p2p İle mÜcadele ve ksu-net ÖrneĞİ
DESCRIPTION
P2P İLE MÜCADELE VE KSU-NET ÖRNEĞİ. Ali ÇAYLI, Adil AKYÜZ, Ercan EFE, Sait ÜSTÜN Akademik Bilişim – 2007, Kütahya. P2P Nedir ?. Peer to Peer Dosya Paylaşım Sistemi İlk Olarak 1999’da Napster Müzik Dosyaları Paylaşımı - PowerPoint PPT PresentationTRANSCRIPT
P2P İLE MÜCADELE VE KSU-NET ÖRNEĞİAli ÇAYLI, Adil AKYÜZ, Ercan EFE, Sait ÜSTÜNAkademik Bilişim – 2007, Kütahya
P2P Nedir ?
Peer to Peer Dosya Paylaşım Sistemi İlk Olarak 1999’da Napster Müzik
Dosyaları Paylaşımı 2000 Yılında Napster Kapatıldı ve Yeni
Nesil Yazılımlar Kullanılmaya Başlandı
Napster’da Merkezi sunucu üzerinde indeksler tutuluyordu.
Sonraki yazılımlarda ise indeksler birden fazla sunucu üzerinde tutulmaya başlandı.
Peer
P2PSunucu
Peer
Trafiğin Tespit Edilmesi
Paket Analiz Programları Mrtg Tcpdump Ntop snort vb
Çözüm
Bant Genişliğini Sınırlandırmak Belli Zamanlarda İzin Vermek Standart Bilinen Portları Tamamen
Engellemek Farklı Port ve Yöntem Kullananları
Engellemek
Araçlar
Linux veya BSD işletim sistemi
Snort veya Snortsam
Snortsam
Snortsam, Snort Saldırı Tespit Sistemi için yazılmış bir eklentidir.
Kurallarına uyan paketler tespit edildiğinde bu ip adreslerinden gelen-giden trafiği belirli bir süre engellemek için firewall yazılımınızda ilgili kuralları çalıştırır.
Bir çok güvenlik duvarı yazılımı ile beraber çalışabilir.
Checkpoint Firewall-1 Cisco PIX firewalls Cisco Routers (using ACL's or Null-Routes) Former Netscreen Juniper firewalls IP Filter (ipf) Linux IPtables
Snortsam iki temel parçadan oluşur. Snort çıktı eklentisi Güvenlik duvarı ile haberleşen ve
komutlar gönderen aracı yazılım.
Otomatik olarak çalışan bu sistem, snort çıktı eklentisinden aldığı IP adres bilgisi ile güvenlik duvarı yazılımına gerekli komutları göndererek o IP adresi için trafiğin engellenmesini sağlar.
Snortsam Kurulumu
Kaynak kodlar http://www.snortsam.net/ adresinden indirilebilir.
İndirilen paketler bir klasor içerisine açılır.
# tar zxvf snortsam-src-2.50.tar.gz Klasor içinde make script’te çalışma izni
verildikten sonra çalıştırılır.
# chmod +x makesnortsam.sh # ./makesnortsam.sh
Derleme işleminden sonra derlenmiş program çalıştırılabilir dosyaların bulunduğu dizine kopyalanır. (/usr/local/bin)
Snort’un Snortsam yama paketleri ile derlenmesi Snort programınına snortsam yaması
yapılması gereklidir. Bu işlem için gerekli dosya
snortsam-patch.tar.gz snortsam sitesinden indirilebilir.
Snortsam yama dosyalarının bulunduğu klasördeki patchsnort.sh dosyasına çalışma izni verildikten sonra script çalıştırılır.
Script’e parametre olarak snort kaynak kodlarının bulunduğu klasörün yolu verilir.
# chmod +x patchsnort.sh#./patchsnort.sh /usr/local/src/snort
Daha Sonra snort programı da derlenerek sisteme yüklenir.
# cd /usr/local/src/snort
# ./configure
# make
# make install
Snortsam Ayarlarının Yapılması
Snortsam örnek konfigürasyon dosyası “snortsam.conf.sample” kaynak kod klasörü içerisinde bulunabilir.
Bu dosyayı etc klasörü altına kopyalayabiliriz (/etc/snortsam.conf)
/etc/snortsam.conf accept
accept 10.0.0.1/8Hangi Ağdan gelen isteklere cevap vereceğini belirler
defaultkey defaultkey parola Bağlantı parolası
portport 898Bağlantı portu
Logfile/var/log/sam.loggünlük dosyası
DaemondaemonServis olarak çalıştır
Emailemail localhost [email protected] [email protected]
İpfipf fxp0(iptables eth0)Güvenlik duvarı seçimi
Snort Ayarlarının Yapılması
Snort çalıştırılmadan önce snort.conf dosyası içerisinde de yapılması gereken bazı ayarlamalar vardır.
output alert_fwsam: <snortsambox> output alert_fwsam: <snortsambox>:<port>/<password>
Başlangıç Parametreleri (FreeBSD) snort_enable="YES“ snort_interface="fxp0" snort_flags="-D -A fast“ (Çalışmaz) snort_flags= “-D -b”
(D: Daemon, b: Binary Log File)snort_conf="/usr/local/etc/snort/snort.conf"
Snort Kural Paketleri
snort kural paketleri içerisinde de snortsam ip bloklama eklentisini çalıştıracak kodları yazmak gerekiyor.
Bu dosyalar; /etc/snort/rules veya /usr/local/share/snort Klasöründe bulunabilir.
Kural Satırı Sonuna; “fwsam: <who>, <duration>” formatında
eklemeler yapıyoruz. Burada; fwsam, eklentinin adı, who, ne yöne doğru engelleme yapılacağını
(src,dst) duration, ne kadar süre ile engelleme
yapılacağını göstermektedir.
Örnek Kural alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "BLEEDING-EDGE P2P Ares GET"; flow: established; content:"ares"; nocase; pcre:"/(GET |GET (http|https)\:\ /\/[-0-9a-z.]*)\/ares\//i"; reference:url,www.aresgalaxy.org; classtype: policy-violation; sid:
2001060; rev:6; fwsam: src, 5 minutes;)
Güncel snort kural dosyaları www.snort.org sitesinden indirilebilir.
Bu işlemi oinkmaster ile otomatik olarakta yapmak mümkündür. (http://oinkmaster.sourceforge.net/)(http://oinkmaster.sourceforge.net/)
snort’un web sitesinden kendinize özel bir id numarası alarak oinkmaster.conf içine yazıp çalıştırmanız gerekir.
oinkmaster -o /etc/snort/ -b /etc/snort/eski/ komutuyla yeni kurallar /etc/snort/rules klasörü altına konulmadan önce bu dizin /etc/snort/eski dizini altına sıkıştırılarak alınır.
Yeni çekilen kurallar da rules klasörü altına yerleştirilir.
Ancak bu işlem sonunda fwsam için tekrardan düzenleme yapılmalıdır.
Sonuç ve Öneriler
Son zamanlarda P2P yazılımlarla dosya paylaşımının yanında doğrudan dosya indirilebilen sunucularda yaygın olarak kullanılmaktadır. (Rapidshare)
Bu tür P2P dışında dosya indirme sunucuları için engelleme güvenlik duvarı yazılımlarından yapılabilir.
P2P dışında istenmeyen diğer trafiğinde (Virus, DoS, backdoor, porno, shellcode, malware vb.) burada bahsedilen yazılımlar kullanılarak engellenmesi mümkündür.
Bilinen kurallar dışında kalan diğer yazılımların oluşturduğu trafiğin de tespit edilmesi için tcpdump gibi programlarla paket içeriklerine göz atıp gerekli kurallar oluşturulabilir.
Alınacak her türlü önlem hiçbir zaman yeterli olmayacaktır.
Bu tür önlemlere karşı programcılarda karşı önlem alarak yazılımların kurallara takılmasını engellemeye çalışmaktadırlar.
(Tek merkezi sunucu, Değişken Port,Şifreli Bağlantı)
Bu noktada kullanıcıların bilinçlendirilmesi ve içinde bulundukları ağın amacına uygun kullanılması gerekliliği anlatılmalıdır.
Teşekkürler…