Şirketimizde kullandığımız firewall ların üretilme amacı her ne kadar güvenlik için olsada biz sistem yöneticileri , bu ürünleri en çok kullanıcıları yasaklamak için kullnaırız. Eskiden herhangi bir firewall üzerinden port kapatmak aslında bütün yasaklamaların temelini oluşturuyordu , ancak günümüzde yazılımlar kapatılamayacak olan portlardan haberleşiyorlar , bunun en açık örneği http portudur. Evet bu protokölün kullandığı 80 nolu port internet sitelerini gezinmek için ihtiyaç duyduğumuz port tur , ancak bir p2p veya instant messaging programı aynı portu kullanarak kendi serverına bağlanmaktır.
ISA Server donanımsal firewall lara göre daha az kararlı yapıya sahip olsada donanımsal firewall lardan çok daha esnektir . ( donanım üzerinde çalışan ISA Server ürünleride bulunmaktadır. Daha fazla bilgi için http://h18000.www1.hp.com/products/servers/software/microsoft/isaserver/index.html ) . Bu esnekliğe örnek vermek gerekirse ; ISA üzerinde , caching , VPN , internet kullanım raporu kullanıcı detaylı , uygulama katmanı filtresi , signature , içerik filtrelemesi , message screener , publishing ve bunların dışında satın alacağım add-on lar ile bant genişlik kontrolu , keyword ve URL filtrelemesi de yine ISA nın ekstra özellikleridir. (eklentiler ile bu özellikleri arttırmak mümkündür. )
Ben bu özelliklerden signature ( imza ) üzerinde duracağım. Uygulamalar internete çıkarken belirli bir imza kullanırlar , aslında bu uygulamaların kendilerini tanıtmaya yarayan bir bilgidir ve ISA gibi bir gateway bunu kolaylık ile yakalayabilir , bizlerde bu imzalar sayesinde hangi programın ISA üzerinden geçeceğine veya geçemiyeceğine karar verebiliriz.
Evet , imzayı bilmek yeterli , peki bu imzayı nasıl öğrenebiliriz ;
Ben öncelikle Microsoft un bize verdiği tabloyu kontrol ederim ;
| Application | Location (Search in) | HTTP header | Signature |
| MSN Messenger | Request headers | User-Agent: | MSN Messenger |
| Windows Messenger | Request headers | User-Agent: | MSMSGS |
| Netscape 7 | Request headers | User-Agent: | Netscape/7 |
| Netscape 6 | Request headers | User-Agent: | Netscape/6 |
| AOL Messenger (and all Gecko browsers) | Request headers | User-Agent: | Gecko/ |
| Yahoo Messenger | Request headers | Host | msg.yahoo.com |
| Kazaa | Request headers | P2P-Agent | Kazaa Kazaaclient: |
| Kazaa | Request headers | User-Agent: | KazaaClient |
| Kazaa | Request headers | X-Kazaa-Network: | KaZaA |
| Gnutella | Request headers | User-Agent: | Gnutella Gnucleus |
| Edonkey | Request headers | User-Agent: | e2dk |
| Internet Explorer 6.0 | Request headers | User-Agent: | MSIE 6.0 |
| Morpheus | Response header | Server | Morpheus |
| Bearshare | Response header | Server | Bearshare |
| BitTorrent | Request headers | User-Agent: | BitTorrent |
| SOAP over HTTP | Request headers Response headers | User-Agent: | SOAPAction |
Tablo – 1
Peki ürün tablode yok ise ? tabiki daimi yardımcımız google a bir sorarız .
Şekil – 1
Peki google ada sorduk ama yanıt bulamadık , çünkü kullanılan program çok yaygın bir program değil , o zaman kendi imzamızı kendimiz bulacağız .
Bu işlemi yapmak için biz bir sniffer kullanırız , sniffer kelime manası ile koklayıcı demektir , biz ağ trafiğini izleyen ve bu trafiği oluşturan paketleri bize gösteren yardımcı programların tamamına bu ismi veriyoruz. Google a sniffer yazmanız halinde pek çok sniffer bulacaksınızdır ancak sniffer denilince akla ilk gelenlerden biri ethereal dir , ama bu ürün tüm trafiği karşımıza getirdiği için bu trafikten bir programa ait olan imzanın bulunması çok zordur . Yine network ü dinleyen ama bizim karşımıza sadece http signature larını getiren bir sniffer ile istediğimizi elde edebiliriz. Yine google aracılığı ile pek çok signature sniffer programı bulmanız mümkündür.
Şekil – 2
Ben bu makalemde http://www.effetech.com/ sitesinden elde edebileceğiniz EffeTech HTTP Sniffer ürününü kullanacağım. Ürünü satın aldıktan sonra ISA Server üzerine yüklüyoruz.
Şekil – 3
Karşılama ekranını “next” diyerek geçiyoruz.
Şekil – 4
Sözleşmeyi okuyoruz ve yine ilerliyoruz
Şekil – 5
Effe Tech http Sniffer hakkında detaylı bilgi verilmektedir , isterseniz okuyabilirsiniz , ardından “next” diyerek ilerleyelim.
Şekil – 6
Programın hangi dizine kurulacağını seçiyoruz.
Şekil - 7
Start menüsünde hangi isimde görüneceğini seçiyoruz.
Şekil – 8
Yükleme öncesinde bir bilgi ekranı ; “next” dememiz halinde yükleneceğini belirtiyor.
Şekil – 9
Yükleme işlemi bitti ancak bu program bir arayüz ve aslında paketleri yakalayıp bu programa aktaracak olan WinPcap programınada ihtiyacımız bulunmaktadır , sisteminizde var ise kurulum sizin için bitmiştir , ancak yok ise “Finish” dedikten sonra karşımıza aşağıdaki gibi bir pencere çıkar.
Şekil – 10
Biz bu soruya “yes” diye cevap verip WinPcap in kurulmasını başlatıyoruz.
Şekil – 11
Kurulum için karşımıza yine bir karşılama ekranı geldi ve bizde “next” diyerek kurluma devam ediyoruz.
Şekil – 12
Sözleşmeyi kabul ediyoruz.
Şekil – 13
Kurulum bittikten sonra programı çalıştırıyoruz.
Şekil – 14
Programı açtıktan sonra , ilk olarak hangi network kartını dinleyeceğimizi seçiyoruz.
Şekil- 15
Ben iç network ü dinleyeceğim , çünkü istekler içeriden gelecek.
Şekil – 16
Ağ kartını seçtikten sonra şimdi sıra geldi detaylara. Şekilde gördüğünüz düğmeye basalım ve karşımıza aşağıdaki ekran gelecektir.
Şekil – 17
Bu ekran sayesinde dinlediğimiz paketlerin port numaralarını ( http paketlerinde port numarası 80 standarttır ancak biz yine http protokolü ama farklı bir port dinlemek istiyorsak buradan port numarasını değiştirebiliriz. ) ve yine bütün network yerine sadece referans makineyi dinleme imkanına sahibiz.
Bu ayarları yaptıktan sonra referans makinede önce imzasını bildiğimiz bir yazılımı çalıştıralaım ; Windows Messenger , evet bunun imzasını mixrosoft un sitesinden elde edebiliyoruz ve imzası : MSMSGS dir , bakalım programımız bize imza olarak ne gösterecek.
Program aracılığı ile paket yakalamaya başlıyorum ve istemci makinede windows messenger ile oturum açıyorum, sonuçlar aşağıdaki gibi.
Şekil – 18
Şekilde görüldüğü gibi program başarılı bir şekilde programımızın imzasını elde etti. Ben ardından Windows Live Messenger BETA ve yayınlanmış Windwos Live Messenger ile denemeler yaptım ve her ikisininde imzasını yine program aracılığı ile yakaladım.
Şekil – 19
Şekil – 20
Bu bilgi sayesinde artık forumlarda veya google fa imza aramak zorunda değilsiniz yasaklamak istediğiniz bir program olursa eğer , Effe Tech http Sniffer yardıı ile yakalaybilirsiniz.
Bir başka uygulamada P2P olacak .En çok sorulan ve merek edilen konulardan biride emule gibi paylaşım programlarının yasaklanmasıdır . Oysaki zaten stnadart bir ISA kuralında ( http,https,dns) Emule zaten çalışamaz , çünkü emule vb p2p programları açık portlar ister ve siz açmadığınız sürecede zaten bunlar ISA tarafından kapatılmıştır.
Yine Emule http protokolünü kullanmadığı için bunun imzasını almanız mümkün değildir . ISA Server arkasında çalışan bir emule ise hiçbir server a bağlanamaz . Aşağıda çalışan ve ISA Server a takılan paketleri görüyorusunuz
| Org. Client IP | Client Agent | S. Port | Destination IP | D. Port | Protocol | Action | |
| 172.16.0.112 | eMule.exe:3:5.1 | 1605 | 194.213.0.20 | 3306 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1608 | 194.213.0.20 | 3306 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1610 | 213.186.60.106 | 4661 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1611 | 205.178.187.13 | 80 | HTTP | Initiated Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1611 | 205.178.187.13 | 80 | HTTP | Closed Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1613 | 213.251.136.83 | 4661 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1615 | 62.241.53.2 | 4242 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1617 | 62.241.53.16 | 4242 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1618 | 209.73.186.238 | 80 | HTTP | Initiated Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1618 | 209.73.186.238 | 80 | HTTP | Closed Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1620 | 62.241.53.17 | 4242 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1622 | 62.241.53.15 | 4242 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1624 | 62.241.53.4 | 4242 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1625 | 209.73.186.238 | 80 | HTTP | Initiated Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1625 | 209.73.186.238 | 80 | HTTP | Closed Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1627 | 212.112.243.146 | 4661 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1629 | 194.213.0.20 | 3306 | Unidentified IP Traffic | Denied Connection |
| 172.16.0.112 | eMule.exe:3:5.1 | 1631 | 213.186.60.106 | 4661 | Unidentified IP Traffic | Denied Connection |
Tablo – 2
Bu makale sayesinde artık biliyorsunuz ki http protokolünü kullanmayan bir programın imzasını aramak mantıklı değil , örneğin emule , emule için gerekli olan portlardır ve bu portlar arasında 80 yok ise siz onu zaten gerek ISA gerekse windows XP firewall u ile bile yasaklarsınız , ancak kendi port numarası olan 1863 kapalı olunca açık olan 80 nolu porttan çıkan msn gibi programlar için imza belirlemek çok önemlidir .
Umarım bu makale sayesinde şirketinizdeki tüm trafiğe hakim olursunuz.
Bir başka isa makalesinde görüşmek üzere.