Yanlışlar
- Asla ve asla DMZ segmentini, iç ağ segmentiyle aynı domaine dahil etmeyin.Exchange sunucu gibi çeşitli Microsoft ürünleri nedeniyle sistem yöneticiniz bunu yapmaya yanaşmayabilir.Ama siz DMZ segmentinde ayrı bir domain kurulması, DMZ ile iç ağ domainleri arasındaki iletişimin sağlıklı yürümesi için sadece domain controller'lar arasında port açmanızın yeterli olacağı konusunda ikna edebilirsiniz.
- DMZ segmentinizdeki uygulamalarınızın kullandığı veritabanlarını iç ağınızda bulundurmayın,bu veritabanlarını da DMZ segmentinde konuşlandırın.
- DMZ segmenti ile iç ağınız arasındaki trafik için sadece gerekli portları açın.DMZ kurum dışından yapılan saldırılara ilk maruz kalınan yerdir.Bu nedenle bu segmentte ele geçirilen herhangi bir servis ya da sunucunun diğer ağ segmentlerine sınırsız erişimi olması,saldırganın iç ağda olması anlamına gelir.
- Backplane kapasitesi düşük cihazı ( güvenlik cihazı dahi olsa ), backplane kapasitesi yüksek cihazın önüne koymayın.Aksi halde darboğaz ( bottleneck ) oluşturur,kendinizi düşük kapasiteli cihazın kapasitesiyle sınırlandırmış olursunuz.
- Rulebase terimiyle ifade edilen, güvenlik duvarının kurallar tablosunu mümkün olduğunca kısa tutun.Gereksiz kurallar tanımlamayın, tek bir kuralda birleştirilebilecek kurallarınız varsa bu kuralları birleştirin,kural sayısını azaltın.Daha da önemlisi sık erişime izin veren kuralları ilk sıralara yerleştirin. Örneğin; DMZ'deki web sunucunuza firma dışından erişim için illa ki 80 portundan erişimin verildiği kuralınız vardır.İşte bu kuralı DMZ güvenlik duvarınızda mümkün olduğunca ilk sıralara yerleştirin.Engelleyen ya da izin veren olup olmadığı farketmez, en fazla hit alan kurallar ilk sıralara.Bu hem güvenlik duvarında yapacağınız denetimleri kolaylaştırır hem de güvenlik duvarının performansını artırır.
- İç ağınızdan dışarıya ( DMZ segmenti de dahil ) doğru olan ( outbound ) trafiği ya da erişimi kısıtlayın. Hala komuta kontrol merkezi olarak IRC kanallarını kullanan bot'lar olduğunu unutmayın.Çalıştığınız kurumdaki sunucu ve bilgisayarların bir zombie ağına dahil olmasını ya da firmanızın SMTP blacklistlere girmesini istemiyorsanız tabi.
- DLP gibi çözümler kullanıyorsanız ve kurum bilgilerinin dışarı sızması sizin için önemli bir sorunsa çalışanların bilgisayarlarının USB diskler ve/veya CD'lerle başlatılmasını ( boot ) engelleyin, BIOS'a girişi parola ile engelleyin.
- Sunucu ve kullanıcı ağlarını mümkün olduğunca segmente edin. Sunucularınızı uygulama sunucuları,veritabanı sunucuları,dosya sunucuları gibi ya da çok kritik, kritik,genel şeklinde sınıflandırabilir aynı sınıftaki sunucuları aynı subnetlere dahil edebilirsiniz.
- Veri sızıntısını ve USB disklerin kullanımını engellemek için USB portlarını kontrol altına almaya çalışıyorsanız eğer, DropBox, Google Drive benzeri web tabanlı depolama hizmetlerine de erişimi engellemelisiniz.
- Herne şart altında olursanız olun veritabanlarında "sa","root" hesaplarını başınıza silah dayanmış dahi olsa web ve diğer uygulamalarınızın bağlantı cümlelerinde ( connection strings ) kullanmayın.
- Antivirüs sunucusu, SCCM ve benzeri yönetim sunucularının kurum sunucu ve kullanıcı bilgisayarlarına erişimi genellikle ya sınırsızdır ya da diğer sunuculara nazaran daha fazladır,çünkü genellikle ağ ve sistem yöneticileri açılması gereken envai çeşit portla uğraşmak istemez bu nedenle de sınırsız erişim verilir. Bu tip sunucular diğer ortamlardan mutlaka izole edilmeli ve daha fazla gözlem altında tutulmalı, ve bu sunuculara erişim mümkün olduğunca kısıtlanmalıdır.
- Kurumunuzda IPS kullanıyorsanız ilgisiz ve gereksiz imzaları devre dışı bırakın.Mesela IPS'iniz apache web sunucusu korumuyorsa apache imzalarını devre dışı bırakın.
- Sistem odanızın cam duvar ya da kapılarla sürekli dışardan görünebilir olmasını sağlayın. Güvenlik cihazlarınızı aynı kabine/kabinlere toplayın ve bu kabini/kabinleri diğer kabinlerden izole edin.
- Yönetici parolalarını - excel demeye dilim varmıyor - ortak erişimin olduğu dosyalarda ya da kasada saklayın. Kasada saklamak bir süre sonra pek uygulanabilir olmuyor hele hele parolaların kullanım süresi varsa ve sık değişiyorsa. Ağ yöneticisi,sistem yöneticisi ayrıldıktan sonra parolası bilinmeyen çok uygulama ve cihaz gördüm.
- Ciddi büyüklükte DDOS saldırılarını ( < firmanızın bandwidth'i ) kendi altyapınızda engelleyemezsiniz.Bir zamanlar birlikte çalışmak zorunda olduğum ismi lazım olmayan bir CSO "benim IPS'im var zaten" diyerek DDOS saldırılarına karşı koruma sağlayabildiklerini söyleyen Türk Telekom satış ekibini dinlememişti bile.
- HTTP Get Flood tipindeki saldırıları geleneksel yöntemlerle (IPS,Firewall,Proxy vb) engelleyemezsiniz. Bir güvenlik pozisyonuyla ilgili güzel memleketimin güzide ISP'lerinden birinde katıldığım görüşmede masanın diğer tarafında oturan kişi "http redirect" yöntemiyle bu saldırıların şuan için engellenebildiğini iddia etti uzun süre. İçimden "bu kadar basit bir yöntemi bilmedikleri için milyon dolarlık şirketler patır patır dökülüyor bu saldırılarda" diye geçirdim ve bu ISP adına üzüldüm.Bu yazıyı yazarken LOIC ve HOIC gibi saldırı araçlarının "http redirect" karşısındaki davranışını bir başka yazıda inceleyeceğimi belirtmiştim,yazıya aşağıdaki linkten ulaşabilirsiniz. Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?
- DOS/DDOS engelleme ürünü,engelleme cihazı. Günümüzün en popüler hurafelerinden. Bu konuya biraz ilgi duymuş araştırmış kişiler bilir ki DOS ya da DDOS spesifik bir saldırı tipi değildir,hizmet dışı bırakmaya,servis veremez hale getirmeye yönelik saldırılara verilen genel bir isimdir.Yani saldırgan arkadaşlarımız 1001 çeşit saldırı yöntemiyle ( flood tipinde de olabilir servisin/uygulamanın bir zaafiyetini kullanarak nokta atış tipinde de) herhangi bir servisinizi (web,mail,dns,ftp vb) kesintiye uğratabilir,belirli süre kullanılmaz hale getirebilir. Hal böyle DOS/DDOS engelleyebildiğini iddia eden bir cihazdan literatürde geçerli tüm servis dışı bırakma saldırılarına karşı savunma beklemek en doğal hakkınızdır ama pratikte ben böyle bir ürün/cihaz görmedim ve duymadım.Gören duyan varsa yazıya yorum olarak eklerse sevinirim. DOS/DDOS deyince akla artık ilk olarak HTTP flood (GET-POST) ve Infrastructure denen 3. ve 4. katmandaki SYN-UDP-ICMP flood benzeri saldırı tipleri geldiği için esas olarak bu tip saldırıları engelleyebilen ürünler DOS/DDOS engelleme ürünleri olarak kendilerini tanıtıyorlar.
- Genellikle saldırılardan ya da sızma testlerinden sonra duyduğumuz en meşhur hurafelerden biri de Domain Administrator yönetici hesabının şifresinin ele geçirilmesi ya da öğrenilmesidir. Aslında gerçekte olan bu hesap yetkileriyle çalışan servisler ya da prosesler kullanılarak yeni bir kullanıcı hesabının oluşturulması ve Domain Administrators grubuna dahil edilmesi ya da mevcut kısıtlı bir kullanıcı hesabının Domain Administrators grubuna dahil edilmesidir. Domain Administrator hesabının parolasının öğrenilmesi çok çok çok çok çok zordur.
- PCI-DSS standardının sadece kredi kartı üreticileri,dağıtıcıları için bağlayıcı olduğuna inanılır. Doğrusu standardın ödeme kartı ( kredi kartı+debit kart) ile ürün ya da hizmet satan ve bir şekilde bu kart verilerini alan,işleyen kullanan her kurumu bağladığıdır. Yani siz uyduruk da olsa ödeme kartı ile ödeme kabul eden bir e-ticaret sitesi işletiyorsanız da bu standart sizi bağlar,uymak zorundasınızdır.
- Yazının konu başlığıyla alakalı olmasa da "isc2, ec-council,isaca,giac" sertifikalarına sahip olanların paraya para demediği,sırtının yere gelmediğine dair hurafeler de var,bu madde sertifika meraklıları için. Eğer bt güvenliği konusunda çalışmayı kafaya koyduysanız,bu memlekette tek ihtiyacınız olan Checkpoint sertifikası. Diğer sertifikaları da alırsınız almasına ama pek bir işinize yaramaz. "ISo 27001" dersiniz,"o ne?" derler, "BGYS'ne ihtiyacımız var" dersiniz,"şu web siteleri URL filterlarda engellendi mi" derler.
İlgili Yazılarım
Sızma Testi Nasıl Yapılmaz?
Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?
Sosyal Mühendislik'te Olta İğnesini Kendine Batırabilmek
Bu güzel yazı için size teşekkür ediyorum. Ülkemizin durumlarından bahsedilmesi ve bu gibi hikayeler hep ilgimi çekmiştir. Daha önceki yazılarınızı okuduğumdan en sona koyduğunuz Checkpoint mevzusu tam yerine oturmakla beraber, beni kopardı. :)
YanıtlaSil