кєђค∂คмυѕ

ßυη¢ค ђєує¢คηค νคllคђi ρєѕ Tєz кคtιl ßizє ѕєη∂є єν∂єкi ѕєѕ

BlackICE PC Protection (Doküman-8)


BLACKICE’da BİLGİSAYARA GİRİŞLERE İZİN VERMEK:

Normal olarak, BLACKICE zararsız gözüken girişlere izin verecek şekilde ayarlanabilmekte. Buna tabi sizin kendinizin karar verebilmesi gerekiyor.

BLACKICE’IN UZAKTAKİ BİR BİLGİSAYARA GÜVENMESİ:

Uzak bilgisayara BlackICE’ın güvenebileceği şekilde yapılandırılması, bu bilgisayardan gelecek olan tüm giriş isteklerini, analiz edilmesini engeller. BlackICE ne IP adresini kontrol eder, ne de haberleşmenin içeriğine el atar.

Bu sistemleri ancak ve ancak çok iyi biliyorsanız ve eminseniz, BlackICE’dan izin vermenizi öneriyorum.

BİR IP ADRESİNDEN GELECEK TÜM PAKETLERİN KABULU İÇİN:

TOOLS’dan Edit BlackICE Settings’i seçiyoruz.

Intrusion Detection ( Saldırı Tesbit )  sekmesini Tıklıyoruz.

Add i seçiyoruz. “The Exclude from Reporting” penceresi karşımıza gelecektir.

Do you want to trust all IP addresses ? “ – “Tüm IP adreslerine güveniyor musunuz ?” sorusuna cevabınız; EVET, ise, Yani Tüm IP adreslerine güveniyorsak, ALL kutucuğunu işaretliyoruz ve ADD yapıyoruz.

Yeni güvenilir adresimiz, Intrusion Detection Sekmesinde belirecektir.

Not: IP adresine güvenilmesi demek, Saldırı Tesbit Sisteminin oradan gelecek hiçbir trafiği analiz etmemesi demektir..

Yine de, Güvenlik Duvarının bazı elemanları, güvenilir olarak atanmış bir IP adresini bile  zaman zaman engelleyebilir. Örnek vermek gerekirse, TCP port 3000 in engellendiği bir güvenlik duvarı kuralı oluşturulmuş ise ve güvenli olarak tanımlanmış bir sistem, 3000 no’lu port kullacaksa, bu bağlantı engellenir.

Tüm IP adreslerine güvenmiyorsak,

IP Bölümüne, güvendiğinizi belirlediğiniz IP adresini elle yazıyoruz.
Add Firewall Entry kutucuğunu işaretliyoruz.
Böylelikle, BlackICE, güvenlik duvarında, bu belirlenmiş IP adresi için bir KABUL girişi oluşturmuş oluyor. Bu da demektir ki, güvenlik duvarı, bu IP adresinden gelebilecek tüm haberleşmeyi kabul edecek, sorgulamayacak, incelemeyecektir.

BAŞKA BİR BİLGİSAYARDAN GELEN TRAFİĞİ KABUL ETMEK:

BlackICE’IN başka bir bilgisayardan gelen trafiği kabul etmesi demek, o bilgisayardan gelen tüm trafiğin sizin sisteminize girmesi demek. BlackICE bu durumda trafiği kaydeder ve saldırı ile ilgili analizler yapmaz.

Başka bir Bilgisayardan Gelen Trafiği Kabul Etmek İçin:

Tools’dan Advanced Firewall Settings’i seçiyoruz.
Advanced Firewall Settings penceresi açılınca, ADD yapıyoruz.

Add Firewall Entry Penceresi karşımıza gelecek.

İsim kutusuna, IP adres filtresi için bir İSİM yazıyoruz.

Do you want to accept all IP addresses ? “- “Tüm IP adreslerini kabul ediyor musunuz ?” sorusuna cevabınız; EVET ise, ALL ADDRESSES kutucuğunu işaretliyoruz.

Port Kutucuğuna,  kabul edilecek Port Numarası veya Port Numaraları Aralığını Belirtiyoruz.

Type List’den IP’yi seçiyoruz.

Mode Section’dan ACCEPT’i seçiyoruz.

Add Trusted Entry kutucuğunu seçip, sözkonusu IP adresinin, saldırı tesbitinin dışında bırakılmasını sağlıyoruz.

Duration of Rule Bölümünden, bu trafiğin ve kuralın ne kadar süre için geçerli olduğuna karar veriyoruz.  Aşağıdakilerden seçimimizi yapiyoruz.

Hour – Saat
Day – Gün
Month – Ay
Forever – Devamlı

ADD’e basıyoruz.

Böylelikle güvenlik duvarı kabul edeceği IP adreslerinin listesini eklemiş oluyor.

Eğer, “Do you want to accept all IP addresses ? “- “Tüm IP adreslerini kabul ediyor musunuz ?” sorusuna cevabınız; HAYIR ise, direct olarak

Type List’den IP’yi seçiyoruz.

Mode Section’dan ACCEPT’i seçiyoruz.

Add Trusted Entry kutucuğunu seçip, sözkonusu IP adresinin, saldırı tesbitinin dışında bırakılmasını sağlıyoruz.

Duration of Rule Bölümünden, bu trafiğin ve kuralın ne kadar süre için geçerli olduğuna karar veriyoruz.  Aşağıdakilerden seçimimizi yapiyoruz.

Hour – Saat
Day – Gün
Month – Ay
Forever – Devamlı

ADD’e basıyoruz.

Böylelikle güvenlik duvarı kabul edeceği IP adreslerinin listesini eklemiş oluyor.

BLACKICE’DA BELLİ BİR PORTTAN GELEN TRAFİĞİ KABUL ETME:

BlackICE’DA belli bir port (portlar) dan gelen trafiğin kabul edilmesiyle, bu porttan gelecek tüm trafik kayıt edilmekte fakat girişler için analiz edilmemektedir.

BlackICE’da Belli Bir Port(lar) dan Gelen Trafiği Kabul Etmek İçin:

Tools’dan, Advanced Firewall Settings’e tıklıyoruz.
Advanced Firewall Settings penceresi açılıyor.
ADD diyoruz.
Add Firewall Entry penceresi açılıyor.
Port filtresi için isim kutucuguna bir isim yazıyoruz.

Do you want to accept all ports ?” – Tüm Portları Kabul Ediyor musunuz” sorusuna cevabınız; EVET ise ALL PORTS kutucuğuna işaret koyuyoruz.

IP Adres Kutucuğuna, bu portların kabul edilmesi için, ip adres veya aralıklarını yazıyoruz.

Type List’ten Port tipini seçiyoruz.
Mode Section’dan ACCEPT diyoruz.

Duration of Rule bölümünden, kuralın geçerlilik süresini belirliyoruz.

Aşağıdaki seçeneklerden birini seçiyoruz.

Hour – Saat
Day – Gün
Month – Ay
Forever – Devamlı

ADD’e basıyoruz.

Böylelikle güvenlik duvarı kabul edeceği portların listesini eklemiş oluyor.

Eğer, “Do you want to accept all ports ?” – Tüm Portları Kabul Ediyor musunuz” sorusuna cevabınız; HAYIR ise;

Port kutucuğuna, portları belirtmek için giriş yapiyoruz.

Tek port için, 1 ila 65536 arası bir rakam
Port aralığı için 9-9999 formatını kullanıyoruz.

Type LIST’ten Port tipini seçiyoruz.
Mode Section’dan ACCEPT diyoruz.

Duration of Rule bölümünden, kuralın geçerlilik süresini belirliyoruz.

Aşağıdaki seçeneklerden birini seçiyoruz.

Hour – Saat
Day – Gün
Month – Ay
Forever – Devamlı

ADD’e basıyoruz.

Böylelikle güvenlik duvarı kabul edeceği portların listesini eklemiş oluyor.

BLACKICE’DA BELLİ BİR DURUMU/OLAYI GÖZARDI ETMEK:

İncelemeniz gereken bilgiyi en aza indirme amacıyla, sisteminize tehdit teşkil etmeyen durumları, gözardı edebilirsiniz. Böylelikle, bu girişim ve olaylar, BlackICE tarafından engellense bile size haber erilmez.

Mevcut Bulunan bir Durum/Olay’ı Gözardı Etmek:

Tesbit edilmiş bir durum ve olayı gözardı etmek için.

Events Sekmesini tıklıyoruz.
Listedeki olayı seçip sağ click yapıyoruz.
Çıkan menude, Ignore Event’i seçip aşağıdaki seçimlerden birini yapıyoruz.

This Event : Bu tip olay/durumun tüm gelecekteki benzerlerini gözardı eder.
This Event By This Intruder : Bu tip olay/durumun tüm gelecekteki benzerlerini aynı girişi yapan kişi için gözardı eder. Eğer aynı tip saldırıyı yapan başka bir giriş olursa, bu olay da ayrıca log lanır.

Konfirmasyon mesajına yes diyoruz. Kapatıyoruz.

Gelecekteki bir Olay/Durum’u Gözardı Etmek.

Henüz Oluşmamış bir Olay/Durumu Gözardı Etmek için;

Tools’dan, Edit BlackICE Settings diyoruz.
The BlackICE Settings penceresi geldiğinde, Intrusion Detection ( Saldırı Tesbit ) sekmesini seçiyoruz.
ADD yapıyoruz.
Exclude from Reporting” penceresi açılıyor.

Do you want to ignore all events of a specific type?” – “Özel olan tüm olayları gözardı etmek istiyor musunuz ?” sorusuna cevabınız EVET ise;

Address to Trust bölümünden ALL’ı seçiyoruz.  Ve aşağıdakilerden birini yapıyoruz.

Event Type – İsim menu listesinden, olay/durum tipini seçiyoruz veya
Event Number – ID listesinden durum/olay id sini seçiyoruz.

ADD diyoruz.

The Exclude from Reporting penceresi kapanacak.

Tekrar ADD diyoruz. Settings penceremiz kapanıyor.

Eğer, “Do you want to ignore all events of a specific type?” – “Özel olan tüm olayları gözardı etmek istiyor musunuz ?” sorusuna cevabınız HAYIR ise, ama belli bir kullanıcı/saldırıyı yapan’dan gelen tüm olay/durumları gözardı etmek istiyorsanız saldırıya yapan kişinin ip adresini IP kutucuğuna yazıyorsunuz.

Not: Tek IP adresi için, standart 000.000.000 formatını kullanıyoruz.
IP adres aralığ için yine standart ip adres yazma şekli ile – leri kullanıyoruz.

Attacks to Ignore bölümünde, ALL kutucuğunun işaretini kaldırıyoruz. Ve aşağıdakilerden birini yapıyoruz.

Event Type – İsim menu listesinden, olay/durum tipini seçiyoruz veya
Event Number – ID listesinden durum/olay id sini seçiyoruz.

ADD diyoruz.

The Exclude from reporting penceresi kapanıyor.

Tekrar ADD diyoruz. Settings penceremiz kapanıyor.

Eğer “Do you want to ignore all events from a specific intruder?”-“Belli bir kullanıcı/saldırıyı yapan’dan gelen tüm olay/durumları gözardı etmek istiyor musunuz?” sorusuna cevabınız HAYIR ise BlackICE Settings Penceresini doğrudan kapatıyoruz.

BLACKICE’da DURUM/OLAYLARIN YÖNETİMİ:

İster yerel olsun, ister bir saldırı olsun sisteminizde meydana gelen olay/durumların çoğunda BlackICE bu durumları otomatik olarak yönetmektedir. Yine de tercihlerinize göre bu durumlarda BlackICE’ın nasıl davranması gerektiğini sizler belirleyebilirsinz.

Bunlar iki kategoride toplanabilir:

Bilgisayara Girişleri/Saldırıları Yönetme
Bilgisayar İçindeki Olayları Yönetme.

Bilgisayara Giriş ve Hacker Saldırılarını İncelerken İlk Dikkat Etmemiz Gerekenler:

Sözkonusu olay/giriş/saldırının derecesi 2 veya 2’den daha mı az.. Çünkü 1 ve 2 seviye olan tüm olayların çoğu sistemin taranması olaylarıdır. Genel olarak tehlikeli olmasalar da, bir atağın ön habercisi olabilir. En iyisi bu durumlarda, daha ciddi bir saldırının yapılmasını beklemek olacaktır.

İkinci incelememiz gereken durum, Geri İzleme ( Backtrace) yapabiliyor musunuz ? Bazı hackerlar, özellikle, DNS, NETBIOS ve MAC adres bilgilerini gizlemeye çalışır. Bilgisayarınıza yapılan saldırı derecesi yüksek önem taşıyor ise ( 6 veya üstü ) ve hiçbir backtrace ( geri izleme ) bilgisi edinemiyorsanız, karşınızda ciddi tecrübeli bir hacker var demektir.

Üçüncü gözardı edilmemesi gereken durum, sözkonusu olay/durum sizin sisteminizin içinden mi kaynaklanıyor ? Bazı network sistemleri, sistemin kontrolu acısından zaman zaman tarama yaparlar. Bu taramalar güvenli olmakla birlikte yine BlackICE tarafından tesbit edilir.

Dördüncü kontrol edilecek durum, sözkonusu olay/durum Internet Servis Sağlayıcısınızdan mı gelmekte ? Bazı Internet Servis sağlayıcılarının ağlarını düzenli taradığı bilinmekte.

SEÇENEKLERİMİZ NELER ?

Saldırılara/Atacklara/Girişlere çeşitli seçeneklerde karşılık vermemiz mümkün:

Saldırıyı Yapan Kişiyi BLOCK’lamak:

Bazı kişiler, aynı saldırıyı, ciddi tehdit teşkil etmese de defalarca arka arkaya tekrarlarlar. Güvenlik duvarı ise sadece sistemi ciddi tehdit edecek girişleri engelleyecektir. Çok büyük tehdit içermeyen ( port scan vs gibi )  saldırıyı yapan kişiler engellenmez. Sadece raporlanır.

Yine de isterseniz, size saldırı yapan kişinin bu saldırılarını tamamen elle blocklayabilirsiniz.

Koruma Seviyesini Arttırmak:

Çok fazla sayıda saldırıya uğruyorsanız, ağınızı ve sisteminizin koruma seviyesini arttırabilirsiniz. Güvenlik seviyesinin yükseltilmesi özellikle multimedia içeriği gibi özel Internet keyfini kısıtlasa da, yüksek sayıda saldırı durumları için uygundur.

Saldırıyı Yapan Kişinin Kaynağına Gitmek:

Saldırıyı/Girişi yapan kişinin Internet Güvenlik Servisini tesbit edip, bu kişiyi ISP ye e mail ile raporlayabilirsiniz.  ISP şirketlerinin çoğu bu tip aktiviteleri yasaklamakta.

İşletim Sisteminizi Güncel Tutmak:

İşletim sisteminizi devamlı güncellemek, açıklarınızı kapatmak.

Dokuman Devam…

Alıntı: LET-ME-IN

Şubat 3, 2007 - Posted by | Güvenlik

Henüz yorum yapılmamış.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: