Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin kullandiginiz yapiya bazi noktalarda yamalar yapmak durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak gorulebilecek ve sömürülecek hizmetleri kisitlamaya veya erisimleri kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual olarak kullanici tarafından kontrol edilmelidir.Basit regedit kisitlamalari*program erisim ve calisma noktalari ayarlari *kurulumlari sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.
1- PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port*o port'a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.
Port numaralari icin >> http://www.iana.org/assignments/port-numbers
Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina bakabilirsiniz.
Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.
C:\>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
"Listening" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda*Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.
"Established" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletisim kurmus.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.
Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135*137*138*139*445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.
Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun
http://isc.sans.org/top10.php
Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisi\Ozellikler\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\Gelismis\WINS\En altta devre disi biraki isaretleyin.
135 nolu port :Regediti acin.. HKLM\Software\Microsoft\Ole.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.Yeni\Dize degeri olusturun.Icerisine EnableRemoteConnect yazin*deger verisi olarak yine buyuk N yazin.
Bir üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin*digerlerine dokunmayin.
445 nolu port : HKLM\System\CurrentControlSet\Services\NerBT\Param eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.
21*23*25*110*1026*38566* nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.
1- PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port*o port'a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.
Port numaralari icin >> http://www.iana.org/assignments/port-numbers
Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina bakabilirsiniz.
Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.
C:\>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
"Listening" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda*Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.
"Established" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletisim kurmus.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.
Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135*137*138*139*445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.
Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun
http://isc.sans.org/top10.php
Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisi\Ozellikler\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\Gelismis\WINS\En altta devre disi biraki isaretleyin.
135 nolu port :Regediti acin.. HKLM\Software\Microsoft\Ole.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.Yeni\Dize degeri olusturun.Icerisine EnableRemoteConnect yazin*deger verisi olarak yine buyuk N yazin.
Bir üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin*digerlerine dokunmayin.
445 nolu port : HKLM\System\CurrentControlSet\Services\NerBT\Param eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.
21*23*25*110*1026*38566* nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.
