Trend Micro IMSS ve IWSS’in aynı sunucuda çalıştırılması

Trend Micro’nun IMSS ve IWSS gateway ürünleri aynı sunucu üzerine kurulduğunda problem yaşanabiliyor.

Aşağıdaki adımları izleyerek aynı sunucu üzerinde problemsiz çalışmasını sağlayabilirsiniz:

  1. Önce IMSS’i problemsiz bir şekilde kurun, ayarlarını yapın ve çalışır hale getirin,
  2. Ardından IWSS’i kurun (IMSS ile aynı veritabanı sunucusunu kullanabilir, IWSS için yeni bir veritabanı yaratın),

Yazılımların yeni sürümlerinde ek olarak aşağıdaki ayarı yapmak gerekiyor:

  1. Linux üzerine kurulumlarda /opt/trend/iwss/data/tomcat/conf/server.xml dosyasını, Windows üzerine kurulumlarda ise “C:\Program Files\Trend Micro\InterScan Web Security Suite\tomcat\conf\server.xml” dosyasını bir metin editörü ile açın

  2. bölümündeki port değerini, 8005 dışında servis vermeyen bir değerle değiştirin. Örneğin 8006.

Bu şekilde aynı sunucu üzerinde hem IMSS hem de IWSS yazılımlarınız problemsiz çalışacaktır.

Linux üzerinde Trend Micro IMSS kurulumu

Trend Micro InterScan Messaging Security Suite ürünü bir SMTP/POP3 gateway olarak çalışan ve son 7.0 sürümü eskilerine oranla oldukça başarılı bir antivirus/antispam gateway yazılımı.

Genelde Windows üzerine kurulan ürün Microsoft SQL sunucusu gerektiriyor. MSDE ile kullanmanızı önermiyorum. Mutlaka MSSQL kurunuz.
Ürünün windows üzerine kurulumu oldukça kolay, ancak iş Linux tarafına gelince biraz değişiyor. Çünkü bunun için biraz linux bilgisi, mail server kurulum ve ayar bilgisi ve kurulum dokümanının dikkatli olarak okunmuş olması gerekiyor.

Son yaptığım kurulum sırasında bazı kurulum notları aldım, düzgün olmasa da bunları aktaracağım. Linux üzerinde IMSS kuracak olan arkadaşlara hızlı bir referans kaynağı olacaktır. Aşağıda anlamsız gelen adımların detayları IMSS kurulum dokümanında bulunuyor.

Gereksinimler:

  1. Postfix, Qmail veya Sendmail
  2. PostgreSQL (Yoksa IMSS kurulumu kendisi kuruyor)
  3. Diğer gereksinimleri ürünün kendisi kuruyor.

Özet olarak Linux üzerinde kurulumuna değinecek olursak:

  1. Installation Guide dokümanını mutlaka okuyun. Aşağıdaki işlemlerin detayları orada bulunuyor.
  2. IMSS’in hangi Linux sürümlerini desteklediğine dikkat edin.
  3. Sisteme readline uyumluluk paketini kurun (compat-readline43-4.3-3).
  4. Postfix mail sunucusu kurarak sunucuyu bir inbound gateway olacak şekilde ayarlayın.
  5. Organizasyon domainleriniz için Postfix’e gelen maillerin, içerideki mail sunucularınıza gönderildiğini kontrol edin.
  6. IMSS “central controller” ve “scanner service” bileşenlerini kurun (PostgreSQL veritabanını burada kuracaktır)
  7. IMSS web arabirimi üzerinden ürün lisanslarını girin ve ayarlarını yapın.
  8. Postfix konfigürasyon dosyaları içerisinde content filter ayarlarını yapın ve “postfix reload” diyerek IMSS’in devreye girmesini sağlayın.
  9. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Yukarıdakileri yaptığımızda, gelen spam’leri network seviyesinde engelleyen IP Filtering (NRS ve IP Profiler) kurulmuş olmuyor. Lisansınız varsa spam’leri engellemede mutlaka kullanmanızı öneririm. Aşağıdaki adımlara devam edin:

  1. Postfix’i TCP 2500 port’unda çalışacak şekilde ayarlayın. (IP Filtering bileşeni 25. port’u kendisi dinleyecek ve filtrelemelerini yaptıktan sonra port 2500’de çalışan postfix’e bağlanarak proxy’lik yapacak)
  2. IP Filtering bileşenlerini kurun.
  3. Lisansları girerek web yönetim arabiriminden gerekli konfigürasyonları yapın.
  4. 25. port’a telnet ile bağlandığınızda Postfix’in geldiğinden emin olun.
  5. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Son olarak şu işlemleri yapmak gerekiyor:

  1. Ürünün SP1 yamasını ve SP1 patch 1 yamasını mutlaka yükleyin.
  2. Mail işlevinin çalıştığından emin olun.
  3. Linux sistem açılış script’ine (Ör: /etc/rc.local) aşağıdaki satırı ekleyin.
    /opt/trend/imss/script/imssstart.sh
  4. Sunucuyu yeniden başlatarak, olası restart sonrası herşeyin problemsiz çalışacağından emin olun.
  5. Dışarıdan gelen maillerin, Trend Micro IMSS ürününe yönlendirilmesini sağlayın.

Yukarıdaki sırayla takip edilmesi gereken adımlar, umarım Trend Micro IMSS yazılımının Linux üzerinde kurmanızı kolaylaştırır. Zor değil, okumak gerekiyor.

Trend Micro IMSS Kayip Administrator Sifresini Sifirlama

Trend Micro InterScan Messaging Security Suite (IMSS) urunu yonetim ekrani sifresini bilmedigim bir yerde sifirlamam gerekti. Bu islem su sekilde yapiliyor:

Yazilimin kurulu oldugu yerde (OR: C:\Program Files\Trend\IMSS) IsntSmtp.ini dosyasi icerisindeki
UILoginPassword=!CRYPT!20…….EF5C40…… -aralar silinmistir-
satirini
UILoginPassword=
haline getirip dosyayi kaydettikten sonra, “Trend Micro Management Infrastructure” servisini yeniden baslatmak gerekiyor.

Yapilan bu islemin ardindan, IMSS yonetici ekranina ilk kuruldugundaki gibi bos sifre ile giris yapilabiliyor.

Network VirusWall

Trend Micro’nun Network VirusWall ailesinden, Network VirusWall 1200 cihazini cok kisa bir sure test etme imkani bulduk. Asil ozelliklerini hakkini vererek test edemediysek de, urunu duydugumuzda kafamizda beliren McAfee Webshield veya Panda GateDefender cihazlari gibi bir antivirus gateway olabilecegi dusuncelerimizin cevabini almis bulunuyoruz.

Sayfasinda da gorebileceginiz gibi urunun, ag trafigini guvenlik aciklarini tetikleyen aktivitelere ve solucanlara (worm) karsi izleyerek bu gibi durumlari engelleme, solucan salginlarini durdurabilme, kullanici bilgisayarlarina ek bir program kurmaksizin bilgisayar butunluk ve guvenlik politikasina uyumluluk kontrolu yapabilme (Sygate urunlerinde oldugu gibi), ve diger ozellikleri bulunuyor.

Urun Control Manager ile yonetiliyor. Control manager ile haberlesebilmesi icin cihazin ayarlarini seri port uzerinden hizlica yaptiktan ve cihazlari gorusturdukten sonra, test icin arkasina bir client yerlestirdik.

Network VirusWall, cesitli web ve email virus testlerinden sinifta kalsa da, Nimda ve diger bazi solucan aktivitelerini engelleyebildi.
Dolayisiyla, asil amacinin antivirus gateway’lik olmadigini gordugum Network VirusWall ile, antivirus’u calismayan, guncel durumda olmayan veya gerekli guvenlik yamalari gecilmemis bilgisayarlarin erisimleri sinirlanabilir. (bu ozelligi test edilemedi)

Avantajlari
-Urun layer2’de calisiyor, ag topolojisinde bir degisiklige gerek kalmiyor
-Cihaz kapatildiginda uzerinden trafik gecirebiliyor
-Yaptigimiz testlerde streaming olan sayfalarda problem yaratmadi (aslinda bu genellikle virus gateway’lerin bir sorunu olarak karsimiza cikiyor)

Urunu tam olarak deneme imkanim olmadigi icin detayli bilgi aktaramiyorum.

Urun ozellikleri, pazardaki hangi urunlerle benzerligi oldugu, ve karsilamaya calistigi eksiklikler; urun sayfasinda ve uretici tarafindan hazirlanan urun karsilastirma dokumaninda gorulebilir.

W32/Agobot-SB, bir agobot macerasi

hafta basinda Trend Micro OfficeScan urununu kullanan bir musterimize virus bulastigi haberini aldim.
nvcom.exe adli dosyanin CPU’yu yogun kullandigini, officescan’i kapatmaya calistigini, ve sadece windows 2000’lere bulastigini ilettiler. 500’e yakin client’a yayildiginin bilgisini alinca dosyayi incelemeye basladim.

google dosya adi ile ilgili sifir sonuc dondurdu. dosyayi virustotal‘de taratmayi onerdim. yeni bir agobot varyanti oldugunu gorduk. virustotal’de goruldugu kadariyla bazi antivirus’ler tespit edebilmesine ragmen, virusun bahsettikleri varyanti ile ilgili sayfalarinda herhangi bir bilgi bulunmuyordu.

eski agobot’lari biraz inceledim. eger buyuk bir degisiklik yoksa, ve windowslarin patchleri geciliyse bu kadar client’a bulasmamasi gerekiyordu.
aksam arkadasimin yanina kontrol icin gittigimde virusu temizlemenin cok kolay oldugunu gordum. nvcom.exe islemini process explorer‘la sonlandirdiktan sonra, HKLM\Software\Microsoft\Windows\CurrentVersion\Run ve HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices registry kayitlarini temizlemek yeterli oluyor.
kendilerinin de bu sekilde yaptigini, ancak belirli bir sure sonra tekrar bulastigini ilettiler.

windows patchlerini, makinanin share’lerini ve kullanicilarini kontrol ettigimde lokal administrator sifresinin bos oldugunu farkettim! daha onceden uyarmamiza ragmen, herhangi bir degisiklik yapilmamis.
windows lokal administrator sifrelerini bos birakmamalarini, sadece yetkililerin bilecegi, cok karmasik olmayan bir seyle degistirmelerini onerdim. “bold123yazi” bile yapsalar, kendisini otomatik yaymaya calisan bir virus, veya bos administrator sifreli makinalari hedef alan kotu niyetli kisilerden korunacagini acikladim. belirli araliklarda da sifreleri degistirmelerini onerdim.

neredeyse tum antivirus yazilimlari virus’u tanimaya baslamasina ragmen, trend micro pek bi yavas kaldi. controlled pattern‘lerde bile virusu tanimiyordu. ha aklima gelmisken, heuristic tanima mi? arkadasimin dedigi gibi, pek gecerli degil…
trend micro’ya yardimci olayim dusuncesiyle sayfalarindaki submission wizard‘i kullanarak virus’u kendilerine gonderdim.

ilk basta bu sekilde case acabilmenin harika oldugunu dusunuyodum. gerci hala da boyle dusunuyorum, ama 9 mayis 2005’te dosyayi kendilerine gondermeme ragmen, hala herhangi bir kayit gorebilmis degilim!
case’deki gelismeleri su sekilde takip edebiliyorsunuz:

trend micro virus’u 10 mayis aksami tanimaya baslamasina ragmen, case ayni acildigi gibi beklemekte…

virusle ilgili bilgiye buradan ulasilabilir. isin ilginci, trend micro’nun sayfasinda problemin oldugu gun herhangi bir bilgi olmamasina ragmen, su an neden 7 mayis 2005 girisli bir bilgi gorebiliyorum? antivirus firmalari tarih oyunlari mi yapiyor, yoksa isin altinda baska bir sey mi var bilinmez. ama dusunduruyor insani.

makinalarin lokal administrator sifresini degistirmek icin google’da arastirinca hemen birden fazla yontem bulunabiliyor:
1) Real-World Scripting: Changing Passwords on Multiple Computers
2) How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers
3) Asagidaki komutla makinalara job eklenebilir:
at \\makina zaman cmd /c net user Administrator yeni_sifre