Forum
Bildirimler
Hepsini Temizle
Network Genel
12
Yazılar
4
Üyeler
4
Reactions
2,376
Görüntüleme
Konu başlatıcı
Merhaba
Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ?
Bu programlar engellenebiliyormu ?
Paloalto firewall bu iki maddeyi yapmada yetersiz kaldı. wireshark gibi bir prg ile bulabilirmiyiz.
Cevaplarınız için teşekkür ederim .Kolay gelsin
Gönderildi : 07/05/2019 16:53
merhaba,
post başlığı için forum kurallarına uyalım lütfen. bkz. m7
https://www.cozumpark.com/community/forum/650/
paloalto gibi bir markanın bahsettiğiniz uygulamalar için mutlaka imzası mevcuttur.
application filter veya policy tarafında atladığınız bir adım olabilir, referans adresleri inceleyerek yapılandırmanızı kontrol edebilirsiniz.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXfCAK
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSkCAK
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/05/2019 07:22
Merhaba
Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor.
İyi çalışmalar.
Gönderildi : 08/05/2019 07:22
Merhaba
Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor.
İyi çalışmalar.
Arkadaş cümlelerimi ağzımdan almış diline sağlık, şunu da eklemek isterim.
Ben Fortinet'in App veritabanında olmayan bazı VPN uygulamalarını kullanıcıların telefonunda vs tespit ettim, geçici çözüm olarak da en üst policy oluştururarak o uygulamanın kullandığı portları kapattım.
500 ve 4500 yada service ismi "IKE" standart VPN port numaraları yada Service adıdır.Ben ayrıca 7268/udp de engelledim o da sanırım VPN Proxy Master isimli uygulamaydı.
Yani tespit ettiğin uygulamaların imzaları mutlaka Firewall App'de vardır, yok ise dediğim gibi geçici çözüm olarak portları blocklayabilir yada app imza veritabanına manuel eklemen mümkünse ekleyebilirsin, bu süreçte de üretici firmanın veritabanına uygunsuz app'lerin imzasını eklemesini de isteyebilirsin ki başkaları da faydalansın 🙂
Gönderildi : 08/05/2019 08:47
Konu başlatıcı
İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim .
Benim istediğim esas olan 1. madde
" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "
Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?
Gönderildi : 08/05/2019 09:43
Hocam SIEM uygulamanız var ise yada FortiAnalyzer tarzı bir ürününüz var ise trafiği dinlemeniz gereklidir, ismini söylediğiniz uygulamaların tcp-udp portlarını bilmeniz de gerekli tabi ki.Wireshark da aynı işi yapıyor
Gönderildi : 08/05/2019 09:50
İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim .
Benim istediğim esas olan 1. madde
" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "
Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?
PA dışında bu programların exe lerini bulup hash bilgileri ile gpo üzerinden yasaklayabilirsiniz
Yine PA üzerinde engelleme yaptığınızda
Monitor -> Logs -> Unified
menüsü altına deny olanları süzerek hangi bilgisayarlarda olduğunu basitçe bulabilirsiniz
Gönderildi : 08/05/2019 09:55
İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim .
Benim istediğim esas olan 1. madde
" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "
Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?
kullandığınız marka için belirttiğiniz durumların normal olmadığını düşünüyorum.
elimde paloalto box/vm'de olmadığından test etmem mümkün değil.
ancak danışmanınızı bilmemekle birlikte, üretici tarafında case açıp, cevap beklediniz mi ?
yani "çözemedi" derken işin içinde üretici cevabı var mı ?
sonuçta web/app filter tarafında proxy kategorisini engelleyip, aktif trafikte bunu listelemek zor olmamalı.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 09/05/2019 02:33
Konu başlatıcı
Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim.
Ayrıca başka bir prg varmı kullananları görebilmek adına ?
Gönderildi : 10/05/2019 16:23
Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim.
Ayrıca başka bir prg varmı kullananları görebilmek adına ?
Policies -> Security rules içerisine bu şekilde bir kural oluşturup diğer tüm kuralların üzerine taşımanız yeterli olacaktır
Gönderildi : 10/05/2019 16:37
AF ile başlayan isimli gruplar Application Filter içerisinde oluşturduğum gruplar.
Gönderildi : 10/05/2019 16:41
Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim.
Ayrıca başka bir prg varmı kullananları görebilmek adına ?
yapılandırma hatası veya adım atlama tarafını kontrol etmek için referans adrese göre yeni bir policy ile test edin.
Vasvi hocanın belirttiği gibi iligli policy üst sırada yer alsın.
https://www.youtube.com/watch?v=26Ch4tST5jY
bu adımı çözdükten sonra referans adrese göre talep ettiğiniz çıktıları oluşturabilirsiniz.
https://www.youtube.com/watch?v=XVMXNgWTduA
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 10/05/2019 23:34
