Forum
arkadaşlar destek verdiğimiz bir şirkette bir açığı yakalamaya çalışıyorum.
sistemi ilk önce anlatayım kısaca : juniper ler ile başka bir lokasyona vpn ile bağlanıp orada Websense Web Security Gateway filitre ile proxy girip kullanıcıları çok kısıtlı bir şekilde internet kullandırıyoruz.
ama bir kullanıcımız nasılsa kısa bir full internet vermiştik ama sonrasında eski ayarlara çekmemize rağmen hiç sanmıyorum ama sanki güvenliği aşıyor. acaba neleri kontrol etmem gerekiyor.
cihazlara tam hakim değilim ama kullanıcı imkansız kendine izin vermesi internet için 3. parti birşeylerle sanırım yapıyor.
Yönetici olduğu için sorgulayamıyoruz. ama bir şeklde interneti kısıtlamam gerek fikri olan varmıdır bu konuda
Juniper üzerinde izin veren bir rule yazarak nereden çıktığını görebilirsin aslında. Sonuçta gatewayleri juniper değil mi? Buradan yasaklanan bir url filter vs. o makineye uygulanmıyor mu?
çıkış portlarını kontrol edebilirsen en azından nerelere istek gittiğini görebilirsin. garip portlara yoğun istekler gidiyorsa o portu maskele için kullanıyor olabilir.mesela ultrasurf ile 443 ün kullanılarak internete çıkılması gibi bir durum söz konusu olabilir.
IDS ve IPS sistemini ayrı ayrı kullanabiliyorsanız, tüm IDS imzalarını açın ve yapılan bağlantıların içeriğini öğrenin sonrasında kesmek istediğinizi IPS ile kesebilirsiniz.