Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
Bilkent Üniversitesi'nde İstenmeyen Trafikle Mücadele Ahmet Göktaş Can Uğur Ayfer
2
İstenmeyen Trafik Akademik amaçlarla bağdaşmayan, kaynak israfına (band genişliği, disk sığası, ek donanım gibi) yol açan ve güvenliği tehdit eden İnternet trafiği: ● Müzik-filim-oyun vs. dosya trafiği ● SPAM ● Worm
3
İlk yapılacak iş Kullanım politikasını – ilkelerini belirlemek ve deklare etmek: Üniversitelerce sağlanan İnternet olanakları hak değil, ayrıcalıktır. İnternet olanakları; laboratuvarlar gibi, derslikler gibi akademik çalışmalar içindir.
4
İstenmeyen trafiğin denetimi IP adreslerinin dağıtımı izlenmeli ( Statik mi? Dinamik mi?) Trafik istatistikleri izlenmeli (MRTG) Kim hangi IP adresini kullanıyor? MAC Adresi (Ethernet fiziksel adresi) önemli bir araç.
9
Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması
10
Switch - Router UlakNET Meteksan-Net Uydu iptables FIREWALL Router zebra (BGP) Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması
11
Switch - Router UlakNET Meteksan-Net Uydu NeTraMet snort Log Analizi k a n g a l iptables FIREWALL Router zebra (BGP) Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması
12
Switch - Router UlakNET Meteksan-Net Uydu NeTraMet snort Log Analizi k a n g a l veri tabanı MySQL iptables FIREWALL Router zebra (BGP) Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması ARP Tabloları (SNMP ile) 139.179.2.1 – 03:02:1b:2e:3e:1d
13
Switch - Router UlakNET Meteksan-Net Uydu NeTraMet snort Log Analizi k a n g a l veri tabanı MySQL iptables komutları iptables FIREWALL Router zebra (BGP) Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması ARP Tabloları (SNMP ile) 139.179.2.1 – 03:02:1b:2e:3e:1d
14
Switch - Router UlakNET Meteksan-Net Uydu NeTraMet snort Log Analizi k a n g a l veri tabanı MySQL iptables komutları Yönetici http Yönetici http Yönetici http iptables FIREWALL Router zebra (BGP) Bilkent Üniversitesi'ndeki İ.T Önleme Yapılanması ARP Tabloları (SNMP ile) 139.179.2.1 – 03:02:1b:2e:3e:1d
15
İstenmeyen Trafiğin Önlenmesi Denetim NeTraMet Log kayıtları Kim, ne kadar trafik oluşturuyor? # Source Port Destination Port Size 1 6 213.243.16.217 80 139.179.13.3 0 55062 0 1 6 198.65.104.38 80 139.179.209.236 0 50041 0 1 6 64.146.144.148 3750 139.179.193.207 4130 45420 1080 1 6 212.252.168.225 80 139.179.193.247 0 43114 0 1 6 216.119.168.171 80 139.179.151.232 0 39888 0
16
İstenmeyen Trafiğin Önlenmesi NeTraMet log analizi Her yüksek trafik istenmeyen trafik değildir!
17
İstenmeyen Trafiğin Önlenmesi Trafik noktalarının listesi P2P
18
WEB Arabirimi ile Açma/Kapama/Raporlama
19
Hasan Hüseyin
20
Yaptırım ve cezalarımız ● Personel için bölüm başkanlıklarına, dekanlıklara verilen raporlar çok etkili. ● Sahtekarlık, ''sniff'', şifre kırma/çalma olaylarında tartışmasız disiplin kuruluna sevk. ● Önce uyarı, sonra 15 gün, sonra dönem/yıl boyunca kesinti. ● İstenmeyen trafik kaynaklarının İnternet erişimini kesmek, alternatif olarak laboratuvarları sunmak (yurtlarda çok etkili oluyor).
21
Öğrendiklerimiz ● Kullanıcı eğitimi ''çok zor''. ● Sürekli bir mücadele gerekiyor. ● Tam otomatik çözüm yok! Her yüksek trafik istenmeyen trafik değil. ● Hakların ve ayrıcalıkların iyi anlatılması gerekiyor.
22
Yeni Sorunlarımız ● ''sniff'' olayları ve IP/MAC sahtekarlıkları başladı. ● Kullanıcı eğitimi gerçekten ''çok zor''. ● Windows 2000 ve XP, MAC adresinin değiştirilmesine doğal bir ayarmış gibi olanak veriyor. ● Windows 2000 ve XP yüzünden ''worm'' yayılımı çılgın boyutlara ulaştı. Yurtlar açıldığında büyük sorun yaşadık.
23
Yeni Çarelerimiz ● İnternet erişimi için ''login'' uygulamasına yönelik çalışıyoruz. ''İnternet şifresi'' ● Belirli bir süre aktivite göstermeyen kullanıcılar tekrar ''login'' edecekler. ● IP/MAC sahtekarlıklarını önleyebileceğimizi düşünüyoruz.
24
SPAM ile savaşımızda... ● postfix kullanıyoruz ● kullanımı ve ayarları kolay ● filtreleme esnek, başarılı ve kolay ● Kendi geliştirdiğimiz ''frekans filtreleme'' yazılımını kullanıyoruz
25
postfix filtreleri Filtre sayısı: ~ 600 headercheck: /filename=.*\.pif/ REJECT /filename=.*\.scr/ REJECT /^From:.*optonline.net/ REJECT /^From:.*@kalplerimiz.com/ REJECT /^From:.*@sina.com/ REJECT /^From:.*@turkinvesting.com/ REJECT bodycheck: /iSTE OLAY ViDEO/ REJECT /\.cleansweeper.net/ REJECT /\.offroad23.com/ REJECT /\.allroadname2.com/ REJECT /@xbst\.com/ REJECT /filename=.*\.exe\b/ REJECT /filename=.*\.com\b/ REJECT
26
postfix filtrelerinin dezavantajları ● mesaj alımını yavaşlatıyor ● filtre hataları mesaj kaybına yol açabiliyor ● SPAM mesajın tamamı alındıktan sonra geri çevriliyor. Gereksiz trafik önlenemiyor.
27
Frekans Filtreleme ● ''Temiz Liste'' dışındaki yerlerden 5 dakika içinde 3 kez SMTP bağlantısı gelirse, bir sonraki 5 dakika bu sunucudan e-posta kabul edilmiyor (450 please try again). ● Her IP'den günlük 100 mesaj limiti var (temiz liste dışında). 100'ü geçince ''Try again'' deniyor. ● Tek bağlantıda 100 den fazla mesaj bırakmaya çalışan sunuculardan gelen paketler iptables ile atılıyor. ● Bir SMTP bağlantısında 50 den fazla mesaj kabul etmiyoruz. ● Günde bir kez tüm sayaçlar sıfırlanıyor.
28
Frekans Filtreleme ● Mesaj daha gelmeden bağlantı kesildiği için band genişliğinden tasarruf sağlıyor. ● Yeni kriterlerle geliştirilebilir; örneğin yanlış adres oranı dikkate alınabilir. ● Mesajlar reddedilmiyor; geçici olarak erteleniyor. Ciddi göndericiler tekrar deneyecektir. SPAM kaynakları denemeyeceklerdir. Denerlerse de, sistemleri yavaşlayacaktır.
29
teşekkür ederiz...
33
Elde Ettiğimiz Sonuç Öğrencilerin yurtlara gelmeye başlaması Derslerin başlaması Denetim olduğunun bilinmesi çok etkili oldu. Tipik olarak 10-15 öğrenci, 3-5 personel hattı kesik.
Benzer bir sunumlar
