On 08/03/2013 01:16 PM, Ozgur wrote:
Selamlar,
çok zor değil ki öncelikle Snort bridge modda inline kurun ve ardından
paketlerin Snort üzerinden geçtiğinden emin olun. Daha sonra
facebook.com <http://facebook.com> 'a girin ve girerken trafiği sniff
ederek nasıl bir paketin geçtiğine bakın sonra hem ip hem dns hem de
domain üzerinden snort'a rule ekleyin tamamdır.
Örnek olarak:
http://asimjaweesh.wordpress.com/2013/02/08/using-snort-to-detect-unauthorized-requests-to-facebook/
Burada bir örneği var. Şu anda elimde Snort Inline makine yapı yok
copy etmek için ama Snort'a bridge modda TCP üzerinden geçen
bağlantılarda şu domain şu ip şu port şu dns gibi çeşitli
kombinasyonlarda geçişe izin vermeyin dediğinizde geçmesinin imkanı
yok. Daha değil https paketi, https'i göndereceği hedefi dns'den
çözümlerken bile block koyabiliyorsunuz.
Her zaman yöntem şu; olmasını istemediğin trafiği kendin üret, o
esnada sniff et ve oluşan trafiğe göre rule yazarak dropla.
Saygılarımla,
Ozgur
Bu soylediklerinizin inspection kısmı plaintext trafik icin gecerli.
Diğer türlü siz snortun olduğu makine üzerinde SSL sonlandırmanız lazım.
Ve oluşturacağınız self-signed sertifikayı içerideki kullanıcıya
göndermeniz lazım. Zaten tüm çözümler bu şekilde. Böyle olduktan sonra
başka sorunlar doğuyor. Her bilgisayara tursted root CA eklemeniz lazım.
SSL trafiği dinleyerek analiz edebilmesi için ya dünyanın tüm
fırınlarındaki ekmekleri tüketmeniz lazım, ya da SSL'in artık
güvenirliğini yitirmiş olması lazım. Madem anlık SSL decrypt
edilebiliyor neden SSL kullanıyoruz? Bize gelmeden önceki router'dan bir
amca data sniff ederek de bizim verilerimize ulaşabiliyor demektir.
--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
