Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

0
anonim
HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir. Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur...

Yazının devamına burdan erişilebilir.

Görüşler

0
cbc
fazlamesai.net'e yakışmayan bir haber olmuş. İnsanları yönetici olmadıkları bir ağı sniff etmeye teşvik etmemek gerekli. Yöneticiler için düzgün yöntemler mevcut. broadcast portu idi router üzerinden koklamak vs. gibi.

yakında birisi de ettercap haberi yazarsa çok eğleneceğim.
0
y0rk
lütfen yazıyı okuyunuz.

"Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır."

İnsanların şu anda ağ yöneticisi olmamaları (ki olmadıklarıda iddaa edilemez!) gelecekte ağ yöneticisi olmayacakları anlamına gelmez. Öğrenmek , kendini geliştirmek bir ihtiyaç ve haktır. Lütfen bunu unutmayınız.
0
loker
...'ın biri bir gün, netscape'in eposta yazılımına (henüz mozilla yok) From kısmına istediğini yazabiliyorsun diye karşı çıkmıştı. Outlook'da bunu yapamıyordun ve ona göre kendisiyle aynı zeka düzeyini paylaşan çoğunluğun selameti için gerekli olan herkesin o zeka düzeyine göre davranmasıydı...

Eğer o gün o amca, bu zihniyetinde yalnız kalacak denli şanslı olmasaydık, kimbilir neler olurdu...

Siz de umarım bu yaklaşımınızda hep yalnız kalırsınız... Çünkü bildiğimiz 'zırvalamışsınız'!
0
Ulath
Herkese merhaba,

Bence çok güzel bir haber olmuş. Sadece sistem yöneticilerini zorda bırakacak diye bilginin saklanması gibi anlamsız birşey olamaz bence. Bilgi insanlığındır ve insanlığa açık olması gerekir. Özellikle açık kaynak koduna(open source found. ve free software foundation'un temel düşüncelerinden biridir) bu kadar önem veren bir sitede asla bilgi gizlenmemelidir.
0
sundance
Ben şahsen "security through obscurity" yaklaşımına karşıyım. Internette beş dakika dolaşsanız bulacağınız bir şeyin gizlenmesi mantıklı değil.

Dahası arp poisoning yaklaşık 7 senedir kullanılan bir teknik (yedi sene önce ben kullanmıştım, daha da eski olabilir) böyle bir tekniğe karşı hala bir şey yapmamış sistem yöneticileri varsa onların endişelenmesi gerekir tabi.

Tekniklerin gizlenmesi ile güvenlik sağlanamaz temelde anlamamız gereken şey bu, çünkü o güvenliği aşacak adamlar zaten bu teknikleri biliyor. Bu tür bir haberin yapılmaması sadece bu konuda bilgi sahibi olmayan adminlerin sanal güvenlik hissiyatlarını desteklemeye yarar, kesinlikle onların bulundukları ağ sistemini bu haberden beş dakka önce olduğundan daha güvensiz yapmaz.

Geçenlerde büyük bir şirketin Şifreleme Politika ve Prosedürleri dökümanını okuyordum, şöyle bir ibare vardı:
"Hiçbir şekilde, şifreleme algoritması gizli (proprietary) bir şifreleme algoritması kullanılamaz." Niye ? Çünkü uzun yıllar bize öğretti ki, güvenlik algoritmanın gizliliği ile değil, anahtarın güçlülüğü ile sağlanır. Hatta algoritma ne kadar dünyanın gözü önündeyse o kadar da incelenir, hatalarından arınır.

Bu doğrultuda lütfen "Böyle haberler yakışmıyor, bu teknikleri saklamanız lazım" gibi yorumlar yapmayın, asıl bu tür yaklaşımlar FM camiasına yakışmıyor.
0
cbc
gizlemek ile anlatmak farklı şeyler. bunları anlatan o kadar "hacker" sitesi var ki fazlamesai de de görmek gerekmiyor. "hacker" kelimesini özellikle kullanıyorum, esr'nin sözlüğündeki hackerdan bahsetmiyorum. lütfen savunma kalkanlarınızı indirip okuduklarınızı pozitif açıdan yorumlayıp yapıcı olmaya çalışın.
0
cbc
yeri gelmişken.. yazının içeriği kaliteli. içeriğe diyecek bir lafım yok :)
0
FZ
Bazı bakımlardan kaygılarını anlıyorum. Öte yandan, FM'deki her yüz habere karşılık ancak bir ya da iki doğru dürüst, belli bir uzunluğu ve detayı geçen, orjinal (ya da çeviri) teknik makale geliyor öyle değil mi? Hal bu iken bu tür şeyleri yayınlamamak yakışık almaz diye düşünüyorum. Sence böyle bir lüksümüz var mı?

Ayrıca, burada vakti zamanında az Phreak dergisi muhabbeti de yapılmadı mı? Ne bileyim sundance'in Netcat ile reverse telnet yazısı filan yayınlamadı mı? Valla ben o tür yazılardan bir sürü hacker sitesinde bir sürü kez yayınlandığını düşünmüyorum, kaldı ki yayınlanmış olsa bile, bu durum kendisi ortaya bir makale koymuş birinin makalesini geri çevirmek için bir sebep değil. Makale seçim kriterimiz ne olacak? Akademik kriterler de uygulayabiliriz mesela, bu durumda herhalde hemen hemen hiçbir şeyi yayınlamamamız gerekir.

Ayrıca, "savunma kalkanları"nı niye indirelim ki :) Karşılıklı tartışarak bir şeyler öğrenmiyor muyuz? Sen kendi argümanlarını öne sürersin, ben de benimkini öne sürerim, birbirimizi ikna etmeye çalışırız.

Not: Bu tartışma bir yana, makaleyi yazıp buraya haber yollayan, bizimle paylaşan yazara ben de teşekkür etmek istiyorum.
0
cbc
verilen her şeyi yayınlamak lazım ama verilenler az olduğu için teşvik etmek amacı ile yayınlanmalı. haklısın.

netcat ile reverse telnet daha farklı. kişilerin özel verilerine erişim sağlamıyor. sniffing söz konusu olduğunda çok daha hassas bir durum söz konusu.

Makale seçim kriterleri içindeki bilgilerin zarar vermeme hususunu kapsamalı kanımca. ben bir yazı yayınlayıp fazlamesai.net'in admin şifresini versem yayınlar mısınız mesela? çok da farklı değil bence.

"merhaba arkadaşlar, bu yazımda FZ'ye ısmarladığım öğle yemeği esnasında nasıl fazlamesai şifrelerini aldığımı, daha doğrusu sosyal mühendislik tekniklerini anlatacağım.
.....
- evet cbc hakılısın ama fazlamesai.net'eseçtiğimiz qwaszx şifresi dediğin kriterlere uymasına rağman çok güvenli
.....
neden mi söyledim şireyi. güvenlik açıkları (FZ) nı saklamamak lazım da ondan."

abartı bir örnek ama sanırım ifade edebilmeme yardımcı oldu kendimi. qwaszx de ne kadar sallama bir string gibi duruyor değil mi? :)
0
FZ
Bence örneğinde hata var.

Eğer php-nuke'ta şu tür bir açık var diye bir makale yazarsan o zaman belki yakın bir örnek olurdu.

Ya da sosyal mühendislik ile ilgili bir makale de olabilirdi. Ancak içinde doğrudan parola geçiyor olsaydı, evet o zaman kritik bir durum olurdu, o zaman yayınlamamaktan bahsedebilirdik. Söz konusu yazıda herhangi bir yerin parolası geçiyor mu? Bir evin kapısı zayıf, bir iki ittirsen açılıyor demekle, buyur filanca kapıların anahtarları bunlardır, takıp açabilirsin kilitleri hiç yorulmadan kolayca demek aynı şey midir?
0
nonce
tamamen katılıyorum asıl " bu tür yaklaşımlar FM camiasına yakışmıyor."
çok güzel ve amacı bilgi paylaşımı olan bir yazı. teşekkürler.
0
bm
Madem basilan haber yakisiyor mu diye konusuluyor, ben neden rahatsiz oldum onu soyleyeyim:

- Basina telif hakki ile ilgili paragraf konan yazilarin icinin telif hakki bakimindan temiz olmasi beklenir. Ilk resim SANS'da cikan bir yazidan gelme gorebildigim kadariyla:

http://www.sans.org/resources/idfaq/switched_network.php

(Niye 'step' deniyor nerede step diye merak ederek buldum). Yazari suclamak icin soylemiyorum, hepimiz dikkatli olalim diye soyluyorum. Cok zor degil izin almak ve kaynak gostermek.

- Mikrosoft kaynakli HTML'de ISO-8859-9'da olmayan karakterler var (smart quote vs.). Bunlar temizlenmeden dokumanin basina ISO-8859-9 yazilirsa Mikrosoft olmayan platformda dokumani okumak zorlasabiliyor. Icerik yaratmak icin Windows'dan vazgecmek gerekmiyor buna engel olmak icin. En azindan 'demoronizer' var:

http://www.fourmilab.ch/webtools/demoroniser/

Kalani icin yazarin eline saglik.
0
sundance
Bence SANS'daki makaleden ikonları bile alıp aynen koymak ve hiçbir kaynak göstermemek çok ayıp olmuş.

Şahsen, Huzeyfe bey'in bundan sonraki makalelerini onaylamadan önce Google'da bir iki arama yapmak durumunda kalacağımızı düşünüyorum.

Uyarı için ayrıca teşekkürler.
0
honal
Konunun kotuye yorumlanmasi garibime gitti. Acikcasi yazilirken hic de boyle kotu bir niyet dusunulmemisti. http://www.huzeyfe.net/?q=node/67 adresinde de belirttigim gibi yazi aslinda bir raporun kirpilmis hali . Dolayisi ile eksiklikler belirsiz kalan parcalar olabilir, anlasma geregi rapordaki hicbir metaryeli oldugu gibi kullanamadigim icin rapordaki bazi ogeler yerine hazira kactim(Sans'taki resim gibi). Resmi kaldirdim , yerine basit bir cizim ekledim. Uyari icin tesekkurler...

Resimleri cizmek icin Windows ortaminda Visio kullaniyorum, yaziyi en son Microsoft Word ortaminda duzenledigim icin ofis tagleri vs duruyor.

ps: Sans'taki makaleden alintilanan baska birsey gosterebilir misiniz? Dikkat ederseniz o yazi tamamen teorik ve konular farkli. Yazdiginiz cumleden sanki yaziyi tamamen kopyalamis seklinde bir anlam cikiyor.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Teröristlerin Şifreleri Kırıldı

FZ

Windows 2000'in ABD dışına ihraç edilen versiyonlarındaki şifreleme güvenliğini merak edenler için önemli bir haber: Kuzey İttifakı tarafından Kabul'de ele geçirilen ve El Kaide'deki karargahtan çıkarıldığı bilinen iki bilgisayarda birtakım şifreli belgeler bulundu. Kaynak:Vunet

Bilgisayarlardaki binlerce dokümanı inceleyen Washington Post gazetesi yetkilileri, Windows 2000 40-bit DES sistemi ile şifrelenmiş belgelere rastladılar. Bir bilgisayar kümesi (computer cluster) kullanılıp 1.000.000.000.000 değişik anahtar denenerek 5 gün içinde söz konusu şifre kırıldı ve belgelerin içeriğine ulaşıldı.

Bu belgeler 128 bitlik anahtarlar ile şifrelenmiş olsalardı, aynı şifreyi çözmek yaklaşık 1.000.000.000 kez daha zor olacaktı!

Parmak İzinize Güvenmeyin!

FZ

Yani teorik olarak güvenin tabii, iki kişinin aynı parmak izine sahip olması çok ama çok düşük olasılık ama konumuz şu ki Japon şifre uzmanı Tsutomu Matsumoto herhangi bir elektronik hobi dükkanında bulunabilen malzemeleri ve bilgisayarını kullanarak endüstride yaygın olarak kullanılan 11 parmak izi biyometrik güvenlik donanımını kandırmayı başarmış!

Bu vesile ile ve NEC'in geliştirdiği süperbilgisayarı da hatırlatarak "abi Japonlar yapmış" geyiğine son verilmesi, bunun bir geyik değil düpedüz gerçek olduğunun kabul edilmesi kampanyası başlatıyorum! :)

Hotmail ve Yahoomail virus tehdidi altında

conan

Web tabanlı email servislerinde yeni saptanan bir açık Melissa tipi virüslerin yayılmasına neden olabiliyor.
Açık kısaca şöyle tanımlanıyor. Kötü niyetli kullanıcı emailinin içerisinde web tabanlı servisin serverının bir linkini yerleştiriyor. Bu linkin ucunda ise kişinin inbox'ını gezebilecek ve de bu inbox'da gördüğü her email'e kötü niyetli bir kod yollayabilecek bir Javascript var.

Adobe itiraf etti ! Kalpazanlığa karşı koruma koyduk

sundance

Dünyaca ünlü grafik yazılımları üreticisi Adobe (Photoshop vs.) Associated Press'de yeralan habere göre yazılımlarına birçok ülke parasının scan edildikten sonra editlenememesini sağlayan bir teknoloji yerleştirdiklerini itiraf etti!

Bir kullanıcının Photoshop CS ile $20'lık bir banknotun resmini açmaya çalıştığında karşılaştığı garip durumu bildirmesi ile böyle bir açıklama yapmak zorunda kalan Adobe yetkilileri büyük tepki topladı. Bir Micros~1 yetkilisi sözkonusu teknolojinin Windows'da bulunmadığını belirtirken, sözkonusu teknolojinin Amerika, İngiltere, Japonya, Kanada ve AT ülkelerine yayılmış 27 bankanın ortak olarak geliştirdiği bildirildi. Dahası Ulead'in bir başka yazılımında da aynı teknoloji kullanılmakta.

Ne demişler Paranoyak olmanız, herkesin sizin peşinizde olmadığı anlamına gelmez :)

JPEG lerde Virüs

redogre

Evet maalesef sonunda bu da yapıldı. McAfee sitesinde ki haberde yeni bulunan Perrun adlı virüsün jpeg uzantılı resim dosyalarını kullanarak bulaştığını yazıyor. Virüsün bulaşması için makinaya extractor'ının da bulaşmış olması gerekiyor. Ama bu olduktan sonra virüs tüm jpeglere bulaşıp yayılıyor.Perrun zararı olmayan bir virüs ama yakında takipçilerinin nasıl olabileceğini herkes tahmin edebilir herhalde.

Sevgili futursuz yazarınız Redogre de, 3 hafta önce ilk defa kurduğu Outlook Express programından açtığı bir jpeg ile Klez sahibi olmuştu. Artık resim dosyalarıda güvensiz olduğuna göre benim gibi rahat insanların da virüs korumasız günleri sona erdi galiba....