Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?

Türkçe

Lokal bilgisayar ya da Grup politikasının "Advanced Audit Policy Configuration" kısmında "Object Access" altında "Audit Filtering Platform Packet Drop" özelliğini denetim kaydı tutacak şekilde ayarladıysanız şayet bir süre sonra Güvenlik olay kayıt dosyanızın ( Security Event Log ) sizi çıldırma noktasına getiren 5152 Olay numaralı ( Event ID ) "Filtering Platform Packet Drop" kategorisindeki olaylarla dolup taştığını görürsünüz. Kimi zaman engellenen trafikle ilgili olay kaydı detayında verilen bilgiler yani hedef-kaynak IP adresleri,port numaraları engellenmemesi gereken bir iletişimin parçasıdır.
Anlatmak istediğim konu için oluşturduğum test ortamının kahramanları şöyle;
10.10.10.1 : istemci
10.10.10.4 : sunucu ( Windows 2008 R2 Ent. Server)
Sunucu üzerinde SSH portu ya da servisi kullanımda değil ama ben güvenlik duvarı etkin sunucunun 22 numaralı portuna erişmeye çalıştığımda almam gereken RST bayraklı cevap paketi almıyorum,aslına bakarsanız sunucudan hiç bir cevap almıyorum.( Resim 1 )

WinHTTP Proxy Ayarı - Nass oluyor da oluyor?

Bu yazı güvenlik konusuyla alakalı değil, beni çileden çıkarmak üzere olan bir sorunun çözümü ile ilgili. Eminim birçok sistem yöneticisi de benzer sorunla karşılaşmıştır. Sunuculardan bir tanesinde uygulama aracılığıyla üreticinin sağladığı bir takım scriptleri çalıştırma ihtiyacı doğdu. Scriptler dijital olarak imzalandığı (signed script) için Windows Script Host scripti çalıştırmadan önce imzanın geçerliğini doğrulamak için verisign sunucularına http protokolüyle bağlanmak istiyordu. Ama dediğim gibi scripti GUI aracılığıyla çalıştırmaya kalktığımda Windows Script Host'un (cscript.exe) "System" kullanıcı hesabıyla çalıştırılıyor olması internet explorer ayarlarıyla yaptığım proxy tanımını geçersiz kıldı (yaptığım ayar oturum açtığım kullanıcı hesabıyla ilişkili olduğundan), WSH internet erişimi sağlayamadı ve bunun sonucu olarak 1-2 saniyede çalışması gereken scriptin çalışması yaklaşık bir dakikayı buldu. Sorunu Microsoft HTTP servisin (WinHTTP) proxy ayarını

Yeni Başlayanlar ve Bilmeyenler için Bilgi Güvenliği ve Bilişim Güvenliği

Uzun zamandır yazdığım teknik yazılara sadece yurdumun değil dünyanın kanayan yaralarından birine parmak basmak için ara veriyorum :) Bu yazı bilgi güvenliği uzmanı ile bilişim güvenliği uzmanı arasındaki farkı bilmeyenler ya da ayırd edemeyenler için. Başımdan geçen ve daha önce bahsettiğim bir mülakatı tekrar hatırlatarak başlamak istiyorum yazıya; memleketimin GSM operatörlerinden biriyle "Bilgi Güvenliği Uzmanı" başlıklı bir pozisyon için görüşmeye gittim. Görüşme Checkpoint Firewall üzerine kuruluydu ne yazık ki. Hatırladığım son şey de görüştüğüm kişinin "Bize Checpoint'te her yıl en az 2-3 bug bulacak biri lazım" demesi, ondan sonra bende deyim yerindeyse film koptu o saniye mülakat benim için bitti.
Bilgi güvenliği adından anlaşılabileceği gibi her nerede olursa olsun - yazılı,basılı,dijital ve hatta insanın kafasındaki - bilginin korunmasını kendine düstur edinmiş bir disiplin. Fiziksel güvenlik ( evet evet bildiğiniz güvenlik kameraları, projektörler, yangın söndürme sistemleri vb), Personel Güvenliği, Risk Yönetimi, Erişim Kontrolü, Kriptografi, İş Sürekliliği ve Felaketten Kurtarma, İletişim ve Ağ Güvenliği, Uygulama Güvenliği, Hukuki Yaptırımlar ve Mevzuatlara Uyum, Denetim ve yazmayı unutmuş olabileceğim birkaç alan daha bilgi güvenliği şemsiyesi ya da çatısı altında toplanan ve ele alınması gereken konulardır.

IIS 7 ve 7.5'i Slow Loris DOS Saldırısına Karşı Koruma - Nass oluyor da oluyor?

Türkçe

OSI modelinin yedinci seviyesine yönelik saldırılarla ilgilendiyseniz Slow Loris saldırı aracını da duymuşsunuz ya da kullanmışsınızdır mutlaka. Blogun düsturu "az bilineni,anlatılmayanı anlatmak" olduğu için bu yazıda aracın nasıl kullanılacağı ile ilgili çok az bilgi bulacaksınız. Benim anlatacaklarım aracın çalışma prensibi ve IIS 7-7.5 web sunucularda savunmayı artırıcı yöntemler olacak. Bu yazıda okuyacaklarınızın bir bölümü nette hiç bir yerde bulamayacağınız türden.

RFC 2616'da tanımlanan HTTP 1.1 protokolüne göre HTTP Request headerlar birbirinden CR ( Carriage Return ) ve LF (Linefeed) karakterleriyle ayrılır (kafanız karışmasın satır sonlarında alt satıra geçişi gösteren karakterler). Headerlar ile asıl verinin iletildiği Body kısmını ise boş bir satır birbirinden ayırır. Hernekadar GET Requestlerin body kısmı boş olsa da isteğin web sunucu tarafından alınması ve değerlendirilmesi için yine de headerların bitişini simgeleyen boş satıra ( CR + LF ) ihtiyaç duyulur. Sunucu bu karakterleri görmezse rahat edemez ve Request headerların tamamlanmadığını düşünür ,istemciden Request headerların tamamı gelene kadar beklemeye devam eder, bağlantıyı da işletim sistemine ve web sunucusuna göre farklılık gösteren zamanaşımı süresi (timeout) dolana kadar açık tutar. Olması gereken, iyi niyetli insanların tasarladığı şekliyle protokol bu şekilde çalışıyor. 

HTTP DDos - HTTP Get Flood saldırıları ve NGINX ile savunma

Nginx dünya genelinde popülerliği gittikçe artan ama güzel ülkemde hakettiği ilgiliyi pek görememiş açık kaynak kodlu bir web sunucu platformu.

Yazının devamı yakında...

İlgili Yazılarım
HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?
Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?

Windows 2008'de Servis Başlatma/Durdurma Denetimi - Nass oluyor da oluyor?

Windows 7 ve sonrası işletim sistemlerinde,Microsoft sağolsun, bir servisi hangi kullanıcı hesabının durdurduğu ya da başlattığı bilgisini vermemek için elinden geleni yapmış.Varsayılan kurulumda herhangi bir Windows servisini durdurduğunuzda ya da başlattığınızda event log'da görüp görebileceğiniz kayıt aşağıdaki ekran görüntüsündeki gibi;

Event log kaydından görüleceği gibi servisi kimin,hangi kullanıcı hesabının başlattığı ya da durdurduğu bilgisi yok.Bu bilgiyi kayıtlara düşürebilmek için servisin güvenlik tanımında (Security Descriptor) ve yine Windows 7 ve sonrası işletim sistemleriyle gelen Advanced Audit Policy Configuration ayarlarında bir takım değişiklikler yapmalısınız. Ne yazık ki işletim sisteminin tüm servisleri için denetim kayıtlarını etkinleştirmeye imkan sağlayan bir sihirbaz vs yok. Hangi servislerin audit kayıtlarını görmek istiyorsanız tek tek o servislerin güvenlik tanımlarını değiştirmelisiniz.