139 ve 445 Portları

Merhaba.

80 PC' nin bulunduğu bir ağımız var ve pfsense 1.2.3 kullanıyoruz. Ağımızdaki XP kurulu bazı PC' lerde bazı sıkıntılar var. Denetim masasındaki bazı yerler kitleniyor, mesela güvenlik duvarı, ses ayarları gibi. Ayrıca paylaşım klasörlerine erişimleri de yok oluyor.

Pfsense panelde loglara baktığımda 2 şey dikkatimi çekti, bazı bilgisayarlar sırayla 139 portunu kullanarak LAN çıkışı yapıyor. Bu porttan iletişimi firewall' dan engelledim ama denemeler hala sürüyor. Aşağıdaki resimde verdiğim gibi;

 

Ve bir bilgisayar (Windows Server 2003 kurulu) sürekli WAN çıkışı yapmaya çalışıyor ve 445 portunu kullanıyor. Aşağıdaki resimde verdiğim gibi;

 

Bu ağ iletişimlerinin virüsle bir ilgisi var mıdır, nasıl önlem alabilirim.

NOT : ESET  Nod 32 lisansımız var ama yetersiz kalıyor galiba.

O ikisinin bir Virüs ile alakası olduğunu sanmıyorum birisi netbos diğer microsoft ds. Yazılımınızda muhtemelen software çünkü işletim sistemleri donanımları genelde açılışta kontrol ederler sorun olsaydı orada başlardı. AV için bir avast deneyin.

Merhaba

Bence pfsense sizde paranoya oluşturmuş.

Şu linkteki listeyi kullanın:

http://tr.wikipedia.org/wiki/TCP_ve_UDP_port_numaralar%C4%B1_listesi 

Merhaba. 1 haftadır bir çok birimde aynı sorunla karşılaştığım için pfsense bana problem tespitinde en fazla yardımcı olabilecek araç diye düşündüm.

Bu portları araştırdım ancak virüsün ağda yayılması ile ilgili bir güvenlik açığı oluşturup oluşturmadığını çözemedim. Bir çok yerde bu portların kapatılmasının güvenlik açısından yararlı olduğu yazıyor, tüm pc lerde bu portları kapatırsam, paylaşıma erişme ve yazdırma konusunda sıkıntı yaşar mıyız?

XP üzerinde bu portlardan yayılan çok sayıda virus tehtidi vardı

sanırım virusler bulaştıkları bilgisayrdan kendilerini yaymak için bu portlardan erişimdeki açıkları kullanıyorlar idi 

ağda paylaşım vs kullanılomıyor ise ve domain yapısı yok ise bu portlar windows firewall veya pclerin uzerinde kurulan bir güvenlik 

yazılımı ile kapatıp durumu gözlemleyebilirsiniz

aslen bu portlart domain yapılarında ve dosya paylasımında kullanılan portlardır.

Merhaba,

 Büyük bir ihtimal sisteminiz de virüs bulaşmıştır. Network tarafında sistemleri monitor etmeniz lazım. Klasik antivirüs cozumleri artık bu konularda yetersiz kalıyor. Firewall,IPS korumalarını aktif etmelisiniz. Ayrıca Windows Clientlar için security guncellemelerini unutmayınız. Aşağıda konuyla ilgili önerileri bulabilirsiniz.

Zararlı Yazılımdan Korunmak İçin Öneriler

• İstemciler üzerindeki Güvenlik Duvarı Modülünün devreye alınması ve istemciler üzerinde sadece ihtiyaç duyulan ya da kullanılan portlara izin verilmesi. 
• İşletim sistemlerinin ve kullanılan uygulamaların güncel tutulması, yama yönetimi yapısının kurulması (Windows update, Acrobat Reader, Flashplayer, Anti-virüs, Ofis Yazılımları vb.)
• Sistemlere sadece yetkilendirilmiş belirli kullanıcıların login olması. (Active Directory üzerinde Group Policy ile yapılabilir)
• Lokal bilgisayarlarda kullanıcıların yetkilerinin sınırlandırılması, Administrator hesaplarının kapatılmasının sağlanması
• Anti-virüs sistemi ile haftalık en az 2 kere tarama yapılması 
• Windows XP yüklü sistemlerin daha güncel olan Windows 7 sürümüne yükseltilmesi ve Local Admin yetkisine sahip Administrator hesaplarının kapatılması, bunun yerine başka bir kullanıcı adı kullanılarak Local Admin yetkisine sahip hesapların açılması.
• Minimum 8 karakterli kolay tahmin edilemeyecek karmaşık şifreler kullanılması (Örn: Xb5s43*s!)
• Tekil kullanıcı adları kullanılması ve her bir kullanıcının kendisine ait kullanıcı adları ile sistemlere login olmasının sağlanması.
• Güvenlik duvarı kuralları ile son kullanıcıların sistemlere çalıştırılabilir dosyaları indirmesinin engellenmesi.
• Kullanıcıların sistemler üzerine izinsiz olarak yazılım yükleyebilmesinin kısıtlanması ve sistemlere yüklenecek yazılımların sadece yetkilendirilmiş kullanıcılarla kontrol altına alınması.
• Windows 7 yüklü sistemlerde User Access Control servisinin çalıştırılması.
• Çıkarılabilir/harici disklerde ve ağ paylaşımlarda auto play özelliğinin kapatılması (AD group policy ile autoplay kapatılmalı)
• Sunucular ve istemci bilgisayarlar üzerinde kullanılmayan servislerin kapatilmasi (SCW ile tespit edilip AD group policy ile kapatılabilir)
• Ağ paylaşımlarından kullanılmayanların kapatılması, açılması gereken durumlarda paylaşım verilen ağ klasörlerine erişimlerin parola ile kontrol edilmesi sağlanmalıdır.
• Sistemler üzerindeki açıkların kapatılması için periyodik olarak güvenlik denetimi hizmeti alınması ve çıkan bulgular ışığında sistemlerdeki zafiyetlerin kapatılmasının sağlanması.
• Kurumsal bir güvenlik politikası/kuralları oluşturularak tüm şirket çalışanlarına duyurulması ve tüm bilgi işlem servislerinin bu kurallar ile güvenliğinin sağlanması.
• Son kullanıcıların bilmedikleri dosyaları çalıştırmamaları, Internet üzerinden indirilen dosyaların virüs taramasından geçirildikten sonra kullanılması konularında uyarılması, bilmedikleri web sitelerine erişmemelerinin sağlanması.