Forum
Merhabalar,
Çalıştığım kurumun Network’ünde spambot bulaşmış bir “Zombi PC” var sanırım. Bu konuda bir best practice olarak network’ ümüzde SMTP 25 portunu mail sunucular hariç tüm cihazlara kapatılması yönünde tavsiyeler aldım. Cisco ASA 5510 kullanılıyor. Sanırım access list tarafında çözüme gidilmesi muhtemel. Bana konfigürasyonu yazabilirseniz çok sevinirm. (hangi modda olacağını belirtirseniz daha iyi olur, çünkü profesyonel değilim) Birde ASDM üzerinden konfigürasyonu düzeltebilmek daha mı kolay olur acaba??? Ve son olarak yapılacak işlemlerden sonra test'i nasıl gerçekleştirmem gerekecek? Şimdiden katkı sağlayacak arkadaşlara teşekkürler,
Ciscokonusunda pek bir bilgim yok fakat bu durumla baş etmek çok zor bir durum değil. yapılacaklar sırası ile şu şekilde.
1. 25 Portu içerdeki tüm kullanıcılar için değiştirilip 9999 portu haline getirili ROUTER cihazınızın SAT yapma kapasitesi var ise kendisine gelen 999 portlarını dışarıya tekrar 25 olarak gönderebilir. Bu şekilde 25 portuna istinaden yazılmış olan programcık 25 portunda cevap alamıyacaktır.
2. Program zeki ve sadece 25 portunu denemiyor cihaz üzerindeki mail istemci ayarlarını kopyalıyor ise Trashold rule tanımlayıp bir cihazınızdan 25 portuna bir birim zamanda açabileceği en fazla istek sayısı ve toplam istek sayıları belirlenerek bu değerlere ulaşan cihazlarıda Balck liste alarak hem kimde sorun olduğunu bulabilir hemde programı önlemiş olursunuz.
Eğer ki cihazınız bunları yapamıyacak bir cihaz ise iki tercihiniz var ya Clavister gibi bir cihaz alacaksınız ya da mail sunucu dışında herkezlere SMTP portunu kapatacak ve mail sunucununda aynı sorundan muzadrip olmaması için önlem almaya çalışacaksınız..
Selam,
Söylediklerinizin içerisinde sadece ACL konusuna değineceğim. Extended ACL yazmak bana daha mantıklı geldi. Çünkü networkdeki bu zombie pc yi bilmiyoruz. Zaten bilseydik, L2 tarafındada L3 tarafındada farklı çözümler var. Fakat bilmesek bile eğer ACL ile çözmek düşüncesindeyseniz, Extended ACL bana daha mantıklı geldi. Örn. Conf: "access-list 120 permit tcp host 10.0.0.1 eq 25 host 10.0.0.2 eq 25"
Açıklama: Örn. Conf. 10.0.0.1 hostunda bulunan sadece 25 portundan tcp paketlerine ve sadece 10.0.0.2 nin 25 portuna ulaşımına izin veriyor.
Tabiki farklı çözümlerde getirilebilir. Farklı düşünen arkadaşlarımda fikirlerini paylaşırlarsa çok sevinirim.
Saygılarımla,
Gürcan
Önerileriniz için teşekkürler, ben router'ın iç bacağına rule ekleyerek bir Access List oluşturdum. Fakat bunun testini veya sağlamasını nasıl gerçekleştirebilirim. Yani; acaba hakketen network'teki SMTP 25 portunu, mail sunucular hariç tüm cihazlara kapatıldığını nasıl anlarım. Veya smtp trafiğinin artık client'lar tarafında kesildiğini nasıl görebilrim de diyebilirim? Teşekkürler,,,
Sistemi izlemek için bir monitoring sisteminiz var mı? Varsa zaten monitor ettiğinizde clientların hangi porttan çıktığını görebilirsiniz. Örneğin herhangi bir client' a 25 portu için izin verin ve sadece o yazdığınız kuralı takip edin, kullanıyor mu kullanmıyor mu görün. Başka bir yol da şu, şüphe ettiğiniz makinelerin başına geçin. Aktif portları ve hangi bağlantıları kullandıklarını görmek için şu komutu girin : netstat -ano | find "ESTABLISHED"
Bu komut sonrasında established olarak 25 portu çalışıyorsa halen orayı kullanıyor demektir. Ama tabi merkezden monitor etmek daha mantıklı bi çözüm. Sonuçta tüm clientlara geçip bu komutları yazmak zamanınızı alır.
Eğer cihazınız cisco ise ve trafiğinizde NAT kullanıyorsanız. "show ip nat translations" komutu ile içerideki hangi ip'nin hangi portdan nereye gittiğini çok rahat bir şekilde görebilirsiniz.
Aklıma gelen başka bir uygulamada tek client üzerinde 25 portunu kullanan bir uygulamayla test etmek olabilir. Örneğin smtp 25 portunu kullanan outlook programı ile (dışarı bir kaynaktan) mail çekmeyi deneyebilirsiniz.
Saygılarımla,
Gürcan Boduroğlu
şirketin yapısında outlook 2007 mevcut ve client'lar şirket mail'lerini outlook 2007 üzerinden takip ediyorlar. Söylediğiniz 2. öneri olan smtp 25 portunu kullanan outlook programı ile mail çekme işlemi için gerekli detaylı bilgileri verebilirseniz çok sevinirim. Tam anlayamadım, adım adım izah edebilir misiniz? Teşekkürler,
Sevgi ve saygılarımla,
Bu bacakağın arkasında kalan bir mail sunucusundan mail çekmek. Bunun için outlookta bir hesap yapılandırmanız gerek. Bu gmail olabilir. Gmail pop3 ve smtp protokollerini kullanarak sunucularından mail alıp gönderme işlemi yapıyor. Bir gmail hesabı ile denenebilir.
Diğer bir yol port tarama programlarıdır. Google da port scanneer diye arattığınızda bir çok yazılım çıkar. Bunlarda istediğiniz adresi tarattığınızda açık portları yada yasaklanmış olanları görebilirsiniz. (Sanırım bu yöntem daha kolay)
Diğer bir yol ise test programları ki bunların başında telnet gelmektedir. "telnet x.x.x.x:25" bu komut komut satırında yazılacak ve x.x.x.x yerine hedef adres gelecektir. Bu komut şunu test eder. Karşıdaki makinanın 25 nolu portundan iletişim kurabiliyor muyum? Eğer karşı tarafın shell ine düşüyorsanız bilinki hala açıktır.
Saygılarımla,
Gürcan
teekrar merhaba,
Dediğiniz 2. yöntemi denedim. yani client makinasından telnet 69.147.112.160 25 komutunu kullandım (ip mail.yahoo.com'a ait). Ve sonuç olarak karşı tarafta simsiyah bir ekran çıktı (hiç bir şey yazmıyor). Ve 20-30 sn bekledikten sonrada bağlantı kopuyor sanırsam. Bu durumun
ne anlam taşıdığını belirtebilirseniz çok sevinirim.
Sevgi ve saygılarımla,
Bunun anlamı karşıdaki shell e düşüyorsunuz demektir. Yani bu portdan bağlantı kurabiliyorsunuz.