(IN)SECURE Magazine Sayı 20 Çıktı

Online ücretsiz bilişim güvenliği dergisi (IN)SECURE‘un 20. sayısı çıktı.

Yeni sayıya buradan ulaşabilirsiniz.

Konu başlıkları şu şekilde:

  • Improving network discovery mechanisms
  • Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
  • Review: SanDisk Cruzer Enterprise
  • Forgotten document of American history offers a model for President Obama’s vision of government information technology
  • Security standpoint by Sandro Gauci: The year that Internet security failed
  • What you need to know about tokenization
  • Q&A: Vincenzo Iozzo on Mac OS X security
  • Book review – Hacking VoIP: Protocols, Attacks and Countermeasures
  • A framework for quantitative privacy measurement
  • Why fail? Secure your virtual assets
  • Q&A: Scott Henderson on the Chinese underground
  • iPhone security software review: Data Guardian
  • Phased deployment of Network Access Control
  • Playing with authenticode and MD5 collisions
  • Web 2.0 case studies: challenges, approaches and vulnerabilities
  • Q&A: Jason King, CEO of Lavasoft
  • Book review – Making Things Happen: Mastering Project Management
  • ISP level malware filtering
  • The impact of the consumerization of IT on IT security management

Veritabani güvenlik denetimine ‘Scuba’ dalışı

Scuba, Imperva’nın geliştirmiş olduğu ücretsiz bir veritabanı güvenlik denetim/analiz yazılımı.

Ürünün Oracle, Microsoft SQL, IBM DB2 ve Sybase veritabanı destekleri bulunuyor.

Buradan kayıt olarak indirebildiğiniz Java tabanlı bu yazılım, JRE 1.5+ gerektiriyor.

Çalıştırmak için bir klasöre açmanız yeterli. İlk çalıştırdığınızda lisans kabulu ve tekrar kayıt yaptırmanızı istiyor.

Ürünün yaptığı testler bir XML dosyasında tutuluyor ve dosyayı Imperva’dan güncelleme yapma imkanınız bulunuyor. Çok sık güncellendiğini düşünmüyorum ama XML tabanlı olduğu için belki kendi testlerinizi ekleyebilirsiniz.

Ürünü hızlıca bir Microsoft SQL 2000 veritabanı ile test ettim. Yetkili bir kullanıcı adı ve şifre verildiğinde veritabanında bulunan varsayılan veya sonradan oluşturulmuş zayıf yapılandırmaları ortaya çıkartabiliyor.

Alternatif bir denetim yazılımı olarak denenebilir. Özellikle varsayılan veritabanı kurulumları ile oluşan zayıflıkların önüne geçmede veritabanı yöneticilerinin ihtiyacını karşılayabilir. Yine diğer veritabanlarında da denemeye değer bir yazılım olduğunu düşünüyorum.

Aşağıda Scuba_Assessment_Report.xsl taslağı ile oluşturulmuş bir rapor görüntüsü var.

Linux üzerinde Trend Micro IMSS kurulumu

Trend Micro InterScan Messaging Security Suite ürünü bir SMTP/POP3 gateway olarak çalışan ve son 7.0 sürümü eskilerine oranla oldukça başarılı bir antivirus/antispam gateway yazılımı.

Genelde Windows üzerine kurulan ürün Microsoft SQL sunucusu gerektiriyor. MSDE ile kullanmanızı önermiyorum. Mutlaka MSSQL kurunuz.
Ürünün windows üzerine kurulumu oldukça kolay, ancak iş Linux tarafına gelince biraz değişiyor. Çünkü bunun için biraz linux bilgisi, mail server kurulum ve ayar bilgisi ve kurulum dokümanının dikkatli olarak okunmuş olması gerekiyor.

Son yaptığım kurulum sırasında bazı kurulum notları aldım, düzgün olmasa da bunları aktaracağım. Linux üzerinde IMSS kuracak olan arkadaşlara hızlı bir referans kaynağı olacaktır. Aşağıda anlamsız gelen adımların detayları IMSS kurulum dokümanında bulunuyor.

Gereksinimler:

  1. Postfix, Qmail veya Sendmail
  2. PostgreSQL (Yoksa IMSS kurulumu kendisi kuruyor)
  3. Diğer gereksinimleri ürünün kendisi kuruyor.

Özet olarak Linux üzerinde kurulumuna değinecek olursak:

  1. Installation Guide dokümanını mutlaka okuyun. Aşağıdaki işlemlerin detayları orada bulunuyor.
  2. IMSS’in hangi Linux sürümlerini desteklediğine dikkat edin.
  3. Sisteme readline uyumluluk paketini kurun (compat-readline43-4.3-3).
  4. Postfix mail sunucusu kurarak sunucuyu bir inbound gateway olacak şekilde ayarlayın.
  5. Organizasyon domainleriniz için Postfix’e gelen maillerin, içerideki mail sunucularınıza gönderildiğini kontrol edin.
  6. IMSS “central controller” ve “scanner service” bileşenlerini kurun (PostgreSQL veritabanını burada kuracaktır)
  7. IMSS web arabirimi üzerinden ürün lisanslarını girin ve ayarlarını yapın.
  8. Postfix konfigürasyon dosyaları içerisinde content filter ayarlarını yapın ve “postfix reload” diyerek IMSS’in devreye girmesini sağlayın.
  9. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Yukarıdakileri yaptığımızda, gelen spam’leri network seviyesinde engelleyen IP Filtering (NRS ve IP Profiler) kurulmuş olmuyor. Lisansınız varsa spam’leri engellemede mutlaka kullanmanızı öneririm. Aşağıdaki adımlara devam edin:

  1. Postfix’i TCP 2500 port’unda çalışacak şekilde ayarlayın. (IP Filtering bileşeni 25. port’u kendisi dinleyecek ve filtrelemelerini yaptıktan sonra port 2500’de çalışan postfix’e bağlanarak proxy’lik yapacak)
  2. IP Filtering bileşenlerini kurun.
  3. Lisansları girerek web yönetim arabiriminden gerekli konfigürasyonları yapın.
  4. 25. port’a telnet ile bağlandığınızda Postfix’in geldiğinden emin olun.
  5. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Son olarak şu işlemleri yapmak gerekiyor:

  1. Ürünün SP1 yamasını ve SP1 patch 1 yamasını mutlaka yükleyin.
  2. Mail işlevinin çalıştığından emin olun.
  3. Linux sistem açılış script’ine (Ör: /etc/rc.local) aşağıdaki satırı ekleyin.
    /opt/trend/imss/script/imssstart.sh
  4. Sunucuyu yeniden başlatarak, olası restart sonrası herşeyin problemsiz çalışacağından emin olun.
  5. Dışarıdan gelen maillerin, Trend Micro IMSS ürününe yönlendirilmesini sağlayın.

Yukarıdaki sırayla takip edilmesi gereken adımlar, umarım Trend Micro IMSS yazılımının Linux üzerinde kurmanızı kolaylaştırır. Zor değil, okumak gerekiyor.

PCI Compliance for Dummies

Qualys, PCI DSS uyumluluğu konusunda basitleştirilmiş bir el kılavuzu niteliğinde Dummies Guide to PCI Compliance* kitapçığını yayınladı.

Payment Card Industry (PCI) Data Security Standard (DSS)’i açıklayarak, uyumluluk konusundaki gereksinimleri basit bir dille aktaran bu kitapçık, ücretsiz olarak bu adresten indirilebilir.

Aslında PCI DSS, uyumluluk gerekmeyen yerler için bile temel bir referans kaynağı olabilir. Örneğin kredi kartı verileri ile ilgili bölümler dışındaki kısımlara uyumluluk, veya bu veriler yerine şirketin kritik verileri düşünülerek PCI DSS ve durum değerlendirme soruları kurumunuza uyarlanabilir.