Switch KullanıYasak kelime Ağlarda Trafik dinleme(Sniffing)

[CaN]

HUB kullanıYasak kelime ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir . Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur.

Bir host diğeri ile iletişime başlamadan önce kendi ARP cache'ni(IP Adresi - MAC adresi bilgileri) kontrol ederek hedef IP adresine ait bilgi var mı kontrol eder, varsa direkt o MAC adresine veriyi gönderir yoksa broadcast yaparak o IP adresine sahip MAC adresinin kim olduğunu öğrenir. Bu istekler ve cevaplar ARP mesajları ile gerçekleştirilir.

4 cesit ARP mesajı vardır

ARP request : IP Adresine ait donanım adresi(MAC adresi) sorgulamak için kullanılır

10:09:20.356809 arp who-has 12.16.6.17 tell 12.16.6.185

ARP reply : Belirtilen Ip adresine uyan donanım adresini döndürür

10:09:20.356809 arp reply 12.16.6.17 is-at 0c8:f8:5c:73

RARP request: Belirli bir MAC adresi için IP adresi sorgulaması için kullanılır

RARP reply : Belirli MAC adresi için IP adresi cevabı döndürür.

Arp Cahce işlemleri

Arp cache bilgilerini görüntülemek

arp -an komutu ile arp cache bilgileri görülebilir.

#arp -an
- (1.2.3.4) at 00:00:ge01:98 on xl0
- (5.6.7.8) at 00:00:evf0:kj on xl0
- (9.10.11.12) at 00:e0:4c:bb66 on vr0

Arp kaydı silmek

#arp -d IP_adresi

Arp kaydı ekleme

#arp -s IP_adresi MAC_adresi [temp | permanent] [pub]

http://www.olympos.org/imagecatalogu...view/1432/1/10


Şekilde Node A Node B ile iletişime geçmek istediğinde switch her ikisinin mac adresi ve port bilgilerini edinerek bu iki makine arasıdaki iletişimi C nin görmesini engeller. Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır.


Gerekli araçlar

İşletim sistemi;

· Windows NT(W2k, W2K3, Win XP ) ailesinden bir işletim sistemi
· Herhangi bir Linux dağıtımı
· FreeBSD/OpenBSD işletim sistemi

Programlar;

· Tcpdump (http://www.tcpdump.org)
· Dsinff (http://www.monkey.org/~dugsong/dsniff/ )
· Fragrouter (http://www.monkey.org/~dugsong/fragrouter/ )

Kişisel tercihim FreeBSD ve OpenBSD olduğu için örnekler bu iki işletim sisteminin kurulu olduğu makineler üzerinde verilecektir ama belirlenen programların Windows ve Linux versiyonları bulunarak aynı testler bu sistemler ile de gerceklenebilir.

Kurulum

OpenBSD için kurulum

#cd /usr/ports/security/dsniff
#env FLAVOR="no_x11" make install

#cd /usr/ports/security/fragrouter/
#make install


ARP Spoofing Uygulaması / Teori

Bir switche bağlı 3 makine üzerinde test

Makine ismi Ip Adresi Mac adresi

A(Router/Firewall) 10.10.10.1 aa:bb:cc:dd:ee:ff
B(FreeBSd) 10.10.10.2 ab:bc:cd:de:ef:fg
C(OpenBSD) 10.10.10.3 xx:yy:zz:ww:jj:ll

http://www.olympos.org/imagecatalogu...view/1432/1/10

Yukarıdaki şekle göre Firewall olarak belirlenen makine bir kablo ile switche bağlıdır ve switche bağlı diğer makineler için varsayıYasak kelime çıkış kapısıdır.

B makinesinin internete çıkışı A makinesi yani Firewall/router üzerinden gerçekleşmektedir. C makinesi ise B ve A ile aynı fiziksel ağda bulunan bir makinedir. Arpspoofing yapılmadan önceki normal trafik akışı aşağıdaki gibidir,

B----àA(10.10.10.1 : aa:bb:cc:dd:ee:ff)---------à gizlibankam.com


Arp spoofing yapıldıktan sonra trafik akışı aşağıdaki şekilde olacaktır.

B----àA(10.10.10.3 : aa:bb:cc:dd:ee:ff, xx:yy:zz:ww:jj:ll)-----àgizlibankam.com


ARP Spoofing Uygulaması / Pratik

Kurulumların gerçekleştirildiği C makinesi üzerinde yapılması gerekenler;

Fragrouter programını kullanarak basitce ip_forwarding islemi yaptırıyoruz, bu islemi yaparkende paketlerin icerigini gormse şansımız oluyor. Arka planda tcpdump komutu çalıştırılarak makine üzerinden akan trafik bir dosyaya kaydedilerek sonradan incelenebilir. Tcpdump ile ilgili detaylı bilgi kaynaklar bölümünden edinilebilir.

C makinesinde

#fragrouter -B1 &

Ve

#arpspoof -t 10.10.10.2 10.10.10.1

komutuları verilir. Arpspoof komutu ile 10.10.10.2 IP adresli makinede tutulan 10.10.10.1 adresine ait MAC adresinin 10.10.10.3 IP adresine sahip makinin MAC adresi ile değiştirilmesi sağlanmış oldu.

Böylece B makinesi A makinesi ile iletişime geçtiğini düşünerek paketi aslında C makinesine yollamış oluyor. C makinesi de trafiği üzerinden geçirerek asıl hedefine ulaştırıyor ve cevaıbını yine B makinesine yolluyor, bu arada üzerinden geçirdiği trafiği izleme şansı oluyor.

NOT:C makinesinde herhangi bir IP adresi değişikliği yapılmamıştır

Korunma Yöntemleri

Statik arp kayıtları kullanmak
Arpwatch[4] programını kullanarak ağ üzerinde IP-MAC tablosu değişikliklerini gözlemlemleyerek , değişikliklerin mail ile bildirilmesini sağlamak.
Switchler üzerinde port security özelliğini aktif ederek kullanmak.


Kaynaklar:

[1] http://www.olympos.org/article/articleview/172/1/10/
[2] http://www.enderunix.org/docs/tcpdump.html
[3] http://ettercap.sourceforge.net/
[4] http://www-nrg.ee.lbl.gov/nrg.html
[5] http://www.huzeyfe.net
__________________

Kendi yasanızı oluşturun


Linux bir seçim meselesidir derler. Gerçekten de ortalıkta kafa karıştıracak kadar çok Linux dağıtımına rastlayabilirsiniz; hatta kendiniz bile hazırlayabilirsiniz. Bu yazımızda bunlardan Linspire adlı dağıtıma gözatacağız. Microsoft ile girdiği bir çatışmayla ilgi çeken Linspire'ın ne olduğuyla ve tarihiyle giriş yapalım.
Önemli not: "Linux işletim sistemi", sürücülerle birlikte 40 MB civarında bir büyüklüğe sahip, Linux işletim sistemi çekirdeği üzerinde kurulmuş sistem anlamında kullanılır. Bu çekirdek etrafında hazırlanmış işletim sistemlerinin herbirine "Dağıtım" denir; yani "Linux 10.2 sürümü" diye birşey şu an için yok, X Linux dağıtımının Y sürümü diyebiliyorsunuz.
Linspire, kolay kullanımı öncelikli olarak amaçlayan bir masaüstü Linux dağıtımı. İnternet Paketinden Ofis ortamına, görüntü/müzik yazılımlarına, masaüstündeki bir bilgisayarda olmasını isteyebileceğiniz herşeyin, Linspire'da olmasına, daha da önemlisi, bunların kolay kullanılabilir olmasına çalışılmış. Önceleri, herhalde Windows kullanıcılarının geçişini kolaylaştırmak amacıyla, zaten kolay kullanım adına Windows'u andıran ögeler taşıyan dağıtımın adı LindowsOS (Lindows) koyulmuştu, ama Microsoft bu konuda bir dava açtı. İlginç bir şekilde, bir yargıç Microsoft'un iddialarını düşürünce, Microsoft, kendi açtığı davada, Lindows ile uzlaşmaya gitmek durumunda kaldı. Bu anlaşma çerçevesinde 24 milyon dolar civarında bir ödeme yaptı ve Lindows, adını Linspire'a çevirdi.
Eski Linux'çular arasında pek populer olmayan, hatta Linux dağıtımı bile sayılmayan Linspire, Açık Kaynak yazılımı destekleyen bir politika izliyor. Mozilla'nın bileşeni -ve bu yazının hazırlandığı editör- olan Nvu, Gaim, kde-apps.org sadece birkaç örnek. Eleştirilerse birkaç noktada toplanıyor; kullanımın "aşırı basit" olması ve sistemini kendisi ayarlamak isteyenlerin düşünülmemesi, Debian tabanlı bir dağıtım için para istenmesi gibi. Ancak Linspire'ın odağının tamamen farklı bir yerde olduğunu gözönünde bulundurmak gerek.


Apache Server Kurulumu

Önce mevcut apache niz açıksa kapatın:
/etc/rc.d/init.d/httpd stop
Şimdi apache kuralım.Fakat önce super user olmanız gerekiyor...
Apache indirdiğiniz dizine gelin ve açın:
tar -zxvf httpd-2.0.45.tar.gz
AçıYasak kelime dizine girin:
cd httpd-2.0.45
konfigüre edelim :
./configure --prefix=/apachephp --enable-so
root ana dizini altında yeni bir klasör açacağız (apachephp) ve apache yi shared module kurmasını söylüyoruz. (Php bir shared modüldür)
make
make install
Diyoruz ve apache yi kurduk. Kontrol edelim
/apachephp/bin/apachectl start
Şimdi kapatalım:
/apachephp/bin/apachectl stop
Sıra geldi php ye
Php yi indirdiğiniz dizine gelin ve php yi açın
tar -zxvf php-4.1.3.tar.gz
cd php-4.1.3
Konfigüre edip yükleyelim:
./configure --prefix=/apachephp/php --with-apxs2=/apachephp/bin/apxs --with-config-file-path=/apachephp/php --with-mysql
Sisteme Yükleyelim:
make
make install
Apachemiz 2.0 versiyonu olduğundan çok az bir işlemimiz kaldı,
vi /apachephp/conf/httpd.conf
yazıp aşağıdaki satırları boş bir alana ekleyelim
LoadModule php4_module modules/libphp4.so
AddType application/x-httpd-php .php .phtml .php3 .html
htdocs klasöründe tercihli olarak vi editörüyle info.php dosyası oluşturun.İçine
<?php
phpinfo();
?>
yazın
http://localhost/info.php
yazıp keyif izleyin...
Son bir uyarı: Eğer bir sorun olursa şunuda deneyin ama olmayacak çünkü konfigure seceneklerinde bunu hallettik...
php-4.3.1 e girin ve php.ini-dist dosyasını php.ini yapın :
cp /php-4.1.3/php.ini-dist /apachephp/php/php.ini

FreeBSD Hakkında Detaylı Bilgi


FreeBSD Nedir ?
" Berkeley Software Distribution (4.4BSDLite) tabanlı bir işletim sistemi
" Tam teşeküllü bir sistemdir (Masaüstü Sistemi, Sunucu Sistemi)
" Tam bir UNIX tir.
" Yahoo, Hotmail, Apache, BSDi, Adobe gibi firmaların kullandığı bir sistemdir.
" Linux DEĞİLDİR ...

FreeBSD Tarihçesi
" Yaklaşık 30 Yıl önce Berkeley Üniversitesinde başlayan BSDnin bir kolu
" 1993 ün başlarında 386BSD Interim olarak doğdu.
" 386BSD grubundan Bill Jolitzin ayrılması sonucu FreeBSD ismini alarak devam etti.
" İlk Sürüm 4.3BSD-Lite temelli olarak Aralık 1993te çıktı.
" Novell ile Berkeley arası mahkemenin kararı ile 4.4BSDLite tabanlı yeni sürüm Kasım 1994te çıktı (FreeBSD 2.0)
" Daha kolay kurulumlu 2.0.5 1995 Haziranda duyruldu.
" 2.1.5 Ağustos 1996 ve 2.1.7 Şubat 1997de çıktı. (2.1.7 ile 2.1-Stable durduruldu)
" 2.2-Stable Kasım 1996 2.2.1 olarak ortaya çıktı, Kasım 1998 2.2.8 olarak sona erdi.
" 3.X-Stabledan ilk versiyon Ekim 1998 de çıktı.
-3.1 15 Şubat 1999
-3.2 15 Mayıs 1999
-3.3 Eylül 1999
-3.5 24 Haziran 2000
-3.5.1 ile 3.X-Stable serisi sona erdi.
" 13 Mart 2000 de 4.X-Stable(RELENG_4) doğdu.
" 4.X-Stable hala devam ediyor...
" 5.X-Current hala devam ediyor....

FreeBSD Neler Yapabilir ?
" Preemptive Multitasking ile aynı anda birden fazla vazife yapar.
" Çoklu kullanıcı desteği ile eş zamanlı olarak kaynaklarını kullanıcılara sunar.
" Kuvvetli bir TCP/IP desteği ile Firewall, E-mail Sunucusu, Web Sunucusu ... gibi hizmetleri verir.
" Hafıza Koruması ile çalışan bir uygulamanın diğer uygulamalara zarar vermesini önler.
" Linux, SCO, SVR4, BSDI, NetBSD gibi işletim sistemlerinin binarylerini çalıştırabilir (Çeşitli ABI destegi)
" Birçok derleyiciyi içinde barındırır. (C, C++, Fortran, Perl, Python, Ruby ...)
" Yaklaşık 8300 uygulamayı direk çalıştırabilir. (Ports sistemi)
" Sizi derslerden alıkoyar. İmtihanlarınızın kötü geçmesine sebep olur

O Nasıl Geliştiriliyor ?
" Kaynak kodu ve bütün ilgili projeler CVS altında (Linuxlerde bu yok ...)
" CVSe erişim kısıtlı değil. Her kısımın yetkilisi var. (Linuxte bu da yok.)
" 320~ comitter.
" Tek bir dağıtım. Başka FreeBSD yok!!
" Tek bir komut ile bütün ana sistemi derleme imkanı make world
" İstenirse o anki kaynak kodundan ISO yapma imkanı make release
" FreeBSD sadece kernel değildir.
-Kütüphaneler
-Sistem komutları
-Oyunlar
-Kernel
-Klavuz Sayfaları
-Dökumanlar (Handbook, Faq, Article)
- .....

Current vs. Stable
" Ana iki ayrı sınıf (branch) vardır.
-Current (5.X) en son yeniliklerin uygulandığı sınıf.
-Stable (4.X) -Current ta kendini ispatlamış kodları içerir.
" Current = Maceracılar İçin
" Stable = Sunucular İçin
" MFC (Merged From Current).

Kimler Kullanıyor ?
" Yahoo!, Juniper, Nokia, UUNet, Demon
" Bank of America / Nations Bank
" Xoom.com, Qwest, Easynet, Apache, Netcraft
" Microsoft (TCP/IP Yığınında ve de ...)
" EnderUNIX.ORG O

Yanlış Bilgiler
" FreeBSD Kapalı bir geliştirilmeye Sahiptir.
-Bazaardan daha iyi bir Bazaar. (Eric S. Raymond Kitabından)
" Kendi Dağıtımınızı yapamasınız..
-İstediğiniz herşeyi yapabilirsiniz (ISO..)
" FreeBSD kodu eskidir.
-Eski değildir. Eskiden beri süregelir.
" FreeBSD iyi sunucu fakat kötü bir desktoptur.
- 8300~ uygulama var. İsterseniz kendi DivXinizi bile yapabilirsiniz. (Debianda 8700~)
" BSD Projeleri birbiri ile savaş halindedir
- {Free,Open,Net}BSD hepsi kardeştir.
-Kendi aralarında kod paylaşımında bulunurlar. (Ör: OpenCrypto Çatısı)
-Sadece kod değil = DaemonNews sitesi
" FreeBSD ile Cluster kuramazsınız..
-FreeBSD ile ister Yüksek performans ister Yüksek Erişilebilir kümeleme yapılabilir.
" MATRIX FreeBSD Cluster ile yapıldı.
" FreeBSD için Ticari Destek yoktur.
http://www.freebsd.org/commercial/consulting.html
http://www.freebsdmall.com/
http://www.bsdmall.com/

Önemli Bir Soru! Önemli Bir Soru!
" BSD kullanım lisansının GNU kullanım lisansından farkı nedir?
1. Linuxün kapalı kod (closed source) yazılımını saf dışı bırakmak amacıyla GNU General Public License (GPL)(Genel Kamu Lisans) oluşturulmuştur ve bu lisans ile linux koduna ulaşılabilir.Özelde, istenirse herhangi bir Linux sürüm türevi GP Lisansı ile kaynak kodu ile müşteriye ulaştırılmalıdır.Bunun aksine BSD lisansı daha az kısıtlayıcıdır. Sadece Binary dağıtımına izin verilir. Bu durum özelde kod içine dahil edilmiş programlar için daha çekici bir durumdur.

FreeBSD Geliştirilme Modeli:
" FreeBSD-CURRENT ve FreeBSD-STABLE olarak iki sınıftır.
" Bütün yenilikler önce Currenta sonra Stablea yapılır.
" Dünya çapında binlerce geliştirici.
" Sadece committer lar CVSe yazabilir.
" Toplam 320~ comitter var. ( src, ports, documents)
" Problemler GNATS sistemi ile takip edilir.
" Her FreeBSD sisteminde send-pr komutu ile hata gönderimi yapılabilir.

Komiteler:
" Core Team 2 senede bir seçilen 9 kişiden oluşur.
" Release Engineering Takımı Releaselerden sorumludur (.ISO dosyaları ..)
" Document Team.
" Ports
" ......

FreeBSD 5?
" FireWire ve Bluetooth teknolojisi eklendi.
" Devfs eklendi ve varsayıYasak kelime oldu.
" Smpng projesi. Kernelda aynı anda birden fazla işlem yapılabilecek.
" KSE (Kernel Scheduled Entities). Tek bir işlemin birden fazla kernel-level threadine sahip olabilmesi.
" Yeni Mimariler (ia64, sparc64 ,powerpc)
" MAC: Genişletilebilir, Yüklenebilir Access Control Politikaları.
" FFS ye background fsck destegi (Sistem açıldıktan sonra fsck yapma).
" UFS2 ile genişletilmis dosya atamaları ve daha büyük dosya sistemi destegi.

Devam ....
" CardBus desteği.
" GCC 3.2.1
" TrustedBSD ile CCye uyumluluk.
" Perl bin dağıtımından kaldırıldı.
" Nssswitch desteği eklendi (FreeBSD 5.1 ile)
" Kernel içi Şifreleme altyapısı OpenBSD den FreeBSDye eklendi.
" Random aygıtı enbaştan bir daha Yarrow algoritmasını destekleyecek şekilde yazıldı. (Ör: Daha iyi ISN üretimi...)
" Networkten Kurulumu daha iyi yapmak için drivers.flp eklendi FREEBSD 5.0 Sunucu Kurulumu İçin Henüz Uygun DEGİL!!!!!!!!!(20 Nisan 2003)

Yararlı Linkler:
" www.FreeBSD.ORG
" www.EnderUNIX.ORG
" www.EnderUNIX.ORG/docs/freebsd_kurulum
" freebsd@lists.enderunix.org (EnderUNIX FreeBSD mail listesi)
" Bu slaydı: www.EnderUNIX.ORG/docs/slides adresinde bulabilirsiniz!