Real Felaket

Web Sitemiden Yararlana Bilmek İçin Lütfen Üye Olunuz
Real Felaket

    Sistem Açıkları ve Kapatmak

    Paylaş
    avatar
    Fakelove
    G.K BAŞKANI
    G.K BAŞKANI

    Mesaj Sayısı : 145
    Kayıt tarihi : 17/06/09
    Yaş : 27
    Nerden : Nereye

    Sistem Açıkları ve Kapatmak

    Mesaj tarafından Fakelove Bir Ptsi Haz. 22, 2009 1:28 am

    Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin
    kullandiginiz yapiya bazi noktalarda yamalar yapmak
    durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi
    cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak
    gorulebilecek ve sömürülecek hizmetleri kisitlamaya veya erisimleri
    kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual
    olarak kullanici tarafından kontrol edilmelidir.Basit regedit
    kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari
    sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin
    bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.

    1-
    PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti
    noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan
    bir port,o port'a baglanmak icin yazilmis bir tojan icin guzel bir
    kapidir.


    Port numaralari icin >> http://www.iana.org/assignments/port-numbers

    Ilk
    kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa
    dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde
    C:\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina
    bakabilirsiniz.



    Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.


    C:\>netstat -an

    Etkin Bağlantılar

    İl.Kr. Yerel Adres Yabancı Adres Durum
    1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
    2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
    3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
    4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
    5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
    6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
    7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
    8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
    9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
    10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
    11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
    12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED

    "Listening"
    = 1 nolu satirda sistemimize ait 1039 nolu port dinleme
    durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve
    baglanti kurulacaktir.

    "Established" = Kurulu olan mevcut
    baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime
    ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres
    olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletisim kurmus.

    Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.


    Simdi
    sisteminde netstat -an sonucu acik olan portlarinizi nasil
    kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu
    varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her
    islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde
    politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak
    135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri
    alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin
    gelen baglanti istegini (Syn_Sent) kabul ederler.



    Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://isc.sans.org/top10.php http://www.dshield.org/topports.html


    Oncelikle
    139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim
    saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag
    baglantisi\Ozellikler\Internet Iletisim kurallari(TCP/IP) ye cift
    tiklayin\Gelismis\WINS\En altta devre disi biraki isaretleyin.


    135
    nolu port :Regediti acin.. HKLM\Software\Microsoft\Ole.. Yan tarafta
    EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos
    alanda sag tiklayin.Yeni\Dize degeri olusturun.Icerisine
    EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.

    Bir
    üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta
    DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi
    silin,digerlerine dokunmayin.


    445 nolu port :
    HKLM\System\CurrentControlSet\Services\NerBT\Param eters.. sag tarafta
    TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini
    silin.


    21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.

    REGEDIT
    ACIKLARINI KAPAMA : Sistemin tum isleyisinin bir nevi kontrol
    merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler
    sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz
    baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde
    guvenlik alaninda aciklara sebep olacaktir.Şimdide default
    regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha
    iyilestirecegiz



    // Bu islemlerinizi yapmadan once
    regedit.exe nin bir kopyasini alin ve baska bir yere tasiyin.Olasi
    yanlis girisleriniz sonucu Safe Mode dan geri yuklersiniz.Sistem
    yedeginizide alin.. Regedite yanlis giris hata kabul etmez ve sistem
    tekrar acilmaz.

    ** Lamerlerin oyuncaklarina karsi savunma :
    DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;


    HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters
    EnableICMPRedirect"=dword:00000000
    EnablePMTUDiscovery"=dword:00000000
    EnablePMTUBHDetect"=dword:00000000
    PerformRouterDiscovery"=dword:00000000
    EnableDeadGWDetect "=dword:00000000
    NoNameReleaseOnDemand"=dword:00000001
    SynAttackProtect"=dword:00000002
    KeepAliveTime"=dword:000493e0
    TcpMaxHalfOpen"=dword:00000064
    TcpMaxHalfOpenRetried"=dword:00000050
    TcpMaxPortsExhausted"=dword:00000005
    TcpMaxConnectResponseRetransmissions"=dword:000000 03

    ayarlarini
    bu sekle getiriniz.Firewall kullanicilari eger dogru congiguration
    yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır.

    ** Uzaktan yardimi kapatma :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server

    fAllowToGetHelp"=dword:00000000

    fDenyTSConnections"=dword:00000001


    Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.

    ** Ag icinde olanlar icin erisim kisitlamalari :

    -- Anonim kullanici erisimini sinirlar.Kullanicilar sistemdeki dosyalarinizi goremez.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]

    restrictanonymous"=dword:00000001

    -- Ag Uzerindekilere paylasimi kapatir

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\Explorer

    NoRecentDocsNetHood"=dword:00000001

    YONETIM
    KONSOLU AYARLARI / Group Polıcy :Bu konsoldan bilgisayara ve
    kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini
    yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem
    hatasi yanlis girisleriniz sonucu meydana gelebilir.

    ** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..

    Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!


    Sag
    blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi
    kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag
    uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya
    zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)

    Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..

    Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.

    Uzaktan erisilebilir kayit defteri yollari,
    Adsiz kullanicilara everyone izinleri uygulansin,
    Adsiz baglanabilecek Paylasimlar.

      Forum Saati Salı Eyl. 26, 2017 12:19 am