2.06.2021

Windows Server + OpenSSH

Windows Server 2019 varsayılan olarak OpenSSH Client kurulu geliyor. Yönetici ayrıcalıklarıyla açılmış bir Powershell konsolunda şu komut ile kontrol edebiliriz:

PS> Get-WindowsCapability -Online -Name 'OpenSSH*'

Buna ilave olarak OpenSSH Server kurulumunu da bir özellik gibi kurabiliriz:

PS> Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Kurulduktan sonra sshd hizmetini hemen başlatmak için

PS> Start-Service sshd

kullanabiliriz. Ama Windows Firewall etkinse önce bir kuralımızın olup olmadığını kontrol etmemiz iyi olabilir:

PS> Get-NetFirewallRule -Name *ssh*

Eğer bir kural yoksa yenisini yaratmak için

PS> New-NetFirewallRule -Name SSHSpec -DisplayName SSHSpec -Profile any
     -Protocol TCP
     -LocalPort 1022
     -Direction Inbound
     -Action Allow

Uzaktan bağlandığımızda varsayılan olarak cmd shell gelir. Bunu powershell ile değiştirmek için

PS>   New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH"
      -Name DefaultShell
      -Value "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
      -PropertyType String
      -Force

İleri seviye ayarlar sshd_config dosyasında, bu dosya da $env:ProgramData konumunda. Bu dosyadaki birkaç parametreyi hatırlayalım:

DenyUsers : Bağlanması engellenmek istenen kullanıcılar

AllowUsers : SSH sunucunun hedef kitlesi

PermitRootLogin : Windows Server için anlamsız

PermitEmptyPasswords : Boş parolalar geçerli mi değil mi

PasswordAuthentication : Parola ile bağlanmak mümkün mü, yoksa sadece RSA anahtarıyla mı

Eğer bir anahtar çifti yaratmak istiyorsak ssh-keygen ile yapabiliriz. Bu adımdan sonra id_rsa ve id_rsa.pub adında iki dosya oluşacak. pub uzantılı genel (public) anahtarımız. Bunu sunucuda bırakacağız. id_rsa ise bizim özel anahtarımız. Paylaşmamamız ve yanımızda taşımamız gerekiyor.

Öncelikle sunucu tarafında authorized_keys dosyasını oluşturalım.

PS> copy id_rsa.pub authorized_keys

Bu dosyanın yetkileri önemli. Sadece SYSTEM ve bizim kullanıcımızın tam yetkileri olmalı, başka yetki olmamalı. Bu amaçla icacls aracını kullanarak önce yetkilerin devralınmasını engelleyelim, daha sonra da administrators grubunu yetkiler listesinden çıkaralım.

PS> icacls authorized_keys /inheritance:r

PS> icacls authorized_keys /remove:g BUILTIN\Administrators

Yine şu sayfada sshd_config dosyasındaki aşağıdaki satırların başına # işareti konularak etkisizleştirilmesi önerilmiş.

# Match Group administrators
#   AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

sshd_config dosyasında yapılan değişikliklerden sonra sshd hizmetinin yeniden başlatılması gerek.

PS> Restart-Service sshd

Uzaktan bağlanabilmemiz için bir adım kaldı, o da id_rsa anahtarımızı yerel bilgisayara aktarmak. scp ile uzaktan kopyalayabiliriz.

PS> scp administrator@192.168.x.x:/Users/administrator/.ssh/id_rsa C:\Users\username

Ancak bu dosyanın da yetkileri ile ilgili kesin kurallar var. Benzer şekilde sadece SYSTEM ve kendi kullanıcımız yetkili olmalı.

PS> icacls .\id_rsa /inheritance:r

PS> icacls .\id_rsa /grant username:F

PS> icacls .\id_rsa /grant SYSTEM:F

Bundan sonra artık ssh bağlantısı mümkün.

PS> ssh administrator@192.168.x.x -i .ssh/id_rsa

Hala aşağıdaki gibi hata alıyorsanız

Permission denied (publickey,keyboard-interactive)

sondan bir önceki adımda # işaretiyle etkisizleştirmeniz gereken satırı atlamamış olabilirsiniz. Ya da alternatif olarak sshd_config dosyasında geçen

#StrictModes yes

satırını

StrictModes no

olarak değiştirmek önerilmiş.

27.04.2021

İnternetten indirilen bir dosyanın engelini kaldırma

Alternate data streams (ADS) konusunu daha önce yazmıştım. İnternetten indirilen bir dosya üzerinde bir "Zone.Identifier" ADS akışı olur.


Yukarıdaki diyaloğun altındaki "Engellemeyi Kaldır" kutusu işaretlenmeden zip dosyası açılırsa açılan her dosya için Zone.Identifier akışı oluşur. Bu Windows ayıklama arayüzü kullanıldığında geçerlidir. Diğer dosya sıkıştırma uygulamaları için durum farklı olabilir. Örneğin 7zip, çıkartılan (veya ayıklanan, her neyse) dosyalar için Zone.Identifier akışını korumaz. Ayrıca bu akışa sahip bir dosya çalıştırılırken de kaynağına güvenip güvenmediğimize dair emin misiniz sorusu görüntülenir.

Neyse, çevirideki anlam karmaşasından sıyrılıp konuya dönelim. Zip dosyasına sağ tıklayıp engellemeyi kaldırabiliriz. Ama amacımız bunu komut satırından, powershell ile yapmak.

Önce akışı görelim:

PS> Get-Item -Path Sysinternals* -Streams *

Bu şekilde bulunduğumuz klasörde sysinternals ile başlayan tüm dosyaların ADS verilerini görüntülemiş oluruz. Belli bir dosyanın belli bir akışına (ADS'sine) ulaşmak için daha net olarak

PS> Get-Item SysinternalsSuite.zip -Streams Zone.Identifier

kullanabiliriz. Zone.Identifier akışını bulduk. Bir de içeriğini görüntüleyelim.

PS> Get-Content SysinternalsSuite.zip:Zone.Identifier

[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysinternals-suite
HostUrl=https://download.sysinternals.com/files/SysinternalsSuite.zip

Bunu silmek için de

PS> Remove-Item SysinternalsSuite.zip:Zone.Identifier

kullanabiliriz. Bunlar tek seçenek değil, başka yollar da var. ADS akışından kurtulduktan sonra powershell ile dosyaları çıkartmak (ayıklamak, genişletmek) için de şöyle bir yol olabilir:

PS> Expand-Archive .\SysinternalsSuite.zip -DestinationPath D:\Tools\ -Force

Burada -Force parametresi o klasörde var olan eski sürümlerin üzerine yazmayı etkinleştirmek için.

16.03.2021

Get-WinEvent ve Logon Type

Uzak masaüstü bağlantılarını eventlog'dan süzmek için garip filtereler kullandım durdum. Ta ki şunu bulana kadar:

Get-WinEvent -FilterHashTable @{LogName="Security";Id=4624} | Where-Object {$_.properties[8].value -eq 10}

Buradaki properties olarak geçen 27 öğelik EventProperty nesnesi, her olay için ayrıntılar sekmesinde çıkan parametrize edilmiş olay özellikleri. Bunu aslında log parser zamanlarından biliyordum, ama nedense bu alanların powershell'den de erişebileceğini hiç düşünmemiştim.

Her durumda Logon Type=10 kaydı düşülmüyor. Sunucunun ekranı kilitlenmişse sadece Logon Type=7 (muhtemelen bir Logon Type=3 sonrasında) kaydı olabiliyor.

15.03.2021

Sysmon

Sysinternals araçlarının fanatiğiyim. Hepsi güzel, ama özellikle Process Monitor, Process Explorer, Autoruns gibi araçların hayranıyım. Bir süredir Sysmon'un varlığından ve işlevlerinden haberdardım ama çok yakınlaşma fırsatım olmamıştı. Aslında yakınlaşınca anladım ki Sysmon hakkında hiçbir şey bilmiyormuşum. Channel9'daki Defrag Tools programındaki konuşmalar falan konuya sadece giriş seviyesinde değinmiş.

İşin özünde Sysmon da Process Monitor benzeri bir araç. Ama bir grafik arayüzü yok. Grafik arayüz olmayınca da onun yerine geçecek filtreleme işlerini başka bir şekilde yapmamız gerekiyor. Bu şekil de burada XML oluyor.

Şu anda web sayfalarında 13.01 sürümü var. Yani ilk çıktığından bu yana çok yol almış. Yolun çoğu XML yapısı ile ilgili alınmış. Sanıyorum ilk çıktığında bugüne kıyasla çok ilkel bir XML yapısı varmış. Zamanla çok değişmiş. Şu anda XML schemaversion 4.5. Bu neleri değiştirmiş, varsayılan olarak VEYA olan filtre 4.22 ile VE olmuş, yeni XML elemanları eklenmiş vs.

Çalıştırıp yakalamaya başlaması için

sysmon -i

komutunu vermek gerekiyor. Bu şekilde varsayılan ayarlarla çalışmaya başlıyor. Yakaladığı olayları Event Viewer'da Application and Service Logs altında Microsoft-Windows-Sysmon/Operational'a yazıyor. -i anahtarı ile çalıştırıldığı anda kendini %SystemRoot% klasörünün altına kopyalayıp bir servis olarak çalışmaya başlıyor. Bu şekilde bilgisayarı tekrar başlattığımızda da çalışmaya devam ediyor. Faaliyetlerini durdurmak için kaldırmak gerekiyor ki bu da

sysmon -u

ile oluyor. Bir kez kurulduktan sonra varsayılan ayarlarla olayları yakalamaya başlıyor demiştik. Yapılandırmayı değiştirmek için bir XML dosyası oluşturarak -c anahtarı ile bu dosyanın yerini göstermek gerekiyor.

sysmon -c ornek.xml

Buraya kadarki konular zaten her yerde yazılan kısım. Bir örnek üzerinden gidelim. Bir sunucumuz var; bu sunucunun üzerinde IIS çalışıyor. C:\inetpub\wwroot\aspnet_client klasörü altında oluşturulan .aspx dosyalarının hangi süreç tarafından oluşturulduğunu bilmek ve bundan haberdar olmak istiyoruz. Aynı zamanda %ProgramData% ve %SystemRoot%\Temp klasörlerinin altında oluşturulabilecek *.7z, *.zip ve *.rar dosyalarına ait olayları takip etmek istioruz. Aslında bunun mantığını kurala dökmek kolay. Bir pseudo code ile:

(Path = C:\inetpub\wwwroot\aspnet_client VE Extension=*.aspx) VEYA ((PATH=%PROGRAMDATA% VEYA PATH=%SystemRoot%\temp) VE (Extension=.7z VEYA Extension=.zip VEYA Extension=.rar))

demek kolay. Ama bunu XML'e dökmek nispeten zor. Tüm süreci nasıl anlatırım bilemiyorum, ama nihayetinde şunları söyleyebilirim. Birden fazla mantık grupları için RuleGroup'lar oluşturmak gerek. Aynı olaya ait ikisi de include veya ikisi de exlude olan RuleGroup'lar geçerli değil. Ayrıca schemaversion 4.22'den sonra EventFiltering elemanı içindeki öğelerin varsayılan mantık operatörü VE. Bunu değiştirmek için groupRelation attribute'larını kullanıyoruz. İkisi de include olan RuleGroup'lardan kaçınmak için birini exclude yapmam gerekti. Bunu da path'ten yana kullandım. Hariç tutulabilecek path'leri toplayıp bir exlude RuleGroup'u oluşturdum. Sonuçta elimde şöyle bir XML dosyası oldu:

<Sysmon schemaversion="4.5">
  <HashAlgorithms>sha256</HashAlgorithms>
  <CheckRevocation/> <!-- Check loaded drivers, log if their code-signing certificate has been revoked, in case malware stole one to sign a kernel driver -->

  <EventFiltering>

    <RuleGroup name="Extension" groupRelation="or">
      <FileCreate onmatch="include">
        <TargetFilename condition="end with">.7z</TargetFilename>
        <TargetFilename condition="end with">.zip</TargetFilename>
        <TargetFilename condition="end with">.rar</TargetFilename>
        <TargetFilename condition="end with">.aspx</TargetFilename>
        <TargetFilename condition="end with">.asp</TargetFilename>
      </FileCreate>
    </RuleGroup>

    <RuleGroup name="Path" groupRelation="or">
      <FileCreate onmatch="exclude">
        <TargetFilename condition="begin with">C:\PerfLogs</TargetFilename>
        <TargetFilename condition="begin with">C:\Program Files (x86)</TargetFilename>
        <TargetFilename condition="begin with">C:\Program Files</TargetFilename>
        <TargetFilename condition="begin with">C:\Scripts</TargetFilename>
        <TargetFilename condition="begin with">C:\inetpub\temp</TargetFilename>
        <TargetFilename condition="begin with">C:\inetpub\logs</TargetFilename>
        <TargetFilename condition="begin with">C:\inetpub\history</TargetFilename>
        <TargetFilename condition="begin with">C:\inetpub\custerr</TargetFilename>
      </FileCreate>
    </RuleGroup>

    <RuleGroup name="ProcStart" groupRelation="or">
      <ProcessCreate onmatch="include">
        <Image condition="end with">cmd.exe</Image>
        <Image condition="end with">powershell.exe</Image>
        <Image condition="end with">iexplore.exe</Image>
      </ProcessCreate>
    </RuleGroup>

    <RuleGroup name="ProcStartExclude" groupRelation="or">
      <ProcessCreate onmatch="exclude">
        <CommandLine condition="contains">...</CommandLine>
      </ProcessCreate>
    </RuleGroup>

    <RuleGroup name="ProcEnd" groupRelation="or">
      <ProcessTerminate onmatch="include"/>
    </RuleGroup>

    <RuleGroup name="NetConnct" groupRelation="or">
      <NetworkConnect onmatch="include">
        <DestinationHostname condition="end with">github.com</DestinationHostname>
        <DestinationHostname condition="end with">githubusercontent.com</DestinationHostname>
      </NetworkConnect>
    </RuleGroup>

  </EventFiltering>

</Sysmon>

Arada başka öğeler de var. Örneğin cmd.exe, powershell.exe ve iexplore.exe süreçlerinin başlaması da takip ediliyor. Süreç başlaması işlemlerinin takibinde bazı hariç tutmalar için "..." ile olası bir durumu da ekledim. Ayrıca github.com ve githubusercontent.com'a girişleri de takip ettim. Bunun dışındaki süreç başlamalarını ve sonlanmalarını hariç tuttum.Şablon olarak şu kaynaktaki xml dosyası üzerinden gittim.

27.02.2021

Youtube'u nasıl engellerim

Gördüğüm kadarıyla herkesin hedefi bu. Evde çocuk var, tableti var, ve eline tablet geçen çocuk Youtube'u bırakmıyor. Ebeveynler de nasıl engellerim diye düşünüyorlar.

Kolay bir yol buldum. Bir Raspberry PI ve PI-Hole ile istenen cihaz üzerinde istenen engelleme (sadece Youtube değil, başka adresler de engellenebilir) yapılabiliyor. Raspberry PI nasıl edinilir, üzerine bir işletim sistemi nasıl kurulur ve PI-Hole nasıl çalışır hale getirilir, bu adımları atlıyorum.

PI-Hole kurulduktan (modem üzerinde DNS yönlendirmeleri, DHCP işleri vs bittikten) sonra pi-hole'a http://pi.hole gibi bir adresten ulaşabiliyor olmalısınız. Ulaşamıyorsanız cihazlarınızın gizli DNS (private DNS) kullanmadığından emin olun. http://pi.hole adresi üzerinden pi-hole'a ulaştıktan (ve kurulum sırasında verilen şifre ile oturum açtıktan) sonra sol üstte yer alan üç çizgili butondan menüyü genişletin (masaüstü bir bilgisayardan giriyorsanız menü solda açık gelir).

Menüde "Group Management" altından Groups'u seçin. Buraya YoutubeYok gibi bir isimle yeni bir grup yaratın. Varsayılan "Default" grubunuzla birlikte 2 grubunuz olacak. Daha sonra yine menüden "Group Management"in altındaki Clients'i seçin. Buraya kısıtlamanın uygulanacağı cihazın MAC adresin girerek sağındaki grup adını bir önceki adımda yarattığımız YoutubeYok (veya ne verdiyseniz ona) ayarlayın. Bu şekilde sadece kısıtlamaların uygulanacağı cihazı bir grubun üyesi yaptık. Başka cihazların da bu kısıtlamaya maruz kalmasını istiyorsanız onları da eklemelisiniz.

Nihayet son aşamada menüden "Group Management" altından Domains'i seçin. Bu sayfaya yasaklanmasını istediğiniz youtube adreslerini yazın. Sadece youtube.com yetmeyebilir, wildcard kullanarak googlevideo.com, googleapis.com ve google.com gibi adresleri de eklemeniz gerekebilir.

Bu adımdan sonra yasaklamalar devreye girmiş olacak. Kaydettikten hemen sonra devam eden bir akış varsa Youtube hemen kesilmeyecektir. Sistem DNS sorgularını "yanlış cevaplandırma" mantığına dayandığı için malum cihaz(lar)ın üzerinde zaten çözülmüş sorguların süresi geçene kadar (tahminen birkaç dakika) herşey normal çalışmaya devam edecektir.

Bu elbette bu işi yapmanın tek yolu değil, ama Raspberry PI uygun fiyatlı bir cihaz. pi-hole da tek seçenek olmayabilir, pfSense gibi çözümler de uygulanabilir, ama bu çok daha kolay bir yöntem gibi geldi bana.

25.02.2021

Powershell ile sayma

Varsayalım ki şöyle bir hedefimiz var; bugün uygulama olay günlüğü (Application Event Log) içinde kaydı düşülen olayların ID'lerine göre hangisinin kaç kez olduğunu bulmak istiyoruz.

Get-WinEvent -FilterHashTable @{LogName="Application";StartTime="2021-02-25 00:00"} |
Group-Object -Property ID -NoElement |
Sort-Object -Property Count -Descending

Bunu bir de Log Parser ile yapmak istedim:

SELECT EventID,
COUNT(EventID) As IdCount
FROM Application
WHERE (TimeGenerated>TO_TIMESTAMP('2021-02-25 00:00:00','yyyy-MM-dd HH:mm:ss'))
GROUP BY EventID
ORDER BY IdCount DESC

Aralarındaki benzerik hoşuma gitti.

23.02.2021

IP adresinden coğrafi konum öğrenme

Sysmon Tools'un sayfasını incelerken basit bir IP adresini coğrafi konuma çeviren servisi öğrendim, hoşuma gitti. Ücretsiz sürüm ayda 10.000 sorguya kadar izin veriyor. Bu sebeple Powershell ile kullanma yoluna gittim.

Herşeyden önce ipstack.com üzerinde ücretsiz bir hesap açıp API access key'ine sahip olmak gerekiyor.

Varsayalım ki elimde $IPAdresi adında bir değişen var ve içeriğinde coğrafi konumunu sorgulamak istediğim bir IP adresi var.

Sorguları göndermek için $IPAdresi değişkenini kullanarak şöyle bir URI oluşturuyoruz.

$uri  = "http://api.ipstack.com/" + $IPAdresi + "?access_key=xxxx-xxx-xxx-xxx"

Daha sonra bu adrese bir Invoke-WebRequest ile istek gönderdim ve sonucu $wr değişkenine kaydettim.

$wr = Invoke-WebRequest -uri $uri -UseBasicParsing

IPStack.com'un cevabı bir JSON nesnesi. Bunu dönüştürebilmek için de şu satırı kullandım:

$json = $wr.content | ConvertFrom-Json

Bu adımdan sonra $json nesnesinin şu alt alanları döndü ki çok işime yaradı.

continent_code: 2 harfli kıta kodu (AF: Afrika, AS: Asya, EU: Avrupa, NA: Kuzey Amerika, OC: Okyanusya, SA: Güney Amerika, AN: Antarktika)

continent_name: Yukarıdakinin tam hali, kıta adı

country_code: 2 harfli ülke kodu (tam liste için Wikipedia sayfasına bakın)

country_name: Yukarıdakinin tam hali, ülke adı

region_code: Bölge kodu. Amerika için eyalet kodları, Türkiye için plaka numaraları.

region_name: Bölge ismi. Amerika için eyalet ismi, Türkiye için şehir ismi.

city: Şehir. Türkye için yukarıdaki ile aynı.

Ayrıntılar için şu sayfaya bakılabilir.

Sonradan aklıma geldi, ama Invoke-WebRequest | ConvertFrom-Json kullanmak yerine tek seferde Invoke-RestMethod kullanılabilir. İkisi de Powershell 3.0 ile gelmiş.

30.01.2021

Bir RaspberryPI projesi

Evde boş duran bir raspberry pi 2 vardı. Sebebi bu yazının konusundan bağımsız bir düşünceden dolayı evdeki kablosuz ağımızda bilinen ve/veya bilinmeyen ne gibi cihazlar var; davetsiz misafirlerimiz var mı diye meraklandığım bir anda bu raspberry pi için bir amaç buldum. Bir şekilde yerel ağımızdaki cihazlar için periyodik ARP taraması yapacak, MAC adreslerini listeyecekti. Ben de sonra bu sonuçlara bakarak hangisi tanıdık, hangisi istenmeyen bilebilecektim.

Bu amaçla önce raspberry pi'ya bir ARM tabanlı Ubuntu türevi olan Raspbery PI OS işletim sistemini yükledim. Eskiden Raspbian vardı, adı artık değişti. ARP taramasını önce nmap ile yapmak aklımdan geçti. Ama daha sonra arpscan diye bir aracın varlığını öğrendim. Kullanımı basit.

$ sudo arp-scan -l

yazınca yerel ağdaki cihazların listesini, 2 satır header ve 2 satır footer arasında sekmelerle ayrılmış olarak veriyor, aşağıdaki gibi:

Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9.5 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.xx.xx    xx:xx:xx:xx:xx:xx    (Unknown)
192.168.xx.xx    xx:xx:xx:xx:xx:xx    (Unknown)
192.168.xx.xx    xx:xx:xx:xx:xx:xx    (Unknown)

3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.5: 256 hosts scanned in 4.335 seconds (59.05 hosts/sec). 3 responded

Bu tamam. Bunu bir bash script'ine koydum (scan.sh):

#!/bin/bash
_now=$(date +"%Y-%m-%dH%H-%M")
_file="/home/pi/arpscan/log_$_now.log"
sudo arp-scan -l > "$_file"

Bu script, çalıştığında ARP taramasının sonuçlarını log_2021-01-29H21-15.log gibi bir dosyaya kaydedecek. Peki nasıl çalışacak?

# sudo crontab -e

ile bir cronjob oluşturdum, aşağıdaki gibi

0,15,30,45 * * * * sh  /home/pi/arpscan/scan.sh

Yani, her 15 dakikada bir çalışıp ağdaki her cihazın MAC adresini, o anın tarih ve saatini içeren  isme sahip bir log dosyasına kaydedecek. Buraya kadar güzel. Ama bu dosyaları oturup incelemek uzun iş. Onun için önce evdeki cihazların bir envanterini çıkardım. MAC adreslerini belirledim. Sonra da bir python script'i oluşturarak, bu envanterin dışında kalan MAC adreslerini bulmasını sağladım (read.py):

#!/usr/bin/python3.7
import glob

def get_mac(line):
    line_ = line.split('\t')
    if (len(line_)>2):
        mac = line_[1]
        if (mac.count(':')==5) or (mac.count('-')==5):
            return mac.upper()
    return ''

def mac_in_list(mac):
    mac_list = {"xx:xx:xx:xx:xx:xx",... }
    for item in mac_list:
        if mac==item:
            return True
        else:
            continue
    return False

logPath = "/home/pi/arpscan/log*.log"
outPath = '/home/pi/arpscan/all_macs_py.txt'

loglist  = glob.glob(logPath,recursive=False)

for item in loglist:
    oLogFiles = open(item,'r')
    content_ = oLogFiles.read()
    content = content_.split('\n')
    for line in content:
        mac = get_mac(line)
        if (len(mac)>0):
            if not mac_in_list(mac):
                print(mac,"is new!",item)
    oLogFiles.close()

 

Gün içinde her 15 dakikada bir yapılacak ARP taramasının sonuçları bir klasörde birikecek, günün bir saatinde de bu dosya çalışacak, yabancı MAC adresi taraması yapacak, eski logları sıkıştırıp arşivleyecek ve gereksiz dosyaları temizleyecek (temizle.sh):

#!/bin/bash

cd /home/pi/arpscan
./read3.py > all_macs_py.txt
_today=$(date +"%F")
_file="/home/pi/arpscan/log_$_today.7z"
_move_target="/home/pi/arpscan/all_macs_$_today.txt"
7z a $_file /home/pi/arpscan/log_*.log
rm /home/pi/arpscan/log_*.log -f
mv /home/pi/arpscan/all_macs_py.txt $_move_target -f
sudo cp $_move_target /var/www/html/arp.lan/

Bunu da benzer bir şekilde günün bir saatinde çalışmak üzere bir cronjob'a atadım. En son satırdaki dosyanın /var/www/html/arp.lan/ klasörüne kopyalanması bu yazının son bölümünde anlatacağım adımdan sonra netlik kazanacak.

Sonra bu cihazın herkesin erişimine açık olmaması için öncelikle güvenlik duvarını etkinleştirdim:

$ sudo ufw enable

$ sudo ufw allow ssh 

Sonra da fail2ban paketini kurdum. Bu paketi özellikle çok sevdim. Aslında Windows alışkanlığı olarak account lockout diye arattım, ama bu daha da güzel. Belli bir sayıda giriş başarısız olursa kaynak IP adresini güvenlik duvarı üzerinde engelliyor.

$ sudo apt install fail2ban

Sonrasında şu adreste yazdığı gibi yapılandırmaya başladım. Öncelikle /etc/fail2ban/jail.conf dosyasının bir kopyasını alıp jail.local olarak kaydettim:

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

sonra bu dosyasının en sonuna aşağıdaki bölümü ekledim:

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry= 3
bantime = -1

Bu şekilde varsayılan ssh portu üzerinden 3 kez yanlış şifre girilmesi durumunda (maxretry=3) IP adresini süresiz (bantime=-1) engelliyor. Bunların logunu da /var/log/auth.log dosyasında tutuyor.

Kurulduktan sonra fail2ban hizmetini etkinleştirip çalıştırdım:

$ sudo systemctl enable fail2ban.service

$ sudo systemctl start fail2ban.service

Sistemin çalıştığından emin olmak istedim. 5 kez yanlış şifre sonunda IP adresim engellendi. IP adresimi değiştirerek tekrar giriş yapmam mümkün oldu. Girdikten sonra da

$ sudo fail2ban client unban 192.168.xx.xx

ile engellemeyi kaldırdım. Herhangi bir anda engellenen IP var mı diye bakmak için

$ sudo fail2ban-client status sshd

komutunu kullanabilirim.

Aklımda başka bir fikir daha vardı. Modemimin loglarını saklamak için rsyslog'u ayarladım. Artık sadece ARP tarama sonuçlarını değil, modemimin loglarını da raspberry pi'ın üzerinde saklıyorum. Bunu yapabilmek için Raspberry PI OS ile gelen rsyslog'un yapılandırma dosyası olan /etc/rsyslog.conf'u açtım. 514 numaralı port üzerinden TCP ve UDP'den gelecek syslog kayıtlarını etkinleştirmek için aşağıdaki satırların başındaki hash karakterini sildim.

module(load="imudp")
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

Bu portları güvenlik duvarı üzerinde açmayı da unutmayalım:

$ sudo ufw allow 514

Ardından cihazımdan gelecek logların saklanacağı dosyayı belirledim

$template PerHostLog,"/var/log/rsyslog/netmaster.log"
if $fromhost-ip startswith '192.168.0' then -?PerHostLog
& STOP

Elbette modemimin üzerindeki ilgili sayfaya giderek logları syslog sunucuya göndermek için raspberry PI'ın IP adresini yazmam da gerekti.

Bu da yetmedi, bir süredi adını çok duyduğum PI-hole'u kurmayı denedim. Ev ağımızda reklamlardan kurtulmak için faydalı olduğunu okumuştum. Kurma işlemi gayet basit, sayfada anlatıldığı gibi. Kurduktan sonra yine (aynı zamanda DHCP sunucum olan) modemime gittim ve IP atamaları sırasında internet hizmet sağlayıcımın değil de PI-hole cihazım üzerinden IP sorgularını çözmesini sağladım. Bu şekilde reklam ve diğer istenmeyen IP adreslerinin kara listeye alınmasını sağladım. Ama önceden belirtmekte fayda var; youtube reklamları bu yöntemle engellenmiyor. Çoğu durumda uBlock yine vazgeçilmez.

PI-hole ile birlikte lighttpd web sunucusu geliyor ve çoklu sanal sunucuları destekliyor. Varsayılan olarak bir sanal sunucuda kendi portalını çalıştırıyor. İkinci bir sanal sunucu oluştursam da ARP taraması sonuçlarını ssh ile giriş yapmadan bir web arayüzünden görüntülesem diye düşündüm. Bu kısım beni biraz uğraştırdı. Lighttpd web sunucusuna ayrı bir yazı yazmak isterim ileride; çok yetenekli bir sunucu. Yapılandırmasını çözmem biraz zaman aldı. Apache ile ilgili tonlarca kaynak var, ama lighttpd ile ilgili bilgi daha az.

Önce şu videoda anlatıldığı gibi /etc/dnsmasq.d klasörünün altına 02-lan.conf dosyasını oluşturarak PI-hole üzerinde yerel DNS kayıtları oluşturmak istedim. Bu dosyanın içeriğini

addn-hosts=/etc/pihole/lan.list

olarak kaydettim. Sonra /etc/pihole/lan.list dosyasının içeriğini de 

192.168.xx.xx    arp.lan

olarak kaydettim. Telefonumdaki bir tarayıcıdan bile http://arp.lan ile bu siteye girebileceğim :)

Buraya kadarki kısım sadece yerel DNS kaydı oluşturmak içindi (ve güncellemelerde varsayılan doslaların üzerine yazılmasından kaçınmak için). Bundan sonra asıl sanal sunucuyu oluşturmak için /etc/lighttpd/external.conf dosyasına şu içeriği kaydettim:

$HTTP["host"] =~ "(^|.)arp.lan$" {
    server.document-root = "/var/www/html/arp.lan/"
    server.dir-listing = "enable"
}

Sonra da elbette /var/www/html/arp.lan klasörünü oluşturdum. Buradaki içeriğin de daha önce bahsettiğim ARP taramasında envanterimde olmayan cihazların MAC adreslerini içeren dosyaların kopyalanmasını (temizle.sh dosyasının son satırı) sağladım.

DNS sorguları ve web sitesi için sırasıyla 53 ve 80 numaralı portları da açmayı unutmayalım:

$ sudo ufw allow 53 # DNS için hem UDP hem TCP

$ sudo ufw allow 80/TCP # HTTP için sadece TCP

Başka ilave listeler de bulup PI-hole'a ekledim, malware ve daha fazla reklam engellemesi için. Şu anda yerel ağımızdaki DNS sorgularının %10'unun PI-hole tarafından engelleniyor. Bu trafiğin ve bağlantı için harcanan zamanın %10'u değil, sadece sayısal olarak yapılan DNS sorgularının oranı. Ölçmedim, ama büyük olasılıkla daha yüksek bir oranda trafik ve zaman kazancı sağlayacaktır.

Tam bitti derken reddit'te PI.Alert projesini okudum. Niye, ama niye?

8.01.2021

iptables

Linux'un güçlü bir güvenlik duvarı var. Giriş seviyesinde bazı noktalara değinmek istiyorum.

Bilgisayar trafiğinin 3 temel zincirden oluştuğu düşünülmüş: giriş (INPUT), çıkış (OUTPUT) ve yönlendirme (FORWARD). Mevcut kuralları görmek için

# iptables -L

veya daha ayrıntılı bilgiler için ek olarak -v (verbose) kullanılabilir. Bu anahtarla her kural ile engellenen paket sayıları gibi istatistikleri sıfırlamak için -Z anahtarı kullanılır. Her satırın numaralandırarak listelemek için

# iptables -L --line-numbers

kullanılabilir. Satır numararaları belli bir kuralı silmek veya öncesi/sonrasına yeni kural eklemek için kullanılır.

Sadece INPUT zincirinin kurallarını görmek için

# iptables -L INPUT

Farklı bir şekilde kuralların listesini almak için -S anahtarı kullanılabilir.

# iptables -S

Bir güvenlik duvarının temel amacı istenmeyen trafiği engellemektir. Bu trafik de genelde gelen trafiktir. Dolayısıyla giriş (INPUT) zincirine odaklanacağız. Çıkış (OUTPUT) ve yönlendirme (FORWARD) trafiklerinin varsayılan olarak izin verilen yapıda olduklarını kabul edeceğiz.

Bilgisayarımızda dış dünyayla paylaşacak hiçbir şeyimiz (bir web veya ssh sunucu) olmayabilir. Bu durumda gelen tüm trafiği engelle diyebiliriz:

# iptables -P INPUT DROP

Ama bu durumda Firefox'un internete bağlanma isteklerine alacağı cevapları bile engellemiş oluruz. Bu durumda sadece bunun gibi bizim bilgisayarımızdan dış dünyaya gönderilen istekler sonucu oluşturulmuş (ESTABLISHED) veya süre gelen bağlantılarla ilgili (RELATED) bir trafiğe izin verebilmek için şu komut gerekir:

# iptables  -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Eğer bir de bilgisayarımızda örneğin bir ssh sunucusu varsa ve buna ulaşmak istiyorsak varsayılan 22 portu üzerinden aşağıdaki gibi bir kural yazabiliriz:

# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

İlk satırda verdiğim ve tüm gelen bağlantıları engelleyen varsayılan politikanın yerine, kurallar dizisinin en sonunda engelle kuralı da ekleyebiliriz:

# iptables -A INPUT -j DROP

Bu şekilde giriş zinciri için varsayılan politika izin ver (ACCEPT) olarak bırakılabilir, ama izin verdiğimiz 2 kural haricindeki bütün trafiği de en son girdiğimiz kuralla engellemiş de oluruz. Bunun tek avantajı, bir sebeple bütün kuralları silerek güvenlik duvarını sıfırlama ihtiyacı durumunda kendimizi de makineye uzaktan bağlanamaz durumda bırakmamaktır.

Listede INPUT zincirindeki 3 numaralı kuralı silmek için

# input -D INPUT 3

veya bütün kuralları (tüm zincirlerdeki) silmek için

# iptables -F

kullanabiliriz.

Mevcut kuralların bir yedeğini almak istersek

# iptables-save > fw_state.txt

Benzer şekilde bu dosyadan durumu geri yüklemek için de

# iptables-restore < fw_state.txt

kullanabiliz.

iptables komutu kullanarak oluşturduğumuz kurallar, geçicidir ve bir sonraki tekrar başlatma sonrasında silinirler. Bunları kuralları

# iptables-save

komutu ile kalıcı yapabiliriz.

Bunların dışında eğer gelen ping'lere cevap verilmesini gerektiren bir durum varsa (elbette en sonda bir DROP kuralı kullandıysak bundan önce bir yerlerde)

# iptables -A INPUT -p icmp -j ACCEPT

ve eğer engellenen trafiğin bir kaydını tutmak istersek de (kuralın yeri yukarıdaki gibi)

# iptables -A INPUT -j LOG --log-prefix "FW-REJECT "

kullanılabilir. 

Bu komut satırı arayüzü ilk başta biraz karmaşık geldiği için farklı linux dağıtımlarının bunu yönetmek için farklı çözümleri vardır. Örneğin Fedora ve türevleri firewalld'yi [4] kullanır. Bu arayüz üzerinden güvenlik duvarının mevcut durumunu görmek için

# firewall-cmd --state

kullanılır. Bunun sonucunda tek satırlık 'running' dönüyorsa güvenlik duvarı devrededir. Burada başka bir şey yazıyorsa systemctl ile firewalld.service durumu kontrol edilmelidir. Mevcut profili ve ayrıntıları görmek için

# firewall-cmd --list-all

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: dhcpv6-client mdns ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

 

Profiller burada zone olarak isimlendirilirler. Mevcut zone'umuz ilk satırda yazan public zone'udur. Zone'ların listesini almak için (boşlukla ayrılmış tek satırlık liste)

# firewall-cmd --get-zones

ya da daha ayrıntılı bir bilgi için

# firewall-cmd --list-all-zones

Güvenlik duvarı üzerinden akan trafiği kontrol etmek için kaynak ve hedef IP adresleri, portlar ve hizmetler gibi kavramlar kullanılır. Örneğin firewall üzerinde basit bir port (örneğin TCP 514) açmak için

# firewall-cmd --add-port=514/tcp

kullanılır. Ya da bunu bir hizmet olarak yapmak için --add-service kullanılabilir:

# firewall-cmd --add-service=syslog

Benzer şekilde tanımlanmış hizmetlerin listesini görebilmek için

# firewall-cmd --list-services

kullanılabilir. Firewalld'nin iki modu vardır. Birincisi şu anda çalışan ayarları ifade eden çalışma zamanı (runtime) modu. Bu mod kaydedilmezse bir sonraki tekrar başlatmada kaybolur. Diğer mod ise en son kaydedilmeden sonraki durumu içeren kalıcı (permanent) moddur. Varsayılan olarak firewall-cmd ile yaptığımız tüm işlemler çalışma zamanı modunu değiştirir. Yaptığımız işlemlerin kalıcı modu etkilemesi için --permanent parametresi kullanılır. Çalışma zamanı mod için bir parametre yoktur, varsayılan olarak komutlar çalışma zamanını etkiler.

Çalışma zamanında yapılan ayarları kalıcı yapmak için 

# firewall-cmd --runtime-to-permanent

kullanılır. Ya da kalıcı modda yapılan ayarları çalışma zamanına aktarmak için

# firewall-cmd --reload

kullanılır.

Ubuntu'da ise ufw (uncomplicated firewall) kullanılır. Durum kontrolü için

# ufw status 

Güvenlik duvarını etkinleştirmek için

# ufw enable

22 numaralı TCP portunu açmak için

# ufw allow 22/TCP

Her komut sonucu zaten kaydettiği için save gibi komutlar yok.

İleri Seviye Bazı teknikler

Dünya açtığınız bir hizmetin yaşayabileceği riskler çok büyüktür. Çeşitli tip ve sayıda port taraması, keşif yöntemleri vs maruz kalır. [5]'te söylendiği gibi karmaşık DDoS saldırılarına karşı sadece iptables'a güvenmemeliyiz. Ama en azından daha yetkinliğinin ilk günlerini yaşayan bir yavru hacker'ın (script kiddy veya lamer) kötü emellerine alet edilmekten kurtulmak için bazı şeyler yapılabilir. Şunlar önerilmiş:

# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

Bu kural ile TCP bitlerinden hiçbirisi 1 olmayan paketlerin göz ardı edilmesi sağlanmış. İletişimi başlatan ilk paketlerin mutlaka bazı TCP özel alanları (TCP flags olarak bilinen) 1 olmalı. Olmayanlar, keşif amaçlı port taraması vs için gönderilmiş öncü saldırılardır.

# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Bu kural ile SYN-flood saldırısının engellenmesi sağlanır.

# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Bu kural ile de XMAS saldırısı olarak bilinen saldırı türünden korunma sğlanır.

---

[1] https://www.digitalocean.com/community/tutorials/iptables-essentials-common-firewall-rules-and-commands

[2] https://docs.fedoraproject.org/en-US/Community_Services_Infrastructure/1/html/Security_Policy/HostIptables-Standard-Introduction-Prerequisites.html

[3] https://www.hostinger.com/tutorials/iptables-tutorial

[4] https://docs.fedoraproject.org/en-US/quick-docs/firewalld/

[5] https://www.digitalocean.com/community/tutorials/how-to-set-up-a-basic-iptables-firewall-on-centos-6

[6] https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules