13.08.2020

Linux, static route ve netplan

Ubuntu 18.04 ve sonrası artık route tablosuna giriş eklemek için netplan kullanıyor.

Bir örnek üzerinden gidelim. Yerel ağımızdaki IP aralığı 192.168.1.0/24 olsun. Bir de uzak ofisimiz var, onun da IP aralığı 192.168.2.0/24. Uzak ofisteki kullanıcıların merkeze ulaşması için kurulan router'ın IP adresi de 192.168.2.101 olsun.

Bu durumda iletişimin sağlanabilmesi için, örneğin, uzak ofisteki bir ubuntu makinenin üzerinde

$ sudo ip route add 192.168.1.0/24 via 192.168.2.101 dev ens32

gibi bir yönlendirme girişi yapmak gerek. Ancak bu kalıcı olmayacak. Bir sonraki yeniden başlatmada da geçerli olmasını sağlayabilmek için /etc/netplan altındaki dosyayı düzenlememiz gerekecek. Bu klasörde ismi standart olmayan bir dosya vardır, kast edilen dosya bu. Elle IP adresi ataması yapılmış bir bilgisayar için bu dosyanın içeriği şu şekilde olabilir:

network:
    ethernets:
        ens32:
            addresses:
            - 192.168.2.7/24
            dhcp4: false
            gateway4: 192.168.2.1
            nameservers:
                addresses:
                - 192.168.2.2

Buraya, gördüğüm kadarıyla gateway4'ün hemen altına, şu satırları girmek gerek:

- to: 192.168.1.0/24
  via: 192.168.2.101
Yani tam içerik şöyle olacak:

network:
    ethernets:
        ens32:
            addresses:
            - 192.168.2.7/24
            dhcp4: false
            gateway4: 192.168.2.1
             - to: 192.168.1.0/24
               via: 192.168.2.101
            nameservers:
                addresses:
                - 192.168.2.2

Bu şekilde işlem tamam.

---

2020-12-28 ek: Netplan yaml dosyasındaki hatalardan dolayı yapılandırma uygulanmazsa bunun kaydını görmek için

$ journalctl -b -g netplan # NETPLAN (büyük harflerle) de olabilir

kullanılabilir. Ayrıca yaml dosyasındaki hataları görebilmek için netplan komutu ile birlikte aşağıdaki parametreler kullanılabilir:

# netplan try # yaml dosyasındaki ayarları uygula, hata varsa mevcut duruma geri dön

# netplan apply # yaml dosyasındaki ayarları uygula

# netplan ip leases ens33 # arayüz üzerindeki DHCP atamalarını görüntüle

Bunların haricinde üzerinde çalıştığımız sistem IP adresini bir DHCP sunucudan almışsa bu sunucuyu bulmak için

$ journalctl -b -g DHCP # anahtar kelime konusunda yaratıcı olmak gerekebilir

Veya çoğu dağıtğımda /var/lib/dhclient/dhclient.leases gibi bir dosyanın içeriğini inceleyebiliriz:

$ cat /var/lib/dhclient/dhclient.leases

Bunlar işimizi görmezse UDP 68 üzerinden gerçekleşen ağdaki DHCP trafiğine göz atmak istersek:

# tcpdump -i eth0 -nev udp port 68

ve hatta ağdaki DHCP sunucuyu bulabilmek için bir dhcp-discover paketi göndermek için

# nmap --script broadcast-dhcp-discover -e eth0

DHCP'nin mevcut atamasını serbest bırakıp yeniden istekte bulunmak için

# dhclient -r

Şu anda sistemin kullandığı DNS sunucuyu görmek için

# resolvectl dns

Gerekli durumda ağ hizmetlerini tekrar başlatmak için

$ sudo systemctl restart network-manager

---

https://netplan.io/examples/

1.08.2020

WannaCry

2016 yılında Shadow Brokers adında bir hacker grubu, NSA tarafından kullanıldığı iddia edilen bazı araçları yayınladı. Bu araçların arasında birçok işletim sistemine ait sıfırıncı gün (zero day) açıklarından faydalanan bazı "faydalı" programlar vardı. Söylenene göre NSA, bu araçların kendilerine ait olduğun yalanlamadı. NSA'in bu araçları kullanarak dünyadaki bütün bilgisayarlar, mobil cihazlar ve hatta televizyonlara girebildiği, hedeflediği kişileri izleyebildiği ve bilgi topladığı iddia edildi.

Yayınlanan araçların içinde dikkat çeken bir araç olan EternalBlue, SMBv1 protokolündeki bir açıktan faydalanıyordu. 2017 yılında bu açığı kullanarak WannaCry kötücül (malicious) yazılımı dünya çapında yüzbinlerce bilgisayara bulaştı. Dosyalar şifrelendi, sistemler çalışmaz hale geldi. Şifrelenen verilerin tekrar ulaşılabilir olması için fidye ödenmesi istendi. Bazıları fidye öderken diğerleri verilerini kaybetti. Bankacılık, sağlık ve ulaşım sektöründe büyüklar yaşandı. Sonrasında NotPetya adındaki bir kötücül yazılım da EternalBlue'yu kullandı. Sonradan bu araçların NSA tarafından orta doğudaki bankacılık sistemleri üzerinde kullandığına dair bazı bilgiler yayınlandı [7].

İlginçtir, Microsoft NSA'i sözkonusu sıfırıncı gün açıklarını 5 yıldır kullandığı ve bildirmediği için suçladı. Ya da biz öyle anladık. Sonrasında bu açıklar yayınlanan bazı yamalarla kapatıldı [8]. O günlerden sonra SMBv1 kullanımı önerilmedi. Ama olanlar olmuştu.

O dönemde Shadow Brokers'ın yayınladığı araçlardan bazıları:

  • EternalBlue: SMB protokolündeki bir zafiyeti hedef alan bir araç
  • EternalChampion: SMB protokolünde EternalBlue'dan farklı bir zafiyeti hedef alan bir araç
  • EternalRomance: Bu da SMBv1 protokolündeki bir zafiyeti hedef alan bir araç
  • EternalSynergy: Çok ilginç, bu da SMB protokolündeki bir açığı kullanıyor
  • DoublePulsar: Sistemlerde arka kapı oluşturmaya yarayan bir araç
  • ExplodingCan: IIS'i hedef alan bir araç
  • EnglishmanDentist: Microsoft Exchange Server'ı hedef alan bir araç
  • EsteemAudit: Eski Windows sürümlerindeki RDP protokolünü hedef alan bir araç
  • EducatedScholar: Oracle veritabanı sunucularını hedef alan bir araç
  • ErraticGopher: Belirli Windows sürümlerindeki Telnet protokolünü hedef alan bir araç

Mart 2017 gibi Wikileaks'te Vault 7 adında bu sefer CIA'e ait olduğu iddia edilen başka diğer araçlar (Weeping Angel, Marble Framework gibi) yayınlandı. Bu araçları daha sonra başkaca siber hareketlerin bir parçası olarak görmedik, şükür.

---

[1] https://news.slashdot.org/story/16/10/20/1926222/prosecutors-say-contractor-stole-50-terabytes-of-nsa-data
[2] https://money.cnn.com/2017/04/14/technology/windows-exploits-shadow-brokers/index.html
[3] https://www.wired.com/2016/08/shadow-brokers-mess-happens-nsa-hoards-zero-days/ 
[4] https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/ 
[5] https://yro.slashdot.org/story/17/04/17/1416228/microsoft-says-previous-windows-patches-fixed-newly-leaked-nsa-exploits 
[6] https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/
[7] https://www.wired.com/2017/04/major-leak-suggests-nsa-deep-middle-east-banking-system/ 
[8] https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/shadow-brokers-leaks-hacking-tools-what-it-means-for-enterprises