кєђค∂คмυѕ

ßυη¢ค ђєує¢คηค νคllคђi ρєѕ Tєz кคtιl ßizє ѕєη∂є єν∂єкi ѕєѕ

BlackICE PC Protection (Doküman-10)


BLACKICE’DA DURUM/OLAY/GİRİŞLERİ ANALİZ ETMEK:

BlackICE sizi geniş çaptaki saldırı ve girişlerden otomatik olarak korumakta.  Bilgisayarınızın ağ şartlarına göre bunu daha ince bir şekilde yapılanmıdmanız mümkün.

İlk adım, bilgisayarınızın aldığı giriş ve olayların ne tip bir girişler olduklarını anlamak.

Bu ne tip bir giriştir ?

Bilgisayarınızda oluşan tüm olayların hepsi potansiyel olarak zararlı kabul edilemez. Bazı rutin ağ yönetim aktiviteleri, zararlı olabileceği gibi yararlı da olabilir. Zararlı olmayan durumları engellemek için, girişlerin/olayların iyi analiz edilmesi gerekir.

Bu olay/giriş nereden geliyor ?

BlackICE kullanıcıya iki durum hakkında bilgi vermekte.

Başka bilgisayardan, sizin bilgisayar girişler. BlackICE bu bilgiyi size INTRUDERS sekmesinde gösterir.

Yerel durum/olaylar: Bilgisayarınızdaki bir uygulamanın sizden habersiz işler yapmaya çalışması. BlackICE hangi uygulamanın buna sebep verdiğini tesbit eder.

GİRİŞ/SALDIRILARI TAKİP ETMEK

Bilgisayarınıza, başka bilgisayarlardan  giriş/saldırıları takip etmek için Back Trace Sekmesini kullanabilirsiniz.

Direct veya Indirect Takip: ( DIRECT/INDIRECT BACKTRACE )

Indirect Geri Takip ( Indirect Backtrace) , hackerin sistemi ile temas etmeyen bir protokol kullanır. Sisteme girmeye çalışan kişinin sisteminin yolu hakkında çeşitli kaynaklardan bilgi toplar. Saldırıyı yapan kişiler, geri bir şekilde takip edildiklerini göremezler, fakat indirect geri takipte edinilen bilgi eksik olabilir.

Direct Takip ( Direct Backtrace ), sisteme girmeye çalışan sistemle ilgili yolu olduğu gibi geri giderek, indirect takipten daha detaylı ve güvenilir bilgi toplar. Buna rağmen, hackerlar direct takip de izlendiklerini anlayabilirler.

GERİ TAKİP ( BACKTRACE ) KULLANMAK İÇİN:

Tools’dan Edit BlackICE Settings yapıyoruz.
Back Trace Sekmesini seçiyoruz.
Eğer, indirect takip yapmak istiyorsanız,
Indirect Trace Threshold kutusuna, indirect takibi gerektirecek en düşük güvenlik seviye rakamını yazın. Default olarak BlackICE, güvenlik seviyesi olarak 3 ve üstüne geri takip etmekte. Bunu değiştirebilirsiniz.

Saldırıyı yapan kişinin DNS sunucuları hakkında bilgi de edinmek istiyorsanız. DNS look up işaretleyip yoksa boş bırakın.

Direct Takip ( Direct BackTrace ) yapmak istiyorsanız, Direct Trace Threshold kutusuna, direct takibi gerektirecek en düşük güvenlik seviye rakamını yazın. Default olarak BlackICE, güvenlik seviyesi olarak 6 ve üstüne direct geri takip olarak ayarlanmış durumda.

Eğer, hacker’ın IP adresini öğrenmek istiyorsanız, NETBIOS NOD Status bölümünü işaretlemeniz lazım.

OK’e basıyoruz.

YEREL OLAYLARI TAKİP ETMEK:

BlackICE iki durumda, yerel olayı size bildirir.

Bilinmeyen bir uygulamaya çalışmaya çalışırsa.
Bilinmeyen bir uygulama bir ağa/internete bağlanmaya çalışırsa.

Hangi uygulamanın, size alarm verdiğini görmek için, uyarı penceresinde MORE INFORMATION a tıklarsanız, BlackICE uygulamanın adresini size gösterecektir.

Eğer uygulamanın çalışmasının devamını istiyorsanız, CONTINUE, istemiyorsanız, TERMINATE demelisiniz.

AĞ TRAFİĞİNİ KAYDETME:

Bilgisayarından geçen tüm ağ trafiğini kaydedebilirsiniz. BlackICE, packet logs diye tabir edilen dosyaları oluşturur, ve hacker/girişi yapanların tüm aktiviteleri ile ilgili bilgiler bu dosyalarda saklanır.

Not: Bu dosyalar, arttıkça harddiskk çok yer kaplar.

PACKET LOGLARI AYARLAMAK:

Paket logları toplamak için:

Tools’dan EditBlackICE Settings yapıyoruz.
Packet Log Sekmesine tıklıyoruz.
Logging Enabled’ı seçiyoruz.

File Prefix kutusuna, Paket Log ismi için bir ön isim koyuyoruz.
Maximum Size kutusuna, log file’ın en yüksek boyutunu belirliyoruz. En iyi sonuçlar için 2048 in altında ayarlaması önerilmekte.
Maximum Number of Files kutusuna, BlackICE’ın kaç dosya oluşturmasıyla ilgili rakam giriyoruz. BlackICE verilen rakam kadar dosya oluşturuyor ve o rakama erişildiğinde, ilk dosyadan itibaren tekrar yazmaya başlıyor.

PACKET LOG BİLGİSİNİ KULLANMAK:;

Packet Log’lardan topladığınız bilgileri kullanabilmek için, bir adet TRACE FILE DECODER uygulama kurmalısınız. Internetten bu tip decoderları bulmak mümkün.  Windows NT Veya Windows 2000 Server kullanan lar için, Network Monitoring Servisi yüklenebilir.

Packet Log dosyasını, ilgili decoder programla açıyoruz.

Packet Log dosyaları, BlackICE’ı yüklediğiniz dizinde, genel olarak C:\Program Files\ISS\BlackICE da bulunur. Dosya uzantıları *.enc dir.

PACKET LOGLARI SİLMEK:

Packet Logları Silmek için:

Tools’dan Clear Files’ı seçiyoruz, Packet Logs’u seçiyoruz. OK’liyoruz.

SİSTEME GİRİŞ KANITLARINI KAYDETME:

Özel olarak, koruma cevaplarını kaydeden packetleri tutmak, ve bir dosyaya kaydetmek mümkündür. Gerektiğinde bu kanıt dosyasını herhangi bir soruşturmada kullanabilirsiniz.

Kanıtların Loglanmasını Aktif Hale Getirmek için.

Tools’dan Edit BlackICE Settings yapıyoruz.
Evidence Log Sekmesini seçiyoruz.
Logging Enabled’ı işaretliyoruz.

Dosya prefix kutucuğuna, kanıt dosyanın bir ön ismini yazıyoruz.
Maximum Size kutusunda, bir dosyanın maksimum boyutunu belirleyin. 2048 Kilobyten tan daha az tutulması, daha iyi sonuç almanızı sağlar.
Maximum Number of Files kutusuna, kaç dosya oluşturulacağının sayısını girin. OK’leyin.

KANIT LOGLARININ SİLİNMESİ

Toplamış olduğunuz kanıt log bilgilerini silmek için:

Tools’dan Clear Files yapıyoruz.

Evidence Logs’u seçiyoruz. OK’liyoruz.

Şimdilik bu kadar. Küçük yazım hataları varsa kusura bakmayın, aceleye geldi.. Dokuman Sonu..// 19 Mayıs 2006

Çeviri / Derleme : NETGUYTR – Enformasyon / Haberci

Kaynaklar: https://iss.custhelp.com/cgi-bin/iss.cfg/php/enduser/std_alp.php?p_sid=coA5hU7i&p_lva=&p_li=&p_page=1&p_cv=1.63%3B2.u0&p_pv=1.33%3B2.u0&p_prods=33%2C0&p_cats=63&p_hidden_prods=&prod_lvl1=33&prod_lvl2=0&cat_lvl1=63&p_search_text=&p_new_search=1&p_search_type=answers.search_nl&p_sort_by=dflt

 

Şubat 3, 2007 - Posted by | Güvenlik

Henüz yorum yapılmamış.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: