Forum
Zyxell P600 serisi modem kullanmaktayım. Sistemimde sürekli internet kesintileri meydana gelmekteydi. Adsl sağlayıcımla yaptığım görüşmelerde sürekli hat değerlerinin sağlıklı olduğunu belirttiler. Modemden şüphelenerek modemin loglarını aktif ettim. Sistemimin kesintiye uğradığı zamanlarda modemin log tuttuğunu tespit ettim. Bu Loglar attack şeklinde gözüküyordu. Bunun üstüne sabit ıp mi değiştirdim. Sistemim şimdilik düzeldi. Ancak şimdide ttnet dns lerinden modemime attack geliyormuş gibi log tutuyor modemim. Bir de loglar arasında benim firewall ımdan da 203.51.103.212 nolu ıp ye attack olmuş gibi gözüküyor. Benim asıl merak ettiğim ıp değitirmeden önce gelen attack ların hangi amaçla geldiğini öğrenmek için ne yapabilirim. Eğer kasti olarak ve sistemime zarar vermek için yapılma ihtimali varsa yasal olarak yapılabilecek işlemleri başlatmak istiyorum. Yoksa gelen attcklar tesadüf müdür acaba? Sizce Ne Yapmam Gerekli ? aşağıda bir kaç örnek log yazıyorum yardımlarınız için şimdiden teşekkür eder iyi çalışmalar dilerim.
TİME MESSAGE SOURCE DESTİNATİON NOTES
01.05.2012:13.49 PORT SCAN UDP 128.8.10.90:53 192.168.1.5:28560 ATTACK
01.05.2012:13.49 PORT SCAN UDP 192.41.162.30:53 192.168.1.5:46647 ATTACK
ŞEKLİNDE AYNI SAAT VE TARİHTE YAKLAŞIK OLARAK 120 ADET LOG VAR. SİZCE NE YAPMALIYIM. ?
Yukarıda verdiğiniz loglar standart port scan attacklarını göstermektedir.
İnternetten indirilebilen ve belli ip ve port aralığını tarayan yazılımlara ait loglardır.
Eğer tüm portları içeriye doğru açmadıysanız zaten sorun etmenize de gerek yok bu bağlamda.
Bütün portların açık olması gibi birşey söz konusu değil tabiki de. Sistemimde firewall da var ondan yana da sıkıntım yok ancak bu port taramaları yapılırken benim sistemim kilitleniyor. modemime ulaşamıyorum. internet erişimim kayboluyor. Sağlık sektöründe çalıştığımız içinde internet sürekli gerekli. Modemi değiştirmem bir çözüm olabilir mi? yada başka ne yapabilirim?
yada benim sistemimdeki bir makinenin böyle bir şeye yol açması mümkünmüdür? IP numaramı değiştirmeme rağmen aynı şeyleri yine yaşıyorum.
Zyxell P600 serisi modem kullanmaktayım. Sistemimde sürekli internet kesintileri meydana gelmekteydi. Adsl sağlayıcımla yaptığım görüşmelerde sürekli hat değerlerinin sağlıklı olduğunu belirttiler. Modemden şüphelenerek modemin loglarını aktif ettim. Sistemimin kesintiye uğradığı zamanlarda modemin log tuttuğunu tespit ettim. Bu Loglar attack şeklinde gözüküyordu. Bunun üstüne sabit ıp mi değiştirdim. Sistemim şimdilik düzeldi. Ancak şimdide ttnet dns lerinden modemime attack geliyormuş gibi log tutuyor modemim. Bir de loglar arasında benim firewall ımdan da 203.51.103.212 nolu ıp ye attack olmuş gibi gözüküyor. Benim asıl merak ettiğim ıp değitirmeden önce gelen attack ların hangi amaçla geldiğini öğrenmek için ne yapabilirim. Eğer kasti olarak ve sistemime zarar vermek için yapılma ihtimali varsa yasal olarak yapılabilecek işlemleri başlatmak istiyorum. Yoksa gelen attcklar tesadüf müdür acaba? Sizce Ne Yapmam Gerekli ? aşağıda bir kaç örnek log yazıyorum yardımlarınız için şimdiden teşekkür eder iyi çalışmalar dilerim.
TİME MESSAGE SOURCE DESTİNATİON NOTES
01.05.2012:13.49 PORT SCAN UDP 128.8.10.90:53 192.168.1.5:28560 ATTACK
01.05.2012:13.49 PORT SCAN UDP 192.41.162.30:53 192.168.1.5:46647 ATTACK
ŞEKLİNDE AYNI SAAT VE TARİHTE YAKLAŞIK OLARAK 120 ADET LOG VAR. SİZCE NE YAPMALIYIM. ?
Hocam görünen loglar çok garip. İstekler x portunda senin sisteminin 53 nolu portuna gelmesi lazım. Yukarıda ki LOG için söylenecek iki şey var.
1. ZyXel gelen paketleri yanlış değerlendiriyor ve 53 DNS sorgu cevaplarını atak olarak algılıyor tabi siz bahsi geçen sitelere DNS sorgusu gönderiyor iseniz.
2. Bu istekler sizin cihazınıza kadar geliyor ise önelemek için yapabileceğiniz pek bir şey yok. Ama IP adresini değiştiğinde bile bu sorun devam ediyor ise o zaman içerde bir cihaz da sorun var demektir, IP adresi değişse dahi cihaz o anki IP adresini saldırıyı yapana bildiriyor. Sonuçta bu bir saldırı olmasa ve DNS sorgusu olsa portların tam tersi yönde olması gerekirdir.
Güvenlik duvarım var demişsiniz, güvenlik duvarı olarak ne kullanıyorsunuz. Güvelik duvarınız ile modeminiz arasındaki bağlantıyı nasıl yapılandırdınız? Modeminizi güvenlik duvarınıza köprü modunda mı (bridge mode) bağlı ? Eğer değilse yapılandırmanızı bu şekilde düzenleyip güvenlik duvarınız üzerinden port taramalarına karşı önlem alabilirsiniz. Modeminiz üzerindeki güvenlik duvarı hizmeti ortadan kalktığında kilitlenmeler de kalkacaktır. Ayrıca Ertan bey'in söylediklerine bende katılıyorum, iç ağınızın sağlık durumunu da denetleyin.
İyi çalışmalar...
Güvenlik duvarım var demişsiniz, güvenlik duvarı olarak ne kullanıyorsunuz. Güvelik duvarınız ile modeminiz arasındaki bağlantıyı nasıl yapılandırdınız? Modeminizi güvenlik duvarınıza köprü modunda mı (bridge mode) bağlı ? Eğer değilse yapılandırmanızı bu şekilde düzenleyip güvenlik duvarınız üzerinden port taramalarına karşı önlem alabilirsiniz. Modeminiz üzerindeki güvenlik duvarı hizmeti ortadan kalktığında kilitlenmeler de kalkacaktır. Ayrıca Ertan bey'in söylediklerine bende katılıyorum, iç ağınızın sağlık durumunu da denetleyin.
İyi çalışmalar...
Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.
Diğer taraftan içeriyi kontrol etmekte fayda var.
Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte. Sistemde nat yapılmış bir kaç tane portum tabiki vardı. ancak dün akşam itibari ile sadece trguard için açılmış portları bıraktım ve diğer bütün portları iptal ettim. 30995 ve 30000 portları. Modemi değiştirmem gerekli ise modemi değiştirerek deneyebilirim. Loglarda kaynak kısmında gözüken portların hepsi 53 nolu portu göstermekte ancak benim tarafımda bir sürü farklı portlara attack gelmiş gibi gözükmekte. Dediğiniz gibi acaba bunlar sadece dns sorguları mıdır? Eğer böyle ise modemi değiştirmek çözüm olur mu? yada telekom tarafında yapılabilecek görüşülebilecek birileri var mı dır?
Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte. Sistemde nat yapılmış bir kaç tane portum tabiki vardı. ancak dün akşam itibari ile sadece trguard için açılmış portları bıraktım ve diğer bütün portları iptal ettim. 30995 ve 30000 portları. Modemi değiştirmem gerekli ise modemi değiştirerek deneyebilirim. Loglarda kaynak kısmında gözüken portların hepsi 53 nolu portu göstermekte ancak benim tarafımda bir sürü farklı portlara attack gelmiş gibi gözükmekte. Dediğiniz gibi acaba bunlar sadece dns sorguları mıdır? Eğer böyle ise modemi değiştirmek çözüm olur mu? yada telekom tarafında yapılabilecek görüşülebilecek birileri var mı dır?
Sanmıyorum direk saldırı gibi, Bahsi geçen firma benim rakip firmam ama onlarında bu şekilde bir hata yapacağını sanmıyorum. Muhtemel olarak atak alıyorsunuz. ISP ile konuşup gerekli önlemlerin alınmasını talep edin.
Sonuç itibari ile saldırılar nedeni ile parasını ödediğiniz bant genişliğini kullanamıyorsunuz.
burada yanlışlık var . modem bridge modunda log tutarmı ?
zyxel bende kullanırım ama böyle bir şeyi hiç denememiştim.
zaten bridge moda geçtikten sonra modemde sadece dsldeki sinyali çevirmeye yarar.
iç firewall vs. devredışıdır. bu durumda bu log nereden geliyor ?
bunu sorgulamak gerek.
burada yanlışlık var . modem bridge modunda log tutarmı ?
zyxel bende kullanırım ama böyle bir şeyi hiç denememiştim.
zaten bridge moda geçtikten sonra modemde sadece dsldeki sinyali çevirmeye yarar.
iç firewall vs. devredışıdır. bu durumda bu log nereden geliyor ?
bunu sorgulamak gerek.
Bu arada modemin bridge mode olduğunu nerede gördün ? ben baktım göremedim.
Söylemeden geçemedim half bridge diyede bir mod var 🙂
Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte
ioz arkadaşımıza katılıyorum. Bridge modda modemler log tutmazlar. Ayrıca modem bridge modda ise o zaman tguard ne işe yarıyor onu anlayamadım 🙂 Bence modem nat modunda, tguard arkasına eşleştirilmiş vaziyette. Yapının değişmesi gerektiğini düşünüyorum
Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte
ioz arkadaşımıza katılıyorum. Bridge modda modemler log tutmazlar. Ayrıca modem bridge modda ise o zaman tguard ne işe yarıyor onu anlayamadım 🙂 Bence modem nat modunda, tguard arkasına eşleştirilmiş vaziyette. Yapının değişmesi gerektiğini düşünüyorum
Gözden kaçırmışım 🙂
Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.
Diğer taraftan içeriyi kontrol etmekte fayda var.
Tahminim odur ki modem gelen paketleri (içeriden yada dışarıdan, saldırı yada yapılandırma, vs.) işlerken sıkıntı yaratıp kilitleniyor. O yüzden sorgulamıştım bende. Ancak cevabınızın güvenlik duvarına ne gerek var kısmı maceraperest bir yaklaşım değil mi Ertan bey :). Diğer arkadaşların da belirttiği gibi modem bridge modunda çalışmıyor gibi sanki. "trguard" ile ilgili tecrübem olmadığı için güvenlik duvarınız ile ilgili yorum yapamayacağım.
Dostlukla...
Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.
Diğer taraftan içeriyi kontrol etmekte fayda var.
Tahminim odur ki modem gelen paketleri (içeriden yada dışarıdan, saldırı yada yapılandırma, vs.) işlerken sıkıntı yaratıp kilitleniyor. O yüzden sorgulamıştım bende. Ancak cevabınızın güvenlik duvarına ne gerek var kısmı maceraperest bir yaklaşım değil mi Ertan bey :). Diğer arkadaşların da belirttiği gibi modem bridge modunda çalışmıyor gibi sanki. "trguard" ile ilgili tecrübem olmadığı için güvenlik duvarınız ile ilgili yorum yapamayacağım.
Dostlukla...
NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.
NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.
Konuyu bu şekilde değerlendirirseniz haklı olabilirsiniz ancak sizinde arada güvenlik duvarı olmayan hiçbir sistemi dış dünya ile baş başa bıraktığınızı düşünmüyorum (içeriye nat yapmasanız dahi). "Güvenlik duvarına ne ihtiyaç var ki ?" kısmı güzel bir latifeydi, bende altını çizmiş oldum.
Dostlukla..
NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.
Konuyu bu şekilde değerlendirirseniz haklı olabilirsiniz ancak sizinde arada güvenlik duvarı olmayan hiçbir sistemi dış dünya ile baş başa bıraktığınızı düşünmüyorum (içeriye nat yapmasanız dahi). "Güvenlik duvarına ne ihtiyaç var ki ?" kısmı güzel bir latifeydi, bende altını çizmiş oldum.
Dostlukla..
🙂 aslında istesem de koyamam çün ki sattığım en küçük model modemde SPI firewall, DDOS atak koruması ve APP feature ları var :).
:)..Doğru söylüyorsunuz üstadım. Bu arada biz koptuk gittik, Akın bey'de son durum ne acaba ?