Giriş Seviyesi Kişisel Bilgi Güvenliği - 2

Okumayanlar için yazı dizisinin ilk bölümü.

=> Windows Firewall’a ne derece güvenelim?

Ben direk cevabını vererek başlamak istiyorum. ‘Hiç’ güvenmeyelim !

Daha önce matousec adresinde yapılan güvenlik testlerinde Windows firewall’ı da 10 level’dan oluşan test’te dahil ediyorlardı fakat Windows firewall hiçbir testte %50’nin üstünde puan alamadığı için artık onu listeye bile dahil etmiyorlar.

Test sonuçları XP içinde dahili olarak gelen firewall için geçerli. Peki vista’da durum nasıl? Vista’yı kurduğumuz zaman hazır olarak gelen firewall Xp’dekine oranla çok daha iyi durumda. Artık kullanıcının ileri derecede firewall’a müdahele etmesi sağlanmış. Dilediğiniz bazı portların açık kalmasını ayarlayabiliyor ve bunların seçtiğiniz ip yada ağ ile iletişim kurmasına izin verebiliyorsunuz.

XP’de bulunan ICMP ayarları yine aynen bize gelmiş. Yeni özelliklerden bir diğeride IPSec ayarlarını bizim yapabilmemize izin vermesi. Bu sayede kimlik doğrulama ve şifreleme için uygulanacak güvenlik metodunu belirleyebilirsiniz. IPSec içinde bilgisayarımızın karşılıklı iletişime geçeceği bilgisayarla yapacağı doğrulama işleminde kullanacağı şifreleme protokolünüde seçebiliyoruz. Bu gibi ileri seviye güvenlik ayarları için hazırlanan ‘Windows Firewall with Advanced Security’ kısmı en çok yeniliği barındıran kısım.

Vista'da, farklı çalışma ortamları için ayrıca üç adet ağ profili bulunmaktadır. Bu profiller:

1. Domain (etki alanı) Profil: Bilgisayar herhangi bir etki alanına bağlıysa.
2. Private (kişisel) Profil: Koruma başka bir güvenlik duvarı tarafından sağlanıyorsa.
3. Public Profil: Koruma sadece güvenlik duvarı tarafından sağlanıyorsa.

Velhasıl Windows firewall biraz daha düzelmiş olsada bende XP’deki haliyle bıraktığı kötü izlenimden dolayı ona karşı bi güven söz konusu değil. Bir sonraki yazı dizisinde güvenli bir firewall kurmayı en ince detaylarıyla anlatacağız.

=> Service Pack 2’nin önemi

Sp2 için çokça yorum mevcut ortalıkta. Benim kendi fikrim ise bu paketin düzelttiği en önemli sorun, zamanında çokça uğraşmış olduğum ‘Reverse Connection ile VNC Saldırısı’ yapmayı engellemesidir. Service Pack2 yüklü olmayan bilgisayarlara, Metasploit Framework 2.7’de mevcut bulunan ‘lsass_ms04_011’ exploiti ile çok kolayca reverse connection yapılabiliyordu.

Bu konuyu ben daha da merak ediyorum diyorsanız security focus’taki bu sayfaya göz atabilirsiniz.

(Resimdeki görüntü windowsa güvenenlerin durumu için acınası bir tablo.)

Bunun haricinde Windows 95/98/2000/Me/XP’de olmayıpta SP2’de olan özellikleride kısaca sıralayalım :

• Internet Explorer Açılır Pencere Engelleyicisi
• Windows Güvenlik Duvarı (varsayılan olarak önceden kapalı iken sp2 ile açıktır)
• Ek Yöneticisi
• Internet Explorer karşıdan yüklemelerini izleme
• Internet Explorer Bilgi ÇubuÄŸu
• Otomatik GüncelleÅŸtirmeler (varsayılan olarak önceden kapalı iken sp2 ile açıktır)
• Windows Güvenlik Merkezi
• Outlook Express gizlilik güncelleÅŸtirmesi
• Internet Explorer Eklenti Yöneticisi

Eğer bilgisayarınızda SP2 yüklü değil ise bir an önce yüklemeniz tavsiye edilir.

=> Birde Sp3 Çıkmıştı ama ?

Evet SP2’den sonra birde sp3 çıkmıştı fakat sp2 kadar ilgi görmedi. Peki önemsizmiydi bu servis paketi? Kesinlikle önemsiz değildi. 150’den fazla önemli güvenlik eklentisi içeren bu paket gerek Türkçe desteğinin geç çıkmasından, gerek sp3 çıktıktan kısa bir süre sonra vista’nın gelmesinden dolayı gereken ilgiyi görmedi. Tabiki birde lisanssız olmasına rağmen çeşitli programlar ile lisanslı gibi gösterilen xp’lerin lisanslarının yeniden deşifre olmasına yardımcı oluyordu. Belki bunun da etkisi vardır (: Kimse bir daha xp’sini lisanslamakla uğraşmak istemez açıkcası.

Bu konuyla ilgili geniş bilgi isteyenler SP3’teki fix’ler ve güvenlik önlemlerinin tamamını merak edenler http://support.microsoft.com/kb/946480/ adresine göz atabilir. Yine SP3’ün sürüm notlarını http://download.microsoft.com/download/f/d/d/fdd27c81-8e15-4583-abb8-5e5... adresinden inceleyebilirsiniz.

SP1 – SP2 ve SP3’e ftp üzerinden kolayca ulaşmak için :

http://ftp.anadolu.edu.tr/Service_Packs/Windows_XP_Srv_Packs/

adresini kullanabilirsiniz.

=>Güvenlik açısından NTFS dosya sistemi? (Microsoft makalesi)

• Active Directory (ve Active Directory'nin bir parçası olan etki alanları)
• Active Directory ile aÄŸ kaynaklarını kolaylıkla görüntüleyebilir ve denetleyebilirsiniz. Etki alanlarında, yönetim basitliÄŸini korurken güvenlik seçeneklerinin ince ayarını yapabilirsiniz. Etki alanı denetleyicileri ve Active Directory, NTFS gerektirir.
• GüvenliÄŸi büyük ölçüde artıran dosya ÅŸifrelemesi. (Ancak, bir dosya hem sıkıştırılmış hem de ÅŸifreli olamaz.)
• Yalnızca klasörlere deÄŸil, tekil dosyalara da uygulanabilen izinler.
• Güç kaybı veya baÅŸka sistem sorunları yaÅŸanması durumunda NTFS'nin bilgileri hızla geri yüklemesine yardımcı olan, disk etkinlikleri kurtarma günlüğü.
• Bireysel kullanıcıların kullandığı disk alanı miktarını izleyip sınırlama koymanıza olanak veren disk kotaları.
• NTFS’ye ait en önemli özelliklerden biri ise klasör izinlerini ayarlayabilmektir.

=>Klasör İzinleri

Çoğumuzun bilgisayarında başkalarının görmesini istemediğimiz gizli dosyalarımız veya klasörlerimiz vardır. Peki bunları en basit ve en güvenli şekilde nasıl şifreleriz ?

Piyasada bir çok uyduruk dosya şifreleme programı var.Bunları kesinlikle kullanmayın çünkü en ufak bir hatada program tarafından şifrelenmiş dosyalar bir daha açılamıyor ve doğal olarak belgelerinizi kaybetmiş oluyorsunuz.

Bu yöntem son derece güvenli ve herhangi bir program kullanmadan olacak. Çoğumuzun bildiği permler yani izinler ile :) Buyrun başlayalım :

1-) Öncelikle C\guvenli\gizli_klasor adı gibi bir dizin oluşturduğumuzu var sayıyorum. Yani klasörün adı gizli_klasör olacak diyelim ki. Araçlar/Klasör Seçenekleri/Görünüm menüsünden Basit dosya paylaşımını kullan seçeneğindeki işareti kaldırıyoruz. OK leyip kapatın bu sayfayı.

2-) Gizleyeceğiniz klasöre sağ tıklayın Özelliklere girin. Üstte yeni seçenekler göreceksiniz. Bunlardan "Güvenlik" seçeneğine giriyoruz. Bilgisayarınızda tek hesap kullanıyorsanız Admisintratorda ki tüm izinleri kaldırıyoruz. Başka kullanıcılarla ilgili işlem yapmak istiyorsanız onların izinlerini kaldırın.

"Tamam"a tıklayarak çıkıyoruz. Artık siz istemediğiniz sürece kimse bu klasöre giremez. Eğer tabi girmek isteyen kişi bu izinlerden haberdar ise yine bizim yaptığımız gibi bu güvenlik önlemini aşabilir. Aynı zamanda klasörün içinde yine izinlerle korunmuş bir dosya ver ise silinemez.

Eğer bu menünün kurcalanmasından korkunuz varsa tekrar görünüm menüsüne girerek basit dosya paylaşımını aktif halle getirebilirsiniz.

=> NTFS İzinleriyle Dosyaların Güvenliğini Sağlamanın En İyi Yöntemleri (Microsoft makalesi)

NTFS izinlerini ayarlarken aşağıdaki en iyi yöntemleri kullanın:

İzinleri kullanıcılar yerine gruplara atayın. Kullanıcı hesaplarını doğrudan tutmak verimli bir yöntem olmadığından, izinleri kullanıcı temelinde atamak bir özel durumdur.

Mümkünse dosya sistemi nesneleri, özellikle de sistem klasörleri ve kök dizin klasörleri üzerindeki varsayılan izin girdilerini değiştirmekten kaçının. Varsayılan izinleri değiştirmek beklenmeyen adres sorunlarına yol açabilir veya güvenliği zayıflatabilir.

Everyone grubunun nesne erişimini hiçbir zaman engellemeyin. Bir nesneye Everyone iznini engellerseniz, bu yöneticileri de kapsar. Bu nesneye diğer kullanıcı, grup veya bilgisayar izinlerini verirken Everyone grubunu kaldırmak daha iyi bir çözümdür. Administrators grubuna ve LocalSystem hesabına Tam Denetim düzeyi atamanız da gerekebilir.

Nesne özel olarak girilmiş İzini Verme izni girdisine sahipse, devralınan Reddetme izinleri nesneye erişimi engellemez. Devralınan Reddetme izinleri de dahil olmak üzere, özel olarak belirtilen izinler devralınan izinlerden önceliklidir.

Reddetme izinleri yalnızca aşağıdaki özel durumlarda kullanılmalıdır:

->İzin Verme izinlerine sahip olan bir grubun alt kümesini dışlamak için.
->Bir kullanıcı veya gruba Tam Denetim atadığınızda, tek bir özel izni dışlamak için.

Web sunucunuzun NTFS izinlerini yapılandırırken dikkatli olun. Uygun olmayan ayarlanmış izinler, geçerli kullanıcıların istenen dosyalara ve dizinlere erişimlerini engelleyebilir. Örneğin, kullanıcının bir programı görüntülemek ve yürütmek için doğru hakları olsa bile, kullanıcının programı çalıştırmak için gereken belirli bir dinamik bağlantı kitaplığına (DLL) erişim izni olmayabilir. Kullanıcıların güvenli ve kesintisiz dosya erişimlerini garantilemek için, ilgili dosyaları aynı dizine yerleştirin ve sonra da dizine uygun NTFS izinlerini atayın.

=>Telnet’i Kapatmak

Telnet bağlı olduğunuz ağda kullanıcı adı ve parolayı karşı tarafa düz metin yani plain text halinde gönderdiği için güvenilir değildir. Ağı dinleyen ve bağlantı kurmak isteyen biri bu bilgilere kolayca erişebilir. Güvenli bir bağlantı için kullanıcı adı ve parola, hatta alış verişi yapılan her tür veri belirli bir protokolle şifrelenmelidir.

Telnet bağlantısı 23.port üzerinden sağlanıyor ve işinize yaramıyor ise 23 portu kapatmanız yararınıza olur.

23. portu kapatmak için Başlat-Çalıştır-services.msc komutu girip açılan pencereden "Telnet" i disable yada devredışı bırakmanız yeterlidir.

=> Tehlikeli Uzantılar

Paylaşımını yaparken, biri bize yolladığında kabul ederken dikkat etmemiz gereken bazı dosya uzantıları vardır. Bunlar başlıca .exe - .scr - .bat - .cmd - .com gibi uzantılardır. En çok bilinenler .exe ve .scr olmakla beraber geçmiş yıllarda .bat ve .cmd’de oldukça meşhurdu. Peki sadece bu uzantılardan mı korkmalıyız? Hayır tabikide bir word yada excel dosyası zararlı kod bulunduramaz mı? Çok rahatlıkla bulundurabilir çünkü bu belge türleri makro kodları kodları içerebilme özelliğine sahiptir.

Word dosyası içinde gelen örnek bir makro kodu :

http://clbrtr.co.cc/makrokod.txt

Bilgisayarınızı paylaşıma açan ufak bir .bat kodu :

net share hacker=c:\ /unlimited /remark:"Clbr.FenTanyL"
net share hacker=d:\ /unlimited /remark:"Clbr.FenTanyL "
net share hacker=e:\ /unlimited /remark:"Clbr.FenTanyL "

Genel itibariyle trojan – virüs ve keylogger’lar bu uzantıları kullanır. Bu yüzdendir ki uzantıları görmek her zaman faydalıdır. Windows bize ilk kurulduğu anda default olarak uzantıları göstermez. Bu dikkatsiz kullanıcının kolayca tuzağa düşüp verilen dosyaya girmesini daha da kolaylaştırır.

Uzantılar Gösterilmiyorken :

Uzantılar Gösteriliyorken :

Biz ilk resimde ikiside resim dosyasıymış gibi düşünüp gafil avlanabilirdik oysa uzantılar gösterilince birinin .jpeg diğerinin .exe olduğunu görebiliriz.

Uzantıları göster seçeneği için herhangi bir klasörde Araçlar / Klasör seçenekleri menüsünden ‘Görünüm’ sekmesine geçerek ‘Bilinen dosya türleri için uzantıları gizle’ kutusundaki tick işaretini kaldırmamız yeterlidir.

KAYNAKLAR :

http://www.microsoft.com/turkiye/athome/security/update/sp2.mspx

http://technet2.microsoft.com/windowsserver/tr/library/0be638cc-33d3-45a...

http://technet2.microsoft.com/windowsserver/tr/library/acaf5d6b-6578-44c...

http://www.bidb.itu.edu.tr/?d=806

http://www.securityfocus.com/excerpts/14/5

http://support.microsoft.com/kb/946480/