Forum

Uzaktan yöneti...
 
Bildirimler
Hepsini Temizle

Uzaktan yönetim programlarının firewall dan engellenmesine dair

19 Yazılar
7 Üyeler
0 Reactions
4,890 Görüntüleme
(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
Konu başlatıcı
 

Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?

 
Gönderildi : 28/03/2008 17:04

(@bugrakeskin)
Gönderiler: 5088
Illustrious Member
 

merhaba

internetten yönetim dışında hepsinin var bir portu

mesela teamwiever ın portu 5900
 

 
Gönderildi : 28/03/2008 17:07

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Merhaba.


ISA Server'ın HTTP Filtering özelliği ile bunu yapabilirsiniz. Portalda makaleside var.

 
Gönderildi : 28/03/2008 17:20

(@muratguclu)
Gönderiler: 1164
Noble Member
 

OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.

 
Gönderildi : 28/03/2008 17:21

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
Konu başlatıcı
 

Firewall da Untrust tan Trust a tüm portlar kapalı sadece HTTP HTTPS FTP POP3 açık ama teamviewer clientine bağlanabiliyor. Bu durum nasıl gerçekleşiyordur?

 
Gönderildi : 28/03/2008 17:34

(@muratguclu)
Gönderiler: 1164
Noble Member
 

80 nolu portu kullanıyor

 
Gönderildi : 28/03/2008 17:42

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
Konu başlatıcı
 

Buğra bey 5910 nolu portu kullanıyor demişti o yüzden sordum. o halde donanımsal firewall ile buna engel olabilmek için layer 7 desteği şart yada isa ile halledebiliyorsuz yani değl mi?

 
Gönderildi : 28/03/2008 18:31

(@bugrakeskin)
Gönderiler: 5088
Illustrious Member
 

araştırırken yabancı bir forumda 5900 teamwiever portu gördüm. belki client tarafında işe yarıyordur bağlanırken hani. bende sizin gibi tüm portları kapatmıştım teamwiever dan client a bağlanıyordum.

ama vnc ve radminin nat yapmadan çalışmıyor bizzat denedim.

teamwiever için isa dan http filtering yapılabilir Serhatın da dediği gibi. 

 
Gönderildi : 28/03/2008 18:36

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

outgoing için 80


incoming için 5938 (bu bizi ilgilendirmiyor, point to point bağlantı için)


Nette bunun için bir signature'a denk gelmedim ama ethereal ile gelen paketleri incelersen, header bilgisine ulaşabilirsin.

 
Gönderildi : 28/03/2008 18:53

(@muratguclu)
Gönderiler: 1164
Noble Member
 

80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.

 
Gönderildi : 28/03/2008 19:06

(@rafets-ayata)
Gönderiler: 3820
Üye
 


OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.



Murat'ın verdiği bu cevap ancak işinizi görebilir. Sanırım juniper kullanıyorsunuz. Bunun için IDP kullanmanız lazım. Untrusttan - trustta engel koyarsa çerezlerde sorun olabilir düşüncesindeyim.


Saygılar

 
Gönderildi : 28/03/2008 19:21

(@Anonim)
Gönderiler: 0
 

Selamlar ;

Logmein ve teamviewer tarzı yazılımlarda istekler içeriden başlatıldıgı ıcın untrust tan trust a 80 ı kapatmanız işe yaramayacaktır ancak ıcerıden dısarıya çıkışları engelleyerek kapatmanız gerekır 80 portu logmein için sadece yanlış hatırlamıyorsam teamviewer 5900 kullanıyordu yada vnc mı idi ama internetten kullandıgı port bulunabılır ama bu kullanılan port u ıcerıden dısarıya dgru yasaklamanız gerekmekte firewall da teamviewer vb programlar ıcın port numarası  bulunup kapatılabılır ama logmein 80 ı kullandıkları ıcın  clıent ın ınternete erişme sorunu oluşacaktır ve bence signature yasaklaması tarzı bi yontem daha uygun olacaktır.

Teşekkürler. 

 

80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.

 
Gönderildi : 29/03/2008 05:52

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 


Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?


Merhaba;
İçerideki kullanıcıların teamviewer serverlar ile bağlantısını keserseniz sorun kalmaz.Boşuna port kapatmak imza eklemekle uğraşmayınız.Zaten siz bağlantıyı keserseniz teamviwer sunucusunu bulamadığı için size proxy hatası verir.Bilginize
Selamlar

 
Gönderildi : 29/03/2008 13:34

(@rafets-ayata)
Gönderiler: 3820
Üye
 


Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?



Sn f1security ,


Soruyu yazan Sn. Kamil Onat. Tek bir uzak erişim programından bahsetmemiş dikkat ederseniz. Eğer tek bir programdan bahsetseydi bu bir şekilde engellenirdi. Genelleme yaptığı için tümünü düşünmek lazım bu durumda uygulama katmanlarında erişimi engellemek zorunda.

 
Gönderildi : 29/03/2008 16:17

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

Merhaba ;
Haklısınız.Söylediğim çözüm geneline uygun bir yapıda takdir ederseniz.80 portu üzerinden proxy yaptığı malum.Ya uygulama katmanında yada proxyleri engellemek için sunucu iletişimi kesmesi yeterlidir.Aplication layerda engellemesi gerekmekte ama elindeki firewall  yapıya uygunmu ?uygulama katmanında engelleme yapabilirmi bunları bilmiyoruz.Buna istinaden sunucu iletişimi kesmesi yeterli demiştim.
Selamlar

 
Gönderildi : 29/03/2008 16:35

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
Konu başlatıcı
 

Merhabalar


Bu konuyu açmamdaki bir sebepte şudur; Teamviewer yada logmein gibi programlar bizim bildiğimiz piyasada free yada trial olarak dağıtılan programlar. Bunları bile engellemek için bir sürü uğraş vermemiz gerekiyor portunu bilmemiz yada serverlerini. Prki bizim bilmediğimiz ama birileri tarafından kullanılan bu tarz programlar olabilir ve biz bunların tümünü engelleyebilirmiyiz? Ne portunu biliyoruz ne serverini nede bir başka şeyini. Sadece firewall ımız var birde sizin gibi tecrübeli arkadaşlar.. Bu konuda neler yapılabilir hakkında konuşmak arzusundayım.

 
Gönderildi : 31/03/2008 13:49

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba Kamil Bey,


Bu durum kurumun mevcut yapısına göre değerlendirilmelidir. Eğer bir domain ortamında çalışıyorsanız ve kullanıcı hakları doğru ayarlanmış ise kullanıcının bu tarz programları kullanma şansı zaten olmayacaktır. Diyelim ki kullanıcılarınız workgroup ortamında veya domain ortamında belirli haklara sahip ve bu durumda ne yapmanız gerekiyor ?


İşte burada yukardaki çözümlere ek olarak networkünüzü daima izleminiz ve bu durumu tespit etmeniz gerekecektir. Bu analiz işlemi ayrıca bir uzmanlık gerektirir ki mevcut paketleri incelerken neyin ne olduğunu anlayabilmekten geçiyor. Yukarıdaki sorunuzun net cevabı networkü izlemek ve tespit edilen ismini bilmediğiniz bu remote programlarını engelleme yollarını tespit edip engelleyebilirsiniz olarak özetleyeyim.


Saygılar

 
Gönderildi : 31/03/2008 15:31

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
Konu başlatıcı
 

Çok teşekkür ederim ayrıntı için. Tam bir domain yapısı yok olanalrdan hakalrı olan kullanıcıalr çoğunlukta. Ama dediklerinizden yaklaşık olarak sonuçlar çıkartabildim. Bir başka sorum olacak. Şubelerde bildiğimiz klasik ve ucuz switch ler kullanılmakta ve o switch biri bir kablo taksa networke girmiş olacak. dhcp dende ip alacak yada elle verecek. Ben şubelere nasıl bir switch koyarak yada nasıl bir kontrolle merkezden onay almadan networke bile girmelerine engel olabilirim?

 
Gönderildi : 31/03/2008 16:35

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Kamil Bey yeni sorunuz için yeni bir başlık açmak forum kullanımı açısından daha iyi olacaktır. Yeni başlık altında sorunuzu yanıtlamaya çalışacağım. Birde mevcut yapınızı kullandığınız şekli ile anlatırsanız daha açıklayıcı olacaktır.


 

 
Gönderildi : 31/03/2008 16:48

Paylaş: