İPUCU

Linux Linux İle İlgili Bilgi Paylaşım Platformu

Seçenekler

Linux Brute Force Saldırısından Korunma –Fail2ban /dRose98

30-01-2019 16:11
#1
dRose98 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
6.785
Teşekkür (Etti):
450
Teşekkür (Aldı):
778
Konular:
1456
Ticaret:
(0) %
Brute Force Saldırısından Korunma –Fail2ban /dRose98

Her gün siber suçlarla ilgili çeşitli haberler duyuyoruz. Sistemi zayıf yapılandırdığınızda bu haberlere kaynak olabileceğiniz bir gerçek. Bu nedenle IDS/IPS gibi çeşitli bazı güvenlik önlemleri almanız, ayarlarınızı yapılandırırken bunlara dikkat etmeniz çok önemli.

Konu İçeriği:

1. IPS Nedir?
2. Fail2ban Hk.
3. IPS Yokluğunda Brute Force Saldırısı
4. İzinsiz Girişi Engelleme Hk.
5. Fail2ban Hk. Ayarlamalar
6. SSH ve Brute Force Saldırısı
7. Fail2ban

1.IDS ve IPS NEDİR

Açılımı Intrusion Detection System yani saldırı tespit etme sistemidir. (IDS). Intrusion Prevention System ise (IPS) saldırı önleme sistemi anlamına geliyor. Bu tarz Firewall’lara bir nevi paket süzen güvenlik de denmektedir. Son zamanlardaki saldırıların önlenmesinde çok büyük rol oynamaktadırlar. IDS, yalnızca ağdaki kötü niyetli bağlantıları belirler ve loglar. IPS ise kötü niyetli bağlantıları tespit etmekle kalmaz aynı zamanda engeller.

Bu firewall’lar içinde yetkili kullanıcı tarafından ayarlanması gereken çeşitli ayarlar vardır. IDS ve IPS internet protokol adreslerini (IP) ve bu IP lerin geçtiği port numaralarını denetler. Bu sebepten ötürü yapılan ayarlamalarda çok dikkatli olunmalıdır. Bu güvenlik duvarları, gönderilen paketin içeriğini kontrol etmezler. Sadece gönderildiği adres yani kaynak adresi, gideceği target adres yani hedef adrese, kullanılan iletişim kuralı ve porta bakarlar.

Çoğu firewall web sunucularda bu görevi yerine getiremez ve çoğu kez web sunucuda gezinen kişilerin dost mu düşman mı olduğunu belirleyemezler. İşte bu noktada IDS ve IPS bu görevi üstlenmektedir. Genellikle IDS ve IPS birbiriyle entegreli çalışırlar. Bundan dolayı bu sisteme IDPS denir. Bunun yanında IDS ve IPS’in kötü denilebilecek bir özelliği de vardır. DDos saldırılarını algılayamaz hatta aksine veri hattındaki trafiğin daha fazla şişmesine ve sistemlerin geçici olarak hizmet verememesine sebep olabilirler. Ancak yinede, veri çalma gibi çeşitli hack saldırılarına karşı en etkili silah oldukları için büyük ve orta çaplı firmalar tarafından tercih edilirler. Bu firewall hemen hemen bütün server’larda kullanıldığı gibi proxy serverlar da da kullanılırlar.

Misal bir şirketin kendisine ait olan bir proxy serverı kullanması, networkun dışarıya çıkmamasını sağlar ve veri iletim hızını arttırır. Ancak VPN gibi uzaktan bağlantı yolları ile networkunuze dahil olmak isteyen ve proxy server üzerinden web portallara girmek isteyen düşmanlara karşı IDS ve IPS tercih edilir. Bu sistemler için, ticari çözümler kullanabileceği gibi Snort gibi açık kaynak koduna sahip çözümler de kullanılabilir. Snort dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır.

Günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır. Snort yüksek trafiklerde iyi bir şekilde konfigüre edilmelidir. Şu anda en çok kullanılan IDS ve IPS tipi Tipping Pointtir. Bunlar epey pahalı şeyler. Ortalama ücretleri 200 bin dolar ile 1 milyon dolar arasında değişmektedir lakin büyük şirketler bu firewallları kullanmak mecburiyetindedirler. Çünkü güvenlik açığı ile oluşacak problemler bu maliyetten daha fazla zarar getirebilir.

2.Fail2ban Hakkında

Belirli sistemleri entegre olarak destekleyerek loğlarını sürekli takip eden ve inceleyen, login girişimlerini, atak girişimlerini tespit ederek önlem alan bir şey. Misal dışarıya ssh’ı açık olan sunucunuza art niyetli kişiler password saldırısı düzenleyerek sürekli login girişimlerinde bulunduğu zaman 3 kere denemelerinden sonra fail2ban sisteminin tehlikeli olarak algılaması blacklist/ban liste ilgili atacker’ın ip’sini alması gibi.

Resmi web sayfası: Fail2ban

Desteklediği özellikler:
Python tabanlı işlemleri desteklemesi,
Veritabanı desteği,
Çoklu satırları ayrıştırma ve filtreleme özelliği,
Filtreler için özel tarih saat desteği,
Varsayılan zaman diliminde entegre olma özelliği,
Yasak komutlarına zaman aşımı özelliği,
Log/Günlük dosyalarında karakter ve farkındalık ayarı,
Python 3 desteği,
Tcpwrapper desteği


3.IPS Yokluğunda Brute Force Saldırısı

Hedef: Ubuntu 14.04 (192.168.0.105)
Pentester: Kali Linux (192.168.0.105)


hedefteki 22 numaralı port açıkken hydra nın yardımıyla ssh giriş bilgilerini tahmin etmeye çalışacağız yardımcı ve yazılara kanıt niteliği taşıması açısından çeşitli fotoğraflarla örneklendirmeler yaptım fakat bu fotoların kaynağı ben değilim. Devam edelim

Kod:
hydra -L user.txt -P pass.txt 192.168.0.105 ssh



Yukarıdaki ss de gördüğünüz üzere başarılı bir şekilde aarti, 123 olarak giriş bilgilerini elde etti. Benzer bir şekilde hedef ağdaki 21 numaralı bağlantı noktası için ftp bilgilerini tahmin etmeye çalışalım


Kod:
hydra -L user.txt -P pass.txt 192.168.0.105 ftp


4.İzinsiz Girişi Engelleme Hakkında

Yukarıda anlatılanların ardından artık ağdaki paketleri izleyecek, kötü niyetli faaliyetleri tespit edecek ve karşı IP den gelen trafiği engelleyecek sistemi kurmamızın önemini anladık. Fail2ban’ı kurmak çok da zor değildir.

Kod:
sudo iptables -S
sudo apt-get install fail2ban


5.Fail2ban Ayarlamaları Hakkında

etc/fail2ban içerisindeki jail.local üzerinde değişiklik yapmamalısınız. Fakat aşağıdaki komutlarla çeşitli ayarlamalar yapabilirsiniz bu arada yukarıda ssh ve ftp ye saldırılar gerçekleştirdik lakin bu sefer fail2ban bu brüte force saldırılarını engelleyecek şekilde yapılandırılacak.

Kod:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo gedit /etc/fail2ban/jail.local

tabii bazı ayarları kendinize göre yapmanız gerekli. Bu arada fail2ban’ın görmezden gelmesini istediğiniz IP leri ayarlayın. Belirli bir süre boyunca ve bu süre saniye cinsinden olacak, ban süresini ayarlayın ve login işlemleri için sınırı koyun. Yani maksimum giriş denemesi sayısını ayarlayın

Kod:
ignoreip =   192.168.0.105 127.0.0.1
 bantime = 600
 maxretry =   3



6.Brute Force Saldırısı ve SSH


Kod:
[ssh]
enable = true
service fail2ban restart


7.Fail2ban ve SSH


Kod:
sudo fail2ban-client status
sudo fail2ban-client status ssh
Gördüğünüz gibi, filtre ve işlem listesi 0 olarak ayarlanmış. Birisi sınırları geçmeye çalışırsa bu değerler değişecek.



Fail2ban IP adreslerini belirli bir süre boyunca engellemek için kurallarda değişiklik yapıyor.



Şimdi yukarılarda kalan işlemlerimizi tekrar deneyelim bakalım brüte force saldırısına karşı neler olacak.

Kod:
hydra -L user.txt -P pass.txt 192.168.0.105 ssh



“Connection refused” yazısını hepimiz gördük herhalde.
SSH durumunu kontrol edelim

Kod:
sudo fail2ban-client status ssh
Kod:
tail /var/log/auth.log


yukarıdaki banlanan IP sizce kim
Eğer IP adresine olan engeli kaldırmak istiyorsanız


Kod:
failban-client -i
set ssh unbanip 192.168.0.104
exit
sudo fail2ban-client status ssh
Tekrar durumu kontrol ediyoruz ve:



İyi forumlar
VITALLION Teşekkür etti.

30-01-2019 16:29
#2
versen5656 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2015
Mesajlar:
3.321
Teşekkür (Etti):
10
Teşekkür (Aldı):
354
Konular:
68
Ticaret:
(0) %
dostum konuya alıntı eklersen güzel olur çaldın yeri vermek istemiyorum ayıp olmasın herkezin emeğini çalma derim iyi formlar
Kullanıcı İmzası
10101010101010100101010100000101010101
1111 0000 1111 000 111 000 11100 11111 00000 1111 0000 000111 188 177 191 178 185 184 186 187 192 193 190 178 179 175 176 194 195 196 197
101010101010101010100101
30-01-2019 16:48
#3
dRose98 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
6.785
Teşekkür (Etti):
450
Teşekkür (Aldı):
778
Konular:
1456
Ticaret:
(0) %
Alıntı:
versen5656´isimli üyeden Alıntı Mesajı göster
dostum konuya alıntı eklersen güzel olur çaldın yeri vermek istemiyorum ayıp olmasın herkezin emeğini çalma derim iyi formlar
merhaba, konuda zaten resimlerin kaynağının kendim olmadığını belirttim. konudaki yazılar tamamen resimdeki yazıların alındığı kaynak değil ayrıca paralel anlatım içermiyor. farklı kaynaklardan da araştırmalar yaparak yazıları kendim derledim ve çevirdim. resimlerin arkasındaki ibare zaten sizin ayıp olmasın diye vermek istemediğiniz kaynağı veriyor. iyi forumlar
Konu dRose98 tarafından (30-01-2019 16:57 Saat 16:57 ) değiştirilmiştir.
30-01-2019 16:55
#4
Byhacker4040 - ait Kullanıcı Resmi (Avatar)
Stajyer Moderatör
Üyelik tarihi:
08/2017
Nereden:
Exploitistan
Mesajlar:
2.304
Teşekkür (Etti):
210
Teşekkür (Aldı):
211
Konular:
28
Ticaret:
(0) %
Ellerine sağlık yararlı olmuş
Kullanıcı İmzası
Ulusun bağımsızlığını, yine ulusun kesin kararı ve direnişi kurtaracaktır.

Emekli sosyal medya timi tuğgenerali

Telegram: @Byhacker4040
İnstagram: @byhacker4040

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı