HACKER OO1
HOŞGELDİNİZ HACKEROO1
FORUM : BLOK : SİTEMİZ : =İÇRESİNDE
MÜKEMMEL PAYLAŞIMLAR VARDIR
SİZLERİNDE ARAMIZDA OLMANIZI İSTERİZ,TAMAMEN ÜCRETSİZ OLAN
PAYLAŞIMLAR VE ÜYELİGİMİZ:
KESİNLİKLE SİZLERİN İSTEKLERİNİZ
ÜZERİNE HAZIRLANMIŞ VE TASARLANMIŞTIR
SİTEMİZDE İYİ VAKİT GECİRMENİZ DİLEGİYLE
ADMİN

Saldırıları Önleme Çözümleri ve Yöntemleri

Aşağa gitmek

MESAJ Saldırıları Önleme Çözümleri ve Yöntemleri

Mesaj tarafından Admin Bir Perş. Ara. 02, 2010 8:20 am

Saldırıları Önleme Çözümleri ve Yöntemleri
Günümüzün karmaşık ağları çok katmanlı güvenlik önlemlerini zorunluhale getiriyor. Kurumsal ağınızı güvenli hale getirmek için çokkatmanlı ve tek noktadan yönetilebilen saldırı önleme çözümlerisağlıyoruz.Neden Çok Katmanlı Güvenlik?
Güvenlik çözümleriilk üretilmeye başlandığında ağlar kapalı, daha basit ve dahadurağandı. “Tek nokta” güvenlik çözümleri bu kapalı ağların güvenliğinisağlamak için yeterliydi.Günümüzde ağlar Internet bağlantıları, iş ortağı bağlantıları, evçalışanları, gezici çalışanlar gibi bir çok noktadan tüm dünyaya açıkhale gelmiştir. Saldırganlar, açık ve daha karmaşık hale gelen günümüzağları ve üzerlerinde çalışan karmaşık servislerin ağlarınıkullanabiliyorlar. Günümüz ağlarında herşey hedef haline gelebiliyor;Router, switch, sunucular, istemciler, ağlar, uygulamalar, işletimsistemleri, güvenlik cihazları, uzak kullanıcılar, iş ortakları…Karmaşıklaşan günümüz ağlarını tek bir güvenlikcihazı/yazılımı/çözümüyle korumak mümkün değil. Ağların bütünbileşenlerini koruyan, tek noktadan yönetilebilen ve ses-görüntüiletimi gibi yeni gereksinimleri destekleyen çok katmanlı güvenlikönlemleri kaçınılmaz.Kurumsal Verileriniz için Dört Katmanlı Ağ Güvenliği

  • Yönlendiriciler (Router’lar):Erişim kontrol listeleri (ACL) ve hız sınırlandırması (rate-limiting)ile istenmeyen trafiği engelleyerek ilk savunma hattı oluşturulmalıdır.
  • Güvenlik Duvarları (Firewall’lar): Stateful Inspection teknolojisiyle çalışan güvenlik duvarları ile sadece geçerli trafiğe izin verir.
  • Ağ Temelli Saldırı Sezinleme Sistemleri (Network IDS): İzin verilen trafik üzerinde tehlikeli kodları izleyerek üçüncü savunma hattını oluşturur.
  • Sistem Temelli Saldırı Sezinleme Sistemleri (Host IDS): Sunucu ve istemciler üzerine kurulan güvenlik yazılımları son savunma hattını oluşturuyor.
Ağ Temelli Saldırı Sezinleme Sistemleri (Network IDS)
Cisco IDS 4200 Sensor Serisi, kolay yaygınlaştırılabilen, tek kutudapaketlenmiş, her büyüklükteki kurumların ihtiyaçlarına yönelik saldırısezinleme çözümleri sunuyor.

  • Cisco IDS Sensor 4215 (80 Mbps performans)
  • Cisco IDS Sensor 4235 (200 Mbps performans)
  • Cisco IDS Sensor 4250 (500 Mbps performans)
  • Cisco IDS Sensor 4250 XL (1 Gbps performans)
IDS 4200 Sensor; güvenlikveri tabanında bilinen tüm saldırı türlerini önem derecesi veaçıklamasıyla birlikte içeriyor. Saldırı işaretleri (attack signatures)otomatik olarak güncellenebiliyor.Sistem Temelli Saldırı Önleme Çözümleri
Cisco Security Agent, sunucu ve istemciler üzerinde çalışarak bilinenve bilinmeyen güvenlik risklerini kurumsal ağ ve uygulamalara zararvermeden önler. Microsoft ve Unix sistemler üzerine kurulan Cisco Security Agent tek yazılım paketiyle aşağıdaki güvenlik önlemlerini sağlar;

  • Sisteme yönlenmiş saldırılardan koruma sağlar.
  • Dağıtık güvenlik duvarı rolü üstlenir.
  • İşletim sistemi bütünlüğünü korur.
  • Denetim log’larının tek noktada toplanması sağlar.
  • E-posta solucanları (e-mail worms), tehlikeli HTML kodları, porttaramaları, truva atları (trojan horses) gibi bir çok saldırı türünekarşı koruma sağlar.
  • Web sunucular ve veri tabanlarında uygulamaya özel koruma sağlar.
  • Kurumsal güvenlik politikasının tek noktadan tanımlanarak tüm sunucu ve istemcilere uygulanmasını sağlar.
Merkezi Saldırı Önleme ve Güvenlik Yönetimi
CiscoWorks VPN/Security Management Solution, tüm Cisco güvenlik çözümlerinin tek noktadan yönetilmesini ve izlenmesini sağlıyor.Paket içinde yer alan Management Center yazılımları;Cisco PIX Firewall çözümleri, Cisco VPN Router’lar, Cisco IDSSensor’ler ve Cisco Security Agent yazılımları için yönetim olanağısağlıyor.Monitoring Centeryazılımı, ilgili tüm güvenlik cihazları ve yazılımlarının loglarınıntek noktada toplanmasını ve raporlanmasını sağlıyor. Saldırılarıkategorize ederek kolay izlenebilir hale getiriyor. E-posta ile sistemyöneticine uyarılar gönderebiliyor.
Bu makalede binlerce HTTP-GET isteği ile yapılan DDoS ataklarıkarşısında nasıl davranmamız gerektiği irdelenecektir. Ayrıca atağınboyutuna göre sırası ile almamız gereken önlemler anlatılacaktır.Bildiğimiz gibi DDoS, birçok firmanın başını ağrıtan ve bazı durumlardaönlenmesi çok güç olan bir atak türüdür. En başta basit olarak senaryomuzu çizelim:

  • Linux Sunucu
  • Apache Web Sunucu
  • Alan ismi : Xx.com
Yukarıda belirtildiği gibi üzerinde Apache Web Sunucusu çalışan birsunucumuz bulunmakta. Web sunucumuz üzerinde çalışmakta olan Xx.comadresine saniyede binlerce IP adresinden HTTP-GET isteği yapılmaktadır.
Bu durumda Apache belli bir sure sonra bu isteklere yanıt verememeyebaşlayacaktır. Eğer istekte bulunulan sayfanın bağlandığı birveritabanı sunucumuz mevcut ise, bu istek veritabanımızın da yanıtverememesine sebep olacaktır.Peki ne yapacağız ?
Öncelikle şunu bilmeliyiz ki; her bir HTTP-GET isteği için ayrı bir bağlantı oluşturulmasına gerek yoktur. Çünkü HTTP/1.1,açılan bir bağlantı içerisinden dilediğimiz kadar istek göndermemizeizin verir. Bu bilindiği gibi Request Pipelining olarakadlandırılmaktadır. Bu da demek oluyor ki güvenlik duvarımızda(donanımsal ya da yazılımsal) TCP 80 portuna gelen sadece bir HTTP-GET isteği görebiliriz ama aslında bu istek içerisinden binlerce istek alıyor olabiliriz.

  1. Bir HTTP-GET atağındaöncelikle yapmamız gereken şey web sunucumuzun loglarını incelemekolacaktır. Çünkü bu loglar icerisinde bizim IDP (Intrusion Detection& Prevention) sistemimiz üzerinden engelleyebilecegimiz sabit birdata bulabiliriz. Mesela sabit bir HTTP başlığı, referrer veya user-agent tespit edip IDP sistemimiz üzerinden engelleyebiliriz.
  2. Eğer gelen istekler değişik çerezler ile geliyorsa ve bu alandayapabileceğimiz ekstra bir şey yoksa ikinci bir önlem olarak, birdakika icerisindeki web server loglarına bakarak en cok istegi yapan IPadreslerini daha sistemimize ulaşmadan engelleyebiliriz. Amaörneğimizde olduğu gibi farklı kaynaklardan gelen istekleri bu şekildeengellememiz fazla mümkün olamayacaktır. Çünkü karşı karşıya olduğumuz atak türünde saldırılar binlerce farklı IP adresinden gelemekte ve bu IP adresleri sürekli değişmektedir.
  3. Diğer bir yöntem olarak web sunucumuz (Apache) üzerinde çeşitli modüller kullanabiliriz. Mod_Evasive yada Mod_Choke,önerilebilecek modülleriden ikisidir. Fakat atağın büyüklüğüne vegetirdiği trafik yoğunluğuna göre bu modüller yetersiz kalabilir.
  4. Bir sonraki aşama olarak IDP’ miz ya da güvenlik duvarımız üzerinde TCP Bağlantı Limiti (Connection Limit)koyarak ve eşik değerini (threshold) düşürerek saniyede gelen bu aşırı HTTP-GET isteklerini daha web sunucumuza ulaşmadan engelleyebiliriz. Bu genellikle etkili olan ve saldırganın başarısını azaltan bir engelleme mekanizmasıdır. Ama bu durumda gelen istek HTTP-GETisteği olduğu için güvenlik duvarımız ya da IDP’miz hangi isteğin dogruhangi isteğin yanlış olduğunu anlayamayacak ve bu durumda siteye normalolarak ulaşmak isteyen kişilerin isteklerinin de engellenme ihtimalisozkonusu olacaktır. Ayrıca bu işlemde bile eğer atakçok büyük ise güvenlik sistemimizden kaçan istekler arka taraftaki websunucumuza ulaşacak ve sitemizin sağlıklı çalışmasına engel olacaktır.
  5. TCP Bağlantı Limitleme işleminin yanı sıra Apache sunucumuz üzerine bir Ters Vekil Sunucu(Reverse Proxy) kurup, sayfaların ön belleklenmesini sağlayarak gelenbu isteklerin sunucu tarafında herhangi bir TCP bağlantı açmadanalınmasını sağlayabiliriz. Nginx bu amaçla kullanılabilecek faydalı biryazılımdır.
Bu işlemlerin sonucunda bağlantı limiti (IDP ya da güvenlik duvarı)ile saniyede belirttigimiz limitin üzerinde gelen istekler engellenecekve ters vekil sunucumuzun sayesinde gelen istekler daha Apache’yeulaşmadan ön bellek üzerinden verilecektir. Ters vekil sunucumuzukurduktan sonra IDP veya güvenlik duvarımız üzerinde yaptığımızbağlantı limiti eşik değerini yukarılara çekerek testlerimiziyapabiliriz. Bu testlerin sonucunda saldırı amaçlı bağlantılar ilesitemize normal yollardan ulaşmak isteyen kullanıcılar arasında birdenge kurulacak ve hatalı engellemelerin önü alınacaktır.
Nginx kurulumunun detayları için nginx adresine başvurulabilir.
avatar
Admin
Admin
Admin

Mesaj Sayısı : 346
rep-puan : 2147486777
Rep Puan : 63
Kayıt tarihi : 26/06/10
Yaş : 36
Nerden : izmir

Oyun Sayfası
Oyun Alanı:

Kullanıcı profilini gör http://hackeroo1.tr.gg/

Sayfa başına dön Aşağa gitmek

Sayfa başına dön

- Similar topics

 
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz