İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Windows Firewall ve Antivirus koruması

27-01-2014 23:02
#1
Moyré - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2013
Nereden:
scrabble.psd
Yaş:
30
Mesajlar:
3.269
Teşekkür (Etti):
1273
Teşekkür (Aldı):
1543
Konular:
932
Ticaret:
(0) %
Eğer bir hosting firmasından VDS,VPS Aldığınızı düşünürsek, Almış olduğunuz VPS,VDS veya Dedicated sunucunuzun güvenlik duvarının kapalı gelme oranı % 90. Henüz bu aşamada Türkiye’de standarlara göre kurulum yapmaya başlayamadık. Diğer kalan %10′da işi gereği ilgili kurulumu yapar ve size teslim eder.
Teslim sonrası Yönetim,Güvenlik ve diğer sorunları kendiniz çözmek zorundasınız.Aksi taktir’de hizmet almış olduğunuz ISP’den destek paketi satın almak zorunda kalacaksınız.
Güvenlik konusunda bu makale serisi alabileceğiniz çoğu saldırıdan ve çeşitli yazılımlardan sizi koruyacaktır.
Windows Sunucularımızda kesinlikle Windows Firewall’ı aktif edelim.
Makalemizin ilk satırlarında web sunucusunun vermiş olduğu hizmetleri sırasıyla yazmıştım bu bölümde de bu servislerin port numaralarına ihtiyacımız olacak.
Windows Web Sunucumuz üzerinde çalışacak olan Servislerimiz ;
IIS : 80
FTP : 21
DNS : 53
RDP : 3389
Microsoft SQL : 1433
MySQL Server : 3306
Kontrol Paneli : 8880,8443(SSL)
Mail Server : 25,587,110,143
Öncelikle güvenlik duvarımızı etkinleştirip sadece bu portlara izin verelim.Bölüm 1 ve Bölüm 2′de Port değişikliklerin nasıl yapılacağını anlattım.
Windows Server 2008 üzerinde güvenlik duvarında port açmak için ;
Start -> Control Panel -> Windows Firewall -> Advanced Settings açınız.
Inbound Rules – Gelen bağlantılar için kural oluşturacağımız bölüm.
Outbound Rules – Giden bağlantılar için kural oluşturacağımız bölüm.
Biz burada bize gelecek olan bağlantılardan kısıtlama yapacağımız için tüm işlerimizi Inbound Rules kısmında yapacağız.
Yukarıdaki liste halinde yazmış olduğum servislerin bütün portlarını aktif hizmet vermesi için açıyoruz. Ben FTP Portumu 254 olarak belirledim. Plesk Panel portlarımıda 5454,3454(SSL) portlarını kullanacağım. Onun için açacağım port listem aşağıdaki gibidir.
254 FTP
5454 PLesk
3454 Plesk SSL
80 Web IIS
53 Dns
587 SMTP Alternatif
25 SMTP
110 POP3
143 IMAP
443 SSL HTTPS
SQL VE MYSQL Portlarınızı dışarıya açmanıza gerek yok açmanız gerekiyorsa MySQL 3306, MSSQL 1433 portunu kullanmaktadır.Makalemizin ilerleyen kısımlarında SQL Server ve MySQL portlarının nasıl değiştirildiği hakkında bilgi vericem.
Inbound rules kısmından 254,5454,3454,80,53,587,25,110,143,443 portlarımıza izin verelim. İnbound Rules’e sağ tıklayıp New Rule diyerek port açma işlemlerinizi tamamlayabilirsiniz.
Windows Server 2008’de port açmak resimli ;
Örnek SS :
Oluşturmak istediğimiz kuralı belirliyoruz. Port açacağımız için Port seçip Next ile ilerliyoruz.
Açmak istediğimiz portları belirleyip. Next ile ilerliyoruz
Kuralımıza bir isim verip, Finish diyerek portlarımızı açıyoruz.
Windows Server 2008 üzerinde port açma işlemlerini bu şekilde yapabilirsiniz.
Özellikle RDP portunu kesinlikle değiştirmelisiniz. Opsiyonel olarak Sunucuya erişim yapacak İP aralıklarını belirleyebileceğinizi gösterdim.
FTP Portunu değiştirmenizde büyük fayda var. Hosting sağlayıcısı bile olsanız gelen siparişler onaylandığında Ftp bağlantı kısmına otomatik olarak ftp://siteadi.com:54 şeklinde olduğunu bildirebilirsiniz. Küçük bir not’la FTP Portumuz 54 olarak değiştirilmiş diyebilirsiniz.(Çoğu hosting firması bu port değişikliğini yapmaktadır )
İkinci kısımda RDP VE FTP Portlarının değişikliğinin nelere engel olduğunu,büyük oran’da hangi saldırı ataklarını engellediğini anlattım.Yukarıdaki değişiklikleri yapmanız önerilir.
Artık makalemizi yazmaya Plesk Kontrol Paneli üzerinden devam etmeye başlayabiliriz.
Bildiğiniz üzere Windows tarafında en çok kullanılan Paneller arasında Plesk Panel gelir.Seçim sebebin genel’de cracklenebilir olması büyük bir avantajdır
Crack versiyonunda birçok componentin çalışmadığını ve ilerleyen zamanlarda birçok hatayla karşılaşabileceğinizi garanti ederim.
Sonra tabi şikayetiniz şu şekilde olur : Aman plesk’te ne çok patlıyor ! Halbuki Lisanslı kullanım ve güncellemeleri takip ettiğiniz sürece,doğru bir yapılandırma yaptığınız sürece Plesk Windows üzerinde yıllarca sıkıntısız kullanabilirsiniz.
Plesk Hosting Kontrol Paneli Windows ve Linux platformları üzerinde çalışabilir bir sistemdir.Veritabanı sunucusu haricinde hiçbir servisi başka bir sunucuda barındıramazsınız.Buda gelişen teknolojide Clould alt yapısına geçiş yapamadığından dolayı Plesk’in en büyük eksiğidir.
Önerilen ayar ;
Plesk’i MySQL,MSSQL ve Microsoft Access üzerinde çalıştırabilirsiniz. Ben Plesk Kontrol panelini MySQL üzerinde kullanıyorum.Çünkü genel’de Windows sunucularda ağırlık SQL Server üzerine biniyor ve doğal Performans açısında Pleskide MySqL üzerinde çalıştırmam en sağlıklısı ve güvenlisi.
Önerilen ayar ;
Plesk kurulumunda vhost dizinin nerede tutulacağını soruyor. Bu dizini kesinlikle Windows dışında bir partition’da tutmanız güvenlik ve performans açısında büyük avantaj sağlayacaktır.
Önerilen ayar ;
Plesk Kontrol Paneli default olarak 8880,8443(SSL) portları üzerinde çalışır.Plesk Panelinize ulaşmak için ;
https://ipadresiniz:8443 veya http://ipadresiniz:8880 adreslerini kullanırız.
Bu portları değiştirmemiz güvenlik açısından önemli bir ayardır.
Plesk Hosting Kontrol Paneli üzerinde port değişikliği yapmak için ;
1-> IIS Yöneticisini açın
2-> Plesk Control Panel sitesine sağ tıklayın.
3-> Edit Bindings kısmından 8880,8443 portları yerine yeni portlarını giriniz ve uygulayıp çıkınız.
4-> İlgili siteyi restart edin.
5-> Sağ alt köşede bulunan Plesk Servis yönetiminden plesk servislerini restart ediniz.
Resim – 2 : Plesk Kontrol Paneli Port Değiştirme
Önerilen ayar ;
Bölüm 2′de yapmış olduğumuz Password Policy bölümünü mutlaka etkin kılınız. Hosting kullanıcılarınız yeni domain açtıklarında,ftp şifresi değiştirmeye çalıştıklarında O Policy’e uygun bir şifre belirlemeleri gerekecek.Buda hem kullanıcılar açısından hemde Şifre seçim güvenliği konusunda sunucumuza ek katkı sağlayacaktır.
Önerilen ayar ;
IIS ile gelen SMTP mail servisini durduralım.
Önerilen ayar ;
Server’da bulunan Administrator kullanıcısının yetkilerine sahip birtane kullanıcı hesabı oluşturalım.”İsminiz” şeklinde olsun. Administrator kullanıcısını “ Disable “ edelim.
Önerilen ayar ;
Web Uygulamalarınızdaki index.php , config.php , db.asp , config.asp vs gibi dosyalarınızın içerisindeki Dosyaları şifreleyin. Sadece okuma izni verin.
Önerilen ayar ;
Eğer mümkünse Windows sunucularınızda Php desteği vermeyin. Kontrol Panelinizin kurulumunu yaparken PHP Bileşenini tamamen kaldırabilirsiniz.
Önerilen ayar ;
Plesk Kontrol panelinizde “ Yeni Web Hosting Alanı “ oluştururken size kullanacağınız Programlama dillerini sorar.

Asp,Asp.Net,Php,Cgi,Perl,Phyton
Biz Windows sunucularımızda sadece kullanacağımız platformları seçelim. Eğer sadece Windows ise Asp ve Asp.Net ‘i seçebilirsiniz. Eğer Php’de kullanacaksanız php seçiminide yapabilirsiniz.Perl,Cgi,Phyton seçeneklerini işaretlemeniz güvenliğiniz açısından çok önemlidir.Eğer bu dillerde bir uygulama çalıştırmayacaksanız işaretlemeyin !
Windows Web sunucularında Anti Virus seçimi ;
Windows Web sunucusu işletim sistemi “ Business “ sınıfına girdiği için Server’iniz için Business sürüm seçmek zorundasınız. Ücretsiz antivirusler kurmanızı tavsiye etmem.
Benim tercih ettiğim antivirusler ;
Eset Antivirus Business Edition – 4
Kaspersky Endpoint Security For Windows 10
Eset Smart Security ürünü üzerinde Firewall ile geldiği için gelişmiş Kural yönetimi yapamıyoruz. Ondan dolayı Eset Antivirus Business Edition ürününü seçmeniz gerekmektedir. Windows Server üzerinde gelen Firewall zaten bizim işimizi fazlasıyla görüyor.
Yukarıdaki listeye ek olarak Microsoft Security Esentials kurmanızı şiddetle öneriyorum. Ben çok fazla iplemiyordum bu Microsoft’un Antivirus yazılımını ama Backdoorları engelleme’de 10 numara diyebileceğimiz bir ürün.
Önerilen Ayarlar ;
Kurmuş olduğunuz Antivirus için Otomatik olarak belirli aralıklarla sunucunuzun /vhost dizinini tarattırın.
Önerilen Ayarlar ;
Microsoft Esentials üzerinde aşağıdaki resimdeki gibi Bir tehtid algılandığında ne yapılması gerektiğini soran bölümlerde Remove seçeneğini seçiniz.
Ben sunucumda Antivirus olarak Kasperksky kullanıyorum. (Lisanslı) Ek olarak Microsoft Security Essentials kurulu.Bu şekilde FTP’ye aktarılacak olan FSO,SHELL ve Sunucuma gelebilecek Worm,Trojan ve buna benzer zararlı yazılımları büyük oranda engelliyorum.
Sunucumda test olarak 30 üzeri Shell ve FSO denedim.Hiç birini es geçmeden sildi diyebilirim.
Kaspersky Raporum ;
Microsoft Essential Raporum ;
Gördüğünüz gibi otomatik olarak sildiğini ve hangi dizine gönderildiğini detayı olarak görebilirsiniz.
Attığım FSO ve Shellere erişmek istediğimde ;
Gördüğünüz gibi otomatik olarak Kullanıcı Adı ve Şifre soruyor. Antivirus’e yakalandığı için otomatik olarak Run As yani Administrator yetkisiyle buraya erişmemiz gerekiyor. Erişemeyeceğimiz için shell’e hiçbir şekilde erişim yapamıyoruz.
Kullanıcı İmzası

Ya Allah, Ya Muhammed, Ya Ali!
#Solo-Türk

27-01-2014 23:10
#2
'Marksman - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Mesajlar:
5.417
Teşekkür (Etti):
1215
Teşekkür (Aldı):
1047
Konular:
541
Ticaret:
(0) %
kardesim windowsda saldiriyi engelliyemezsiniz hele windowsun güvenligiyle asla tavsiyem linux+cpanel kurmaktir. Hem çok düsük sistem harcar hemde korumasi en yüksektir benim sunucuma suan 2 haftadir yüksek yogunlukta lag geliyor ama lag bile olmadan engelliyebilir size tavsiyem linux kurmanizdir ben sifir bilgi ile linux kurdum ama google amca sagolsun simdi baya iyi anliyorum sizde anliyabilirsiniz gayet kolay
Kullanıcı İmzası
Ne Mutlu Türk'üm Diyene !!!

27-01-2014 23:17
#3
Moyré - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2013
Nereden:
scrabble.psd
Yaş:
30
Mesajlar:
3.269
Teşekkür (Etti):
1273
Teşekkür (Aldı):
1543
Konular:
932
Ticaret:
(0) %
Aynen dostum ben sadece gelen saldırıları azaltmak için bu korumayı araştırdım ve önerdim.
Linux içinde bir paylaşım yaptım zaten teşekkürler
Kullanıcı İmzası

Ya Allah, Ya Muhammed, Ya Ali!
#Solo-Türk

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı