Merhaba atıf hocam; Konu dağılıyor gerçi ama ssl'e güveniyoruz diyelim ya peki certificate authorities'lerine nasıl güvenicez ? comodo vb.. vakalar mevcut.
3 Ağustos 2013 15:14 tarihinde "M.Atıf CEYLAN" <meh...@atifceylan.com>yazdı: > On 08/03/2013 01:16 PM, Ozgur wrote: > > Selamlar, > > çok zor değil ki öncelikle Snort bridge modda inline kurun ve ardından > paketlerin Snort üzerinden geçtiğinden emin olun. Daha sonra facebook.com'a > girin ve girerken trafiği sniff ederek nasıl bir paketin geçtiğine bakın > sonra hem ip hem dns hem de domain üzerinden snort'a rule ekleyin tamamdır. > > Örnek olarak: > > > http://asimjaweesh.wordpress.com/2013/02/08/using-snort-to-detect-unauthorized-requests-to-facebook/ > > Burada bir örneği var. Şu anda elimde Snort Inline makine yapı yok copy > etmek için ama Snort'a bridge modda TCP üzerinden geçen bağlantılarda şu > domain şu ip şu port şu dns gibi çeşitli kombinasyonlarda geçişe izin > vermeyin dediğinizde geçmesinin imkanı yok. Daha değil https paketi, > https'i göndereceği hedefi dns'den çözümlerken bile block koyabiliyorsunuz. > > Her zaman yöntem şu; olmasını istemediğin trafiği kendin üret, o esnada > sniff et ve oluşan trafiğe göre rule yazarak dropla. > > Saygılarımla, > > Ozgur > > > Bu soylediklerinizin inspection kısmı plaintext trafik icin gecerli. > Diğer türlü siz snortun olduğu makine üzerinde SSL sonlandırmanız lazım. Ve > oluşturacağınız self-signed sertifikayı içerideki kullanıcıya göndermeniz > lazım. Zaten tüm çözümler bu şekilde. Böyle olduktan sonra başka sorunlar > doğuyor. Her bilgisayara tursted root CA eklemeniz lazım. > > SSL trafiği dinleyerek analiz edebilmesi için ya dünyanın tüm > fırınlarındaki ekmekleri tüketmeniz lazım, ya da SSL'in artık güvenirliğini > yitirmiş olması lazım. Madem anlık SSL decrypt edilebiliyor neden SSL > kullanıyoruz? Bize gelmeden önceki router'dan bir amca data sniff ederek de > bizim verilerimize ulaşabiliyor demektir. > > -- > M.Atıf CEYLAN > Yurdum Yazılım > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu