|
|||||||
|
|
|
|||||
|
|
|||||||
|
|||||||
|
|
|
|||||
|
|
|||||||
BİLGİSAYAR GÜVENLİĞİ
1. Giriş
2. Güvenlik
2.1. İnternet Güvenliğine Bir Bakış
2.1.1. Genel Çerçeve
2.1.2. Şifreleme
2.1.2.a. Şifrelemenin Yeri
2.1.2.b. Şifreleme Yöntemi
2.1.2.c. Private Key Ve Public Key Kavramları
2.1.2.d. Neler Şifrelenmeli?
2.1.2.e. Kullanıcı Belirleme
3. Windows NT'de Güvenlik
3.1. İnternet Protokolünün Zayıf Noktaları
3.2. Network Topolojisinin Zayıf Noktaları
3.2.1. Hacker
3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?
3.3. DNS ve IP nedir?
3.4. Firewall
4. Saldırı Türleri
4.1. Nuke
4.1.1. Nuke Nedir?
4.1.2. Çeşitleri
4.1.3. Nuke Programları
4.1.4. Nuke'tan Nasıl Korunulur?
4.2. Exploitler
4.3. Trojanlar
4.3.1. Trojan Nedir?
4.3.2. Neler Yapabilir?
4.3.3. Nasıl Korunulur?
4.3.4. Anti-Trojan Programları
5. Windows NT İçin Diğer Güvenlik Programları
5.1. Desktop Sentury
5.2. Kremlin Encryption Ve Security Suite 2.21
5.3. Secure4U
5.4. NTSec 4.9.1
5.5. Security Explorer TM v3.20
5.6. Advanced Security Control Manager
5.7. Quicklook
5.8. NTO Scanner
5.9. Service Pack
6. Windows NT İle İlgili Web Siteleri
Kitlesel iletişim
araçlarının önemini daha çok arttırdığı günümüz dünyasında bilgiye
hızlı bir şekilde ulaşmak gelişmiş toplumların temel ihtiyaçlarından birisi
olmuştur. Bu ihtiyaç sayesinde bu toplumlarda 1980'li yıllardan itibaren
bilgisayar ağları konusunda önemli gelişmeler sağlanmıştır. Internet te, bu
çalışmalar neticesinde ortaya çıkan ve yaygın olarak kullanılan bir bilgisayar
ağıdır.
Bütün bilgileri
hızlı bir şekilde elde etmek için ilk önce kuruluşlar kendi yerel ağlarını
kurmuş ve daha geniş bir etkinlik alanına sahip olabilmek için yerel
ağlarını dünyaya entegre etmek ihtiyacını hissetmişlerdir. NetWork teknolojisi
de bununla birlikte gelişmiş ve değişik protokollerin ortaya çıkması
kaçınılmaz olmuştur.
Internet sınırsız bir bilgi ortamı olmasına rağmen yasalarla tam anlamıyla denetlenememektedir. Kusursuz olmayan NetWork ağlarında güvenlik açıkları bulunmaktadır. Bazı kullanıcılar bu güvenlik açıklarından faydalanarak bazı sistemlere girip onlara zarar verebilirler. Bu da NetWork ortamında güvenliği sağlamak amacına yönelik yazılımların ve sistemlerin ortaya çıkmasına sebep olmuştur.
2.1. İnternet Güvenliğine Bir Bakış
Firewall’ lar güvenlik mekanizmalarının ilk aşamalarıdır, ancak
bilgilerimizin duyarlılığı arttıkça bununla beraber şifreleme ve kullanıcı
doğrulama (authentication) tekniklerinden de yararlanmak
gerekmektedir.
Ağ yöneticileri için ağın güvenliği, başkaları tarafından – özellikle
dışarıdan ağa dahil olacaklar tarafından- zarara uğratılmaması, her zaman için
en önemli, en zor ve en çok sıkıntı yaratan konulardan biri olmuştur. Bir yolunu
bulup ağa dahil olmuş kişiler tarafından ağa zarar verilmesi, belki bundan daha
da önemli olmak üzere, gizli bilgilere ulaşması, ağ yöneticileri için korkuların
başında gelmekte idi. Bu gün için ise durum daha da kötüdür. Bahsetmiş olduğumuz
korkular, internet kavramı bu kadar yaygın değilken ve kuruluşlar bu ortama
dahil olmak konusunda bu kadar istekli değilken yaşanan korkulardı. Oysa
internet denilen ve çok güçlü olması gerekmeyen bir bilgisayar ile basit bir
programdan başka bir şey istemeyen ortamın insanların kullanımına açılması,
bunun kuruluşlar tarafından da çok cazip bir ortam olarak görülmesi, ağ
yöneticileri için yeni kaygıların başlangıcı olmuştur. Bu gün dünyanın hemen her
tarafındaki şirketler internete dahil olmak Web sayfaları arasında
kendilerine ait olanı da görmek istemektedir. Bazıları ise şirket için bir
intranet kurulması isteniyorken bu ortamdan yararlanmak istemektedir. Bu da tabi
gizliliği yüksek olan bilgilerin, genel kullanıma açık bir ağ ortamına
çıkarılması manasına gelmektedir ki ağ yöneticileri için yeni zorlukların da
başlangıcının işaretçileridir.
Tabi bu durumlar karşısında, ağ güvenliğini sağlayacak ürünler devreye
girmiş, bu konuda değişik teknolojiler geliştirilmiştir. Bu çalışmalardan biri
de firewall’ lardır. Yalnız maalesef bunlar da ağ yöneticilerinin beklentilerini
tam olarak karşılayamamışlardır. Computer Security Institute (Bilgisayar
Güvenliği Enstitüsü)’ ün açıklamalarına göre internet üzerindeki şirketlerin
beşte biri istenmeyen dış müdahalelere uğramıştır. Bunların da üçte biri kurulu
bir firewall’ a sahipti. Yani firewall’ lar, ağ yöneticilerinin beklediği
güvenliği sağlayamamıştır.
Internet üzerinden dünyanın dört bir tarafından erişilebilir hale
gelmiş şirketler için böyle tehlikeler söz konusu iken, bazı ağ yöneticileri bu
tehlikelerden habersizdir. Bu konuda çalışmalarda bulunmuş bazı uzmanların
belirttiğine göre, ağ yöneticilerinin bir kısmı, internet ortamında veri
çalmanın ne kadar kolay olduğunu bilmemektedir ve aslında gerçek tehlikeyi
oluşturan da budur.
Güvenliği sağlama konusunda yararlanılabilecek bir başka araç da
'Şifreleme’ dir. Pek çok firewall üreticisi, şifreleme araçları ile çalışmayı
desteklemektedir. Yönlendirici (router) üreticileri de bu konuda çalışmakta
olup, şifrelenmiş bilgileri yönlendirebilen routerlar da
üretilmiştir.
Uygun bir güvenlik sistemi oluşturmak için, ağa ve iletilecek
bilgilere ilişkin bazı unsurların göz önüne alınması gerekmektedir. Karar
verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapılacağıdır.
Bazı çözümler uygulama seviyesinde bu işi yapıyorken bazıları IP yığınında
yapmaktadır. Uygulama seviyesinde yapılan şifrelemede ağ yöneticilerine
şifrelemeyi istedikleri şeyleri seçme şansı da verilmektedir.
Cevaplanması gereken ikinci soru, verilerin nasıl şifreleneceğidir. Şu
anda en çok kullanılan iki yöntemden biri 56 bitlik şifreleme anahtarı, diğeri
ise 128 bitlik şifreleme anahtarı kullanmaktadır. Güvenlik danışmanlarının kanul
edebildiği, yeterli olabilecek minimum anahtar uzunluğu 56 bittir. Burada
üzerinde durulması gereken bir diğer konu da, paketin nerelerinin
şifrelenmesinin yeterli olacağıdır. Bazı ürünler, tüm paketi, başlık kısmı da
dahil olmak üzere şifrelerler. Diğerleri ise sadece bilgi kısmını şifrelerler.
Genel Çerçeve paragrafında da belirtildiği gibi, iyi bir güvenlik
sağlamak için kullanıcı doğrulama (authentication) mekanizmasının da kurulması
gerekmektedir. Bunun manası, internet üzerinden birisi ile bağlantı
kurulduğunda, irtibat halinde bulunulanın kimliğinin tam olarak belirlenmesidir.
Bunun için üreticiler değişik çalışmalarda bulunmaktadırlar.
Bu noktada, güvenlik konusu ile ilgili yapılan çalışmalarda sıkça
karşılaşılan ve hala daha yeterli düzeye gelinemeyen bir konudan bahsetmek
gerekir ; Standart. Internet güvenliği ile ilgili pek çok çalışma yapılmasına
rağmen, bu alandaki hızlı gelişmeler, hala daha bir standardın oturtulamamasına
sebep olmuştur.
Günümüzde, internet ortamına açılma konusunda hemen hemen tüm
şirketler isteklidir. Her ne kadar bu ağ yöneticileri için çözümü çok zor
sorunları beraberinde getirse de kaçınılmaz olarak bu yöne doğru hızlı bir
yönlenme olmaktadır. Ancak bu demek değildir ki internet ortamında güvenlik
sağlanmıştır ve kuruluşlar aynı mantık ve rahatlıkta davranmaktadır. Bu konudaki
rahatlık derecesi doğal olarak yapılan işin ve bununla da bağlantılı olarak
taşınması gereken bilginin mahiyeti ile ilgilidir. Örneğin bir banka için
bilgilerini internet ortamında gezdirmek, şu an için çok akıllıca bir işlem
değildir. Internet ortamından müşterilere sunulan ev bankacılığı hizmetleri de,
alt düzeylerde kalmaktadır. Önemli verilerin aktarılması işlemi için bankalar
genellikle özel hatları tercih etmektedirler. Internet ortamının sağladığı
güvenlik ortamına inançları, şu an için bu bilgilerin bu ortama aktarılması için
yeterli olamamaktadır.
Bunun yanında, bu konularda biraz daha rahat davranabilen kuruluşlar da vardır. Bunlar belki biraz da kendi geliştirdikleri güvenlik mekanizmasının da yardımıyla, internet ortamından veri aktarımında yararlanmaktadırlar. Bununla ilgili olarak söylenen, kuruluşların ihtiyaçları doğrultusunda, değişik ürünlerin değişik modüllerinden yararlanmak suretiyle, kabul edilebilir bir güvenliğin sağlanabileceğidir. Fakat her şeye rağmen şu an için internet ortamının güvenliği konusu üzerinde daha çok düşünmek gerekmektedir. Mevcut hali ile pek çok tehlikeye açık durumdadır.
Daha önceden de değindiğimiz gibi, şifreleme konusunda karar verilmesi
gereken bazı hususlar vardır. Bunlardan ilki de, şifrelemenin nerede
yapılacağıdır. Bu konuda iki alternatif mevcuttur. Bunlardan biri IP yığınında
şifreleme yapmak, diğeri ise uygulama yazılımı seviyesinde şifreleme yapmak. Şu
anda piyasada mevcut ürünlerin % 70’ ten fazlası, IP yığınınında şifreleme
işlemini yapmaktadır. Bu yöntemdeki yaklaşım, kurulmuş olan bir bağlantı
üzerindeki bütün verilerin şifrelenmesine dayanır. Güvenlik konusunda titiz
davrananlar için (örneğin bankalar) oldukça iyi bir yaklaşımdır. Yerel ağdan
dışarı giden herşey şifrelenir. Böylece mümkün olan en üst düzeyde güvenlik
sağlanmaya çalışılır.
Bu yaklaşımın dezavantajı, fazla CPU zamanı almasıdır. Şifrelemeye
ilişkin işlemler, karmaşık hesaplamaya dayalı işlemlerdir. Dolayısıyla, gelen ve
giden her şeyin şifrelenmesi, çok fazla CPU zamanı alacaktır. Bu ağın transfer
hızına da yansıyacak, birim zamanda aktarılan veri miktarını
düşürecektir.
Bu olumsuzlukları minimuma indirmek için üreticiler değişik yollara
başvurmuşlardır. Router’ ın veya ayrı bir cihaz olarak gerçeklenen
şifreleyicinin ayrı işlemcilere sahip olması bu yöntemlerden biridir.
Şifrelemenin yapılacağı yer konusundaki diğer alternatifin uygulama
seviyesindeki şifreleme olduğunu söylemiştik. Bu yaklaşımın avantajı, ağ
yöneticisinin, neyin şifrelenip neyin şifrelenmeyeceğine karar verebilmesidir.
Böylece ağ yöneticisi, şifrelenmesine ihtiyaç olmadığını düşündüğü şeylerle
ilgili zaman kaybının önüne geçebilecek, bu da CPU zamanını kazanmamızı
sağlayacaktır. Ancak böyle bir çalışma düzeninde, veriyi alacak olan tarafın,
nelerin şifrelenip nelerin şifrelenmediğini bilmesi gerekmektedir. Bu da, ilgili
bazı parametrelerin uygun değerlere getirilmesini gerekmektedir. Bu işlem de, ağ
yöneticisinin zamanını alacaktır.
Ağ yöneticisi şifrelemenin nerede yapılacağına karar verdikten sonra,
düşünmesi gereken ikinci şey, şifrelemenin nasıl yapılacağı, hangi tekniğin
kullanılacağıdır. Şu an için en iyi bilinen ve en çok kullanılan yöntem Veri
Şifreleme Standardı (Data Encryption Standard – DAS)’ dır. İlk olarak 1970’
lerin başlarında geliştirilmiş, Amerika Birleşik Devletleri tarafından 1977’ de
son hali verilmiştir. Bu teknikte, 64 bitlik text blokları 56 bitlik anahtarlar
kullanılarak şifrelenir. Bu bize trilyonlarca farklı anahtar sunar. Dolayısıyla
ilk bakışta çözülmesi imkansız bir şifre gibi gözükse de aslında günümüzün güçlü
bir makinası bunu çözebilir. Dolayısıyla yakın bir gelecekte 56 bitlik
şifrelemenin yetersiz kalacağını söyleyebiliriz.
Bu yetersizlik karşısında “üçlü DES” denilen bir teknik
geliştirilmiştir. Burada yapılan, yukarıda bahsedilen her bir bloğun
şifrelenmesinde üç ayrı anahtarın kullanılmasıdır. Bu teknik günümüzde yavaş
yavaş kullanılmaya başlanmıştır. Değişik üreticiler, bu tekniği kullanan
ürünlerini piyasaya sumuşlardır. Bunlara örnek olarak IBM’ in Securenet Gateway
2.1 firewall’ unu verebiliriz. NEC, NSC ve Western Datacom da bu tekniği
kullanan ürünler piyasaya sürmüşlerdir.
Şifreleme yöntemi olarak DES’ ten başka algoritmalar da piyasada bulunmakta ve kullanılmaktadır. Bunlar; Checkpoint tarafından üretilen FWZ1, IRE tarafından üretilen Atlas ve IBM tarafından üretilen Command Masking Data Facility (CMDF) dir. Bunların tamamı 40 bitlik algoritmalardır. Northern Telecom Ltd. tarafından geliştirilen CAST, 40 ila 64 bit aralığında değişen uzunlukta anahtar kullanmaktadır.
2.1.2.c. Private Key Ve Public Key Kavramları
Şifreleme mekanizması için karar verilmesi gereken bir nokta da,
private-key mi yoksa public-key mi kullanılacağıdır. (Aslında public-key ile
anlatılan bir public-key ve bir private-key içerir. Karışıklığı önlemek ve
yöntemleri bir birinden ayırmak için böyle bir isimlendirme yapılmıştır.)
Esas olarak bir anahtar, aktarılacak verinin kodlanması ve kodlanmış
verinin çözülmesi için kullanılan bir algoritmadır. Private-key şifreleme
yaklaşımında, her iki işlem için de aynı anahtar kullanılır. Public-key
şifreleme yaklaşımında ise public-key ve private-key birlikte
kullanılırlar.
Private-key yaklaşımı kullanılarak geliştirilmiş ürünlerde, ağ üzerinde çalışmakta olan herkese bir anahtar verilir. Buradaki önemli nokta, bu anahtarların, istenmeyen ellere geçmesine mani olmaktır. Burada da, private-key’ lerin kullanıcılara nasıl dağıtılacağı konusu gündeme gelmektedir. Çünkü bu dağıtım işlemi esnasında da anahtarlar istenmeyen ellere geçebilir. Bu iş için e-mail’den yararlanılabileceği gibi ( gerekli güvenlik önlemleri alınmak kaydıyla), telefonla da bu anahtarlar sahiplerine aktarılabilir. Tabi tüm bu işlemler sırasında güvenliğe azami derecede dikkat etmek gerekmektedir.
Şifreleri kişilere atamanın bir başka yolu da, bir sunucu vasıtasıyla
dağıtma işlemini yapmaktır. Bu durumda, şifreleri ele geçirmek isteyenlere
direkt bir hedef sunulmakta, burada sağlanacak yeterli bir güvenlik mekanizması
ile, bu tehlike de önlenebilmektedir.
Private-key yaklaşımı ile ilgili olarak yaşanabilecek bir başka sorun
da, ortak kullanılacak bir bilginin karşılıklı olarak paylaşıma açılması
esnasında yaşanabilecektir. Bunun için öncelikle private-key’ lerin değiş-tokuş
edilmesi gerekmektedir. Bunun için e-mail sisteminin kullanıldığını düşünürsek,
bu zaman alabilecek,bu gecikmeler de sorunlara sebep olabilecektir.
Public-key yaklaşımında ise, ağ üzerinde yer alan her kullanıcıya iki
anahtar atanır : private-key ve public-key. Private-key’ ler, yukarıda
anlatıldığı gibi kullanıcılara dağıtılır. Burada gizlilik yine esastır. Bütün
kullanıcılara ait public-key’ ler ise, herkesin erişimine ve kullanımına
açıktır.
Bu şekilde her kullanıcıya iki ayrı anahtar atamanın temel sebebi,
private-key ile yaşanan, verilerin karşılıklı olarak aktarılması esnasında
zorunlu olan, private-key’ lerin değiş-tokuşu işleminden kurtulmak, dolayısıyla
bunun getirdiği zorlukları bertaraf etmektir. Yöntemin nasıl çalıştığını
anlatarak, mekanizmayı daha iyi anlayabiliriz;
Farklı yerlerde bulunan iki kullanıcıdan birinin diğerine bilgi
aktarmak istediğini düşünelim. Bu durumda şifrelemede ihtiyaç duyacağı
anahtarlar, göndereceği kişinin public-key’i ve kendisinin private-key’ idir. Bu
iki anahtarı kullanarak şifreleme işlemini yapar ve verileri karşı tarafa
gönderir. Şifrelenmiş verileri almış olan kişi ise, şifreyi çözmek için,
göndericinin public-key’ ini ve kendisinin private-key’ ini kullanır.
Dolayısıyla bir kişinin public-key’ ini bilmek, ancak private-key’ ini de
bilmekle anlamlıdır, aksi taktirde hiç bir işe yaramaz. Ayrıca bu yöntem
private-key’ lerin karşılıklı aktarılmasını da gerektirmez.
Görüldüğü gibi public-key yaklaşımı bize büyük bir avantaj
getirmiştir. Ancak bunun da dezavantajları vardır. Bunların başında da,
birbirlerine şifrelenmiş veri gönderecek bilgisayarların her defa yürütmeleri
gereken el sıkışma protokolleri, ilgili anahtarları kullanarak bilgileri çözme
işlemlerinin CPU zamanından çok fazla almasıdır. Bu işlemler, hesap yoğunluğu
olan işlemler olduğundan sistemi oldukça yavaşlatacak, ağ performansının %20
azalmasına sebep olabilecektir.
Şu an için private-key yaklaşımı ile ilgili olarak üzerinde çalışılan
konuların başında, anahtar değiştirme işlemini otomatik yaparak, zaman kaybını
en aza indirmektir.
Sun Microsystems Inc. tarafından geliştirilmiş olan Skip (Simple Key
Exchange Internet Protocol) yaklaşımı ile de, public-key yönteminin getirdiği
her seferinde güvenli erişim için el sıkışma protokollerinin koşturulması ve
dolayısıyla işlemciye fazladan yük getirilmesi durumundan kurtulunmaktadır.
Bunun yerine yapılan işlem şöyledir; Bir kere güvenli haberleşme oturumu
başlayınca, Skip tarafından bir oturum anahtarı oluşturulur. Bu anahtar geçici
bir anahtar olup, bu oturum süresince ilgili kaynaktan veri aktarımı için
kullanılır.
Skip ilk bakışta gerçekten çok güzel bir yaklaşım olarak
gözükmektedir. Ne yazık ki burada da güvenlik açısından bazı sorunlar vardır,
şöyle ki; Oturum anahtarı kullanıcı tarafından belirlenen bir periyod boyunca
geçerlidir. Bu periyod bir saat olduğu gibi, bir kaç gün de olabilir. Anahtar,
network ortamında bir yerde tutulduğundan, buna ulaşacak kişiler, bu anahtarın
geçerli olduğu süre zarfında, istedikleri verilere ulaşabilirler.
Skip yaklaşımından yola çıkılarak, değişik yöntemler geliştirilmiştir. Skip’ in güvenlik konusundaki açığını kapatmak ve daha güvenli bir iletişim sağlamak amacıyla Photuris Session Key Management Protocol (PSKMP) geliştirilmiştir. Burada yapılan, bir kere güvenli oturum başlatıldıktan sonra oturum anahtarını sabit tutmamak, bazı rastgele sayılar, haberleşen bilgisayarların IP bilgilerinden oluşan değerlerin bir karışımını kullanarak, her yeni veri transferinde bunların belirlediği bir oturum anahtarını kullanmaktır. Bunun sayesinde de güvenlik Skip’ e göre daha iyi bir düzeye getirilmiş olur, hız olarak da pek çok public-key ürününden daha iyi bir seviyeye ulaşılır.
Şifreleme konusunda karar verilmesi gereken konulardan biri de,
nelerin şifreleneceğidir; Sadece bilgi içeren kısımlar mı şifrelenecektir yoksa
bunların yanında kaynak ve hedef IP’ lerini içeren başlık kısımları da
şifrelenecek midir? Eğer sadece veri içeren kısımlar şifrelenirse – Cisco,
Cylink ve NEC tarafınfan bu yaklaşım kullanılmaktadır – kaynak ve hedef IP
adresleri değişmeden internet ortamına çıkarılacaktır. Bu paketlerden birini ele
geçirecek kişi, adres bilgilerini elde edebilecektir. Bu bilgilerin başkaları
tarafından ele geçirilmesi sorun yaratmayacakmış gibi gözükse de, bu bilgilerden
yararlanılarak, firewall’ un diğer tarafında yer alan routerlara veya başka
cihazlara ilişkin bilgiler elde edilebilinir. Bu bilgiler de kullanılarak
firewall’ u kandırmak, sanki şirket içinden bir makineymiş gibi ağa ulaşmak
mümkün olabilecektir.
Tüm paketlerin şifrelenmesi durumunda böyle bir olasılık olmayacaktır.
Şu an için bu işi yapan bir ürün IP Encapsulating Security Payload (ESP)’ dir.
Kısaca buradaki yaklaşım; Bir güvenlik aygıtı vasıtasıyla IP adres paketlerine
yeni kaynak ve hedef adreslerinin eklenmesidir. Yalnız bu adresler, sadece
firewall’ ları adreslerler. Dolayısıyla dışarıdan birisinin, firewall’ un
arkasında yer alan herhangi bir cihaza ilişkin bilgileri elde edebilmesi mümkün
değildir. ESP yaklaşımını destekleyen şirketler; Border, Checkpoint, IBM,
Raptor, V_One ve Western Datacom’ dur.
Fakat bu yaklaşım için de bir problem mevcuttur. IP paketine sürekli
yeni adreslerin eklenmesi, bu paketin oldukça fazla büyümesine, hatta müsaade
edilen sınırı aşmasına sebep olabilecektir. Böyle bir durumda da bu paketi
bölmek gerekecektir.Bölmelenmiş paketlerin hedefe ulaştığında kodlarının
çözülmesi biraz daha zor olacaktır. Ayrıca bölünmüş paketler hedefe uygun sırada
gelmeyebileceklerinden bunlar da sorunlara sebebiyet verebilecektir.
IP şifrelemesi yukarıda bahsedilen sorunu önlerken aynı zamanda çalma (hijacking) olaylarının da önüne geçecektir. Burada yapılan işlem şudur; Dışarıdan ağa müdahale etmek isteyen kişi, düğümler arasında giden paketleri takip ederek, amacına uygun bir düğüme ilişkin bir paket yakalamaya çalışır. Böyle bir paket yakaladığında da, haberleşen iki düğümün arasına girip, hedef düğüm ile konuşmaya başlar. Hedeflenen düğüm hala daha kendi ağından bir makine ile haberleştiğini sanarak, veri alış – verişini sürdürür. Bu sayede de bu düğüm tarafından üretilen paketler alınırken, hedef düğüme de kendi kodlarını göndererek, bunların burada koşması, dolayısıyla buraya zarar verilmesine sebep olunabilir. IP şifrelemesi vasıtasıyla, bu sorunların da önüne geçilmiş olunur.
Güvenli bir iletişim için sadece şifreleme yeterli olmayacaktır. Şifrelenmiş veriler gönderilmeden önce, kiminle irtibat halinde olunduğu bilinmeli, bunun için de karşı taraftaki kişinin kendini tanıtıcı bilgileri göndermesi istenmelidir. Bu işlem güvenlik mekanizmasının önemli aşamalarından biri olup Kullanıcı Belirleme (authentication) olarak bilinir. Şu an için en yaygın kullanılan Kullanıcı Belirleme aracı Security Dynamics Inc. tarafından geliştirilmiş olan SecurID’ dir.
Nt kaynaklarını (yazıcı,dosya yada uygulama) korumak için onlara
erişimi kontrol eder. Buradan kaynakların yetkili kullanıcılar tarafından
kullanılabileceği ve yetkisiz kullanıcılar tarafından kullanılamayacağı durumu
ortaya çıkar. Windows NT de güvenlik sistemi, kaynakların belli kısıtlamalara
(izinlere )sahip olmasıyla sağlanır.
NT işletim sistemi düzenlediği sabit disk, sürücü ve diğer birimlerin
korunması için değişik güvenlik yöntemlerine sahiptir.NTFS dosya sistemi, dosya
ve dizinlere kullanıcı bazında izinler vererek NT sisteminin ana izin sistemini
oluşturur.
Yerel (lokal) bilgisayarların sabit diski ve diğer birimlerin
korunması yanısıra network üzerinden sisteme erişecek kullanıcıların da kontrol
edilmesi NT koruma sisteminin bir bölümünü oluşturur. NT işletim sistemi bu
işlemler için çok sayıda araca sahiptir.
Yönetim araçları:
·
NT Explorer
·
My Computer
·
Server Management
·
Command Prompt
NT Kaynaklarına Başvuran bir kullanıcı için tesis edilen kontrol üç
ayrı düzeyde düzenlenir:
·
Share-level (paylaşım düzeyi)
·
Directory-level(dizin düzeyi)
· File-level(dosya düzeyi)
Share-level paylaşım bir dizinin genel olarak network’e (diğer kullanıcılara)paylaştırılmasındır. Dosya ve dizin düzeyindeki paylaşımlar ise yerel bir kullanıcı yada grup için özel izinlerin düzenlenmesidir. Sabit diskteki dizinler ve dosyalar için yapılacak izin düzenlemeleri için My Computer yada NT Explorer kullanılabilir.
| İzinler/İşlemler | Read | Execute | Write | Delete | Set Permission |
Take Ownership |
| No Access | - | - | - | - | - | - |
| Read | x | x | ||||
| Change | x | x | x | x | ||
| Full Control | x | x | x | x | x | x |
| Special Address | x | x | x | x | x | x |
· Bir disk bölümü NTFS ile
formatlandığında ‘everyone’ grubuna ‘full control’ olarak açılır. Buna varsayım
izin denir.
· Bir grup içinde tanımlı olan
kullanıcının bir kaynağa ulaşmasındaki izinleri kullanıcı izinleri + grup
izinleri birleşerek kullanıcıyı temsil eder. Grup yada kullanıcı izinlerinden
birisinin No Access olması durumunda birleşik (kümülatif) izin No Access
olacaktır.
· Çalışan bir NT Server
üzerindeki dosya ve dizinlere kimse ulaşamaz. Diğer bir değişle Nt server
üzerindeki dosya ve dizinlere network üzerinden diğer kullanıcıların
ulaşabilmesi için dosya ve dizinlerin paylaştırılması gerekir.
· Bir dizini paylaştırmak için,
Administrators grubunda yada Server Operators grubunda olmak gerekir. Bir dizin
yerel yada uzaktan paylaştırılabilir. Yerel yönetim için NT server’ a
giriş yapılmalıdır. Uzaktan paylaşımlar için Server Manager programı
çalıştırılmalıdır.
Denetim(auditing) bir bilgisayar için, dosya ve dizinler
üzerinde belli kullanıcı yada gruplar tarafından yapılacak işlemlerin takip
edilmesini sağlar. Bu işlem için yine My Computer yada NT Explorer ile seçilen
dizin yada dosyanın üzerinde farenin sağ tuşuna basılarak Properties iletişim
kutusu elde edilir. Bundan ‘Auditing’ düğmesine basılır.
Denetim seçenekleri dizin ve dosya üzerindeki işlemleri belirtir. Bu işlemlerin başarılı yada başarısız şeklinde tamamlanmasına göre işlemler takip edilir. Daha sonra yine Administrative Tools program grubunda yer alan Event Viewer programı ile işlemler takip edilir.
3.1. İnternet Protokolünün Zayıf Noktaları
Internet Protokolünün en zayıf tarafı gelen ve giden bilginin
kaynağının ve içeriğinin doğruluğunun kontrol edilememesidir. İstenirse sanki
başka bir kaynaktan geliyormuş gibi istenen her hangi bir adrese herhangi
bir paket gönderilebilir. Sahte bağlantılar bile kurulabilir. Ayrıca bazı
"Yanlış" paketler göndererek işletim sistemleri şaşırtılabilir, hatta
kilitlenmeleri sağlanabilir.(Nuke)
3.2. Network Topolojisinin Zayıf Noktaları
Eğer switch kullanılmıyorsa gönderilen bir bilgi ağdaki bütün
makinelere uğrar. Sniff olarak adlandırılan bir işlem sayesinde ağda oluşan ya
da gelen giden bütün paketlerin içeriklerini izlemek mümkündür.
Network'deki yada ISS'lerdeki kötü niyetli kişiler şifrelenmemiş Internet
işlemlerinizi izleyebilirler. Mesela e-maillerinizi okumak, chatte
konuştuklarınızı görmek, hangi sayfalara bağlandığınızı loglamak vs.
Fakat bu tür işlemleri yapabilmek için çok fazla şey bilmek yada ağ yöneticisi durumunda olmak gereklidir. Ayrıca Linux kullanarak lokal ağda her hangi bir hakka sahip olmadan bu işlemleri yapmak mümkündür. Windows NT bu tür işlemleri yapabilmek için özel sürücüler yüklenmesini gerektirir, bunu da sadece sistem yöneticileri(administrator) yapabilir. Fakat ne yazık ki çoğu şirkette Administration hakkı bir çok kullanıcıda bulunabilmektedir.
Hackerları; kendilerini her türlü bilgiye
ücretsiz erişmek isteyen insanlar olarak tanımlayabiliriz. Hackerlar bilgisayar
hakkında çok bilgilidirler ve bu bilgiyi çoğu zaman bir şirketi zengin etmek
için değil de kendileri için kullanmayı tercih ederler. Sistemlerin zayıf
noktalarını bulmak ve onları açığa çıkartmak onlara büyük bir zevk
verir.
Bir genelleme yapmak gerekirse 2 tip hacker vardir
Siyah Hackerlar (Malicious Hackers) : Hacker
olmanın en önemli kurallarından biri olan karşı sisteme zarar vermeme kuralı
onlar için pek bir şey ifade etmeyebilir. Açığını buldukları herhangi bir
sistemin içeriğini silebilir yada web sayfalarının içeriğini HACKED BY XXX yada
OWNED türünden kelimelerle değiştirirler, belirli bir guruba üyelerdir. Çoğu
zaman bu guruplar arası savaşlar yüzünden bir çok sayfa yada hükümet sistemleri
zarar görür. Bu kişiler kredi kartı ile alış-veriş yapılan sistemleri hack
ettikten sonra oradan alış-veriş yapmış olan kişilerin kart numaralarını
kullanarak o kişilere büyük ölçüde zarar verebilirler.
Beyaz Hackerlar : Sistemleri sadece bilgiye (daha sonraları da rahatlıkla) erişebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarını modifiye etmezler.(varlıklarını gizlemek için bir iki log dosyası silmek ya da daha sonrada tekrar girebilmek için kendilerine account açmak haricinde) Aslında son derece tehlikeli işler yapabilecek olmalarına rağmen sadece güvenliğinin zayıflığını ispatlamak amacıyla sayfalarda yada sistemlerde ufak notlar bırakırlar. Diğer bir deyişle sistemi kuran kişilerle dalga geçerler. Genelde iş güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler .
3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?
Eğer bir şirket Network ile herhangi bir ağa bağlı ise kötü niyetli
kişiler sisteminizdeki verilere erişebilirler, verileri değiştirebilirler ve
hatta silebilirler. Daha da açarsak şirketinizin müşteri kayıtlarını alabilir,
muhasebe kayıtlarını değiştirebilir yada bozabilir veya sisteminizde kayıtlı
bulunan tekliflerinizi okuyabilirler. Sistem kalıcı olarak işlem dışı
bırakılabilir. Internet bağlantısını bozabilirler, Trojanları sisteminize
yerleştirerek sanki makinenin başında oturuyorlarmış gibi her ne isterlerse
yapabilirler. Hatta hardware spesifik yazılımlar kullanarak makinenizdeki
görüntü kartını olduğundan yüksek bir frekansta çalıştırarak monitörünüzü
çalışamaz duruma getirebilirler!
Eğer ev kullanıcısı iseniz, yine yukarıda anlatıldığı gibi
sisteminizdeki özel bilgilere erişilmesi silinmesi ve sisteminizin devre dışı
kalması mümkündür.
Spoofing : Spoof’un kelime anlamı
oyun/parodi/kandırmaktır. Internet ortamında ise Spoofing birkaç alanda
karşımıza çıkar. Spoof genel olarak IP’deki (Internet Protokolü) değerlerin
olduğundan farklı olarak gösterilmesi demektir.
DNS (Domain Name Service) Spoofing : IRC
(Internet Relay Chat) kullanıcıları IP spoofing dedikleri ama aslında gerçek
ismi DNS spoofing (address resolution spoofing) olan, DNS Server’ların sahte
ARP'lerle kandırılıp istenilen IP'nin olması gerektiğinden farklı bir şekilde
çözülmesi demektir. Eğer bir DNS Server’a bir IP adresinin resolve edilmesi için
query açtıktan sonra, hemen arkasından çeşitli sahte paketlerle o IP’nin
spoofing.is.fun hostuna karşılık olduğu şeklinde bilgiler gönderip DNS Server’ı
kandırıp aşağıdaki sonucu elde etmek mümkündür.
Blackwind is aggressor@spoofing.is.fun * The Myth
Blackwind on @#Aggressor
Blackwind using irc.aggressor.net
End of /WHOIS list.
Aslında yukarıdaki örnekteki gerçek host name aggressor@195.174.89.63
idi. Fakat IRC Server’a DNS spoofing yaparak Hostname'i olduğundan farklı
bir şekilde gösterdik.
Birçok IRC Server; kendi çapında spoofing protection olarak IP’yi
HOST’a daha sonra da aynı HOST’u IP’ye çevirip bilgileri karşılaştırır. Eğer
karşılaştırmada eşleşme sağlanamazsa bağlanmaya çalışan hostla bağlantıyı keser.
Eğer DNS Server IP>HOST>IP eşleşmesini doğruluyorsa IRC Server da bu
eşleşmeyi kullanır.
IP Spoofing : IP paketlerinin source (kaynak)
IP'sini değiştirmek demektir. Böylece paketi alan hostun, paketin geldiği kaynak
adresini bilmesini engellenmiş olur. Host gelen paketin sizden değil de başka
bir yerden geldiğini sanır .
ICQ Spoofing : ICQ Protokolünün spooflanması(alaya alınması) demektir, başkalarının yerine başkalarına mesaj atmak için kullanılır.
DNS(Domain Name Services) :
DNS, Internet host adlarının yer aldığı hiyerarşik bir veritabanıdır. Internet
üzerinde hızla artan host’lara erişimi kolaylaştırmayı sağlar. DNS, internet
yada UNIX bilgisayar adlarının çözülmesi için kullanılır. DNS’in düzenlenmesi
için TCP/IP’nin kurulu olması gerekir.
Network yöneticisi DNS’i kullanarak domain ve bilgisayar adlarının
çözümlenmesini sağlar. HOSTS dosyaları ile bir subnet içindeki ip adresleri
bulunur. Birden çok subnet arasında , diğer bir deyişle domainler arsında IP
adreslerinin bulunması için DNS’ e gereksinim vardır.
IP(INTERNET PROTOCOL) : Internetin önemli
bir bölümü IP‘ ye dayanır. Internet üzerinden yollanan bilgiler bir Internet
paketi olarak paketlenir. Paket, Internetin bir kısmından diğerine
yönlendirilebilir.
Bir kullanıcı IP numarasını kolaylıkla değiştirebilir. Kullanıcı eğer aynı adres te biri varsa beklemede kalır(ping). Eğer yoksa IP adresini değiştirebilir.
Örneğin :
Ping 155.223.5.8
Pinging 155.223.5.8 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Şimdi kullanıcı IP adresini değiştirme işlemini yapabilir.
 |
Bu sebepten dolayı, yani , IP adreslerinin bu kadar kolay değiştirilebilmesi bir network ün güvenliğinide olumsuz yönde etkilemektedir. Denetlenemeyen IP ler, sistemlerin güvenliğinin zayıf bir noktalarıdır. Bu yüzden saldırı yaptığı belirlenen bir kullanıcı IP sini değiştirerek elinizden kaçmış olabilir.
Yerel ağ ile global ağ arasında bulunan ve giden gelen berileri tarafınızdan belirlenmiş kriterlere göre filtre eden bir bilgisayardır.
Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde
firewall bulunması o networklerin güvenliği açısından bir
gerekliliktir.
Firewall’ ların genel mantığı sisteminize onay
verilmeden(authorization) kullanıcıların girmemesini sağlayarak sisteminizi
teorik olarak dışarıdan görünmez hale getirmektir.
Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin
adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres
filtreleme(Address Filtering) denir.
İki firewall birarada düşünürsek; gateway’den ve ya gateway’e
gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi
oluştururlar.
Global Ağ daki bir makinaya bağlanmak için, ilk önce gateway a bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.
Belli başlı saldırı türlerini Dos (nuke), Remote Exploits ve trojanlar olarak ayırabiliriz.
Nuke siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler gönderilmesi ve bu paketlerin bilgisayarınıza zarar vermesidir.
OOB Nuke : (Out of Band Nuke ) Sadece Windows NT
ve Windows 95’in bir bug olan OOB Nuke, işletim sistemi Windows olan bir
makinenin 139. portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı
(connection) yapılmasıyla gerçekleşir.(Service Pack ile halledildi)
Eğer Windows 95 kullanıyorsanız sisteminize mavi ekran vererek
Internet bağlantısının kopmasına, Windows NT kullanıyorsanız sistemin durmasına
yol açar.
Land : Bilgisayarı kendi kendine senkronize
ettirerek Winsock'un sonsuz döngüye girmesini sağlar böylece mouse'un bile
hareket etmemesine yol açar.
Source IP-Source Port ve Destination IP-Destination Port’un aynı
olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.
Teardrop, Boink, Nestea : Internet üzerinde gelen
giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından
birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation). Çoğu sistemin
duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki
paketi birleştirmeye çalışması ile gerçekleşir.
Boink; teardrop saldırısının ters olarak çalışan halidir.
Nestea; teardrop saldırısının minör değişimlere uğramış halidir. Aynı
zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde
etkilidir.
Brkill : Eğer Windows yüklü bir bilgisayara,
bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket
gönderilirse Windows o anki son bağlantı seri numarasını gönderir. Buradan yola
çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün
olur.
ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki
bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar . Bu
saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH
paketi göndererek oluşur.
Jolt / Ssping : Windows 95 ve NT'nin yüksek
boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir
saldırı türüdür. 65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı
gerçekleştirir.
Smurf : Networklerde Broadcast Address olarak
tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler
vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde
çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu
işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek
saldırı haline çevirir. Bir anda bilgisayarlara onbinlerce bilgisayarın ping
çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye
Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar
kesilir.
Suffer3 : Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.
İnternet üzerinden de temin edilebilen,ve
sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle
sıralanabilir:
Winpack 1.0 , The aggressor , Nuke v3.2, Winnuke…
4.1.4. Nuke'tan Nasıl Korunulur?
NUKENABBER:
NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır. ISP adminlerinin bu hacker’ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar.
Birden fazla port u kullanıma sokarak sizin
birtek port ile tuzağa düşmemenizi sağlar . Böylece karşıdaki insan sizin hangi
portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir
engel de koymuş olursunuz.
TCP ve UDP kullanarak yapılan saldırıları
tespit etmek için 50 ye kadar port kullanılabilir. TCP ve UDP’nin yanısıra ICMP
dest_unreach portlarınıda denetleyebilir.
Bir Saldırı Nasıl Rapor Edilir ?
· Saldırı amacıyla sizin
portunuza bağlanan kişinin adres raporunu gözden geçirin.(Bu dosyalara view
menüsünden ulaşabilirsiniz.)
· Mümkünse Admin bağlantısı için
e-mailleri alın.
Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e
gönderin.
· E-mail programınızı
çalıştırın.
· En son yapılan logonların
listesini emailinize geçirin.
· Kısaca başınıza ne
geldiğini mesaja ekleyin
· Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin.
Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix'e ait
bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000’in
üzerinde exploit vardır.
Windows Null Session Exploit : Windows
işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip
olmadan session, user ve share information'ı verir. Kötü niyetli birisi bu
exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi
olabilir.
Örnek :
Agis NT Peek utility V0.5 , (C) Copyright by Agis Corp 1998. All
rights reserved.
Connecting to : \\194.***.**.**
connection established
Processing..
\\194.***.***.***\NETLOGON
(disk) Logon server share
\\194.***.***.***\i386
(disk)
\\194.***.***.***\IE4.3000
(disk)
Getting Session information ..
Server name : TiN User name : (None)
Login Time : 154461 secs (2574 mins) IIdle
Time : 559 secs (9 mins)
-----------------------
Server
name : MiP Usern name : (None)
Login Time : 573 secs (9 mins) Idle Time
: 573 secs (9 mins)
-----------------------
[lord*****]
Password : **********
Account : (lord*****)
Full name : (Lord zerg ******)
Comment : (Administration account)
User Comment : (Dark throne)
Password age : (0) hours
Privledge : Administrator
Home Dir : ()
Script path : ()
Spec Params : ()
Workstations : ()
Logon Hours : (1349551)
# of badpass : (0)
Logon count : (2896)
Logon Server : (\\*)
Country Code : (0)
Code Page : (0)
User ID : (500)
Group ID : (512)
Profile : ()
Home drive : ()
Password Exp : (0)
Auth Flags :
-No auth flags
Flags :
-
The logon script executed
- This account is normal
-
password doesn't expire
-
PHF Exploit : Bu exploit oldukça
eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI
yardımı ile sistemdeki dosyalara admin olarak erişilebilinir.
GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
http://www.phfcalistiranserver.com/cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir
makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının
görülmesini sağlar.
ASP Exploit : Active Server Page
özelliği kullanan WebServer’larda URL' nin sonuna bir nokta(.) yada ::şDATA
yazılarak ASP’nin içeriği (source code) görülebilir. Eğer
ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli
olabilir.
http://www.aspkullananserver.com/default.asp.
ya da
http://www.aspkullananserver.com/default.asp::$DATA
Sendmail Exploit : Eski Sendmail
versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı
çekmek mümkün olabilir. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN)
yada bir Username’in o Server’da olup olmadığını öğrenmek de mümkündür.
(VRFY)
telnet mail.server.com:25
ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ
sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek
kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir,
passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir. IP'sini
kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması
(flooding) yapılabilir.
Dosya ve yazıcı paylaşımı
:
Windows 95 yada NT’de paylaşıma açılan disk ya da klasörlerin
okuma-yazma izinlerine çok dikkat edilmelidir. Şifresiz (Şu birçok ISP’nin
Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya
da kolay tahmin edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan
disk yada klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen
durumlara yol açabilir.
Windows Start menüsünde Run seçeneği tıklatıldıktan sonra \\IP
yazıp Enter tuşuna basılırsa, IP'si yazılan makinede paylaşıma açık olan yerler
görülebilir. Windows’un içinde var olan NET komutunu kullanarak (NET VIEW \\IP)
yine paylaşıma açık yerleri görebilir ve yine aynı komutla onlara
bağlanılabilir.
(NET USE J: \\IP\paylaşımismi) Ayrıca linux yüklü bir makineden,
smbclient programı ile aynı işlemleri yapılabilir.
Bu tip tehlikelerden korunmak için paylaşımlara sağlam bir şifre
zorunludur. (anlamsız kelime+ rakamlar+hem büyük hem küçük harf kullanıması
vs.)
Diğer Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.
Trojan bir sisteme girmek için arka kapı açan bir programdır.
Trojan, internet bağlantı şifreniz dahil bilgisayarınızdaki bütün
şifrelerin ele geçirilmesini sağlayabilen bir saldırı programıdır.
Bilgisayarınızın sistem ayarlarıyla oynanmasını, cpu nun, monitörün ve hatta
ekran kartının yakalamsını sağlayabilir. Dosyalarınız karıştırılabilir,
silinebilir veya değiştirilebilir. Bilgisayarınız formatlanabilir veya restart
edilebilir. Mesajlarınız okunabilir, sizin yerinize mesaj yazılabilir,
aktif programların listesi çıkarılabilir…vs. Bunlar trojan programının
yapabileceği şeylerin sadece birkaçı.
Başlıca bilinen trojan programları Netbus ve Backorifice dir.
BACKORIFICE :
BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır. Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar. Bu program firawall tarafından engellenebilmektedir. Henüz firewall’I aşabildiği tespit edilmemiştir.
1. Güvenmediğiniz kişilerden exe veya com dosyaları almayınız.
2. Eğer bilgisayaranızda trojan olduğundan şüpheleniyorsanız bilgisayarınızdaki giriş ve çıkışları kontrol eden firewall* gibi bir prgram kullanın ve en kısa zamanda cleaner programını çekip bilgisayarınızdaki trojanlardan kurtulun.
3. Norton anti-virüs gibi, bir dosyayı çalıştırmadan kontrol eden bir anti virüs programı kullanın ki dosyalara trojan bulaşmışsa çalıştırmadan uyarı alın.
4. Anti-trojan programları kullanın.
* Firewallar güvenlik mekanizmalarının ilk aşamalarıdır.
4.3.4. Anti-Trojan Programları
NETBUSTER:
Netbuster
programı netbus(trojan) kullanıcılarına karşı sistemi koruma amaçlı bir
programdır.
Netbus ile
sizin bilgisayarınıza bağlanan kullanıcıları tespit edip onlardan korunmak için
geliştirilmiş bir programdır. Bu program
yardımıyla o anda bilgisayarınıza bağlanmış olan hackerlara mesajlar
gönderebilir ve onlarla oyun oynayabilirsiniz. .Bu programın asıl amacı tam
olarak bir güvenlik sağlamak değildir. Netbus kullanarak bilgisayarınızın
portlarına bağlanan başka kullanıcıları o portlardan uzak tutmak
amaçlıdır.
Netbuster’ in genel olarak iki kullanım amacı vardır. Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz. Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler . ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar.Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz.
NETBUSTER NASIL
ÇALIŞIR?
Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar. Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır. Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur. Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir.
Netbuster 1.31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz . Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don’t disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir. Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz.
NETBUSTER
HAKKINDA BİLGİ ALABİLECEĞİNİZ VE DOWNLOAD EDEBİLECEĞİNİZ BAZI
SİTELER:
http://www.nttoolbox.com/netbus.htm
http://www.davidm.8m.com/netbus.html
http://www.kdrserve.com/support/netbus.html
http://net-security.org/sw/arhatroj.htm
Saldırı
türleri, bunların korunma yolları,çeşitli güvenlik programları hakkında merak
ettiklerinizi http://indigo.ie/~lmf/home.htm adresinden öğrenebilirsiniz. Burada ekranın sol
tarafındaki menüden hakkında bilgi edinmek istediğiniz konuyu seçin ve
dilediğiniz programı download edin.
PROTECTOR PLUS:
Bilgisayarınızda bulunan
trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir
programdır.
Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir. Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler.
THE AGGRESSOR
The Aggressor NEDİR
?
The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır. Türkiye' de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54.000’in üzerinde ziyaret yapılmaktaydı. Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK’sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor’ın GUI’si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür.Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!
5. Windows NT İçin Diğer Güvenlik Programları
Bu program
bilgisayarınız internete bağlıyken başka biri tarafından bilgisayarınıza
sızılmışsa bunu size bildirir ve önlemini almanızı sağlar.
NT 4.0 için bir
güvenlik alarm programıdır. Siz ağ’a bağlıyken ve ya internette gezinti yaparken
sisteminize biri girdiğinde ve sizin dosyalarınızı kullandığında sizi uyarır.
Desktop Sentry siz bilgisayarınızı açtığınızda otomatik olarak açılan ve taskbar
da sürekli gözüken bir uygulamadır.
|
|
 |
Sizin dışınızda herhangi bir logon aktivitesinin olup olmadığını kontrol eder. Eğer biri sizin bilgisayarınıza bağlanmışsa taskbardaki ikon yanıp sönerek sizi uyarır. O anda ikona tıklayarak kimin ve nereden bağlandığını öğrenebilirsiniz. Örneğin “Gezgin from baum” yazıyorsa bu gezgin isminde bir kullanıcının baum dan sizin bilgisayarınıza bağlandığını gösterir. Bu kullanıcıyı menüdeki disconnect seçeneğini kullanarak disconnect edebilirsiniz.
http://www.ntobjectives.com/desktop.htm
download:
http://www.ntobjectives.com/dsinstall.exe
Şifreleme programı. Özel dosyalarınızı şifreliyerek koruma altına alabilirsiniz.
download:
http://www.mach5.com/download/krem221.exe
İlk MS Windows tabanlı firewall'dur. Sendbox teknolojisini kullanır. Bu teknoloji dışarıdan gelen herhangi güvenilmeyen veya bilinmeyen dosyalara karşı bilgisayarınızdaki dosyaların etrafında bir kalkan oluşturarak sisteminizi koruma şeklindedir.
download : http://www.secure4u.com/
Nt dosyalarının
korunumunu ve kullanımını kontrol eder.
Program bazı
konutlardan oluşuyor. Bu komutları kullanarak birçok işlem
gerçekleştirilebilir.
Komutların
açıklamaları:
SAVEACL.EXE:
Dosyaları ,dizinleri ve kullanıcıların haklarını bir dosyaya
kaydeder.
RESTACL.EXE: Kullanıcı haklarını
dosyaları ve dizinleri saveacl dosyasından alır.
LISTACL.EXE:
Aynı dosyadaki bilgileri listeler.
SWAPACL.EXE:
Aynı bilgileri bir başka kullanıcıya aktarır.
GRANT.EXE:
Kullanıcının dosya üzerindeki haklarını başka kullanıcılara aktarır.
.. vb gibi
işlemleri bu komutlarla yapabilmeniz mümkün.
http://www.pedestalsoftware.com/ntsec
download: http://www.pedestalsoftware.com/ntsec
5.5. Security
Explorer TM v3.20
Windows NT adminlerinin NTFS sürücülerini, paylaşımları kontrol etmelerini ve üzerinde değişiklik yapmalarını sağlar.
Seçilen dizinlerde ve dosyalarda hakların
denetlenmesi ile ilgili bir pencere. Seçilen dosyalar everyone olarak gözüküyor.
Yani bu dosyaları sisteme giren herkes kullanabiliyor . Bu menü de oynamalar
yaparak istenilmeyen kullanıcıların bu dosyalara ulaşmaları
engellenebilir.
Bu programla dosyalar üstünde hüküm kurabilirsiniz. Örneğin bir dosyanın ve ya dizinin kullanım haklarını tamamen kısıtlayabilir ve ya tümüyle serbest bırakabilirsiniz. Bu program ile kullanıcının ulaşabileceği şeyler konusunda çok daha fazla yetkiye sahipsiniz.
Örneğin saha dizininin haklarını everyone için yani tüm kullanıcılar için ‘full control’olması sağlanabilir veya çeşitli opsiyonların bulunduğu ‘Modify Permissions’ penceresinden istenen özellikleride ayarlayabilirsiniz.
download:
http://www.smallwonders.com/index.asp?BODY=/download.asp
Windows NT yöneticilerinin dosya paylaşımlarını her kullanıcı için ayrı ayrı ayarlamasını kolaylaştırır. Bu program ile hangi kullanıcının hangi programları ne zaman kullanabileceği ayarlanabilir.
Yapılması gereken tek şey bir program seçip kullanıcıyı belirtmeniz ve hangi zamanlar arasında kullanıcının bu programı kullanmasını istemiyorsanız ayarlamaktır. Eğer kullanıcı programı istenilen saatlerin dışında kullanıyorsa bir “ACCESS DENIED” mesajı ile karşılaşacaktır.
http://www.protect-me.com/asc/
download: http://www.protect-me.com/asc.zip
NT için hızlı bir güvenlik taraması.
http://www.shavlik.com/products
download:
http://ftp.shavlik.com/
TCP/IP
portlarını tarayarak ayrıntılarıyla kullanıcıya gösterir.
Windows nt için
yazılmış oldukça hızlı bir TCP/IP port tarayıcısıdır. Network adminleri ve
güvenlik uzmanları için tasarlanmış olup, daha çok zaman kazanmak açısından
karmaşık işlemleri eleyerek network kullanıcılarını doğrudan karşısına alır. Bu
program hızlı bir network de 65.000 port u 5 dakika içinde
tarayabilir.
Programın
çalışması için gerekenler: WİN NT 4.0 Service Pack 3
800*600 Ekran
çözünürlüğü 32 MB ram’larda garanti edilmiyor. TCP/IP networklerde
en iyi 96 MB ram ile çalışıyor.
http://www.ntobjectives.com/prod02.htm
download: http://www.ntobjectives.com/NTOScanner126.exe
Service
Pack Windows NT için bir arka kapı(bug) giderme programıdır. En son sürümü
olan SP5 daha öncekileri ile aynı içerikli olup performans açısından artıları
bulunmaktadır. Service Packin NT için giderdiği buglardan biri OOB Nuke dir.
Makinanın 139. Portuna bağlantı yapılmasıyla gerçekleşen bu bug I denetim altına
almıştır. Ayrıca bir hack programı olan Getadmin programını da
engelleyebilmektedir. Service Pack in giderdiği bugların daha ayrıntılı
bilgilerini internetten elde edebilirsiniz. Ayrıca SP5 de ek olarak 2000 yılı
sorunu için Y2K update diye bir yazılım da eklenmiştir. Bu yazılım
çalıştırılarak tarihlerin yaratacağı sorunda NT clientler için çözümlenebilir.
Service Pack
Hakkında daha fazla bilgi için önerebileceğimiz bazı adresler
şunlardır:
http://freehosting2.at.webjump.com/311c8803d/eh/eh-security/index.html
http://www.eh-securitycom/index3.html
http://support.microsoft.com/support/kb/articles/Q225/0/37.asp
http://www.microsoft.com/security/default.asp (microsoft security advisor)
Bu saydığımız programlar nt için yapılmış güvenlik programlarından sadece birkaç örnek . Çok daha fazla program bulmak mümkün. http://www.ntsecurity.net/ bu programları bulabileceğiniz sayfalardan sadece biri.
6. WINDOWS NT İLE İLGİLİ WEB SİTELERİ
| http://www.aberdeen.com/research/comp/viewpoints/1997/v10n20/97090178.html , |
| Microsoft: The Joker of
Enterprise IS Computing |
| 18. | http://www.gartner.com/public/static/datapro/industry/indnews6.html , |
| NT and UNIX: Irresistible
Force vs Immovable Object |
