İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Windows Web Server Güvenliği – Bölüm 2

11-02-2014 20:44
#1
Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Konular:
2439
Ticaret:
(0) %


Merhaba arkadaşlar Windows Web Server Güvenliği Bölüm 2 makalesine hoşgeldiniz.

Aşağıdaki işlemleri yapmadan önce kesinlikle yedek almanızı öneririm.

Bu bölümde IIS Güvenliğinden ve Hosting Kontrol Panelleri hakkında bilgi vereceğim.Genel’de web sunucularımızın bir Kontrol Paneli kurduğumuz için bize IIS tarafında çok iş düşmüyor Kontrol Panelimiz her işi kendisi yapıyor.

Bizler bu bölümde yine Portlarla oynayacağız ve dizinlerdeki izinlerden bahsedeceğim.

Bu makaleyi okuduğunuza göre IIS ( İnternet İnformation Services ) ‘in ne işe yaradığını biliyor olmanız gerekmektedir. Eğer bu konu hakkında bilgi sahibi değilseniz İnternet’te IIS makaleleri okuyarak kendinizi geliştirebilirsiniz.

IIS,Apache,Litespeed,Ngnxi vb Web sitelerimizi barındırmamız için kullandığımız web sunucuları Default olarak 80 portuyla çalışır.

Herkese açık bir web sitesi yayınlıyorsanız default olarak 80 portu kalmalıdır. Çünkü sizi arama motorlarında bulacak kullanıcılar portu bilmedikleri için web sitenize giremeyeceklerdir. Doğal olarak bu port istisnalar haricinde değişmemektedir.

Değiştiği zamanlar ;

Bir şirket’te bilgi işlem olarak çalışıyorsunuz. Web tabanlı bir Müşteri Yönetim Sistemi kullanıyorsunuz. Buna erişecek kişiler şirketinizde çalışan insanlarsa 80 Portumuzu değiştirirek Uygulamızı güvenli olarak istediğimiz kişilere ulaştırmış oluruz.

Port değiştikten sonra Uygulmaya giriş adresimiz http://websiteadrsimiz.com:Portnumber

PortNumber yazan kısımı 80 portunu hangi numaralarla değiştirdiyseniz o değerleri giriyorsunuz.

Eğer yukarıdaki senaryoya benzer bir durumdaysanız IIS Portunu değiştirilmeniz önerilir.

Port değiştirmek için
1-> İnternet İnformation Services yöneticisini açın.
2-> İlgili sitenin üzerinde Sağ Click yapıp Edit Bindings’e tıklayınız.
3-> Açılan pencerede Edit butonu tıklayarak 80 portundan hizmet veren Kayıtların hepsini yeni port numaralarıyla değiştirin.



Not : Güvenlik duvarından ilgili porta izin vermeyi unutmayın

IIS kurulumunda eğer tüm seçenekleri işaretleyip kurduysanız burada bir güvenlik zafiyeti oluşmuş demektir.

Örneğin bir Mail sunucunuz var fakat siz yine de Microsof IIS ile gelen SMTP Sunucunu kuruyorsunuz ? NNTP, IIS 7.5 ile gelen IIS 6 Componentleri kullanmadığınız rolleri sunucudan kaldırmanız hem performans açısından hemde güvenlik açısından sizi bir adım ileriye ***ürecektir.
Web sunucumuzda kesinlikle NTFS Dosya sistemi kullanmalıyız. FAT ve FAT32 sisteminden daha güvenli olduğu NTFS Tercih etmeliyiz.

IIS kurduğumuzda default olarak C:\inetpub\wwwroot dizinde uygulmalarımızı atıp çalıştırabiliriz. Bu dizini değiştirmek güvenlik açısından önemlidir.

Eğer herhangi bir kontrol paneli kullanıyorsanız bu dizini kurarken size seçme imkanı vermektedir. Fakat Panelsiz bir web yayını yapıyorsanız default olarak bu dizine kurulum yapmaktadır.

IIS Dizinin değiştirmek için ;



1- IIS Yöneticisini açın.
2-> Sağ bölümde bulunan Edit Site altında Basic Settings bölümüne tıklayınız.
3-> Açılan küçük pencere’de Physical path: bölümünü D: veya baska bir partition bölümüne taşıyınız.
4-> Taşıdıktan sonra siteye girişte şifre sorarsa NTFS izinlerini tekrar yapılandırınız.

FSO,Shell ve buna benzer exploit,tools aracılığı ile Windows üzerinde komut uygulamalarını engellemek için C: dizini altında tüm çalıştırabilir dosyalarda Anonim kullanıcılar için çalıştırma izinleri engellenmelidir. Bu işlemi bir grup oluşturarak IIS userlerini ekleyek yapabilirsiniz.

IUSR_bilgisayaradı, hesabı için yazma erişim denetimleri kısıtlanmalıdır. Bu işlem, anonim kullanıcıların bilgisayara erişimini sınırlandırmaya yardımcı olacaktır.

Tüm WMI tabanlı uzaktan yönetim kod dosyalarında veri şifrelemesi etkinleştirilmelidir. WMI hakkında bilgi edinmek isterseniz ;

WMI Nedir? Sorgu ve Test Araçları Nelerdir? Mshowto | Mshowto bu adresi ziyaret edebilirsiniz.

IIS Sunucunuzu Otomatik Güncellemelere açık tutunuz. IIS Yeni sürümle beraber kesintiye uğramadan sunucunuzu güncellemeniz mümkündür.

Eğer IIS ile gelen SMTP Sunucusunu kullanıyorsanız ; C:Windows/inetsrv altında ****base.xml dosyasından SMTP sunucusunun dizin yollarını değiştirebilirsiniz.Değiştirmenizde performans ve güvenlik açısından etkili olacaktır.

Açacağımız kullanıcı hesapları için Policy’lerde düzenleme yapmamızda fayda var.

Start -> Run -> gpedit.msc açınız. Resimdeki dizine kadar ilerleyin ve aşağıdaki önerilen ayarları yapılandırınız.



Sifre Politikasi(Password Policy)
Enforce Password History 6
Maximum Password Age 40
Minimum Password Age 10
Minimum password length 8
Passwords Must Meet Complexity Requirements Enabled
Store Password Using Reversible Encryption Disabled

Bu ayarı yaptığımız zaman ne gibi güvenlik açığını engellemiş oluruz.Aslında Windows Server 2008 ile bu Policy default olarak isim harf ve özel karakter girmeden kullanıcı şifresi belirleyemiyorsunuz. Ama biz türkler hiçbir hata almamak için bu ayarı sıfırlıyoruz hertürlü şifre kabul etmesini sağlıyoruz.

Kötü niyetli hacker FSO üzerinde bir şekilde izinleri aştı ve net user administrator komutunu koşturdu ?

net user administrator 123456

Bu komut administrator kullanıcısının şifresini 123456 olarak değiştirir. Eğerki siz yukarıdaki policy uygularsanız hacker’i yanıltmış olursunuz.

Hacker o komutu uyguladığında şifre hatasını tamamen ekrana yazdırmayacaktır. Oda izinleri delemediğini düşünecek ve sunucunuzdan çekip gidecek

Burada şu soru aklımıza geliyor. Hacker bu kadar basit şifre koyar mı ?

Hackleyeceği sunucuya kompleksli bir şifre gireceğini düşünmüyorum

Windows sunucularımız üzerinde hangi Kontrol panellerini kullanabiliriz ?

1-> Maestro Panel
Oğuzhan ve ekibinin yazmış olduğu Türk oğlu Türk yapımı bir hosting kontrol paneli hayal ettiğim hatta düşündüğüm bütün özelliklerin hepsini yapmış oldukları panelde mevcut. Şuan dünya’da Maestro Panel gibi dağınık yapıda çalışabilen kontrol paneli ben görmedim gören varsa bildirmesi rica olunur
Web adresi : MaestroPanel - New Generation Web Hosting Control Panel
2-> Plesk Panel
Windows sunucularnda şuan’da en çok kullanılan bir panel. Herkes çatlamasından patlamasından ve güvenlik açıklarından bıkmış bir durumda. Saçma sapan hataları insanları çıldırtabilir nokta’da ama neden’se ben kurmuş olduğum hiçbir Plesk sunucusundan şikayetçi değilim. Yani şöyle tabi Plesk Panel benim gereksinimleri karşılamıyor çok eksiği var ama stabil bir şekilde yıllarca sunucumda çalışıyor. Lisanslı ve Güncel olarak kullandığınız sürece Plesk’i seveceğini ümit ediyorum.
Web adresi : www.parallels.com
3-> Dotnet Panel
Grafik arayüzü hoşuma gitmiyor. Gözüme çarpan artıları birçok mail sunucusu ve veritabanı sunucusunu destekliyor. Plesk gibi sunucuyu yormuyor daha stabil ve sakin çalışıyor.
Web adresi : http://www.dotnetpanel.com/
4-> ZPanel
Yeni çıkmış inceleme şansım olmadı.Detaylara web sitesinden bakabilirsiniz.
Web adresi : ZPanel | The free web hosting panel

ve adını sayamayacağım birçok kontrol paneli…

Bölüm 2′de anlatacaklarım bu kadar bir sonraki konumuzda Plesk Panel için güvenlik ayarları, Windows Güvenlik Duvarında yapacağımız değişiklikler,Antivirus kullanımı,Fso ve Shell engelleme konularını anlatacağım.

Bir sonraki makale’de görüşmek üzere …

Alıntıdır.
Kullanıcı İmzası

11-02-2014 20:50
#2
Dark-Man - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
I Don't Know
Mesajlar:
4.436
Teşekkür (Etti):
299
Teşekkür (Aldı):
1389
Konular:
1812
Ticaret:
(0) %
Eline Sağlık Güzel Makale Olmuş
Kullanıcı İmzası
İmkansızı hedefle.
11-02-2014 20:51
#3
Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Konular:
2439
Ticaret:
(0) %
Alıntı:
EagLe132´isimli üyeden Alıntı Mesajı göster
Eline Sağlık Güzel Makale Olmuş
bunu yapana sor altta alıntı diye belirttim yinede sağol
Kullanıcı İmzası
11-02-2014 20:55
#4
Dark-Man - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
I Don't Know
Mesajlar:
4.436
Teşekkür (Etti):
299
Teşekkür (Aldı):
1389
Konular:
1812
Ticaret:
(0) %
Alıntı:
Rival´isimli üyeden Alıntı Mesajı göster
bunu yapana sor altta alıntı diye belirttim yinede sağol
Hepsimi Ben Bazılarını Sandım.
Kullanıcı İmzası
İmkansızı hedefle.
11-02-2014 21:15
#5
Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Konular:
2439
Ticaret:
(0) %
Alıntı:
EagLe132´isimli üyeden Alıntı Mesajı göster


Hepsimi Ben Bazılarını Sandım.
hepsi
Kullanıcı İmzası

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı