Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

0
anonim
HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir. Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur...

Yazının devamına burdan erişilebilir.

Görüşler

0
cbc
fazlamesai.net'e yakışmayan bir haber olmuş. İnsanları yönetici olmadıkları bir ağı sniff etmeye teşvik etmemek gerekli. Yöneticiler için düzgün yöntemler mevcut. broadcast portu idi router üzerinden koklamak vs. gibi.

yakında birisi de ettercap haberi yazarsa çok eğleneceğim.
0
y0rk
lütfen yazıyı okuyunuz.

"Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır."

İnsanların şu anda ağ yöneticisi olmamaları (ki olmadıklarıda iddaa edilemez!) gelecekte ağ yöneticisi olmayacakları anlamına gelmez. Öğrenmek , kendini geliştirmek bir ihtiyaç ve haktır. Lütfen bunu unutmayınız.
0
loker
...'ın biri bir gün, netscape'in eposta yazılımına (henüz mozilla yok) From kısmına istediğini yazabiliyorsun diye karşı çıkmıştı. Outlook'da bunu yapamıyordun ve ona göre kendisiyle aynı zeka düzeyini paylaşan çoğunluğun selameti için gerekli olan herkesin o zeka düzeyine göre davranmasıydı...

Eğer o gün o amca, bu zihniyetinde yalnız kalacak denli şanslı olmasaydık, kimbilir neler olurdu...

Siz de umarım bu yaklaşımınızda hep yalnız kalırsınız... Çünkü bildiğimiz 'zırvalamışsınız'!
0
Ulath
Herkese merhaba,

Bence çok güzel bir haber olmuş. Sadece sistem yöneticilerini zorda bırakacak diye bilginin saklanması gibi anlamsız birşey olamaz bence. Bilgi insanlığındır ve insanlığa açık olması gerekir. Özellikle açık kaynak koduna(open source found. ve free software foundation'un temel düşüncelerinden biridir) bu kadar önem veren bir sitede asla bilgi gizlenmemelidir.
0
sundance
Ben şahsen "security through obscurity" yaklaşımına karşıyım. Internette beş dakika dolaşsanız bulacağınız bir şeyin gizlenmesi mantıklı değil.

Dahası arp poisoning yaklaşık 7 senedir kullanılan bir teknik (yedi sene önce ben kullanmıştım, daha da eski olabilir) böyle bir tekniğe karşı hala bir şey yapmamış sistem yöneticileri varsa onların endişelenmesi gerekir tabi.

Tekniklerin gizlenmesi ile güvenlik sağlanamaz temelde anlamamız gereken şey bu, çünkü o güvenliği aşacak adamlar zaten bu teknikleri biliyor. Bu tür bir haberin yapılmaması sadece bu konuda bilgi sahibi olmayan adminlerin sanal güvenlik hissiyatlarını desteklemeye yarar, kesinlikle onların bulundukları ağ sistemini bu haberden beş dakka önce olduğundan daha güvensiz yapmaz.

Geçenlerde büyük bir şirketin Şifreleme Politika ve Prosedürleri dökümanını okuyordum, şöyle bir ibare vardı:
"Hiçbir şekilde, şifreleme algoritması gizli (proprietary) bir şifreleme algoritması kullanılamaz." Niye ? Çünkü uzun yıllar bize öğretti ki, güvenlik algoritmanın gizliliği ile değil, anahtarın güçlülüğü ile sağlanır. Hatta algoritma ne kadar dünyanın gözü önündeyse o kadar da incelenir, hatalarından arınır.

Bu doğrultuda lütfen "Böyle haberler yakışmıyor, bu teknikleri saklamanız lazım" gibi yorumlar yapmayın, asıl bu tür yaklaşımlar FM camiasına yakışmıyor.
0
cbc
gizlemek ile anlatmak farklı şeyler. bunları anlatan o kadar "hacker" sitesi var ki fazlamesai de de görmek gerekmiyor. "hacker" kelimesini özellikle kullanıyorum, esr'nin sözlüğündeki hackerdan bahsetmiyorum. lütfen savunma kalkanlarınızı indirip okuduklarınızı pozitif açıdan yorumlayıp yapıcı olmaya çalışın.
0
cbc
yeri gelmişken.. yazının içeriği kaliteli. içeriğe diyecek bir lafım yok :)
0
FZ
Bazı bakımlardan kaygılarını anlıyorum. Öte yandan, FM'deki her yüz habere karşılık ancak bir ya da iki doğru dürüst, belli bir uzunluğu ve detayı geçen, orjinal (ya da çeviri) teknik makale geliyor öyle değil mi? Hal bu iken bu tür şeyleri yayınlamamak yakışık almaz diye düşünüyorum. Sence böyle bir lüksümüz var mı?

Ayrıca, burada vakti zamanında az Phreak dergisi muhabbeti de yapılmadı mı? Ne bileyim sundance'in Netcat ile reverse telnet yazısı filan yayınlamadı mı? Valla ben o tür yazılardan bir sürü hacker sitesinde bir sürü kez yayınlandığını düşünmüyorum, kaldı ki yayınlanmış olsa bile, bu durum kendisi ortaya bir makale koymuş birinin makalesini geri çevirmek için bir sebep değil. Makale seçim kriterimiz ne olacak? Akademik kriterler de uygulayabiliriz mesela, bu durumda herhalde hemen hemen hiçbir şeyi yayınlamamamız gerekir.

Ayrıca, "savunma kalkanları"nı niye indirelim ki :) Karşılıklı tartışarak bir şeyler öğrenmiyor muyuz? Sen kendi argümanlarını öne sürersin, ben de benimkini öne sürerim, birbirimizi ikna etmeye çalışırız.

Not: Bu tartışma bir yana, makaleyi yazıp buraya haber yollayan, bizimle paylaşan yazara ben de teşekkür etmek istiyorum.
0
cbc
verilen her şeyi yayınlamak lazım ama verilenler az olduğu için teşvik etmek amacı ile yayınlanmalı. haklısın.

netcat ile reverse telnet daha farklı. kişilerin özel verilerine erişim sağlamıyor. sniffing söz konusu olduğunda çok daha hassas bir durum söz konusu.

Makale seçim kriterleri içindeki bilgilerin zarar vermeme hususunu kapsamalı kanımca. ben bir yazı yayınlayıp fazlamesai.net'in admin şifresini versem yayınlar mısınız mesela? çok da farklı değil bence.

"merhaba arkadaşlar, bu yazımda FZ'ye ısmarladığım öğle yemeği esnasında nasıl fazlamesai şifrelerini aldığımı, daha doğrusu sosyal mühendislik tekniklerini anlatacağım.
.....
- evet cbc hakılısın ama fazlamesai.net'eseçtiğimiz qwaszx şifresi dediğin kriterlere uymasına rağman çok güvenli
.....
neden mi söyledim şireyi. güvenlik açıkları (FZ) nı saklamamak lazım da ondan."

abartı bir örnek ama sanırım ifade edebilmeme yardımcı oldu kendimi. qwaszx de ne kadar sallama bir string gibi duruyor değil mi? :)
0
FZ
Bence örneğinde hata var.

Eğer php-nuke'ta şu tür bir açık var diye bir makale yazarsan o zaman belki yakın bir örnek olurdu.

Ya da sosyal mühendislik ile ilgili bir makale de olabilirdi. Ancak içinde doğrudan parola geçiyor olsaydı, evet o zaman kritik bir durum olurdu, o zaman yayınlamamaktan bahsedebilirdik. Söz konusu yazıda herhangi bir yerin parolası geçiyor mu? Bir evin kapısı zayıf, bir iki ittirsen açılıyor demekle, buyur filanca kapıların anahtarları bunlardır, takıp açabilirsin kilitleri hiç yorulmadan kolayca demek aynı şey midir?
0
nonce
tamamen katılıyorum asıl " bu tür yaklaşımlar FM camiasına yakışmıyor."
çok güzel ve amacı bilgi paylaşımı olan bir yazı. teşekkürler.
0
bm
Madem basilan haber yakisiyor mu diye konusuluyor, ben neden rahatsiz oldum onu soyleyeyim:

- Basina telif hakki ile ilgili paragraf konan yazilarin icinin telif hakki bakimindan temiz olmasi beklenir. Ilk resim SANS'da cikan bir yazidan gelme gorebildigim kadariyla:

http://www.sans.org/resources/idfaq/switched_network.php

(Niye 'step' deniyor nerede step diye merak ederek buldum). Yazari suclamak icin soylemiyorum, hepimiz dikkatli olalim diye soyluyorum. Cok zor degil izin almak ve kaynak gostermek.

- Mikrosoft kaynakli HTML'de ISO-8859-9'da olmayan karakterler var (smart quote vs.). Bunlar temizlenmeden dokumanin basina ISO-8859-9 yazilirsa Mikrosoft olmayan platformda dokumani okumak zorlasabiliyor. Icerik yaratmak icin Windows'dan vazgecmek gerekmiyor buna engel olmak icin. En azindan 'demoronizer' var:

http://www.fourmilab.ch/webtools/demoroniser/

Kalani icin yazarin eline saglik.
0
sundance
Bence SANS'daki makaleden ikonları bile alıp aynen koymak ve hiçbir kaynak göstermemek çok ayıp olmuş.

Şahsen, Huzeyfe bey'in bundan sonraki makalelerini onaylamadan önce Google'da bir iki arama yapmak durumunda kalacağımızı düşünüyorum.

Uyarı için ayrıca teşekkürler.
0
honal
Konunun kotuye yorumlanmasi garibime gitti. Acikcasi yazilirken hic de boyle kotu bir niyet dusunulmemisti. http://www.huzeyfe.net/?q=node/67 adresinde de belirttigim gibi yazi aslinda bir raporun kirpilmis hali . Dolayisi ile eksiklikler belirsiz kalan parcalar olabilir, anlasma geregi rapordaki hicbir metaryeli oldugu gibi kullanamadigim icin rapordaki bazi ogeler yerine hazira kactim(Sans'taki resim gibi). Resmi kaldirdim , yerine basit bir cizim ekledim. Uyari icin tesekkurler...

Resimleri cizmek icin Windows ortaminda Visio kullaniyorum, yaziyi en son Microsoft Word ortaminda duzenledigim icin ofis tagleri vs duruyor.

ps: Sans'taki makaleden alintilanan baska birsey gosterebilir misiniz? Dikkat ederseniz o yazi tamamen teorik ve konular farkli. Yazdiginiz cumleden sanki yaziyi tamamen kopyalamis seklinde bir anlam cikiyor.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Web Servisleri Güvenliği: Evrim Geçiren Tehdit Modeli

FZ

Gene bir makaleye gönderme, bu sefer Yahoo! şirketinin baş bilimadamı Udi Manber'in IEEE Symposium Security and Privacy etkinliğinde söyledikleri...

\r \r Özetlemek gerekirse Udi Manber gelişen web servisleri ile birlikte Internet üzerinden gerçekleştirilen güvenlik ihlallerinin de farklılaştığını, küçük küçük ama çok sayıda gerçekleştirilen saldırıların esas problemi oluşturduğunu ve bunlara çözüm bulunması gerektiğini söylüyor.

\r \r Manber'in dikkat çektiği enteresan konulardan biri de puanlama (rating) sistemleri, diyor ki "eğer bir oyun, bir site ya da bir ürünü puanlıyorsanız, insanlar bu puanlama mekanizmasına gizlice müdahele edip belli bir maddeyi en yüksek puana çıkarmak için çılgınca çaba harcıyorlar!"

NetSec Güvenlik Bülteni: Sayı 3

onal

Ağ güvenliği listesi (NetSec) üyeleri tarafından hazırlanan güvenlik bülteninin 3. sayısı çıktı. Buradan okuyabilirsiniz.

Windows 2000’de bir açık daha

pulsar

Microsoft bu ay içerisinde 2. defa, DoS saldırısına yol açabilecek güvenlik açığı uyarısında bulundu.
Microsoft’tan yapılan açıklamada, Windows 2000 Server’daki yeni açığın ‘Denial of Service’ saldırısına yol açabileceği vurgulandı. Windows 2000 Server’ın yanı sıra Advanced Server ve Datacenter’ı da etkileyen açık, Kerberos servisindeki bellek ‘sızmasından’ kaynaklanıyor. Kerberos diğer bilgisayarlardan gelen isteklerin onaylanmasıyla ilgili bir yöntem.
Konuyla ilgili güvenlik duyurusunu müşterilerine gönderen Microsoft, gerekli yamayı da çıkardı. Yeni açığın Defcom Labs tarafından ocak sonlarında keşfedildiği belirtildi.
Way be adamların hataları bile endüstri standardı?!

MS Windows İçin Açık Kodlu Antivirüs Yazılımı - ClamWin

ebola

Siz de benim gibi bir işyerinde istemeyerek de olsa MS Windows sistem yöneticiliği yapıyorsanız eminim virusler en önemli sorunlarınızdandır. İşyeriniz her sene "kapalı kodlu" yazılımlara dünyanın parasını saymaktadır.

Pek çok şeyin bir açık kodlu çözümü var ama bu antivirüs meselesinin yok diyorsanız yanılıyorsunuz. Eski dost ClamAV'nin MS Windows sürümü var. Adı ClamWin. Ben test amacı ile bir iki makineye kurdum ilk izlenimlerim olumlu, size de tavsiye ediyorum.

Linux´la Erişebilmek, Linux´a Erişebilmek

denizlilikaan

Evet abilerim aranızda bana fazla laf düşmez ama yeni keşfettiğim bir kolaylıktan aslında iki kolaylıktan bahsetmek istiyorum

Bir: Geçen hafta sonu değerli bir öğretmenimizin bilgisayarı feci şekilde göçmüştü. Tahmin edersiniz ki MS Win_Me Kullanıyordu.

Makina, Güvenli Kip dahil herhangi bir şekilde açılmayı reddediyordu. Aslında makinayı açıp HDD'yi söküp "Vector Linux yüklü PC"me bağlayıp hocamızın bilgilerini günlük ve yıllık planlarını kurtarabilirdim. (Öğretmenler için Planlar çok önemlidir. Bir de hazırlamak için günlerinizi, gecelerinizi harcadıysanız)