IT Pro sayı 90 // 18-29 ekim 2010'de TippingPoint sanallaştırma çözümleri konusunda yazdığım bir advertorial 11. sayfada yayınlandı.

Dün aldığım değişik türlerden 28 balıkla akvaryumumdaki balıkların sayısı 50'yi, türlerin sayısı 10'u geçti. Tam sayıyı bilmiyorum çünkü lepisteslerin sayısını bulmakta çok büyük zorluk çekiyorum :). Yeni balıklarımdan bazı favoriler: Melek, Balon Moli, Albino vatoz...
Önümüzdeki hafta bir alt dolap alarak daha da güzel bir hale getireceğim. Tatlı su bitkilerini de mümkün olduğu kadar arttırıp doğal bir yaşam ortamı oluşturup, hava motoru vs. gibi teknolojileri tamamen kaldıracağım.

DNS, birçok saldırıya açık bir protokol. Geçerli olmayan bir sorgu, sorgu cevabı oluşturmak ve yine de geçerli olarak göstermek çok kolay. "DNS güçlendirme" (amplification) saldırılarında band genişliğini doldurmak işten bile değil. DNSCurve sitesinin verdiği bilgiye göre, 31 byte'lık bir istek, 3974 byte bir cevap alıyor. Bu yöntem bir "kaynak IP değiştirme" yöntemiyle birlikte kullanıldığında hedefteki kurbanın ağına yönelik yüksek band genişliğinde bir trafik oluşacaktır.

DNS güvenliğini sağlamanın birkaç yolu var.

Öncelikle tek bir DNS sunucuya güvenmemek, birden çok DNS sunucu kullanmak, iç ağdan dışarı rastgele DNS taleplerini engellemek, başlangıç olarak kullanılabilir.

İyi bir yama yönetimi her zamanki gibi dostumuz, yardımcımız. Kullandığımız DNS sunucusu yazılımını, en güncel sürümünde tutmak bize, eski sürümlere yapılabilecek saldırılara karşı yardımcı olacaktır.

Diğer bir yöntem IPS tabanlı bir "sanal yama" kullanmak. Bildiğiniz gibi IPS, bilinen saldırı türlerine karşı arkasındaki kullanıcıları ve ağları korur. TippingPoint IPS üzerinde, içinde DNS geçen 68 farklı filtre mevcut.

Bu yöntemler, yine de normal bir DNS isteği ile yaratılan ve sel gibi gönderilen DNS isteklerine ve cevaplarına karşı bir önlem sağlamıyor. Bunun için TippingPoint, thresholding ve correlation yöntemlerini kullanabileceğimiz bir yöntem sunuyor: SMS Responder. Bu yöntemle, normal görünen istekler, belirlenen zaman içerisinden belirlenen sayının üstüne çıktığında bir önlem alınabilir ve IPS gelen yeni istekleri geri çevirmeye başlayabilir. Daha sonra trafik normale döndüğünde, tekrar istekler IPS üzerinden geçmeye devam eder.

Eğer ağınızı izlediğiniz farklı bir yönetim arayüzü varsa ve bu arayüz DNS isteklerinin belirlenen sınırları aştığına hükmetti ise, TippingPoint IPS'e bununla ilgili Web API aracılığı ile bir çağrı gönderebilir.

Daha önce ICSA Labs ile ilgili detaylı bilgiler veren bir makale yazmıştım.
Geçen hafta TippingPoint'in soft platformları olan 100 mbps başarıma sahip TP110 ve 300 mbps başarıma sahip TP330 ürünlerinin, ICSA Labs tarafından sertifika aldığı duyuruldu. Tüm TippingPoint ürünlerinin ICSALabs sertifikası almasının ilk adımı olan bu çalışmayı, N platform ürünleri 660N, 1400N, 2500N ve 5100N takip edecek. Umarım ki bu yaz bitmeden ve N platformun duyurulmasının üzerinden daha 1 yıl geçmeden, ürünler uluslararası ve "bağımsız" bir test-sertifikasyon kurumu tarafından sertifikalandırılmış olacak.

Bu konu ile ilgili ICSA Labs'ın web sitesinde yayınlanan bilgilere buradan ve buradan erişebilirsiniz.

ICSA Labs, 2005'de kurduğu Network IPS Product Developers Consortium ile, NIPS test kriterlerini belirliyor. Aynı zamanda sitesinde Network IPS ile ilgili faydalı dökümanlar mevcut. Bu adresten ulaşabilirsiniz.

ICSA Labs tarafından sertifikalandırılan diğer IPS ürünlerine baktığımızda, sertifikaları 3 sene öncesinde alınmış.

TP110 ve TP 330 ile ilgili detaylı bilgilere buradan ulaşabilirsiniz.

TippingPoint ve partneri Bilişimcim şirketinin düzenlediği, müşterilere yönelik teknoloji tanıtımı etkinliği 12 Mayıs 2010 tarihinde Ankara Hilton otelinde gerçekleştirildi. Etkinlik 20'den fazla kurumdan 30'dan fazla katılım gerçekleşti. Etkinlikte TippingPoint ve Bilişimcim hakkında genel tanıtım sunumlarından sonra TippingPoint teknolojisi, DVLabs, Reputation DV, Satış Sonrası Hizmetler konuları temel olarak ele alındı. Katılımcıların da katkısı ile etkileşimli olarak gerçekleştirilen toplantının en sonunda bir TippingPoint ürünü etkinlik sırasında kurularak müşterilere tanıtıldı. 

Etkinlikte Bilişimcim'den İbrahim Arslan, Murat Baydu, TippingPoint Türkiye ofisinden Erol Alptuna ve ben birer konuşmacı olarak yer aldık. Yaklaşık 3 saat süren konuşmalardan sonra etkinliğe  öğlen yemeği ile devam edilerek katılımcıların IPS teknolojisi ile ilgili sorularını yanıtlama imkanı bulduk.

Yeni etkinliklerde görüşmek üzere...

Ref: http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/?sms_ss=email

Mcafee antivirüs yazılımı için yayınlanan 5958 sürüm numaralı güncelleme, bir "false-positive"den dolayı svchost.exe dosyasını silerek, bilgisayarın ağa erişimini engelliyor ve zincirleme albaştanlara neden oluyor. 

Uzmanlar, bu güncellemeyi alan bilgisayarları düzeltmenin tek yolunun elle müdahale olduğunu söylüyor. Dünya üzerinde yüzbinlerce bilgisayar bundan etkilenmiş olduğu söyleniyor.

Mcafee konu ile ilgili bir basın bildirisi hazırlamış. Bildiride Windows XP SP3 yüklü bilgisayarların bundan etkilendiği belirtilse de Internet sitelernde SP2 yüklü bilgisayarların da etkilendiği belirtiliyor. 

Hatırladığım, bir antivirüs programının virüse dönüşmesi ile ilgili bundan 2009 yılında CA Antivirüs'de başımıza gelmişti. (Cnetin Haberi)

TippingPoint, Reputation DV hizmetini satışa sundu. Reputation DV, IPv4, IPv6 ve DNS güvenliği ile ilgili itibara dayalı bir veritabanını hizmete sunuyor. Bu şekilde, kullanıcılar, Internet üzerindeki adreslerin sahip oldukları itibar derecesine göre kara listede olmasını sağlıyor ve bu listedeki adreslerle kurumsal ağları arasındaki trafiği tamamen engelliyor. Reputation DV hizmeti TippingPoint IPS platformu üzerinde bir katma değerli servis olarak ve yeni bir Digital Vaccine (dijital aşı) türü olarak sunuluyor. Bu hizmet yardımıyla yaratılacak olan güvenlik politikaları yardımıyla, aşağıda örnekleri verilen yöntemlerle kurumsal bilgilere ve kaynaklara verilebilecek zararların önüne geçiliyor:

1. İçeriden dışarı doğru bilinen zararlı sitelere erişimlerde:
a. Botnet truva atı dosyalarının indirilmesi
b. Malware, casus yazılım ve worm dosyalarının indirilmesi
c. Botnet’lerin komuta kontrol merkezlerine erişimin engellenmesi
d. Bilinen oltalama saldırısı kaynaklarına erişimin engellenmesi
e. Belirlenen ülkelerin adreslerine erişimin engellenmesi

2. Dışarıdan içeri doğru bilinen zararlı adreslerden erişimlerde:
a. Spam ve oltalamaya neden olacak epostaların engellenmesi
b. Botnete üye olan bilgisayarlardan gelebilecek DDOS ve Web uygulaması saldırılarının engellenmesi
c. Ülke bazında gelecek trafiğin engellenmesi

Bu hizmet kapsamında yapılacak engellemeler, Tehdit Bastırma Motoru veya derinlemesine analiz yöntemleri kullanılmadan yapılıyor. Bu da Reputation DV hizmetinin IPS’in performansını etkilemeden çalışmasını sağlıyor.

İtibar veritabanı, farklı kaynaklar kullanılarak oluşturulan bir altyapı. Bu hizmeti oluştururken kullanılan bazı yöntemler şunlar:
• Gerçek zamanlı saldırı bilgilerinin DVLabs tarafından korelasyonu ile
• Global Reputation Community’den alınan ve günlük 12 milyondan fazla saldırı bilgileri ile

Şu an veritabanında 2 milyondan fazla IP adresi ve 300’den fazla DNS kaydı bulunmaktadır.Bunun yanında kullanıcılar, kendi sağladıkları IP ve DNS listelerini de bu kayıtlara ekleyebilirler.

Reputation DV, TippingPoint’in kutudan çıktığı andaki “Recommended” (tavsiye edilen) ayarlarından dolayı hemen çalışmakta ve müşterileri korumaya başlamaktadır.

Bu hizmet kapsamındaki veritabanı, 2 saatte bir güncellenmektedir.

Bu hizmet, güvenlik duvarı ve IPS sistemleri üzerindeki yükü hafifletmekte önemli bir rol oynayacaktır.