Prolexic’in yayınladığı Q1 2012 raporunu okurken gördüğüm grafiki sizlerle paylaşmak istedim. 2012′in ilk çeyrekinde raporlarına göre Syn Flood en çok yapılan atak türü olarak her zamanki en başta yer almış. Ayrıca yine Layer 7 HTTP Flood & HTTP GET v.b. ataklarında 2011′in ilk çeyrekinde %25 büyüme olmuşken 2012 ilk çeyrekinde %6 büyüme gösteriyor. Çin hükümetinin Web sitesi yasakları ise bu yapılarıda biraz baltalamış olacakki %5 azalma olmuş.
F5 üzerinde kaynakları daha optimize kullanabilmeniz veya size herhangi bir Syn flood saldırısında sisteminizi daha az kaynak ile daha yüksek seviye korumasına yardımcı olabilirsiniz.
Bunun için yapmanız gereken bazı adımları test ettim ve uyguladım, normal trafikte %5-6 Cpu kullanımı atak trafiğinide %15′lere yakın daha çok performans sağlayabildim. Mantığım ise basit TCP/IP mimarisindeki değerleri azaltmak ve ürünün threshold değerlerini değiştirmek oldu. Bu değerleri sizin sisteminize uygun şekilde set etmeniz gerekiyor bunun için bilmeniz gerekenler ;
- Kullandığınız pool’lardaki bağlantı sayıları
- Kullandığınız cihaz modelinin CPU % kaçlarda iken problemlerin başladığı
- Kullandığınız cihaz üzerindeki toplam bağlantı sayıları
Bunlardan emin olduğunuzda size bahsedeceğim özellikleri kendi değerlerine uygun hale getirdiğinizde kullandığınız sistem daha performanslı olacaktır.
Ayrıca aşağıdaki kaynakta ise bu konu ile ilgili F5 bir makale yayınlamış buradanda yardım alabilirsiniz.
Bu değer ciddi derecede ataklara karşı sizi koruyabileceğini düşünüyorum.
1.000.000 paketi en ufak paket değerinden düşünürsek yaklaşık 440 Mbit/sec bantgenişliğine geliyor.(Matematiksel teorik hesaba girmiyorum)
Fakat paket boyutları yüksek olduğu takdirde bu değer 10 gbit/sec değerleri görmeniz mümkün.
Peki ? Senaryo olarak düşünürsek size 1500 byte büyüklüğünde Syn paketlerinin geldiğini düşünelim yaklaşık 10 gbit/sec bir bantgenişliğine karşı sisteminizi koruyabiliyor.
Peki “Neden Syn flood ?” Sorusu ise
- En çok yapılan atak
- En kolay atak
- En kolay bantgenişliğini doldurabileceği atak.
- Yıkıcı güç! diyebilirim.
Türkiye istatistiklerine baktığımda Syn flood yapılan en fazla atak olma başarısını halen koruyor, “Syn flood” halen “Http flood” atakların çok çok üzerinde kendini gösteriyor diyebilirim.
HEDEFİ:
ISO 27001 bilgi güvenliği yönetim sistemi standartlarının tanıtılması, standarda uygun yönetim sistemi kurmak isteyen kuruluşların, standardın gereklilikleri konusunda bilgilendirilmesi.
Yer : BURSA
KATILIM ÖN KAYIT İÇİN :security@seyitozgur.com adresine ADINIZI-SOYADINIZI - EMAIL VE TELEFON NUMARALARINIZI GÖNDERİNİZ.
- Debug’u ne için almamız gerekiyorsa filtre yazmamız gerekiyor.
set ff src-ip <1.2.3.4> dst-ip <1.2.3.4>
sadece source yada destination IP’de yazabilirsiniz, “set ff” den sonra TAB a basarak ip dışındaki filtre seçenekleride çıkacaktır.
- Filterining doğru yazıldığını teyit edelim
get ff
- Buffer temizkenirki daha önceden kalmış loglarla karışmasın.
clear dbuf
- Debug başlatılır
debug flow basic
en son olarak debug’u bitirmemiz gerekir “undebug all” komutu ile.
- Buffer okunur
get db stream
p.s. : her debug aldıktan sonra debug’u sonlandırmamız gerekir, açık kaldığı takdirde cihaz üzerinde performans sorunu ve başka sorunlarla karşılabilirsiniz.
Geçenlerde okuduğum ve tamamen bizi tarif eden bir yazıyı paylaşmak istiyorum sizlerle
“Bilgisayarımda XXX çalışmıyordu,tanışım bir bilgisayar mühendisinden yardım istedim, çalıştıramadı, başka birisi ise geldi, bişeyler yaptı, sorun çözüldü. Nasıl bir bilgisayar mühendisi bu?
Bilgisayar Mühendisliği öğretim üyesi/öğrencisi/mezunu olarak, bu, çok karşılaştığımız bir durum. Windows gibi işletim sistemleri ‘müdahaleye kapalı’ olarak tasarlanmışlardır. Bu, bir otomobilin çeşitli bölümlerinin erişilemez, açılamaz olarak imal edilmesine benzemektedir. Böyle bir işletim sisteminde, doğan sorunu gidermek yönünde sistematik metotlar çaresiz kalmaktadır. ‘Resmin’ hemen hiç görülemediği bu durumlarda çözüm bilgiden ziyade, böyle bir durumla daha önce karşılaşılıp karşılaşılmadığı ve bu durumda körlemesine yapılan, işe yaraması/yaramaması durumunda nedenin bilinemediği müdahalelerin ne olduğunu anımsamak yolu ile bulunmaktadır. Bu durumda ise bilgisayar mühendisliği mensubunun bir üstünlüğü yoktur. Hatta, bu bağlamda dezavantajlı olduğu bile söylenebilir. O, zamanını körlemesine denemeler yapıp sonuçlarını gözlemlemekten ziyade, sistematik, bilimsel bilgileri edinmek ve özümsemek ile geçirmektedir.
Böyle durumlarda, başvurduğunuz kişiye XXX sorunları konusunda deneyim sahibi olup olmadığını sormanızı öneririz”
Bir önceki makalemde CheckPoint NGX-R61 I VMware üzerine demo olarak SmartDashboard a kadar kurulumunu anlatmıştım. Bu makalemde ise kaldığımız yerden yani Dashboard bağlandıktan sonra gereken configurasyonlarımızı anlatacağım. Node,Network oluşturmak, Kural yazmak, kural yazılırken nerelere dikkat edeceğimizi, Dynamic ve Statik NAT in CheckPoint üzerinde nasıl yapıldığını anlatacağım. J On bilgi olarak tekrarliyorum burada kurulum ve configurasyon tamamen CheckPointin calisma mantigi sistemini Demo olarak anlatmak! Lutfen elestirilerinizi yaparken neden external networku tanimladin diye elestiri yada bunun gibi sorular sormaniz icin degil. Tamamen tanitim amacli makaledir. Sunu unutmaliyim ki Firewall her sistemin yapisina(topolojisine) uygun olarak konumlandirilmalidir. Buradaki Ornek arz etmektedir.
