Sistem güvenliğini sağlama ve olası açıkları bertaraf etmek için kullandığınız yapıya bazı noktalarda yamalar yapmak durumundasınız.Default kurulum sonrası servis paketlerini ve sonrasi çıkan yamaları eklemek bile bazı noktalarda açıkları ve açık olarak görülebilecek ve sömürülecek hizmetleri kısıtlamaya veya erisimleri kısıtlamaya yetmeyebilir.Bu durumlarda sistem içi uygulamalar manual olarak kullanıcı tarafından kontrol edilmelidir.Basit regedit kısıtlamalari,proğram erisim ve çalısma noktalari ayarları ,kurulumları sırasında oluşabilecek bazı hatalar vs.. Bu döküman da bu yöntemlerin bazılarının kullanımını ve sonuçlarını paylaşmak amacıyla yazılmıştır...
PORT KULLANIMI : Portlarin mantığını kavrayan birisi bağlantı noktalarının ne denli önem taşıdığına vakıftır.Listening durumda olan bir port,o port'a bağlanmak için yazılmış bir tojan için güzel bir kapıdır.
Port numaralari için >>Linkleri Görmek İçin Konuya Cevap Yazmalısınız!!
İlk kurulum sonrası XP işletim sistemi SP2 ve sonrası yamalar yüklü olsa dahi bazı portlarını açık olarak verecektir.Şimdi sisteminizde C:\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarına bakabilirsiniz.
Aşağıdaki örnek yapı üzerinden bazı işlemler yapacağız.
C:\>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
"Listening" = 1 nolu satırda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek bağlanti isteğini kabul edecek ve bağlantı kurulacaktır.
"Established" = Kurulu olan mevcut bağlantılarımızdır.Örnek olarak 4 nolu sıraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletişim kurmuş.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin bağlantı kurma isteği gönderdiği anlamındadır.
Simdi sisteminde netstat -an sonucu açık olan portlarınızı nasıl kapayacağınızı anlatacağım.Sisteminizde bir firewall kurulu olduğunu varsayıyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptığınızda sorar bağlantı isteğine izin veriyormusun diye.Sizde politikanızı olusturur ve süreci işletirsiniz.Fakat genel olarak 135,137,138,139,445 vs portlariniz açıktır.Bu portlar en çok saldırı alan ilk 10 Port arasındadır ve Listening durumunda oldukları için gelen bağlantı isteğini (Syn_Sent) kabul ederler.
Su sayfadaki portlara bir göz atın ve saldırı alan top portları görün ;
Linkleri Görmek İçin Konuya Cevap Yazmalısınız!!
Öncelikle 139 nolu port ile başlayalım.NetBios yoluyla rahatlıkla size erişim sağlarlar.1-2 popüler oyuncakla bunlar kolaylikla yapilir.Yerel ag bağlantısı\Özellikler\İnternet İletişim kuralları(TCP/IP) ye çift tıklayın\Gelişmiş\WINS\En altta devre dışı bırakı işaretleyin.
135 nolu port :Regediti açın.. HKLM\Software\Microsoft\Ole. Yan tarafta EnableDCOM verisini çift tıklayın ve içerisini N olarak degistirin.Boş alanda sağ tıklayın.Yeni\Dize değeri oluşturun.Icerisine EnableRemoteConnect yazin,değer verisi olarak yine büyük N yazin.
Bir üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta DCOM Protocols girdisini çift tıklayın ve ncacn_ip_tcp adlı veriyi silin,diğerlerine dokunmayın.
445 nolu port : HKLM\System\CurrentControlSet\Services\NerBT\Param eters.. sağ tarafta TransportBindName'i çift tıklayin ve içerisindeki -Device- girdisini silin.
21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall üzerinden rahatlıkla kapayabilirsiniz.
REGEDIT AÇIKLARINI KAPAMA : Sistemin tüm işleyişinin bir nevi kontrol merkezidir regedit.Her işlem önceden tanımlıdır içerisinde ve işlemler sistem kurulumunda bazı açıkları beraberinde getirir.Gereksiz bağlantı, bildirim,erişim vs gibi kısımlar kullanılmadığı takdirde güvenlik alanında açıklara sebep olacaktır.Şimdide default regedit/dizin erişim yollarının onunu tıkayarak sistemi bir nebze daha iyileştireceğiz.
// Bu işlemlerinizi yapmadan önce regedit.exe nin bir kopyasını alın ve başka bir yere taşıyın.Olası yanlış girişleriniz sonucu Safe Mode'dan geri yüklersiniz.Sistem yedeğinizide alın.. Regedite yanlış giriş hata kabul etmez ve sistem tekrar açılmaz.
** Lamerlerin oyuncaklarına karşı savunma : DDos türevi bağlantı istekleri gönderen kişinin bu hareketine karşı,
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters
EnableICMPRedirect"=dword:00000000
EnablePMTUDiscovery"=dword:00000000
EnablePMTUBHDetect"=dword:00000000
PerformRouterDiscovery"=dword:00000000
EnableDeadGWDetect "=dword:00000000
NoNameReleaseOnDemand"=dword:00000001
SynAttackProtect"=dword:00000002
KeepAliveTime"=dword:000493e0
TcpMaxHalfOpen"=dword:00000064
TcpMaxHalfOpenRetried"=dword:00000050
TcpMaxPortsExhausted"=dword:00000005
TcpMaxConnectResponseRetransmissions"=dword:000000 03
ayarlarını bu şekle getiriniz.Firewall kullanıcıları eğer doğru congiguration yaptıysanız bunu sizin yerinize proğram otomatik olarak yapacaktır.
** Uzaktan yardımı kapatma:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server
fAllowToGetHelp"=dword:00000000
fDenyTSConnections"=dword:00000001
Bunun dışında uzaktan yardımın kullandığı portuda değiştirebiliriz.Böylece istekler cevapsız kalacaktır.
** Ağ içinde olanlar için erişim kısıtlamaları :
-- Anonim kullanıcı erişimini sınırlar.Kullanıcılar sistemdeki dosyalarınızı göremez.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
restrictanonymous"=dword:00000001
-- Ağ Üzerindekilere paylaşımı kapatır
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
NoRecentDocsNetHood"=dword:00000001
YÖNETİM KONSOLU AYARLARI / Group Polıcy : Bu konsoldan bilgisayara ve kullanıcılarına ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsiniz.Emin olmadığınız kısımlara dokunmayın.Olası sistem hatası yanlış girişleriniz sonucu meydana gelebilir.
** Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel İlkeler/Kullanıcı Hakları Ataması.
Bu kısımda erişim ilkeleri belirlenir.Daha önce buraları değiştirmemiş arkadaşlar emin olmadıkları kısımları değiştirmesinler!
Sağ blokta nesnelere kimlerin erişebileceği belirli default olarak.Bazi kısıtlamalar yapmak gerek buradada.Örnek olarak, bu bilgisayara ağ üzerinden erişime izin verme.. Uzaktaki bir sistemden oturum kapatmaya zorla.. Bu bilgisayara ağ üzerinden erişime izin verme (LAN)
Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel İlkeler/Güvenlik Seçenekleri.
Bir kaç örnek veriyorum yine.Gerisini siz kendi politikaniza göre belirleyin.
Uzaktan erişilebilir kayıt defteri yolları,
Adsız kullanıcılara everyone izinleri uygulansın,
Adsız bağlanabilecek Paylaşımlar.
** Bilgisayar Yapılandırması/Yönetim Şablonlari/Windows Bileşenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapacağız.
- NetMeeting: Devre dışı
- İnternet Explorer: İnternet Denetim Masası/Güvenlik Sayfası/Internet Bölgesi.
Not:Sadece bu ayarların hepsini yapmanız durumunda actığınız sayfalarda sıkıntılar yaşayabilirsiniz.Login problemi,hareketli sayfaların görüntülenmemesi vs.. Sayfa interaktifliğini yitirir fakat hiç bir zararlınında yüklenmesine izin vermez.Yuksek önem arz eden girişlerinizde bu ayarları kullanınız,içlerinde uygun olanı belirleyin.
Sağ tarafta bulunan Java: Devre Dışı,
İmzasiz AktiveX Yüklenmesi: Devre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır: Devre dışı
Java Proğramcıklarının Çalıştırılması : Devre Dışı
.. Sayfadan uyğun olanları seçin.
- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların bağlanabilirligi: Devre Dışı
Sadece bu ayarı yapmanız yeterli.Diğerleri erişim izni olmadığından zaten geçersiz kalır.
** Bilgisayar Yapılandırması/Yönetim Şablonları/Sistem/.
Uzaktan Yardım: İkisinide devre dışı yapın
Uzaktan Yordam Çağrısı (RPC): Devre Dışı
İnternet İletişim Yönetimi : İnternet iletişimini kısıtlamayı etkin yaparak bir üstteki klasöre giriyoruz.Klasörün içeriğinin tamamının "ETKİN" olduğunu göreceksiniz.İsteğinize göre kapayıp açabilirsiniz.
** Bilgisayar Yapılandırması/Yönetim Şablonları/Ağ/Windows Güvenlik Duvarı/Etki Alanı Profili.
XP nin dahili firewallınıda kullanan için :Yapılandırmaların açıklama kısımlarını okuyarak etkinleştirebilir veya kapayabilirsiniz.
Tüm ağ bağlantılarımı Koru: Etkin
Uzak masa Üstü Özel Durumuna İzin Ver: Devre Dışı
Dosya ve yazıcı paylaşımı özel durumlarına izin ver: Devre Dışı
Uzaktan Yönetim Özel durumuna izin ver: Devre Dışı
..
Ayarlarınızın tamamını kontrol edin.Bu ayarlar etki alanı içerisinde gerçekleşir.Bir altta Standart profil kısmına da aynı seçenekleri seçerek uygulayın
- Yazıcılar : Eğer yazıcınız varsa ve ağ içi kullanımı söz konusuysa bu kısımda Web tabanlı yazdırmayı devre dışı bırakın.Default bırakılan Printer şifreleri şirketleri büyük sıkıntıya sokacaktır.Bir kaç örnek vermek gerekirse,
Linkleri Görmek İçin Konuya Cevap Yazmalısınız!!
Saldırgan nmap ve türevi tarayıcılarla baglı bulunduğu portu bulup telnet bağlantısı kurmaya çalışacaktır.Default bırakılan passwordlar ile uzaktan tüm erişim sağlanacaktır.
** Kullanıcı Yapılandırması:
Yönetim şablonları: Bu kısımdaki başlıklardan sisteminizdeki diğer kullanıcılar için kısıtlamalar yapabilirsiniz.Bilgisayar yapılandırmasındaki ayarlarımızı burada da uygulayın.
BILGİSAYAR YÖNETİMİ : Bu kısma bilgisayarım ikonuna sağ tıklayarak yönet seçeneğinden girebilirsiniz.
- Sistem araçları/Yerel Kullanıcılar ve Gruplar..
Users kısmından Guest,Help Assistant vs kullanicilari kapayabilirsiniz.Ayni sekilde Gruplar başlığından da istemediğiniz erişimleri kısıtlayabilirsiniz.Cmd'den Net user'i kullanıp oradaki support'u silerseniz ekranda daima hata mesajı alırsınız.Bu kısımdan kapatırsanız sistemde herhangi bir hata oluşmaz.Kapattıktan sonra cmd'de support,help vs görünmeside bir şey ifade etmez.Yönetim konsolundan kapatılırsa erişimleri kapanır.
- Hizmetler ve Uygulamalar\Hizmetler : Bu kısımda sistem üzerinde çalışan servislerin erişimlerini kısıtlayalım.Mesela TCP/IP NetBıos Yardımcısı.. Uzaktan erişim bağlantı yöneticisi.. Uzaktan kayıt defteri vs.. Uzak erişimleri kısıtlayın.
COOKIE YÖNETİMİ : İçeriğe basit olarak değineyim.Cookie (cerez) genel olarak bir siteye baglanti yaptığinizda sizin bilgisayariniza yukledigi dosyadir.Siz üyesi olduğunuz bir siteye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz,hatta tıkladığınız linkleri bile belirgindir.Sisteme eristiğinizde cookie'nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartınız olacaktır.Daha önce hiç o siteye girmemiş birisi ilk girişinde site tarafindan rastgele bir ID ile tanımlanır.Eger daha önce giriş yaptıysa ,girişde sitenin database de karşılığına gelen cookie bulunur ve sistem kullanıcıyı tanır.Saat tarih vs bilgiler böyle bilinir.Login olurken beni hatırla seçeneğini tıklayanların cookie'sine sabit bir ID atanır ve her girişte bu ID kullanılır.Siz şifre&kullanıcı adı girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele geçirilirse sizin ID ile sisteme erişim sağlayabilir.Korunmak için bazı seyleri yapmamız gerek.Şimdi bunlara bakalım.
KullanIcI tercihlerine göre reklam görme nette hepimizi ilgilendirir.Siz devamlı araştırmalar yaptığınız bir konu ile alakalı reklamları başka sitelerde görebilirsiniz.Bu reklam size özeldir.Sizin tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayın farklı bir boyutu fakat şirketlerin para kazanma mantığına dair güzel bir bilgidir.Cookiler yasa dışı olarak el değiştirir ve reklam şirketleri kullanıcıların tercihlerine göre reklam sunarlar.
Bunun için öncelikle cookie'lerin olduğu klasörü salt okunur olarak ayarlamalıyız.Bu yöntemle siteler cookielere ulaşabilir fakat üzerine yeni bilgi ilave edemez.Bunu IE kullananlar İnternet Seçenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari Araçlar/Seçenekler/Gizlilik/Çerezler Başlığından gerekli düzenlemelerini yapabilir.Üçüncü kişilerin çerez bırakmalarını engelleyin.Ayrıca Firefox'u açın ve arama çubuğuna "about:config" yazin.Buradanda kendi seçeneklerinizi belirleyin.
Tarayıcınızın ayarlarında bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapın.Bunların açık olmasi sizin sistem üzerinde yaptığınız tüm ayarları ve firewall'ı bir kenara itip url üzerinden kod çalıştırılmasına ve cookie bilgilerinizin başka yerlere ulaşmasina olanak tanır.
PROĞRAM DÜZENLEMELERİ : Farklı amaçlar doğrultusunda kurduğunuz proğramlarin nerelere bilgi gönderdiği,hangi portlarınızı actığını hangi kısımlara erişim sağladığını belirlemeniz gerek.PC'niz için hayati öneme sahip regedit,her proğram kurulumundan sonra yeni eklemelerle yeniden düzenlenir.Mesela bir AV programı kurdunuz fakat bunun sistem açılışında çalışmamasini istiyorsunuz.Bunu düzenlemenin yolları malum bilinir herkesçe.Msconfig veya Regedit'de ki Run klasörü altından değiştirebilirsiniz.Fakat bunları her an görme fark etme durumumuz yok.Bunun içinde regedit uzerindeki değişiklikleri kontrol edebilen bir proğram kurmalıyız.Bildiğiniz gibi her yüklenen proğram Regedit'e kayıt yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde çalişan bir Regedit koruyucu program trojan'ın veya başka zararlının yüklenmesini engelleyecek ve size uyarı verecektir.xxx proğramı xxx dizinine yüklendi,kabul ediyormusunuz diye.
AV proğramına güvenen veya Firewall'dan bir şey geçmez diyenler tekrar düşünmeli ve regedit protector türevi proğramlari kullanmalıdır.Tabiri caizse ev yapımı ve anti-virüslere yakalanmayan onlarca trojan ve keylogger var ve hala birilerinin bilgisayarindan bilgi çalıyorlar.Çağırdığınız bir sayfadan veya kurduğunuz bir proğramdan rahatlıkla yüklenir ve AV zararlıyı DB sinde görmediği için uyarı vermez.
C.tesi Eyl. 19, 2009 6:45 pm