Ids /ıps hakkında b...
 
Bildirimler
Hepsini Temizle

Ids /ıps hakkında bir soru  

  RSS
Abdulkadir CAYLI
(@AbdulkadirCAYLI)
Üye

selam arkadaşlar bir serverin ıps / ıds ile korunup korunmadığını nasıl anlayabiliriz.


 


web adresine yazıp ping atıldığında ip yi öğrenebiliyorum ama ping atmıyor ip yi pinglediğimdede yine ana makineye ulaşılamıyor


 


yardımcı olursanız sevinirim.

Alıntı
Gönderildi : 12/07/2010 16:25
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

icmp paketlerine izin verilmediği için ping paketlerine yanıt alamıyorsunuzdur. bu basit bir firewall hareketidir . saldırı tespit ve önleme işine güvenlik uzmanı arkadAŞLAR yanıt verir ...

CevapAlıntı
Gönderildi : 12/07/2010 16:45
Abdulkadir CAYLI
(@AbdulkadirCAYLI)
Üye

evet fortigate varsa bile bunu yapabilir onu biliyoruma ama tam olarak kesin bi cevap vermem lazım cevap için teşekkürler

CevapAlıntı
Gönderildi : 12/07/2010 17:24
Abdulkadir CAYLI
(@AbdulkadirCAYLI)
Üye

biri acil cevap verirse sevinirim çünkü yarın sabah bu işi çözmem lazım

CevapAlıntı
Gönderildi : 12/07/2010 23:53
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Syslog, desem bir anlamı olurmu ? Yoksa siz örnek bir saldırı yapıp bakın koruyormu demek istiyorsunuz.

CevapAlıntı
Gönderildi : 13/07/2010 18:54
Abdulkadir CAYLI
(@AbdulkadirCAYLI)
Üye

bir web sunucu hakkında bu sunucu bir ıps / ıds tarafından korunuyormuş diyebilmemiz için en yapmamız lazım


 ben tam olarak bunu istiyorum

CevapAlıntı
Gönderildi : 14/07/2010 12:46
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Web sunucuya bağlı bir FTP var mı ?

CevapAlıntı
Gönderildi : 14/07/2010 13:02
Abdulkadir CAYLI
(@AbdulkadirCAYLI)
Üye

elimizde hiç bir bilgi olmadığını varsayalım ftp varmı yokmu bilemiyoruz diyeyim mesela örnek vermek gerekirse cozumpark.com in barındığı host korunup korunmadığını nasıl analayabiliriz


 


 


ping atınca atmaması fortigate varsa mesela ping kapalıysa ping atamıyor ama ıds /ıps tarafından korunuyor diyemeyiz bunu diyebilmemiz için nasıl bir yol izleyip bunu soran birine korunmuyor desek nasıl analdın deyince verecek bir cevap arıyorum

CevapAlıntı
Gönderildi : 14/07/2010 16:12
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Çözümpark gibi bir siteden bahsediyorsak, hiç denemeden önce kesinlikle korunduğunu söyleyebilirim :). IDS ve IPS sistemleri, ataklara istinaden belirl imzalar için gelen ve giden paketleri tarayacaktır. O zaman yapılması gereken sistem şu olmalı. Bir çözümpark.com adresinin ip sini öğrenirsin sonra bu ip de açık olan portları öğrenirsin, sonrasında bu portlara yapılacak saldırı çeşitlerini ararsın ve denersin.

CevapAlıntı
Gönderildi : 14/07/2010 20:31
Cenker Çetin
(@cenkercetin)
Değerli Üye Yönetici

[quote user="Abdulkadir CAYLI"]

elimizde hiç bir bilgi olmadığını varsayalım ftp varmı yokmu bilemiyoruz diyeyim mesela örnek vermek gerekirse cozumpark.com in barındığı host korunup korunmadığını nasıl analayabiliriz 

ping atınca atmaması fortigate varsa mesela ping kapalıysa ping atamıyor ama ıds /ıps tarafından korunuyor diyemeyiz bunu diyebilmemiz için nasıl bir yol izleyip bunu soran birine korunmuyor desek nasıl analdın deyince verecek bir cevap arıyorum

[/quote]

selamlar,

Öncelikli olarak konu ile ilgili zaman aralığı dolmuş sanırım, ancak başka kişilere yardımcı olması maksadıyla yarım kalmış olan başlığa cevap vermek istiyorum. Kapsamlı bir saldırı planında önceliklerimiz, hedeflerimiz, araçlarımız ve risklerimizi iyi analiz etmeliyiz.Bununla ilgili bir makale yazabilirim aslında.şimdi kısa kısa geçeceğim.

1.Öncelikler: Hedef sistemin bilgilerini alıp(IP,HOST,DNS,Services) sistem analizi yapmak.

2.Hedefler: analizini yaptığımız sistemin zafiyet olabilecek noktalarını belirlemek.(örn: FTP portu açık, telnet açık vs vs..)

3.Araçlar: Saldırı yapacağımız hedeflere ait tespit ettiğimiz açıklara karşı kullanacağımız yazılım, expolit ve geliştireceğimiz atak mantıkları(sosyal vs vs)

4. Riskler: Saldırı yapıp sisteme ne derece giriş yapacağımız. Sadece sistem analizi mi? güvenlik penetration test mi? 

 

sonuç olarak sisteme bir bakışta ids/ips olup olmadığını sistemin ataklara karşı nasıl tepkiler verdiğinden kullandığı imzalardan ve biraz daha profesyonelliğe kaçarsak TCP paketlerin içerik bilgilerinin sniff edilmesiyle bulabiliriz.

Kolay gelsin.. 

Cenker Çetin
Bilgi Teknolojileri Danışmanı

CevapAlıntı
Gönderildi : 09/08/2010 20:50
Kayhan KAYIHAN
(@kayhankayihan)
Üye

Port scan, brute force, syn flood gibi işlemlerden sonra sisteme erişiminiz kesiliyor ise sistem de güvenlik önlemleri alınmış diyebiliriz,

Kesin sonuca ancak packet analizi ile yapabilirsiniz.

wireshark ile paketleri analiz edebilirsiniz.

CevapAlıntı
Gönderildi : 22/02/2013 16:00
Kayhan KAYIHAN
(@kayhankayihan)
Üye

Aklıma gelmişken wafw00f ve fregroute, fregrouter toolsları ile test edebilirsin.

wafw00f direk sana cihaz bilgisini bile verebiliyor, örneğin bu cihaz citrix netscaler veya ibm web app sec. diye.

CevapAlıntı
Gönderildi : 25/03/2013 16:21
Paylaş: