Sistem Açıkları Ve Kapatılması

Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin
kullandiginiz yapiya bazi noktalarda yamalar yapmak
durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi
cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak
gorulebilecek ve sömürülecek hizmetleri kisitlamaya veya erisimleri
kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual
olarak kullanici tarafından kontrol edilmelidir.Basit regedit
kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari
sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin
bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.

1- PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti
noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan
bir port,o port'a baglanmak icin yazilmis bir tojan icin guzel bir
kapidir.


Port numaralari icin >> http://www.iana.org/assignments/port-numbers


Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu
olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde
C:\netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina
bakabilirsiniz.



Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.


C:\>netstat -an

Etkin Bağlantılar

İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED

"Listening" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme
durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve
baglanti kurulacaktir.

"Established" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4
nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999
nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile
ona ait 80 nolu portla iletisim kurmus.

Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.


Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil
kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu
varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her
islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde
politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak
135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri
alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin
gelen baglanti istegini (Syn_Sent) kabul ederler.



Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://isc.sans.org/top10.php
http://www.dshield.org/topports.html


Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size
erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel
ag baglantisi\Ozellikler\Internet Iletisim kurallari(TCP/IP) ye cift
tiklayin\Gelismis\WINS\En altta devre disi biraki isaretleyin.


135 nolu port :Regediti acin.. HKLM\Software\Microsoft\Ole.. Yan
tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak
degistirin.Bos alanda sag tiklayin.Yeni\Dize degeri olusturun.Icerisine
EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.

Bir üst basamakta RPC yi acin (HKLM\Software\Microsoft\RPC) sag tarafta
DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi
silin,digerlerine dokunmayin.


445 nolu port : HKLM\System\CurrentControlSet\Services\NerBT\Param
eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki
-Device- girdisini silin.


21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.



REGEDIT ACIKLARINI KAPAMA : Sistemin tum isleyisinin bir nevi kontrol
merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler
sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz
baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde
guvenlik alaninda aciklara sebep olacaktir.Şimdide default
regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha
iyilestirecegiz



// Bu islemlerinizi yapmadan once regedit.exe nin bir kopyasini alin ve
baska bir yere tasiyin.Olasi yanlis girisleriniz sonucu Safe Mode dan
geri yuklersiniz.Sistem yedeginizide alin.. Regedite yanlis giris hata
kabul etmez ve sistem tekrar acilmaz.



** Lamerlerin oyuncaklarina karsi savunma : DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;


HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters
EnableICMPRedirect"=dword:00000000
EnablePMTUDiscovery"=dword:00000000
EnablePMTUBHDetect"=dword:00000000
PerformRouterDiscovery"=dword:00000000
EnableDeadGWDetect "=dword:00000000
NoNameReleaseOnDemand"=dword:00000001
SynAttackProtect"=dword:00000002
KeepAliveTime"=dword:000493e0
TcpMaxHalfOpen"=dword:00000064
TcpMaxHalfOpenRetried"=dword:00000050
TcpMaxPortsExhausted"=dword:00000005
TcpMaxConnectResponseRetransmissions"=dword:000000 03

ayarlarini bu sekle getiriniz.Firewall kullanicilari eger dogru
congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak
yapacaktır.


Uzaktan yardimi kapatma :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server

fAllowToGetHelp"=dword:00000000

fDenyTSConnections"=dword:00000001


Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.


Ag icinde olanlar icin erisim kisitlamalari :

-- Anonim kullanici erisimini sinirlar.Kullanicilar sistemdeki dosyalarinizi goremez.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]

restrictanonymous"=dword:00000001

-- Ag Uzerindekilere paylasimi kapatir

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

NoRecentDocsNetHood"=dword:00000001




YONETIM KONSOLU AYARLARI / Group Polıcy : Bu konsoldan bilgisayara ve
kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini
yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem
hatasi yanlis girisleriniz sonucu meydana gelebilir.



Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..

Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!


Sag blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi
kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag
uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya
zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)


Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..


Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.

Uzaktan erisilebilir kayit defteri yollari,
Adsiz kullanicilara everyone izinleri uygulansin,
Adsiz baglanabilecek Paylasimlar.
.......




Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapıcaz.

- NetMeeting evre dışı

- Internet Explorer :Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi..

Not:Sadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda
sikintilar yasayabilirsiniz.Login problemi,hareketli sayfalarin
goruntulenmemesi vs.. Sayfa interaktifligini yitirir fakat hiç bir
zararlininda yuklenmesine izin vermez.Yuksek onem arz eden
girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin.


Sag tarafta bulunan Java: Devre Dışı,
Imzasiz AktiveX Yuklemnemsi evre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır evre dışı
Java Programciklarinin Calistirilmasi : Devre Dışı
...... Sayfadan uygun olanlari seçin.


- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi evre Dışı

Sadece bu ayari yapmaniz yeterli.Digerleri erisim izni olmadigindan zaten gecersiz kalir.


Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/...

Uzaktan Yardim :Ikisinide devre disi yapin

Uzaktan Yordam Çagrisi (RPC) : Devre Disi


Internet Iletisim Yonetimi : Internet iletisimini kisitlayi etkin
yaparak bir ustteki klasore giriyoruz.Klasorun iceriginin tamaminin
ETKIN oldugunu goreceksiniz.Isteginize gore kapayip acabilirsiniz.


Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili..


XP nin dahili firewallinida kullanan icin :Yapilandirmalarin aciklama
kisimlarini okuyarak etkinlestirebilir veya kapayabilirsiniz.


Tum ag baglantilarimi Koru: Etkin
Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi
Dosya ve yazici paylasimi ozel durumlarina izin verevre Dısi
Uzaktan Yonetim Ozel durumuna izin ver evre Disi
........

Ayarlarinizin tamamini kontrol edin.Bu ayarlar etki alani icerisinde
gerceklesir.Bir altta Standart profil kisminada ayni secenekleri
secerek uygulayin


- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu
kisimda Web tabanli yazdirmayi devre disi birakin.Default bırakılan
Printer şifreleri şirketleri büyük sıkıntıya sokacaktır.Bir kaç örnek
vermek gerekirse ;

http://137.113.129.14/ews/index.htm >> Washington & Lee Universitesi
http://146.6.127.19/ews/index.htm >> Texas Universitesi ,Austin
http://sur02.ferris.edu/ews/index.htm >> Ferris Devlet Üiversitesi


Saldırgan nmap ve türevi tarayıcılarla baglı bulunduğu portu bulup
telnet baglantısı kurmaya çalışacaktır.Default bırakılan passwordlar
ile uzaktan tüm erişim saglanacaktır.



Kullanici Yapilandirmasi :

Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger
kullanicilar icin kisitlamalar yapabilirsiniz.Bilgisayar
yapilandirmasindaki ayarlarimizi buradada uygulayin.

BILGISAYAR YONETIMI : Bu kisma bilgisayarim ikonuna sag tiklayarak yonet seceneginden girebilirsiniz.





- Sistem araclari/Yerel Kullanicilar ve Gruplar..





Users kismindan Guest,Help Assistant vs kullanicilari
kapayabilirsiniz.Ayni sekilde Gruplar basligindanda istemediginiz
erisimleri kisitlayabilirsiniz.Cmd den Net user i kullanip oradaki
support u silerseniz ekranda daima hata mesaji alirsiniz.Bu kisimdan
kapatirsaniz sistemde herhangi bir hata olusmaz.Kapattiktan sonra cmd
de support,help vs gorunmeside bir seyi ifade etmez.Yonetim konsolundan
kapatilirsa erisimleri kapanir.





- Hizmetler ve Uygulamalar\Hizmetler : Bu kisimda sistem uzerinde
calisan sevislerin erisimlerini kisitlayalim.Mesela TCP/IP NetBıos
Yardımcisi.. Uzaktan erisim baglanti yoneticisi.. Uzaktan kayit defteri
vs.. Uzak erisimleri kisitlayin.







COOKIE YONETIMI : Icerige basit olarak degineyim.Cookie (cerez) genel
olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi
dosyadir.Siz üyesi olduğunuz bir siteye her girisinizde sisteme en son
hangi tarih ve saatte girdiginizi gorursunuz,hatta tıkladığınız
linkleri bile belirgindir.Sisteme eristiginizde cookie nize sistem
tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz
olacaktir.Daha once hic o siteye girmemis birisi ilk girisinde site
tarafindan rastgele bir ID ile tanimlanir.Eger daha once giris yaptiysa
,girisde sitenin database de karsiligina gelen cookie bulunur ve sistem
kullaniciyi tanir.Saat tarih vs bilgiler boyle bilinir.Login olurken
beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir
ve her giriste bu ID kullanilir.Siz sifre&kullanici adi
girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele
gecirilirse sizin ID ile sisteme erisim saglayabilir.Korunmak icin bazi
seyleri yapmamiz gerek.Simdi bunlara bakalim.





Kullanici tercihlerine gore reklam gorme nette hepimizi
ilgilendirir.Siz devamli arastirmalar yaptiginiz bir konu ile alakali
reklamlari baska sitelerde gorebilirsiniz.Bu reklam size ozeldir.Sizin
tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayin farkli
bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir
bilgidir.Cookiler yasa dışı olarak el değiştirir ve reklam şirketleri
kullanicilarin tercihlerine göre reklam sunarlar.





Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak
ayarlamaliyiz.Bu yontemle siteler cookielere ulasabilir fakat uzerine
yeni bilgi ilave edemez.Bunu IE kullananlar Internet
Secenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari
Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli
duzenlemelerini yapabilir.Ucuncu kisilerin cerez birakmalarini
engelleyin.Ayrica firefox u acin ve arama cubuguna "about:config" yazin.Buradanda kendi seceneklerinizi belirleyin.



Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX
düzenlemelerini kesinlikle yapin.Bunlarin acik olmasi sizin sistem
uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url
uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere
ulasmasina olanak tanir.







PROGRAM DUZENLEMELERI :



Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi
gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim
sagladigini belirlemeniz gerek.PC niz icin hayati oneme sahip
regedit,her program kurulumundan sonra yeni eklemelerle yeniden
duzenlenir.Mesela bir AV programi kurdunuz fakat bunun sistem
acilisinda calismamasini istiyorsunuz.Bunu düzenlemenin yollari malum
bilinir herkesce.Msconfig veya Regeditteki Run klasoru altindan
degistirebilirsiniz.Fakat bunlari her an gorme fark etme durumumuz
yok.Bunun icinde regedit uzerindeki degisiklikleri kontrol edebilen bir
program kurmaliyiz.Bildiginiz gibi her yuklenen program Regedite kayit
yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde calisan bir
Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini
engelleyecek ve size uyari verecektir.xxx programi xxx dizinine
yuklendi,kabul ediyormusunuz diye.



AV programina guvenen veya Firewall dan bir sey gecmez diyenler tekrar
dusunmeli ve regedit protector turevi programlari kullanmalidir.Tabiri
caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve
keylogger var ve hala birilerinin bilgisayarindan bilgi
caliyorlar.Cagirdiginiz bir sayfadan veya kurdugunuz bir programdan
rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari
vermez.