IPHaber
Son Yazılar

Genel


Tomahawk

Mayıs 8, 2009 by admin in Genel with 0 Comments

Yeni bir sayı ile yeniden merhabalar. Daha önceki sayılarımızın çoğunda sistemleri test etmeye yönelik araçlar ya da yöntemlerden bahsettik. Bunların birçoğu aynı zamanda da istemci (HIPS) ve ağ tabanlı atak engelleme (NIPS) sistemlerinizi de test etmenizde yardımcı olabilecek araçlardı. Ancak bunlar direkt olarak bu sistemleri hedef almıyordu. Bu sayımız ile birlikte direkt olarak NIPS sistemlerinin performanslarını ve ayarlarını test edip irdeleyebileceğimiz araçlardan bahsetmeye başlayacağız.

NIPS Testleri

Öncelikle bir NIPS cihazını test etmenin neden önemli olduğunu vurgulamak isterim. Piyasadaki hemen hemen bütün NIPS cihazları kendi testlerini zaten yaptırıp bunları ilan ediyorlar. Ancak bu testler genellikle sizin sisteminizdeki benzer mimari veya uygulama ortamında yapılmıyor. Ayrıca bu testlerde cihazların tüm ayarları en ince ayrıntısına kadar kontrol edilmiş oluyor. Sizin sisteminizde bulunan NIPS cihazında herhangi bir ayarın eksik veya yanlış konfigure edilip edilmediğini veya cihazının herhangi bir saldırıya ne gibi tepkiler ürettiğini görebilmeniz açısından bu testler oldukça önemlidir.
Testler için içerik belirlemek
Birçok yazımda belirttiğim gibi burada da test işlemlerine başlamadan önce kendinize bir taslak çıkartmalısınız. Bundan kastım sistemizdeki yapıyı yeniden gözden geçirip;
1. Ağ topolojisi, kullanılabilir bağlantı noktaları, band genişliği v.b.,
2. Test edilecek olan sistemlerin seçilmesi,
3. Son olarak NIPS sistemin koruması ve sizin test etmek istediğiniz yöntemlerin belirlenmesi.
Teste başlamadan önce her adımda ne yapılacağı ve bir çöküş anında nasıl hareket edileceğinin belirlenmesi test edilen sistemlerin işleyişini kesmemek ya da en az seviyede bırakmak adına çok önemlidir. Ayrıca test işlemleri için kullanacağınız sistemlerin elinizin altında hazır bulunması da size bütünlük açısından çok fazla yardımcı olacaktır.
Test için uygun yazılımların seçilmesi
NIPS sistemleri birkaç katmanlı olarak koruma sunarlar. Burada bu yöntemlerini yeniden anlatmayacağım. Ancak detaylı bilgi edinmek isteyenler Beyaz Şapka’nın önceki sayılarında bu konuda gayet aydınlatıcı bilgiler bulabilirler. Diğer yazılarımda verdiğim bazı yöntem ve yazılımlar, yukarıda da belirttiğim gibi, NIPS testlerinde de kullanılabilir. Örneğin IPS imzalarını test etmek için Metasploit, ya da bağlantı noktası testleri için Nessus, FoundStone gibi araçlar kullanabiliriniz. Biz bu sayımızda NIPS sistemlerini DoS (Denial of Service) atakları için teste tabi tutmaya çalışacağız. Bunun içinde hem ücretsiz olan hem de kullanımı ve yüklemesi gayet kolay olan Tomahawk yazılımını kullanacağız.
Tomahawk
Tomahawk linux platformunda çalışan açık kaynak kodlu bir test aracıdır. Tomahawk bu testleri daha önce kaydedilmiş olan tcpdump dosyalarını kullanarak ilgili trafiği gönderebildiği kadar hızlı bir şekilde sistemde bir eternetinden diğerine geçirerek uygular. Bu yöntem size IPS cihazları dışında uygulamalarınızı test etmenizde de size yardımcı olacaktır.
Tomahawk kullanabilmek için üç adet eternete sahip bir linux (Redhat) platformuna ihtiyacınız olacak. Bunlardan ikisi yukarıda da bahsettiğim gibi test paketlerini üzerlerinden akıtacak olan kartlar olacak. Diğer kart ise sizin yönetim v.b. işlemlerinizi yerine getirebilmeniz için gerekli olacak. Aşağıda donanım ve işletim sistemi gereksinimlerini bulabilirsiniz.
  • Pentium with 1GHz or faster processor
  • 512 MB RAM
  • Red Hat Linux 7.2 üstü veya benzeri
  • İki adet data işlemleri için eternet (eth0-eth1 olarak kullanılmak üzere)
  • Bir adet yönetim işlemleri için eternet (eth2)
Tomahawk’ın yükleme işlemleri diğer linux paketlerinden çok da farkılı değil. qa.tgz ve pcaps.tgz dosyalarını /usr/local dizini altına kopyalayın. Daha sonra /usr/local/qa yolunda bir dizin oluşturun. Aşağıdaki komutlar paketlerin açılmasında size yardımcı olacaktır.
cd /usr/local
tar -xvfz qa.tgz
tar -xvfz pcaps.tgz
Daha sonra yapılacak işlemleri satır satır yazmayacağım. Ancak ayrıntılı bilgileri Tomahawk’ın ilgili dokumanlarından da elde edebilirsiniz.
Tomahawk Jig
Ayrıca Tomahawk yapısını birden fazla sunucu kullanarak dağıtık olarak da kullanabilirsiniz. Bunun için yapmanız gereken tek şey istediğiniz kadar sunucuyu hazır ederek aşağıdaki gibi konumlandırmanız. Jig yapısnın oluşturulması ile ilgili aşağıdaki resim size daha iyi bir fikir verecektir.
Ben bunu sadace kendi labaratuvar şartlarını oluşturmak isteyenler için tavsiye edeceğim.
Tomahawk’ı daha önce kaydedilmiş atak bilgilerini kullanarak NIPS’inizin politika ve yük altında ki tepkilerinide ölçümleyebilir ve görüntüleyebilirsiniz. Tomahawk bu işlemler için PCAP dosyalarını kullanır. Bu da sizin de istediğinizde kendinize ait PCAP dosyaları oluşturabileceğiniz ve bunları testleriniz sırasında kullanabileceğiniz anlamına gelir.
Komut örnekleri
tomahawk -l 5 -f outlook.pcapkomutu yardımı ile outlook için kaydedilmiş olan ağ trafiğini taklit edebilir ve NIPS’inizi test edebilirsiniz. Aşağıda komutun çıktılarını bulabilirsiniz.
Yukarıda gördüğünüz sonuç ekranın ikinci satırından sonra gördüğünüz ekran eğer yukarıdaki gibiyse IPS sisteminiz testi geçememiş demektir. Ancak ikinci satırdan sonra gördüğünüz Completed terimlerinin yerinde Timeout sonucunu görüyorsanız sisteminiz olması gerektiği gibi atak paketini durdurmuş ve testten geçmiş demektir.
Bundan önceki yazılarımda da belirttiğim gibi test etmeyi düşündüğünüz sistemlerin sağlıklı çalışma durumlarını ve geri kurtarma prosedürlerini mutlaka yakınlarınızda bulundurun. Her ne kadar Tomahawk genelde IPS sisteminize zarar verecek birşey yapmayacak olsada siz yine de tedbirinizi elinizden bırakmayın.
Bir sonraki sayımızda yeniden ve sizi ilgilendirecek konulara değinmeye çalışacağız. Herhangi bir sorunuz veya isteğiniz için lütfen yukarıdaki e-posta adresimden benimle iletişim kurmaktan çekinmeyin.

Erkan Şen

Nebula Bilişim
Bilgi Güvenliği Uzmanı

Tagged , ,

Related Posts

Leave a reply

E-posta hesabınız yayımlanmayacak.

Kapat