Windows Server 2008 ile birlikte gelen tümleÅŸik firewall’da önemli geliÅŸtirmeler yapılmış.Bunun en önemli belirtiside Microsoft’un güvenlik duvarına verdiÄŸi “Windows Firewall with Advanced Security” ismidir.Gerçekten geliÅŸmiÅŸ birçok özelliÄŸiyle sistem yöneticilerine oldukça kolaylık saÄŸlıyor.
Yeni arayüz – Artık geliÅŸmiÅŸ firewall özelliklerini kontrol edebilmemiz için MMC snap’in ni kullanabiliriz..
Bi-directional – Gelen trafiği olduğu kadar giden trafiğide filtreleyebiliriz.
IPSEC ile uyum – Artık güvenlik duvarında oluşturduğumuz kurallar ve IPSEC konfigurasyonumuz tek bir arayüzde içiçe çalışabiliyor.
Gelişmiş kural konfigurasyonu – ICMP,IPv6,TCP/UDP,ip adresleri,protokol numaraları,active directory hesapları ve grupları için kurallar yaratabiliriz.
Bu özelliklerle birlikte bilgisayarımızda kullandığımız diğer firewall uygulamaların yerini tutacağa benziyor.En beğendiğim özelliği ise MMC konsolunu kullanarak yönetimi gerçekleştirebilmemiz.
Bir önceki sürümden en büyük farkı ise tümleÅŸik gelen kural sayısı. Devamini oku »
firewall, güvenlik duvarı, windows server 2008, yenilikler
GFI, MailEssentials ürünü için yeni bir update yayınladı.Son zamanlardaki pdf içerikli spamlar için ekstra önlemler alınmış.
Update dosyasına buradan ulaşabilirsiniz.
gfi, MailEssentials
Windows Server 2003 üzerindeki RRAS(Routing and Remote Access service) ile uzak lokasyonlardaki kullanıcılarımızı networkümüze sanal bir özel ağ (VPN) kullanarak internet üzerinden bağlayabiliriz.
Böylece örneÄŸin evimizden ÅŸirketimizdeki server’a güvenli bir tünel üzerinden baÄŸlanabilir ve ÅŸirket networküne dahil olarak,RRAS servisinin bize saÄŸladığı ip adresi ile kaynaklara eriÅŸebiliriz.
Bağlantının güvenli olması için L2TP kullanabiliriz.Bu konfigurasyonu diğer yazıda örneklendiricez.Burada sadece standart bir VPN kurulumunu göstericez.
Ä°lk yapmamız gereken Windows server 2003 üzerindeki RRAS servisini çalışır duruma getirmek.Standartta bu servis Devamini oku »
l2tp, pptp, Routing and Remote Access service, rras, virtual private network, vpn, y�nlendirme ve uzaktan eri��im
Çalışan Terminal Serverımız standart kurulumla birlikte 3389 TCP port üzerinden geen bağlantıları dinler.
Client bu port üzerinden istek gönderir ve terminal serverda bu isteği yanıtlar.
İstersek bu portu değiştirerek güvenlik anlamında bir adım öne geçebiliriz.Bunun için;
Regedit altında;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
deÄŸerine gideriz.Buradaki PortNumber anahtarı hex olarak 3389′dur.
Buradan istediğimiz değeri girerek port numarasını değiştirebiliriz.{restart gerektirir.}
Bu değişikliği yaptıktan sonra bağlanıcak client üzerindede gerekli konfigurasyonu yapmamız gerekir.
Kullanıcı Başlat/çalıştır/mstsc ile uzak masaüstü bağlantısı penceresine ulaştıklarında;
10.0.0.1:3388 şeklinde bağlantı gerçekleştirebiliriz.Buradaki 3388 ,server üzerinde ayarladığımız yeni port numarasıdır.
Eğer her seferinde bu port numarasının yapılmasını istemiyorsak aynı registry değişikliğini client bilgisayar üzerindede yapabiliriz.
güvenlik, port, rdp, remote desktop protocol, terminal server
Test amaçlı bir uygulama.
Ipsec ile artık güvenlik anlamında bir adım önde olduğumuz söylenebilir.Clear text dolaşan mail trafiğini yada bilgileri ipsec ile şifreli hale getirebiliyoruz.
RDP kullanarak uzaktan bir clientın server’a ulaÅŸması sırasındada aradaki baÄŸlantıyı ipsec kullanarak tünelleyebiliriz.
Bunun için ilk önce bir ip filter oluÅŸturucaz.Bu filter’da 3389 portları için server’a gelen isteklerde clientların ipsec kullanmasını,aksi takdirde baÄŸlantıyı reddetmesini belirticez.
Sırasıyla; Devamini oku »
3389, güvenlik, ipsec, rdp, remote desktop bağlantısı, security, ssl, uzak masaüstü bağlantısı
Certificate Authority sunucumuzu kurduktan sonra client’lar üzerinden sertifika talebini iki ÅŸekilde gerçekleÅŸtirebiliriz.
1)Web Browser:
Web Browser yöntemiyle sertika talebi için adres çubuğuna
http://sunucu ismi/certsrv yazarak sertifika sunucusu üzerindeki Devamini oku »
ca, Certificate Authority, güvenlik, security, sertifika isteği, sertifika talebi, windows server 2003
Åžirketimizde digital sertifiklar ile güvenlik saÄŸlamak için windows server üzerinde localde kurabilceÄŸimiz Certificate Authority’i kullanabiliriz.Digital sertifikalar sayesinde kullanıcıları güvenlik düzeyinde gruplayabiliriz.Burada sadece windows server 2003 üzerinde CA kurulumunu anlatacağız,ilerki yazıda ise ca server üzerinden digital sertfika ile exchange/owa üzerinden güvenli mail alışveriÅŸini saÄŸlayacağız.
Windows Server 2003 üzerinde CA kurulumu için,ISS kurulu olması gerekmektedir.Ardından; Devamini oku »
ca, Certificate Authority, digital certificate, digital sertifika, dijital sertifika, iss, owa ssl, windows server 2003
Security System Analyzer
Local sistemlerde açık taraması için geliştirilmiş güzel bir araç.
Bilgisayarımızda taramayı çalıştırdığımda bilinen açıkları ve ayrıca envanter amaçlı yüklü programları gösteriyor.Html olarak rapor sunabiliyor.Ayrıca bulunan açıklarla ilgili referans linklerini raporda bize sunuyor.
analiz, download, exploit, local, mcse, Security System Analyzer, server, tarama, windows
WEP’in güvenlik standartı olarak ortaya çıkması ve beraberinde getirdiÄŸi birçok güvenlik sorunuyla birlikte WPA ortaya çıkmıştır.
WPA genel anlamda WEP mimarisi üzerine birkaç ekstra güvenlik önlemleri eklenerek sunulmuÅŸtur.WPA2 ise WEP’i tamamen bırakarak altyapısını deÄŸiÅŸtirmiÅŸtir.
WPA güvenlik için iki mod içerir.Bunlardan bahsedicek olursak:
WPA - PSK(Pre-Shared Key):
Bu bağlantıda 8-63 karakter arası bir şifre belirleriz.Bu hem AP tarafında hemde client tarafında girilmesi gerekmektedir.İşte buna pre-shared yani paylaşılmış anahtar diyoruz.Kablosuz ağ bağlantıları özelliklerinden authentication metodu olarak WPA-PSK seçeriz.
Bu ekranda bizden ayrıca Data Encryption metodu seçeneÄŸi çıkar.TKIP bunlardan biridir.Açılımı Temporal Key Integrity Protocol olan TKIP bize güvenlik konusunda avantaj saÄŸlar.Datanın bir keyle ÅŸifrelenmesi ve karşı tarafa gönderilmesi sırasında key’i bulan kiÅŸi datalara eriÅŸimi kolaylıkla saÄŸlayabiliyordu.Fakat TKIP sayesinde bu key statik deÄŸil dinamiktir.Yani sürekli deÄŸiÅŸir.WEP gibi rc4 algoritmasını kullanır.
Bu bölümüde atladıktan sonra pre-shared keyimizi seçeriz.Tabiki bu anahtar access point’e girdiÄŸimiz anahtarla aynı olmalıdırki karşıklıklı güven iliÅŸkisi baÅŸarılı sonuçlansın.
WPA-802.1x(RADIUS):
WPA-802.1x ile birlikte güvenlik bir kademe daha yükselmiştir.
Kablosuz aÄŸlara saldırı yöntemlerinden biride sahte ap’lerdir.Back Track2 live cd’yle birlikte gelen fakeap programıyla elimizde bulunan hernangi bir laptop’u bir AP olarak gösterebiliriz.Bu durumda şöyle bir saldırı senaryosu olabilir.
Dinleme programlarının herhangi birisiyle (aircrack,netstumbler) etrafı dinleyerek kablosuz aÄŸlar hakkında bilgi edindik.Bir süre dinlememizde fayda var.Böylece eÄŸer bir AP SSID’ini saklamış olsa dahi etraftaki clientlarının kendisini bulması için yayınladığı beacon paketleriyle havaya bir nevi broadcast yapar.Böylece AP’yi yakalayabiliriz.
Ardından bu AP’ye bir client’ın baÄŸlı olduÄŸunu düşünelim.
EÄŸer bir AP’ye bir de-authenticaton mesajı gönderirsek ,client ile AP arasındaki baÄŸlantıyı koparmışızı demektir.Buda aslında bir nevi güvenlik açığıdır.AP de-authentication paketi kendisine ulaÅŸtığı anda kimlik doÄŸrulaması yapamadığından aradaki baÄŸlantıyı koparır.
Bunu gerçekleÅŸtirdikten sonra amacımız client’ın bizim üzerimizden baÄŸlantısını gerçekleÅŸtirmesi.Bunun için en basitinden fakeap programı ile mevcut AP’den daha güçlü bir sinyal yayarsak client otomati olarak bize baÄŸlanıcaktır.Ä°ÅŸte bu anda saldırganın yapması gereken client’ı ulaÅŸmak istediÄŸi yere götürmek.Böylece kullanıcı farketmeden veri transferini gerçekleÅŸtirirken saldırganda bunu izleyebilir.
Ä°ÅŸte burada güvenlik olarak karşımıza WPA-802.1 protokolü gelir.Çünkü bu protokole göre AP yerel kablosuz aÄŸa eriÅŸimini tamamlamadan önce kimlik doÄŸrulaması için RADIUS server’a uÄŸrar.Buradaki güvenlik policyleriyle karşı karşıya kalır.Radıus sadece önceden kendisine tanımlanan AP’lere geçiz izni verir.
Radius serverımızda clientlar oluşturarak authentication işlemlerini yapabiliriz.Ayrıca sertifika kullanabiliriz.
ACCESS POINT, AIRCRACK, BACK TRACK, FAKEAP, KABLOSUZ, RADIUS, TKIP, wep, WIRELESS, wireless hack, WPA 802.1x(RADIUS), WPA PSK
Start–>Run–>gpedit.msc–>Computer Configuration–>Windows Settings–>Security Settings–>Local Policies–>User Rights Assignment–>Deny Log on Locally kısmına users ları eklediÄŸimizde localde oturum açmayı iptal edebiliriz.Direk etki alanında oturum açmak zorunda kalır userlar.
local, logon