Forum
Merhaba
En sonunda kurum olarak Utm Fw'lere geçtik.
1)
Bazı terminallerin internete gittiği URL'ler kafamı kurcaladı.
Kapatsak dert kapatmasak dert olacak türden sanki ? Sizlerin fikirlerine ihtiyacım var.
Bazı Adresleri iletiyorum :
- play.google.com -> Buraya giden Terminalleri kontrol ettim. Google/drive açık. Gmail kullanılıyor.
- ssl.gstatic.com --> Google Servisi
- fonts.gstatic.com-->Google Servisi/Sayfa fontunu çekiyor.
- beacons.gcp.gvt2.com--> Yine Google ile ilgili.
- armmf.adobe.com --> Adobe güncellemesi
- clientservices.googleapis.com --> Google güncellemesi
Adreslere sürekli gidiliyor. Kullanıcı tetiklemesi yok. Bunların açık olması sizce doğru mu ? Sizler nasıl bir yol/yordam izliyorsunuz ?
"Edge" tarayıcı yeterli diyip Chrome'ları silmek mi mantıklı ? Bu sefer Edge tarayıcılar update e koşacak aslında.
2) 2 Sunucumuz Dış dünyaya açık olmalı.Web ve Mail Sunucu.
Sunucuların önüne Utm Firewalı yapılandırdım ve İps'i blocking moda çektim. İps trafiğini izliyorum.
Sürekli farklı ip adreslerinden farklı ülkelerden Threat mod atak olabiliyor.
Birkaç tanesini paylaşıyorum.
- Botnet: NjRAT
- Botnet: Mirai
- HTTP Unix Shell IFS Remote Code Execution Vulnerability
- WordPress wp-login.php Access Attempt
- Jaws Dvr CCTV Shell Command Execution
Ve FW bunları blokluyor . Bu ataklar belirli ülkelerden fazla sayıda oluyor. Çin , Rusya , Brezilya gibi ülkeler .
(Dış dünyaya açık sunucumuz ile herhangi bir trafiği olmayacağına emin olduğum ülkeler)
Sormak istediğim ise şu:
- Siz bu gibi durumlarda İps 'in yaptığı bloklamayı yeterli görür müsünüz ?
- Yeterli görmeyip ip adreslerini de , internette çok bilinen yerlerden ip reputasyon değerinin poor olduğunu da teyit edip tek tek ip'leri de bloklar mısınız.?
- Daha da ileri gidip ülke bazlı bloklamayı mı tercih edersiniz ? (Saçma sorum için kusura bakmayın ama ülkelerin subnetleri değişirse normal trafik belki bloklanmaz mı ? )
Çok Teşekkürler
Birinci sorunuzda yazdığınız URL bilgileri genel olup google veya chrome ile ilgisi olmayabilir. Ziyaret ettiğiniz herhangi bir adres de bu trafiği oluşturabilir. İzin verip veremek tamamen ihtiyaçlarınız ile ilgili bir konu. İkinci sorunuz da aynı şekilde. Değil ülke bazında kısıtlama, bazı durumlarda tek bir ip adresine kadar kısıtlama getirebilirsiniz. Bu durum da yine tamamen ihtiyaçlarınız ile ilgili. Bu noktada sunucularınızın önündeki IPS servisi kritik, ne kadar başarılı ise o kadar güvende olacaksınız. Sunuculara erişim şeklinizi (eğer mümkün ise) değiştirebilirsiniz. Kullanıcılarınızı VPN ile sisteme almak daha güvenli bir çözüm olabilir. Ama en doğrusu ilgili risk testlerinin yapılıp, test sonuçlarına göre ihtiyaçların belirlenmesi ve çözüm üretilmesi olacaktır.
Kolay gelsin.
UTM de feed desteği varsa güvenilir kaynakları eklemenizde fayda var.
Bu attığınız ataklar ülke kısıtlasanız dahi gelecektir. Buna doğrudan bir önlem maalesef yok. IPS tarafında imzaların nasıl olduğu, open source veya custom imzalara imkan verip vermediği önemli, buna göre ücretli veya ücretsiz ips imzası sağlayan firmalardan imza üyelikleri alabilirsiniz.
Eğer yurtdışı hizmetiniz varsa yurtdışına erişim kapatmanız sorun yaratacaktır.
Mail ve Web server içinde sistemlere web erişimi dışında tüm console veya yönetim erişimlerini muhakkak içerden yapmanız gerekmektedir.
Web ve Mail sunucularının güvenliği için farklı sıkılaştırmalar uygulayarak IPS in insiyatifina bırakmadan birçok önlem alabilirsiniz.
Mail tarafı için kullandığınız teknoloji Exchange vb bir ücretli sistem ise üretici veya danışmanınızdan yardım alabilirsiiniz.
Web server için yine web server türüne göre sıkılaştırma önerilerini uygulayabilirsiniz.
Web uygulamanız için ise kaynak kod seviyesinde güvenlik testinden geçirirseniz kafanız daha rahat olacaktır.
Bundan ötesi şamda kayısı 🙂
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Kadir Bey
Bilgilendirme için çok teşekkürler
saygılarımla