İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Windows Web Server Güvenliği – Bölüm 1

11-02-2014 20:11
#1
Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Konular:
2439
Ticaret:
(0) %


Merhaba Arkadaşlar bu makalemizde Windows Sunucu güvenliğinden bahsedeceğim. Çoğu zaman bu güvenlik adımı es geçilir,aman bana hangi hacker musallat olacak veya benim sunucularıma kim girip ne yapacak gibisinden…

Profesyonel bir Hacker’in belki sizin sunucunuzla bir işi olamaz ama bu işi ego tatmini için yapan ve hacklink,botnet kasanların çoğu sizin gibi sunucu sahiplerine ihtiyacı vardır.

Şifrelerimizin çalınması,Sunucumuzun hizmet vermez hale gelmesi veya sunucumuz üzerinde saldırı yapılması bizim için hoş bir durum olmasa gerek.

Windows Web sunucumuz üzerinde çalışan servislerimiz :

FTP Servisi ( File Protocol Service ) Web sitemize dosyaları yüklemek için kullandığımız servis.
RDP Servisi ( Remote Desktop Services ) Uzak masaüstü bağlantısı için açarız.
IIS Servisi ( Internet Information Services ) 80 Portunda web yayını yapmamızı sağlayan Servis
Asp,Asp.Net Bileşenleri ( Sunucumuz üzerinde Asp veya .Net ile yazmış olduğumuz uygularımızı çalıştırmamız için yüklenmesi gereken componentler. )
Php ( Sunucumuz üzerinde php ile yazmış olduğumuz uygulamaları çalıştırmak için. ( WordPress,Joomla,Whmcs ve diğer İçerik Yönetim Sistemleri )
MySQL,MsSQL ( Veritabanı sunucusu )
Dns ( İsim Çözümleme sunucumuz )
Mail Server ( Mail Enable,Merak Mail vs )

Yukarıdaki ismi geçen servislerin port numaraları ;

Ftp ( File Protocol Service ) : 21
Rdp ( Remote Desktop ) : 3389
IIS ( Internet Informatıon Services ) : 80
MySQL ( Veritabanı Sunucusu ) : 3306
MsSQL ( Microsoft SQL Server ) : 1433
Dns ( İsim Çözümleme Servisi ) 53
Mail Server sunucumuz için port numaraları aşağıdaki gibidir.

POP3 – port 110
IMAP – port 143
SMTP – port 25
Secure SMTP (SSMTP) – port 465
Secure IMAP (IMAP4-SSL) – port 585
IMAP4 over SSL (IMAPS) – port 993
Secure POP3 (SSL-POP) – port 995
Eğer bir web sunucusu kurduysanız hizmet verebilmeniz için yukarıdaki bütün portları aktif olarak açmanız gerekmektedir.Fakat çoğu web sunucu hizmeti veren Mail sunucularında SSL kullanmadıklarını için son 4 Portu aktif etmemektedir.

Sunucumuzun güvenliği olarak ilk yapmamız gereken işlemler hizmet veren servislerimizin portlarında değişiklik yapmak.
———————————————————————————————————
Ftp Servisi Port : 21

Eğer bir hosting firması değilseniz FTP portunu değiştirmekle bu işe başlayabiliriz. Kullanıcı ftp şifrelerimizi ele geçirsede FTP portumuzu bilmediği için bağlantı yapamayacaktır.

FTP portunuzu kullanmış olduğunuz FTP Yazılımı üzerinden değiştirebilirsiniz.

———————————————————————————————————
Remote Desktop Services / Uzak Masaüstü hizmeti : 3389

RDP Brute Force ataklarından korunmak ve Uzak masaüstü şifremizi ele geçiren kişiler tarafından korunmak için Remote Desktop portunu kesinlikle değiştirmeliyiz.

Rdp Portunu değiştirmek için ;

Windows tabanlı işletim sistemlerinde uzaktan erişim için kullanılan standart port “3389″ dur. Bu portu değiştirerek güvenliğinizi bir nebzede olsa arttırabilirsiniz…
Bu işlemi regedit aracılığı ile yapabiliriz. Start > Run > Regedit
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lTerminal ServerWinStationsRDP-Tcp
bölümünden PORT NUMBER Dword değerini tabanını ondalık değere çevirince 3389 standart port numarasını göreceksiniz bu değeri 0-65000 değerleri arasında bir değer vererek değişikleri kaydedip kapatalım. Bilgisayarımıza yeniden başlattıktan sonra port numarası değişecektir.

Daha güvenli Uzak masaüstü bağlantısı için ;
Yukarıdaki uzak masaüstü güvenliği için port değişikliği yaptık ama daha kompleksli bir güvenlik oluşturmak istiyorsak.

Windows Server 2008 üzerinde bulunan Firewall ile RDP Servisimize sadece belirlediğimiz iplerin uzaktan bağlanmasını sağlayabiliriz. Böylece kişi bizim Şifrelerimizi eline geçirse’de , Portumuzu bir şekilde öğrense’de sadece bizim izin vermiş olduğumuz İP Adresini alamayacağı için bağlantı yapamayacaktır.



Yukarıda gördüğünüz Ekran’a Windows Firewall advanced settings kısmında açmış olduğunuz portlardan hangisinin üzerinde uzaktan bağlanacak ip adreslerini belirlemek istiyorsanız sağ tıklayıp ” Properties ” Özellikler sayfasına tıklayalım.

Açılan pencere’de “Scope” sekmesine tıklayarak. İlgili ayarlarımızı resimde gördüğünüz şekilde yapılandıralım.

Eğer web sunucunuzu local’de barındırıyorsanız ; 3389 portunu dışarıya açmanıza gerek yok. Ama eğer ev’den veya başka bir ortamdan sunucuya erişim sağlayacaksınız açmanız gerekecektir.

Local’de bir kısıtlama yapmak isterseniz Local İp address kısmında istediğiniz İp adresine izin verebilir,İzin vermiş olduğunuz ip adreslerini düzenleyebilir ve silebilirsiniz.

Ben dışarıdan gelecek bağlantılar için hangi ip adreslerine izin vereceğimi belirliyorum.

Remote IP Address kısmında Add butonuna basarak açılan pencere’de ” This IP Address or subnet :
Bu bölümde izin vermek istediğim ip adresini yazıyorum. Örnek olarak ben 85.99.253.23 ip adresine izin verdim. Eğer bu şekilde değişiklik yaparsanız sadece 85.99.253.23 ip adresinden gelen RDP hizmetini içeriye yönlendirecektir.




Eğer ayarlarımı ” This IP address range: ” kısmından yaparsam kuralım şu şekilde geçerli oluyor;

3389 portuna gelecek istekler sadece 85.99.253.23 – 85.99.253.99 aralığındaki ip adresini kullanan kullanıcılar tarafından kabul edilecek.

Predefines set of computers :

Bu bölümde daha detaylı bir izin verme işlemi yapabiliriz. Örner vermemiz gerekirse ;
Default Gateway seçeneğini seçersek sadece kullanmış olduğumuz gateway kullananlar bu hizmet’ten yararlanabilir.

Yukarıda anlattığım Port değişiklikleri ile FTP Servisimizi ve Remote Desktop servisimizi güvenli bir duruma almış olduk. Peki bu değişiklikleri neden yaptık ?

FTP için yapılan değişiklik :

Kötü niyetli kişi ftp kullanıcı adımızı ve şifremizi öğrense’de portumuzu bilmediği için bağlantı yapamayacaktır. En azından biraz daha uğraşması gerekecek.

Sunucumuza gelebilecek FTP Brute Force ataklarını bir nebze’de olsa engelleyebilmiş olduk. Portumuzu bilmedikleri için FTP Brute force yapamayacaklar portu öğrenmeleri için uzun bir zamana ihtiyaç gereksinim duyacaklar.

Remote Desktop için yapılan değişiklikler ;

Örnek vermek gerekirse Windows Server 2003 SP1-SP2 versiyonları için yazılan bir Exploit ile rahatlıkla RDP erişimi yapılabiliyor.

Şifrelerimizi öğrenen kişiler portu bilmedikleri için bağlantı yapamayacaklardır.

İP Bazlı kısıtlama yaptığımız için şifrelerimizi,portumuzu öğrenselerde bizim sahip olduğumuz ip adreslerine sahip olamayacakları için sadece uzak masaüstü hizmetini biz kullanmış olacağız.

Web açıklarından yararlanarak Sistem’e FSO,Shell ve buna benzer tools yükleyip Administrator şifremizi sıfırlayabilirler.Artık şifremizi sıfırlasalar’da uzaktan bağlantı yapamayacakları için şifre hiçbir işlerine yaramayacaktır

Bir sonraki Windows Sunucu Güvenliği Bölüm 2 ( IIS Güvenliği,Shell,Fso Engelleme vs ) makalesinde görüşmek üzere.


ALıntı......
Kullanıcı İmzası


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı