Ids /ıps hakkında bir soru

icmp paketlerine izin verilmediği için ping paketlerine yanıt alamıyorsunuzdur. bu basit bir firewall hareketidir . saldırı tespit ve önleme işine güvenlik uzmanı arkadAŞLAR yanıt verir ...

evet fortigate varsa bile bunu yapabilir onu biliyoruma ama tam olarak kesin bi cevap vermem lazım cevap için teşekkürler

biri acil cevap verirse sevinirim çünkü yarın sabah bu işi çözmem lazım

Syslog, desem bir anlamı olurmu ? Yoksa siz örnek bir saldırı yapıp bakın koruyormu demek istiyorsunuz.

bir web sunucu hakkında bu sunucu bir ıps / ıds tarafından korunuyormuş diyebilmemiz için en yapmamız lazım

 ben tam olarak bunu istiyorum

Web sunucuya bağlı bir FTP var mı ?

elimizde hiç bir bilgi olmadığını varsayalım ftp varmı yokmu bilemiyoruz diyeyim mesela örnek vermek gerekirse cozumpark.com in barındığı host korunup korunmadığını nasıl analayabiliriz

ping atınca atmaması fortigate varsa mesela ping kapalıysa ping atamıyor ama ıds /ıps tarafından korunuyor diyemeyiz bunu diyebilmemiz için nasıl bir yol izleyip bunu soran birine korunmuyor desek nasıl analdın deyince verecek bir cevap arıyorum

Çözümpark gibi bir siteden bahsediyorsak, hiç denemeden önce kesinlikle korunduğunu söyleyebilirim :). IDS ve IPS sistemleri, ataklara istinaden belirl imzalar için gelen ve giden paketleri tarayacaktır. O zaman yapılması gereken sistem şu olmalı. Bir çözümpark.com adresinin ip sini öğrenirsin sonra bu ip de açık olan portları öğrenirsin, sonrasında bu portlara yapılacak saldırı çeşitlerini ararsın ve denersin.

elimizde hiç bir bilgi olmadığını varsayalım ftp varmı yokmu bilemiyoruz diyeyim mesela örnek vermek gerekirse cozumpark.com in barındığı host korunup korunmadığını nasıl analayabiliriz 

ping atınca atmaması fortigate varsa mesela ping kapalıysa ping atamıyor ama ıds /ıps tarafından korunuyor diyemeyiz bunu diyebilmemiz için nasıl bir yol izleyip bunu soran birine korunmuyor desek nasıl analdın deyince verecek bir cevap arıyorum

selamlar,

Öncelikli olarak konu ile ilgili zaman aralığı dolmuş sanırım, ancak başka kişilere yardımcı olması maksadıyla yarım kalmış olan başlığa cevap vermek istiyorum. Kapsamlı bir saldırı planında önceliklerimiz, hedeflerimiz, araçlarımız ve risklerimizi iyi analiz etmeliyiz.Bununla ilgili bir makale yazabilirim aslında.şimdi kısa kısa geçeceğim.

1.Öncelikler: Hedef sistemin bilgilerini alıp(IP,HOST,DNS,Services) sistem analizi yapmak.

2.Hedefler: analizini yaptığımız sistemin zafiyet olabilecek noktalarını belirlemek.(örn: FTP portu açık, telnet açık vs vs..)

3.Araçlar: Saldırı yapacağımız hedeflere ait tespit ettiğimiz açıklara karşı kullanacağımız yazılım, expolit ve geliştireceğimiz atak mantıkları(sosyal vs vs)

4. Riskler: Saldırı yapıp sisteme ne derece giriş yapacağımız. Sadece sistem analizi mi? güvenlik penetration test mi? 

sonuç olarak sisteme bir bakışta ids/ips olup olmadığını sistemin ataklara karşı nasıl tepkiler verdiğinden kullandığı imzalardan ve biraz daha profesyonelliğe kaçarsak TCP paketlerin içerik bilgilerinin sniff edilmesiyle bulabiliriz.

Kolay gelsin.. 

Port scan, brute force, syn flood gibi işlemlerden sonra sisteme erişiminiz kesiliyor ise sistem de güvenlik önlemleri alınmış diyebiliriz,

Kesin sonuca ancak packet analizi ile yapabilirsiniz.

wireshark ile paketleri analiz edebilirsiniz.

Aklıma gelmişken wafw00f ve fregroute, fregrouter toolsları ile test edebilirsin.

wafw00f direk sana cihaz bilgisini bile verebiliyor, örneğin bu cihaz citrix netscaler veya ibm web app sec. diye.