[Çözüldü] Güvenlik duvarında port açmak ve güvenlik

merhaba sabit ip ile yazacağınız servis içine sadece merkezdeki server' in dış bacak ip hizmet et derseniz olmaz. Ama şu bir gerçek ki hosting tarafı yönetimi sizde değil oradan olan bir güvenlik açığı sizin sunucularına erişmelerine olanak sağlar. 
Tavsiye bir çok var o yüzden tam olarak yapınızın incelenmesi gerekiyor. Bence profosyonel bir danışmanlık almanız çok iyi olur.

@cahityolacan

Hosting tarafındaki ne tür bir açık olabilir ki? Ben direkt dış statik IP adresimi ve hatta açtığım portu (örnekte 26100 demiştim) facebookta paylaşsam ne sıkıntı çıkabilir? Sonuçta bu porta bu IP den gelen istekleri içeride şu IP adresine yönelendir diyeceğim. İçeride de o port IIS tarafından dinleniyor olacak. IIS'in dinlediği porta nasıl saldırı yapabilirler? 

Merhaba ; o sizin tarafınız ? Şöyle düşünün hosting firmasında size özel bir sunucu ve sizin belirlediğiniz güvenlik politikaları yok.

Genelde hosting yapıları bir server ve üzeriden 30 - 50 - 100 adet web sitesi ve ve web sitesine bağlı db ve uygulama var ve bunları tek server üzerinden ve ip den hizmet vererek yaparlar.

Örnek siz 50 hosting' i barındıran server' desiniz diyelim sizle birlikte 49 tane daha site barınıyor oradaki 49 siteden birisinde xss yada shell code açığı yada herhangi bir worm var diyelim, o worm yada açık sayesinde 50 hosting de aynı kaderi paylaşır.

Hack yapacak arkadaş hosting sızdıktan sonra siz dış bacakta hosting kapılarınız 21600 portundan açıktı ya oradan tarar sizin sever' de varsa CPU firmware yada yazılım ile ilgili bir açık hop içeride.

Sizin kontrolünüzde bile olsa tüm server yapıları güvenlik dediğimiz kavram o kadar büyük bir süreç ve birbirine bağlı ve ilişkili yapı barındırıyor' ki; bu yüzden sizin konunuz hakkında danışmanlık almanız gerekiyor dememdeki durum buydu.

Tabii her zaman karar ve uygulama sizin elinizde. 

unutmadan ekleyeyim üstte yazdıklarım sadece bir senaryo illa böyle bir durum olacak diye bir net bilgide yok kayıt ta yok sizinde bahsettiğiniz gibi IIS sadece belirli sabit bir ip den ve port' tan çalışarak işleriniz güvenli şekilde ilerleyebilir.

@cahityolacan

Evet ben demek istediğinizi anladım. Hatta diyorum ki kötü niyetli kişi hostingi eline geçirmeye uğraşmasın hiç ben ona direkt dış IP adresimi ve port numaramı vereyim. Sonuçta portu dinleyen uygulama IIS. IIS tarafından dinlenen bir porttan sızma gerçekleştirilebilir mi? Bildiğiniz üzere web siteleri varsayılan olarak 80 portunu kullanır. O zaman her sitenin sunucusuna 80 portundan saldırılabilmeleri gerekiyor diye düşünüyorum. 

Merhaba,

Port numarasının ne olduğu önemli değil zaten tarama işlemleri açık tüm portlar için yapılıyor. Dışarıya açık her port risklidir ama günün sonunda herkes 80, 443 gibi portları açıyor. Burada önemli olan bu portların arkasındaki sistemlerin erişim yetkileri ve sistemlerin yazılım güvenliği. Basit bir web sitesi ise, uygulama katmanındaki bir açıktan en fazla web sitesi etkilenir, ancak sizin yazılımın bir açığı bulunur ise tüm iş network' e erişim riski doğar. Bu da güvenlik kod yazma olayına döner.

En temiz yöntem sistemi dışarıya açmadan önce bir pentest hizmeti almanız veya bunu yapan programlar ile kendiniz taratmanız olacaktır.

Daha güvenlik paylaşımlar için firewall yerine WAF denilen Web Application Firewall kullanabilirsiniz.

Gönderen: @hakanuzuner

Burada önemli olan bu portların arkasındaki sistemlerin erişim yetkileri ve sistemlerin yazılım güvenliği.

Bunu tam anlayamadım açıkçası. Eğer net olarak sadece IIS tarafından kullanılacak portun açık olması problem olacak kanısına varılırsa son çare olarak başka bir yöntem kullanacağım. Localde çalışan ufak bir program yazıp local veritabanından gerekli bilgileri hosting üzerinde oluşturduğum veri tabanına göndereceğim. İşin kötü yanı verilerin güncel olabilmesi için programın belli aralıklarla çalıştırılması gerekiyor.

Port açmak sorun değil senin programın sorun, ne kadar güvenli test ettin mi? Kod zafiyeti var mı biliyor musun?

@hakanuzuner

Benim yazacağım program ASP.NET MVC ile hazırlanmış ve post isteklerine sadece json ya da xml döndüren bir uygulama olacak. Bu uygulamanın nasıl bir kod zafiyeti olabilir veya nasıl test edilebilir onu bilmiyorum.

Pentest hizmeti alabilirsiniz veya https://www.tenable.com/products/nessus gibi ürünleri satın alarak kendiniz de test edebilirsiniz. Ancak sizin işiniz bu olmadığı için ürünler pahalı gelebilir en güzeli bir güvenlik firmasından teklif alabilirsiniz.

Teşekkür ederim değerli yorumlarınız için.