
<BR><FONT COLOR="#FFFFFF">© José Salvador González Rivera, <a href="../../common/copy.html">FDL</a> <BR><a href="http://www.linuxfocus.org">LinuxFocus.org</a></FONT>
</TD>
<TD BGCOLOR="#bdc6d5">
<!-- TRANSLATION INFO -->
<font size=2>�eviri bilgisi:</font>
<TABLE summary="translators">
<tr><td><font size="2">es --> -- : José Salvador González Rivera <small><jsgr(at)tec.com.mx></small></font></td></tr>
<tr><td><font size="2">es --> en: Georges Tarbouriech <gt(at)linuxfocus.org></font></td></tr>
<tr><td><font size="2">en --> tr: Erdal Mutlu <erdal(at)linuxfocus.org></font></td></tr>
</TABLE>
</TD>
</TR></TABLE></CENTER>
<p><font size=1>2004-07-09, generated by lfparser version 2.43</font></p>
<!-- 2pdaIgnoreStop -->
</BODY>
</HTML>