Forum

CentOS Cloud Endpoi...
 
Bildirimler
Hepsini Temizle

[Çözüldü] CentOS Cloud Endpoint Security Hk

11 Yazılar
3 Üyeler
0 Reactions
743 Görüntüleme
Tayfun Güçlü
(@tayfunguclu)
Gönderiler: 33
Eminent Member
Konu başlatıcı
 

Merhaba ,

Turkcell veri merkezinde çalışan Centos 7.7 sunucularımız için endpoint security uygulaması kullanmayı düşünüyoruz. Sunucu üzerinde baskonuş uygulama yazılımı çalışıyor ve ortalama 25k client bu servis üzerinden baskonuş hizmeti alıyor. 

Amacımız O/S katmanında dışarıdan gelebilecek tehditlere karşı koruma saglamak. Firewall üzerinde SSH , https , https gibi servisler dış networke kapalı durumda, fakat uygulama servislerine ait portların kuraldaki source bilgisi "any" olarak açık. Bize ait IPSEC tunnel dısında müşterilerimize ait networklerden de kullanım yapılabiliyor bu sebeple source degerini kısıtlayamıyoruz, client terminalleride farklı networklerden uniq ip ler ile sunucuya erişiyor. 

Öncelikle yazılım servis portlarının any açık olması zaafiyet yaratır mı? Yazılımın client tarafında kullanılabilmesi için her kullanıcının uniq 11 haneli id ve parolası var.

kdevtmpfsi gibi veri madencilerinin agentleri çok fazla yaygın, bu gibi agentlara karşı korunmak istiyoruz.

Server endpoint security konusunda bilinen markaların paketlerini araştırıyorum,  anti-mallware ve IDS servisleri bizim ihtiyacımızı karşılayacak gibi görünüyor. Çekimcem, endpoint yazılımını aktif ettikten sonra client tarafında uygulama servislerine erişimde kesinlikle bir bloklama olmaması gerekiyor, endpoint fw modulünü kullanmamak bir verimi düşürürmü? 

Teşekkürler

 

 

 
Gönderildi : 21/06/2023 12:02

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Merhaba,

Öncelikle böyle bir hizmet için geleneksel NLB, WAF tarzı çözümler kullanmanızı öneririm. Belki mimari gereği NLB kullanamıyor olabilirsiniz. Ancak dışa açık bir OS için WAF çok önemlidir. Firewall dışında ki onda any demişsin zaten alacağın her önlemde kesinti riski vardır, bunun için önce azure service map agent indirip bir ay OS üzerindeki tüm trafiği izleyip (benzer uygulamalar var ama satın alma pahalı olur senin amacın servis ağı çıkarmak) öncelikle any portlardan gerekli olan portlara dönmen. Ardından test ortamında bir waf hizmeti alman. Sonra ise sentinel one, crowdstrike vb EDR ürünleri alman. Eğer bütçen var ise MDR hizmeti ile bunları birleştirmen. Ancak bütçe yok ise yapacak çok bir şey yok, eğer yazılımcı veya sistemci isen uzman bir güvenlikçi olmadan yapacağın aksiyon veya alacağın önlemlerle durumunu kontrol etmen zor.

En bedava yöntem, test ortamı kur, para yoksa danışamnlık ve waf yok ok (25k bas konuş var ise bu bir işletmedir ve bence buna harcayacak parası olmalı ama o senin konun benim değil 🙂 alırsın iyi kötü bir endpoint kurarsın, bu sayede local os güvenliğini bir nebze sağlamış olursun. Ancak test ortamı olmadan bırak av bile kursan kesinti olur tabi, kimse senin uygulama, os ve ortamı görmeden forumdan beklediğin keskinlikte bilgi veremez ne yazık ki.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 28/06/2023 14:30

Tayfun Güçlü
(@tayfunguclu)
Gönderiler: 33
Eminent Member
Konu başlatıcı
 

Gayet açıklayıcı oldu Hakan Hocam , Teşekkürler

Alt yapının önemini her defasında vurgulasamda bu konuda çok şanslı oldugumu söyleyemem. Bu sebeple enterprise bir AV ile yola devam edecegim gibi görünüyor. Sentinel One için Distb firma ile görüşecegim.

 
Gönderildi : 28/06/2023 22:35

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Crowdstrike da bak derim, ikiside güzel ürün.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/06/2023 12:40

(@bozkiru)
Gönderiler: 11
Active Member
 

Selamlar, oncelikle bu tur sistemleri iyi bir yedekleme ve guncelleme (yum update) planiyla yonetmenizi tavsiye ederim. Iyi bir monitoring uygulamasi veya servisi (htop / Zabbix) olmazsa olmaz. Son olarak yerelde rkhunter ve chkrootkit uygulamalariyla rutin takipleri yapabilirsiniz. Cok kisa yanitladim kusura bakmayin.

 

Kolayliklar.

 
Gönderildi : 04/07/2023 22:46

Tayfun Güçlü
(@tayfunguclu)
Gönderiler: 33
Eminent Member
Konu başlatıcı
 

Merhaba Umut Hocam,

Günlük backuplarımız alınıyor. Hizmetimiz var.

Fakat O/S tarafını update edemiyoruz, yazılım belirli versiyon ve kernel versiyonu üzerinde kararlı çalısıyor.

Monitoring için PRTG kullanıyorum.

rkhunter veya chkrootkit uygulamalarının işlevi nedir? Lisanslı ürünler mi?

 
Gönderildi : 04/07/2023 22:49

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Rkhunter ve chkrootkit Linux sistemlerinde kötü niyetli kökkitlerini ve diğer zararlı yazılımları tespit etmek için kullanılan araçlardır. Bu araçlar sisteminizin kökünü (root) ele geçirmeye çalışan zararlı yazılımların varlığını tespit etmek için sistem dosyalarını ve konfigürasyonlarını tararlar.

Rkhunter (Rootkit Hunter) sisteminizde gizli kökkitlerini, trojanları, zararlı bağlantıları, güvenlik açıklarını ve diğer zararlı yazılımları tespit etmek için tasarlanmış açık kaynaklı bir araçtır. Chkrootkit ise benzer bir amaca hizmet eder.

Her iki araç da açık kaynaklı yazılımlardır ve genellikle ücretsiz olarak kullanılabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2023 13:22

Tayfun Güçlü
(@tayfunguclu)
Gönderiler: 33
Eminent Member
Konu başlatıcı
 

Sadece tespit etmek için mi kullanılıyor. Blokluyor mu?

 
Gönderildi : 05/07/2023 13:29

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Bunlar sadece tespit yapar, koruma sağlamaz. Koruma için AV + EDR kullanabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2023 19:09

(@bozkiru)
Gönderiler: 11
Active Member
 

@tayfunguclu Isletim sistemini guncelleyemiyor olmak en onemli guvenlik onlemini pas gecmek oluyor. Bu sekilde alinacak urun veya hizmetler kisa-orta vadede ise yarayabilir. Bunlarin maliyetiyle yeni bir altyapiya gecme arasindaki maliyeti iyi kiyaslamak gerekir. En azindan bu donemi yeni altyapi icin test sureci olarak belirleyebilirsiniz. Cunku gercekten guncelleme vakti geldiginde artik cok gec olabilir (Bunlar yazilim muhendisliginin konusu sanirim:) ).

 

Yerelde bir onlem de "chroot" ile uygulamayi calistirmak olabilir. Isterleri bilmiyorum ancak uygulamanin kostugu dizin yazma hakkina sahip olmak zorunda degilse "read-only" (yazma korumali) olarak "mount" edip calistirabilirsiniz (Ilkel Kubernetes). Denemesi bedava ancak emek-tecrube yogun olacagi icin ayrica maliyet hesaplamaniz gerekecektir.

 

Kolayliklar.

 
Gönderildi : 05/07/2023 22:33

Tayfun Güçlü
(@tayfunguclu)
Gönderiler: 33
Eminent Member
Konu başlatıcı
 

Bilgiler için teşekkürler

 
Gönderildi : 05/07/2023 23:48

Paylaş: