Jump to content
Son zamanlarda artan kullanıcı hesap hırsızlıkları sebebiyle tüm kullanıcılara şifre sıfırlama maili gönderilmiştir. Lütfen güveli şifreler seçiniz. Mevcut e-mail adresinize erişemiyorsanız, en aşağıdaki destek linkinden bize ulaşınız. ×

Sistem Açıkları ve Bu Açıkların Kapatılması


CarleoNe

Recommended Posts

1- PORT KULLANIMI

Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port,o port’a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.

Port numaralari icin >> htt p: //www.iana.org/assignments/port-numbers

Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:\\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina bakabilirsiniz.

Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.

C:\\>netstat -an

Etkin Bağlantılar

İl.Kr. Yerel Adres Yabancı Adres Durum

1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING

2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING

3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED

4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED

5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED

6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED

7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED

8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED

9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED

10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING

11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED

12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED

"Listening" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.

"Established" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletisim kurmus.

Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.

Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.

Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://isc.sans.org/top 10. php

http://ww*. dshield.org/topports.html.

Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisi\\Ozellikler\\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\\Gelismis\\WINS\\En altta devre disi biraki isaretleyin.

135 nolu port :Regediti acin.. HKLM\\Software\\Microsoft\\Ole.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.Yeni\\Dize degeri olusturun.Icerisine EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.

Bir üst basamakta RPC yi acin (HKLM\\Software\\Microsoft\\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin,digerlerine dokunmayin.

445 nolu port : HKLM\\System\\CurrentControlSet\\Services\\NerBT\\ Parameters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.

21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.

REGEDIT ACIKLARINI KAPAMA :

Sistemin tum isleyisinin bir nevi kontrol merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde guvenlik alaninda aciklara sebep olacaktir.Şimdide default regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha iyilestirecegiz

// Bu islemlerinizi yapmadan once regedit.exe nin bir kopyasini alin ve baska bir yere tasiyin.Olasi yanlis girisleriniz sonucu Safe Mode dan geri yuklersiniz.Sistem yedeginizide alin.. Regedite yanlis giris hata kabul etmez ve sistem tekrar acilmaz.

** Lamerlerin oyuncaklarina karsi savunma : DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\ Parameters

EnableICMPRedirect"=dword:00000000

EnablePMTUDiscovery"=dword:00000000

EnablePMTUBHDetect"=dword:00000000

PerformRouterDiscovery"=dword:00000000

EnableDeadGWDetect "=dword:00000000

NonameReleaseOnDemand"=dword:00000001

SynAttackProtect"=dword:00000002

KeepAliveTime"=dword:000493e0

TcpMaxHalfOpen"=dword:00000064

TcpMaxHalfOpenRetried"=dword:00000050

TcpMaxPortsExhausted"=dword:00000005

TcpMaxConnectResponseRetransmissions"=dword:000000 03

ayarlarini bu sekle getiriniz.Firewall kullanicilari eger dogru congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır.

** Uzaktan yardimi kapatma :

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Con trol\\Terminal Server

fAllowToGetHelp"=dword:00000000

fDenyTSConnections"=dword:00000001

Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.

** Ag icinde olanlar icin erisim kisitlamalari :

-- Anonim kullanici erisimini sinirlar.Kullanicilar sistemdeki dosyalarinizi goremez.

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Con trol\\Lsa]

restrictanonymous"=dword:00000001

-- Ag Uzerindekilere paylasimi kapatir

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies\\Explorer

NoRecentDocsNetHood"=dword:00000001

YONETIM KONSOLU AYARLARI / Group Polıcy :

Bu konsoldan bilgisayara ve kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem hatasi yanlis girisleriniz sonucu meydana gelebilir.

** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..

Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!

Sag blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)

Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..

Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.

Uzaktan erisilebilir kayit defteri yollari,

Adsiz kullanicilara everyone izinleri uygulansin,

Adsiz baglanabilecek Paylasimlar.

.......

** Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapıcaz.

- NetMeeting evre dışı

- Internet Explorer :Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi..

Notadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda sikintilar yasayabilirsiniz.Login problemi,hareketli sayfalarin goruntulenmemesi vs.. Sayfa interaktifligini yitirir fakat hiç bir zararlininda yuklenmesine izin vermez.Yuksek onem arz eden girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin.

Sag tarafta bulunan Java: Devre Dışı,

Imzasiz AktiveX Yuklemnemsi evre Dışı

Aktivex Denetimlerini ve eklentilerini çalıştır evre dışı

Java Programciklarinin Calistirilmasi : Devre Dışı

...... Sayfadan uygun olanlari seçin.

- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi evre Dışı

Sadece bu ayari yapmaniz yeterli.Digerleri erisim izni olmadigindan zaten gecersiz kalir.

** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/...

Uzaktan Yardim :Ikisinide devre disi yapin

Uzaktan Yordam Çagrisi (RPC) : Devre Disi

Internet Iletisim Yonetimi : Internet iletisimini kisitlayi etkin yaparak bir ustteki klasore giriyoruz.Klasorun iceriginin tamaminin ETKIN oldugunu goreceksiniz.Isteginize gore kapayip acabilirsiniz.

** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili..

XP nin dahili firewallinida kullanan icin :Yapilandirmalarin aciklama kisimlarini okuyarak etkinlestirebilir veya kapayabilirsiniz.

Tum ag baglantilarimi Koru: Etkin

Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi

Dosya ve yazici paylasimi ozel durumlarina izin verevre Dısi

Uzaktan Yonetim Ozel durumuna izin ver evre Disi

........

Ayarlarinizin tamamini kontrol edin.Bu ayarlar etki alani icerisinde gerceklesir.Bir altta Standart profil kisminada ayni secenekleri secerek uygulayin

- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu kisimda Web tabanli yazdirmayi devre disi birakin.Default bırakılan Printer şifreleri şirketleri büyük sıkıntıya sokacaktır.Bir kaç örnek vermek gerekirse ;

http://137.113.129.14/ews/index. htm. >> Washington & Lee Universitesi

http://146.6.127.19/ews/index. htm. >> Texas Universitesi ,Austin

http://sur02.ferris.edu/ews/index. htm. >> Ferris Devlet Üiversitesi

Saldırgan nmap ve türevi tarayıcılarla baglı bulunduğu portu bulup telnet baglantısı kurmaya çalışacaktır.Default bırakılan passwordlar ile uzaktan tüm erişim saglanacaktır.

** Kullanici Yapilandirmasi :

Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger kullanicilar icin kisitlamalar yapabilirsiniz.Bilgisayar yapilandirmasindaki ayarlarimizi buradada uygulayin.

BILGISAYAR YONETIMI : Bu kisma bilgisayarim ikonuna sag tiklayarak yonet seceneginden girebilirsiniz.

- Sistem araclari/Yerel Kullanicilar ve Gruplar..

Users kismindan Guest,Help Assistant vs kullanicilari kapayabilirsiniz.Ayni sekilde Gruplar basligindanda istemediginiz erisimleri kisitlayabilirsiniz.Cmd den Net user i kullanip oradaki support u silerseniz ekranda daima hata mesaji alirsiniz.Bu kisimdan kapatirsaniz sistemde herhangi bir hata olusmaz.Kapattiktan sonra cmd de support,help vs gorunmeside bir seyi ifade etmez.Yonetim konsolundan kapatilirsa erisimleri kapanir.

- Hizmetler ve Uygulamalar\\Hizmetler : Bu kisimda sistem uzerinde calisan sevislerin erisimlerini kisitlayalim.Mesela TCP/IP NetBıos Yardımcisi.. Uzaktan erisim baglanti yoneticisi.. Uzaktan kayit defteri vs.. Uzak erisimleri kisitlayin.

COOKIE YONETIMI :

Icerige basit olarak degineyim.Cookie (cerez) genel olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi dosyadir.Siz üyesi olduğunuz bir siteye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz,hatta tıkladığınız linkleri bile belirgindir.Sisteme eristiginizde cookie nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz olacaktir.Daha once hic o siteye girmemis birisi ilk girisinde site tarafindan rastgele bir ID ile tanimlanir.Eger daha once giris yaptiysa ,girisde sitenin database de karsiligina gelen cookie bulunur ve sistem kullaniciyi tanir.Saat tarih vs bilgiler boyle bilinir.Login olurken beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir ve her giriste bu ID kullanilir.Siz sifre&kullanici adi girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele gecirilirse sizin ID ile sisteme erisim saglayabilir.Korunmak icin bazi seyleri yapmamiz gerek.Simdi bunlara bakalim.

Kullanici tercihlerine gore reklam gorme nette hepimizi ilgilendirir.Siz devamli arastirmalar yaptiginiz bir konu ile alakali reklamlari baska sitelerde gorebilirsiniz.Bu reklam size ozeldir.Sizin tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayin farkli bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir bilgidir.Cookiler yasa dışı olarak el değiştirir ve reklam şirketleri kullanicilarin tercihlerine göre reklam sunarlar.

Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak ayarlamaliyiz.Bu yontemle siteler cookielere ulasabilir fakat uzerine yeni bilgi ilave edemez.Bunu IE kullananlar Internet Secenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli duzenlemelerini yapabilir.Ucuncu kisilerin cerez birakmalarini engelleyin.Ayrica firefox u acin ve arama cubuguna "about:config" yazin.Buradanda kendi seceneklerinizi belirleyin.

Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapin.Bunlarin acik olmasi sizin sistem uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere ulasmasina olanak tanir.

PROGRAM DUZENLEMELERI :

Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim sagladigini belirlemeniz gerek.PC niz icin hayati oneme sahip regedit,her program kurulumundan sonra yeni eklemelerle yeniden duzenlenir.Mesela bir AV programi kurdunuz fakat bunun sistem acilisinda calismamasini istiyorsunuz.Bunu düzenlemenin yollari malum bilinir herkesce.Msconfig veya Regeditteki Run klasoru altindan degistirebilirsiniz.Fakat bunlari her an gorme fark etme durumumuz yok.Bunun icinde regedit uzerindeki degisiklikleri kontrol edebilen bir program kurmaliyiz.Bildiginiz gibi her yuklenen program Regedite kayit yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde calisan bir Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini engelleyecek ve size uyari verecektir.xxx programi xxx dizinine yuklendi,kabul ediyormusunuz diye.

AV programina guvenen veya Firewall dan bir sey gecmez diyenler tekrar dusunmeli ve regedit protector turevi programlari kullanmalidir.Tabiri caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve keylogger var ve hala birilerinin bilgisayarindan bilgi caliyorlar.Cagirdiginiz bir sayfadan veya kurdugunuz bir programdan rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari vermez. [/color]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...