Kerio Personal Firewall 4 inceleme

Kerio personal firewall (KPF) yazilimini bir suredir kendi bilgisayarimda deniyorum. Urunun ozellikleri hosuma gitti. Weble ilgili karsilastigim bir problem disinda kullandigim diger ozellikleriyle fazla problem yasatmadi. Cok fazla zaman ayirmak istemedigim icin burada urunun butun ozelliklerinden bahsetmiycem, ama ana hatlariyla urunu anlatmak istiyorum.

Urunun ana ekranini actiginizda (configuration olarak geciyor) yukaridaki sekilde[1] goruldugu gibi, hangi programin ag uzerinde o an ne kadar trafik harcadigi, nereye hangi port’tan bagli oldugu, ve hangi uygulamanin hangi port’u dinledigi gorulebiliyor.

Ilk Kullanim ve Network Kurallari

Ilk olarak bilgisayarinizin bagli oldugu network hakkinda bilgi vermenizi istiyor. Guvenilir (trusted), veya guvenilir olmayan (untrusted) bir network’te olup olmadigimizi soruyor ve bu network’e bir isim vermemizi istiyor. Bunun amaci, firewall’da (network security) basitce kural yazabilmek. Genel kurallar IP bazli olmadigi icin, bilgisayarinizi farkli bir network’e aldiginizda ayni kurallarin gecerli olmasi icin, yeni network’un guvenilir veya guvenilir olmayan network olup olmadigini belirlemeniz yetiyor.
Herhangi bir uygulama internete veya bagli bulundugunuz ag uzerinde herhangi bir yere erismek istediginde, veya herhangi harici bir client, sisteminizde calisan bir sunucu yazilimina erismek istediginde, KPF size bu baglanti istegi ile ilgili ne yapmak istediginizi soruyor. Burada onaylama veya reddetme secenegi bulundugu gibi, bundan sonraki benzer istekler icin kural ekleme onay kutusu da bulunuyor. Bu sekilde eklediginiz kurallar, bulundugunuz network bazinda kisitlamaya tabi tutuluyor. Ornegin, “programin guvenilir ag uzerinde herhangi bir yere erismesine izin ver”, “programin guvenilir olmayan (untrusted, Or: internet) ag uzerinde herhangi bir yere erismesine izin ver”, “programa guvenilir agdan gelen baglanti isteklerine izin ver” gibi.
Bu kurallar disinda, uygulamanin sadece belirli protokol ve port’lara erisebilecegi sekilde gelismis kurallar olusturabiliyorsunuz. Size sordugu sirada kural olusturken “Create an advanced filter rule” diyerek kurali duzenlemeniz, veya konfigurasyon’da “network security” icerisinden “packet filter” kisminda bu kurallari tanimlayabilmeniz mumkun.
Ayrica kurallara log’lama veya alarm uretme secenekleri ekleyebiliyorsunuz.

Sistem Guvenligi
Sistem guvenligi olarak gecen kisimda, bir uygulamanin baslamasi, daha onceden bilinen bir uygulamanin degistirilmis olmasi (bilmediginiz bir sekilde degistirilmis olabilir) veya bir uygulamanin baska bir uygulamayi calistirip calistiramayacagi kontrol edilebiliniyor.
Genelde program kurarken “bu uygulama, baska bir uygulamayi calistiriyor” diyerek, fazla soru sormasina neden olsa da urunun bu ozelligi de hos.

IDS(Saldiri Tespit Sistemi) Modulu
Urunun IDS modulu, imza veritabaninda olan kotu trafikleri ve port tarama islemlerini tespit edip engelleyebiliyor. Bu durumlar gerceklestiginde bir alarm uretme seceneginin olmamasi hos degil. Urunun su an deneme yaptigim surumunde, sadece loglama secenegi bulunuyor.

Web Filtreleme Modulu
Web filtreleme tarafinda reklam, pop-up pencere, javascript, vbscript bloklama; cookie’ler ile ilgili filtrelemeler, ve kisisel bilgi bloklama secenekleri bulunuyor. Kisisel bilgiden kasit, sizin yazdiginiz herhangi ozel bir verinin, web uzerinden gonderilmesini engellemek.
Web erisimlerini transparan olarak inceliyor ve yaratilan politikaya gore degistiriyor. Urunun pop-up filtreleme ozelligini kullanmanizi onermem, zira ziyaret ettiginiz sayfalarin icerisine bir javascript kodu ekleyerek pop-up’lari bloklamaya calismasi pek mantikli degil. Bunu browser’in ozelligi ile halletmek bana daha mantikli geliyor.

Web erisimi konusunda, www.discogs.com sitesine gittigimde asagidaki gibi bir problemle karsilasiyorum ve Kerio’nun forumlarinda gordugum kadariyla bu sorunla tek karsilasan ben degilim.

Sorunu yasadigim siteyi istisna(exception) listesine herseye izin verecek sekilde koymama ragmen, yine ayni hatayi almaya devam ediyorum.
Kerio, yeni surumlerinde bu sorunu duzeltiyor olabilir.


______________

[1] ekran goruntusu Kerio web sitesinden alinmistir.

Bir Cisco switch’e bagli olan cihazin hangi port’tan bagli oldugunu bulmak

Bugun SPAN port yaratacagim bir Cisco Catalyst 3750 switch uzerinde bagli bulunan bir makinanin hangi porttan bagli oldugunu yerimden kalkmadan bulmak icin asagidaki yontemi izledim.

# ping IP_Address
komutu ile hem cihazin ulasilabilirligini test edip, hem de switch’in ARP tablosunda bulunmuyorsa eklenmesini sagladiktan sonra
# sh arp | inc IP_Address
Burada IP adresine sahip olan network kartinin MAC adresini gordum ve dogruladim. Artik yapmam gereken
# sh mac-address-table | inc MAC_Address
veya
# sh mac address-table | inc MAC_Address
komutlarindan birisi ile cihazin hangi switch port’undan bagli oldugunu gormekti

Mac Address Table, sirasi ile “Vlan, Mac Address, Type(STATIC/DYNAMIC), Ports” degerlerini veriyor.

W32/Agobot-SB, bir agobot macerasi

hafta basinda Trend Micro OfficeScan urununu kullanan bir musterimize virus bulastigi haberini aldim.
nvcom.exe adli dosyanin CPU’yu yogun kullandigini, officescan’i kapatmaya calistigini, ve sadece windows 2000’lere bulastigini ilettiler. 500’e yakin client’a yayildiginin bilgisini alinca dosyayi incelemeye basladim.

google dosya adi ile ilgili sifir sonuc dondurdu. dosyayi virustotal‘de taratmayi onerdim. yeni bir agobot varyanti oldugunu gorduk. virustotal’de goruldugu kadariyla bazi antivirus’ler tespit edebilmesine ragmen, virusun bahsettikleri varyanti ile ilgili sayfalarinda herhangi bir bilgi bulunmuyordu.

eski agobot’lari biraz inceledim. eger buyuk bir degisiklik yoksa, ve windowslarin patchleri geciliyse bu kadar client’a bulasmamasi gerekiyordu.
aksam arkadasimin yanina kontrol icin gittigimde virusu temizlemenin cok kolay oldugunu gordum. nvcom.exe islemini process explorer‘la sonlandirdiktan sonra, HKLM\Software\Microsoft\Windows\CurrentVersion\Run ve HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices registry kayitlarini temizlemek yeterli oluyor.
kendilerinin de bu sekilde yaptigini, ancak belirli bir sure sonra tekrar bulastigini ilettiler.

windows patchlerini, makinanin share’lerini ve kullanicilarini kontrol ettigimde lokal administrator sifresinin bos oldugunu farkettim! daha onceden uyarmamiza ragmen, herhangi bir degisiklik yapilmamis.
windows lokal administrator sifrelerini bos birakmamalarini, sadece yetkililerin bilecegi, cok karmasik olmayan bir seyle degistirmelerini onerdim. “bold123yazi” bile yapsalar, kendisini otomatik yaymaya calisan bir virus, veya bos administrator sifreli makinalari hedef alan kotu niyetli kisilerden korunacagini acikladim. belirli araliklarda da sifreleri degistirmelerini onerdim.

neredeyse tum antivirus yazilimlari virus’u tanimaya baslamasina ragmen, trend micro pek bi yavas kaldi. controlled pattern‘lerde bile virusu tanimiyordu. ha aklima gelmisken, heuristic tanima mi? arkadasimin dedigi gibi, pek gecerli degil…
trend micro’ya yardimci olayim dusuncesiyle sayfalarindaki submission wizard‘i kullanarak virus’u kendilerine gonderdim.

ilk basta bu sekilde case acabilmenin harika oldugunu dusunuyodum. gerci hala da boyle dusunuyorum, ama 9 mayis 2005’te dosyayi kendilerine gondermeme ragmen, hala herhangi bir kayit gorebilmis degilim!
case’deki gelismeleri su sekilde takip edebiliyorsunuz:

trend micro virus’u 10 mayis aksami tanimaya baslamasina ragmen, case ayni acildigi gibi beklemekte…

virusle ilgili bilgiye buradan ulasilabilir. isin ilginci, trend micro’nun sayfasinda problemin oldugu gun herhangi bir bilgi olmamasina ragmen, su an neden 7 mayis 2005 girisli bir bilgi gorebiliyorum? antivirus firmalari tarih oyunlari mi yapiyor, yoksa isin altinda baska bir sey mi var bilinmez. ama dusunduruyor insani.

makinalarin lokal administrator sifresini degistirmek icin google’da arastirinca hemen birden fazla yontem bulunabiliyor:
1) Real-World Scripting: Changing Passwords on Multiple Computers
2) How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers
3) Asagidaki komutla makinalara job eklenebilir:
at \\makina zaman cmd /c net user Administrator yeni_sifre

MAC adresi degistirme

SecurityFocus Linux Newsletter #234’a bakarken travesty diye bi tool gozume carpti. mac adresi degistirmeye yariyomus. yani yazacagim programa bi isim dusunsem, anca bunu bulurdum heralde(?)

ben bu isi bildigim yontemlerle yapmaya devam ediym.
# ifconfig [interface] hw ether [yeni MAC adresi]
olabilir mesela.

wikipedia’da da konuyla ilgili baya bi bilgi birikmis.

ben ugrasamam diyenler, linux’ta macchanger, windows’ta da macshift‘i kullanabilirler.

bu is bu kadar basitken, ozellikle wireless networklerde sadece MAC adresine gore kisitlama yapilmamasi gerektigi malum