Sistem Açıkları Ve Kapatılması

Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin kullandiginiz yapiya bazi noktalarda yamalar yapmak durumundasinizDefault kurulum sonrasi servis paketlerini ve sonrasi cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak gorulebilecek ve sömürülecek hizmetleri kisitlamaya veya erisimleri kisitlamaya yetmeyebilirBu durumlarda sistem ici uygulamalar manual olarak kullanici tarafından kontrol edilmelidir

Basit regedit kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari sirasinda olusabilecek bazi hatalar vs Bu dokuman da bu yontemlerin bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir

1- PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftirListening durumda olan bir port,o port’a baglanmak icin yazilmis bir tojan icin guzel bir kapidir

Port numaralari icin >> http://wwwianaorg/assignments/port-numbers

Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektirSimdi sisteminizde C:\netstat -an yazarak “listening” “Syn_Sent” “Established” durumlarina bakabilirsiniz

Asagidaki ornek yapi uzerinden bazi islemler yapacagiz

C:\>netstat -an

Etkin Bağlantılar

İlKr Yerel Adres Yabancı Adres Durum
1- TCP 0000:1039 0000:0 LISTENING
2- TCP 0000:1040 0000:0 LISTENING
3- TCP 10003:1951 2074619:80 ESTABLISHED
4- TCP 10003:1999 6423316199:80 ESTABLISHED
5- TCP 10003:1978 6624993104:80 ESTABLISHED
6- TCP 10003:1984 1872269:80 ESTABLISHED
7- TCP 10003:1995 6423318399:80 ESTABLISHED
8- TCP 10003:1996 6423318399:80 ESTABLISHED
9- TCP 10003:1997 6423318399:80 ESTABLISHED
10-TCP 127001:1036 0000:0 LISTENING
11-TCP 127001:1067 127001:1068 ESTABLISHED
12-TCP 127001:1068 127001:1067 ESTABLISHED

“Listening” = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir

“Established” = Kurulu olan mevcut baglantilarimizdirOrnek olarak 4 nolu siraya bakabilirsinizSistemime ait olan 10003 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 6423316199 [Google] ile ona ait 80 nolu portla iletisim kurmus

Birde sys_sent durumu vardırBu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir

Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticamSisteminizde bir firewall kurulu oldugunu varsayiyorumFirewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diyeSizde politikanizi olusturur ve sureci isletirsinizFakat genel olarak 135,137,138,139,445 vs portlariniz aciktirBu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler

Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://iscsansorg/top10php
http://wwwdshieldorg/topportshtml

Oncelikle 139 nolu port ile baslayalimNetBıos yoluyla rahatlıkla size erişim saglarlar1-2 populer oyuncakla bunlar kolaylikla yapilirYerel ag baglantisi\Ozellikler\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\Gelismis\WINS\En altta devre disi biraki isaretleyin

135 nolu port :Regediti acin HKLM\Software\Microsoft\Ole Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirinBos alanda sag tiklayinYeni\Dize degeri olusturunIcerisine EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin

Bir üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin,digerlerine dokunmayin

445 nolu port : HKLM\System\CurrentControlSet\Services\NerBT\Param eters sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin

21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz

REGEDIT ACIKLARINI KAPAMA : Sistemin tum isleyisinin bir nevi kontrol merkezidir regeditHer islem onceden tanimlidir icerisinde ve islemler sistem kurulumunda bazi aciklari beraberinde getirirGereksiz baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde guvenlik alaninda aciklara sebep olacaktirŞimdide default regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha iyilestirecegiz

// Bu islemlerinizi yapmadan once regeditexe nin bir kopyasini alin ve baska bir yere tasiyinOlasi yanlis girisleriniz sonucu Safe Mode dan geri yuklersinizSistem yedeginizide alin Regedite yanlis giris hata kabul etmez ve sistem tekrar acilmaz

** Lamerlerin oyuncaklarina karsi savunma : DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters
EnableICMPRedirect”=dword:00000000
EnablePMTUDiscovery”=dword:00000000
EnablePMTUBHDetect”=dword:00000000
PerformRouterDiscovery”=dword:00000000
EnableDeadGWDetect “=dword:00000000
NoNameReleaseOnDemand”=dword:00000001
SynAttackProtect”=dword:00000002
KeepAliveTime”=dword:000493e0
TcpMaxHalfOpen”=dword:00000064
TcpMaxHalfOpenRetried”=dword:00000050
TcpMaxPortsExhausted”=dword:00000005
TcpMaxConnectResponseRetransmissions”=dword:000000 03

ayarlarini bu sekle getirinizFirewall kullanicilari eger dogru congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır

** Uzaktan yardimi kapatma :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server

fAllowToGetHelp”=dword:00000000

fDenyTSConnections”=dword:00000001

Bunun disinda uzaktan yardimin kullandigi portuda degistirebilirizBoylece istekler cevapsiz kalacaktir

** Ag icinde olanlar icin erisim kisitlamalari :

– Anonim kullanici erisimini sinirlarKullanicilar sistemdeki dosyalarinizi goremez

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]

restrictanonymous”=dword:00000001

– Ag Uzerindekilere paylasimi kapatir

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

NoRecentDocsNetHood”=dword:00000001

YONETIM KONSOLU AYARLARI / Group Polıcy : Bu konsoldan bilgisayara ve kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsinizEmın olmadiginiz kisimlara dokunmayinOlasi sistem hatasi yanlis girisleriniz sonucu meydana gelebilir

** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi

Bu kisimda erisim ilkeleri belirlenirDaha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!

Sag blokta nesnelere kimlerin erisebilecegi belirli default olarakBazi kisitlamalar yapmak gerek buradadaOrnek olarak ; Bu bilgisayara ag uzerinden erisime izin verme Uzaktaki bir sistemden oturum kapatmaya zorla Bu bilgisayara ag uzerinden erisime izin verme (LAN)

Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri

Bir kac ornek veriyorum yineGerisini siz kendi politikaniza gore belirleyin

Uzaktan erisilebilir kayit defteri yollari,
Adsiz kullanicilara everyone izinleri uygulansin,
Adsiz baglanabilecek Paylasimlar
……

** Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri Altta bulunan ara birimler icerisinde yapılandırma yapıcaz

- NetMeeting : Devre dışı

- Internet Explorer :Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi

Not:Sadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda sikintilar yasayabilirsinizLogin problemi,hareketli sayfalarin goruntulenmemesi vs Sayfa interaktifligini yitirir fakat hiç bir zararlininda yuklenmesine izin vermezYuksek onem arz eden girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin

Sag tarafta bulunan Java: Devre Dışı,
Imzasiz AktiveX Yuklemnemsi : Devre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır : Devre dışı
Java Programciklarinin Calistirilmasi : Devre Dışı
…… Sayfadan uygun olanlari seçin

- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi : Devre Dışı

Sadece bu ayari yapmaniz yeterliDigerleri erisim izni olmadigindan zaten gecersiz kalir

** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/…

Uzaktan Yardim :Ikisinide devre disi yapin

Uzaktan Yordam Çagrisi (RPC) : Devre Disi

Internet Iletisim Yonetimi : Internet iletisimini kisitlayi etkin yaparak bir ustteki klasore giriyoruzKlasorun iceriginin tamaminin ETKIN oldugunu goreceksinizIsteginize gore kapayip acabilirsiniz

** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili

XP nin dahili firewallinida kullanan icin :Yapilandirmalarin aciklama kisimlarini okuyarak etkinlestirebilir veya kapayabilirsiniz

Tum ag baglantilarimi Koru: Etkin
Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi
Dosya ve yazici paylasimi ozel durumlarina izin ver:Devre Dısi
Uzaktan Yonetim Ozel durumuna izin ver : Devre Disi
……

Ayarlarinizin tamamini kontrol edinBu ayarlar etki alani icerisinde gerceklesirBir altta Standart profil kisminada ayni secenekleri secerek uygulayin

- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu kisimda Web tabanli yazdirmayi devre disi birakinDefault bırakılan Printer şifreleri şirketleri büyük sıkıntıya sokacaktırBir kaç örnek vermek gerekirse ;

http://13711312914/ews/indexhtm >> Washington & Lee Universitesi
http://146612719/ews/indexhtm >> Texas Universitesi ,Austin
http://sur02ferrisedu/ews/indexhtm >> Ferris Devlet Üiversitesi

Saldırgan nmap ve türevi tarayıcılarla baglı bulunduğu portu bulup telnet baglantısı kurmaya çalışacaktırDefault bırakılan passwordlar ile uzaktan tüm erişim saglanacaktır

** Kullanici Yapilandirmasi :

Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger kullanicilar icin kisitlamalar yapabilirsinizBilgisayar yapilandirmasindaki ayarlarimizi buradada uygulayin

BILGISAYAR YONETIMI : Bu kisma bilgisayarim ikonuna sag tiklayarak yonet seceneginden girebilirsiniz

- Sistem araclari/Yerel Kullanicilar ve Gruplar

Users kismindan Guest,Help Assistant vs kullanicilari kapayabilirsinizAyni sekilde Gruplar basligindanda istemediginiz erisimleri kisitlayabilirsinizCmd den Net user i kullanip oradaki support u silerseniz ekranda daima hata mesaji alirsinizBu kisimdan kapatirsaniz sistemde herhangi bir hata olusmazKapattiktan sonra cmd de support,help vs gorunmeside bir seyi ifade etmezYonetim konsolundan kapatilirsa erisimleri kapanir

- Hizmetler ve Uygulamalar\Hizmetler : Bu kisimda sistem uzerinde calisan sevislerin erisimlerini kisitlayalimMesela TCP/IP NetBıos Yardımcisi Uzaktan erisim baglanti yoneticisi Uzaktan kayit defteri vs Uzak erisimleri kisitlayin

COOKIE YONETIMI : Icerige basit olarak degineyimCookie (cerez) genel olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi dosyadirSiz üyesi olduğunuz bir siteye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz,hatta tıkladığınız linkleri bile belirgindirSisteme eristiginizde cookie nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz olacaktirDaha once hic o siteye girmemis birisi ilk girisinde site tarafindan rastgele bir ID ile tanimlanirEger daha once giris yaptiysa ,girisde sitenin database de karsiligina gelen cookie bulunur ve sistem kullaniciyi tanirSaat tarih vs bilgiler boyle bilinirLogin olurken beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir ve her giriste bu ID kullanilirSiz sifre&kullanici adi girmezsinizSizin bilgisayardaki cookie baska biri tarafindan ele gecirilirse sizin ID ile sisteme erisim saglayabilirKorunmak icin bazi seyleri yapmamiz gerekSimdi bunlara bakalim

Kullanici tercihlerine gore reklam gorme nette hepimizi ilgilendirirSiz devamli arastirmalar yaptiginiz bir konu ile alakali reklamlari baska sitelerde gorebilirsinizBu reklam size ozeldirSizin tercihleriniz bilinir ve buna uygun reklam verilirBu da olayin farkli bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir bilgidirCookiler yasa dışı olarak el değiştirir ve reklam şirketleri kullanicilarin tercihlerine göre reklam sunarlar

Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak ayarlamaliyizBu yontemle siteler cookielere ulasabilir fakat uzerine yeni bilgi ilave edemezBunu IE kullananlar Internet Secenekleri/Gizlilik uzerinden uygulayabilirFirefox kullanicilari Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli duzenlemelerini yapabilirUcuncu kisilerin cerez birakmalarini engelleyinAyrica firefox u acin ve arama cubuguna “about:config” yazinBuradanda kendi seceneklerinizi belirleyin

Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapinBunlarin acik olmasi sizin sistem uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere ulasmasina olanak tanir

PROGRAM DUZENLEMELERI :

Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim sagladigini belirlemeniz gerekPC niz icin hayati oneme sahip regedit,her program kurulumundan sonra yeni eklemelerle yeniden duzenlenirMesela bir AV programi kurdunuz fakat bunun sistem acilisinda calismamasini istiyorsunuzBunu düzenlemenin yollari malum bilinir herkesceMsconfig veya Regeditteki Run klasoru altindan degistirebilirsinizFakat bunlari her an gorme fark etme durumumuz yokBunun icinde regedit uzerindeki degisiklikleri kontrol edebilen bir program kurmaliyizBildiginiz gibi her yuklenen program Regedite kayit yapar kendiniMesela Trojanlar,keyloggerlar Sistemde calisan bir Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini engelleyecek ve size uyari verecektirxxx programi xxx dizinine yuklendi,kabul ediyormusunuz diye

AV programina guvenen veya Firewall dan bir sey gecmez diyenler tekrar dusunmeli ve regedit protector turevi programlari kullanmalidirTabiri caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve keylogger var ve hala birilerinin bilgisayarindan bilgi caliyorlarCagirdiginiz bir sayfadan veya kurdugunuz bir programdan rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari vermez