Isa Server 2004 Saser
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Isa Server 2004 Saser as PDF for free.
More details
- Words: 989
- Pages: 9
ISA SERVER 2004’ün Sasser ve Türevlerine Engel Olacak Şekilde Konfigürasyonu
Microsoft Internet Security and Acceleration Server 2004‘ün Standard Edition‘ının full sürümünün release edildiği ve sonbaharda çıkacak olan Enterprise Edition‘ının merakla beklendiği günlerde diğer worm virüslerine de örnek teşkil etmesi amacıyla Sasser wormunun ISA Server 2004 tarafından nasıl engellendiği ile ilgili bir yazı yazalım dedik. Aşağıdaki tablo Sasser ve türevlerinin kullandığı portları göstermektedir. Sasser ve türevleri bu portları kullanmak suretiyle MS04-011’de tanımlandığı şekilde sisteminize bulaşmaya çalışmaktadır:
Port No
İletişim Protokolü
445
TCP
5556
TCP
9996
TCP
Default olarak inbound(içeri giren) bağlantılarınız için ISA 2004 firewall’u bu portlar için kapalı durumdadır. Ne var ki bu portlar için server publishing kuralları yaratırsanız published server risk altında olabilir. Eğer DMZ bölgenizde front-end bir Exchange Server’ınız varsa bu sorun yaratabilir. Çünkü iç networkünüz ile DMZ bölgeniz arasında bu port açık olmalıdır. Oysa ki dış networkünüz ile DMZ bölgeniz arasında bu portu açmanıza gerek yok. Dolayısıyla risk alanımız çok da geniş değil. ISA 2004’deki default firewall policy Sasser’ın dış networklere yayılmasını engeller. Bunun nedeni Sasser’ın yayılmak için dışarıya açılan bir FTP’ye ihtiyaç duymasıdır. Ancak ISA firewall’unuz “Outbound”(Dışarıya giden) için “All open”(Hepsi açık) şeklinde bir Access Rule(erişim kuralı) ile konfigüre edilmişse bu aşamadan sonra bilinen portlar üzerinden Sasser’ı bloke etmek üzere erişim kuralları yaratmaktan başka çareniz yok. Outbound Sasser ataklarına karşı korunmak için: Yukarıdaki tabloda yer alan portlardaki trafiği engellemek için erişim kuralları yaratın. Outbound olarak 445 nolu TCP portu üzerindeki trafiği engellerseniz CIFS trafiğini de engellemiş olursunuz. Aynı şekilde 5556 ve 9996 nolu TCP portlarını da outbound yönünde kapatırsanız wormun bulaştığı hostların FTP server fonksiyonu görmek suretiyle wormu size bulaştırmasını engellemiş olursunuz.
Yine Firewall clientımızı kötü niyetli Sasser processlerini engelleyecek şekilde konfigüre etmemiz gerekmekte. Bu metodun işleyebilmesi tüm client işletim sistemlerinde Firewall client yazılımlarını kurmalısınız. Bütün clientlarda firewall clientların kurulduğundan emin olduktan sonra (spesifik bir nedeniniz olmadığı sürece network serverlarınıza firewall clientların yüklenmesi önerilmez) eğer bütün outbound erişiminiz authenticated (onaylanmış) ise wormun ISA firewallu üzerinden geçmesi imkansız hale gelecektir. ISA’nın kurulu olduğu makineniz de Sasser wormunun internal(iç) ataklarına karşı potansiyel açıklar içermektedir. ISA firewall’unun kendisini bu ataklara karşı korumak için Local Host için bahsi geçen portlardaki trafiğe izin verecek erişim kuralları yaratmayınız.
Yukarıda belirtilen portlardaki Sasser trafiğini engellemek için: 1.Microsoft Internet Security and Acceleration server 2004 yönetim konsolunu açıp serverınızın isminin yanındaki artıya tıklayıp Firewall Policy noduna tıklayınız. 2.Task penceresindeki Tasks tabına geçip Create a New Access Rule linkine tıklayınız. 3.Welcome to the New Access Rule Wizard sayfasında Access Rule name text kutusunda Block Sasser Outbound yazıp Next ’e tıklayınız. 4.Rule Action sayfasında Deny seçeneğini seçip Next’e tıklayınız. 5.Protocols sayfasında This rules applies to listesinden Selected Protocols seçeneğini seçip Add ‘e tıklayınız. 6.Add protocols dialog kutusunda, New menüsüne tıklayıp Protocol komutunu seçiniz.
Şekil 1
7.Welcome to the New Protocol Definition Wizard sayfasında Protocol Definition Name text kutusuna Sasser Outbound yazıp Next‘e tıklayınız. 8.Primary Connection Information sayfasında New‘e tıklayınız. 9.New/Edit Protocol Definition kutusunda Protocol type olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 445 olarak seçiniz. OK ‘e tıklayınız.
10.Primary Connection Information sayfasında New‘e tıklayınız. 11.New/Edit Protocol Definition kutusunda Protocol olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 5556 olarak belirledikten sonra OK‘e tıklayınız.
12.Primary Connection Information sayfasında New‘e tıklayınız. 13.New/Edit Protocol Definition kutusunda Protocol olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 9996 olarak belirledikten sonra OK‘e tıklayınız.
14. Primary Connection Information sayfasında Next‘e tıklayınız.
15.Secondary Connections sayfasında No seçeneğini işaretleyip Next ‘e tıklayınız.
16.Completing the New Protocol Definition Wizard sayfasında Finish‘e tıklayınız. 17.Add Protocols kutusunda User-defined klasörüne tıklayıp Sasser Outbound kısmına çift tıklayınız. Close‘a tıklayınız. 18.Protocols sayfasında Next‘e tıklayınız. 19.Access Rule Sources sayfasında Add‘e tıklayınız. 20.Add Network Entities kutusunda Network Sets klasörüne tıklayıp All Protected Networks kısmına çift tıklayınız. Close‘a tıklayınız.
21.Access Rule Sources sayfasında Next‘e tıklayınız. 22.Access Rule Destinations sayfasında Add‘e tıklayınız. 23.Add Network Entities kutusunda Networks klasörüne tıklayıp External kısmına çift tıklayınız. Close‘a tıklayınız. 24.User Sets sayfasında default seçim olan All Users‘ı kabul edip Next‘e tıklayınız.
25.Completing the New Protocol Definition Wizard sayfasında Finish‘e tıklayınız. 26.Block Sasser Outbound kuralını kurallar listesinde en üst sıraya yerleştiriniz. 27.Değişiklikleri kaydetmek için Apply‘a tıklayıp firewall policy‘i güncelleştiriniz. 28.Apply New Configuration kutusunda OK‘e tıklayınız.
Önemli: Kötü niyetli Sasser process ‘leri şimdilik avserve ve avserve2 olarak bilinmektedir.Sasser worm türevleri rastgele isimler altında da çalışabildiği için aşağıda bahsedeceğimiz işlem tam anlamıyla verimli olamamaktadır. Bu işlem sadece avserve ve avserve2 ‘den gelen bağlantı taleplerini geri çevirecektir.
Firewall Client ‘ının kötü niyetli Sasser processlerini engelleyecek şekilde konfigürasyonu: 1.Microsoft Internet Security and Acceleration Server 2004 yönetim konsolunda, server name ‘i genişletip daha sonra da Configuration‘ı genişletiniz. 2.General‘a tıklayınız. 3.General üzerinde Details kısmında Define Firewall Client Settings linkine tıklayınız. 4.Firewall Client Settings kutusunda Application Settings tabına tıklayınız. 5.Firewall Client Settings kutusunda Application Settings tabına tıklayınız. 6.New‘e tıklayınız.
6.Application Entry Setting kutusunda Application text kutusuna avserve yazınız. Key drop-down listesinde disable‘ı seçiniz. Value drop-down listesinde 1‘i seçiniz. OK‘e tıklayınız.
7.Beş ve altıncı adımları avserve2 için tekrarlayınız.
8.Firewall Client Settings kutusunda OK‘e tıklayınız. 9.Değişiklikleri kaydetmek ve firewall policy‘i güncelleştirmek için Apply‘a tıklayınız. 10.Apply New Configuration kutusunda OK‘e tıklayınız.
Firewall client‘ının avserve.exe ve avserve2.exe için konfigüre edilmesi wormun bulaştığı Firewall client ‘larında bu kötü niyetli process‘lerin çalışmasını engeller. Ancak host aynı zamanda SecureNAT client‘ı olarak konfigüre edilmişse bu ayarın bir etkisi olmayabilir. (SecureNAT client’ının ISA Server’a erişimini engellemek için Access Rules arasında bu uygulamalara erişime izin veren herhangi birinin bulunmadığından emin olmalısınız.) Block Sasser Outbound kuralının fonksiyonelliğini test etmek için ISA 2004 firewall‘u ile korunan bir networkteki clientta Telnet kullanabilirsiniz: 1.Microsoft Internet Security and Acceleration Server 2004 yönetim konsolunu açıp server name’i genişlettikten sonra konsolun sol kısmındaki Monitoring ‘e tıklayınız. 2.Details kısmından Logging tabına tıklayınız. 3.Tasks tabından Start Query linkine tıklayınız. 4.Command prompt açınız.(StartRunCmd) 5. telnet 131.107.1.1 5556 yazıp enter’a tıklayınız. 6. Tekrar Microsoft Internet Security and Acceleration Server 2004 yönetim konsoluna dönüp real time log monitor‘ü görüntülediğinizde Block Sasser Outbound kuralının engellediği entry‘leri göreceksiniz.
Ayrıca http://isatools.org/block_sasser.vbs adresinden yukarıdaki konfigürasyonu gerçekleştirmek üzere Jim Harrison tarafından hazırlanmış olan scriptten faydalanabilirsiniz. Virüssüz günler... İ.ALKIM YILMAZ Kaynak: www.isaserver.org
Microsoft Internet Security and Acceleration Server 2004‘ün Standard Edition‘ının full sürümünün release edildiği ve sonbaharda çıkacak olan Enterprise Edition‘ının merakla beklendiği günlerde diğer worm virüslerine de örnek teşkil etmesi amacıyla Sasser wormunun ISA Server 2004 tarafından nasıl engellendiği ile ilgili bir yazı yazalım dedik. Aşağıdaki tablo Sasser ve türevlerinin kullandığı portları göstermektedir. Sasser ve türevleri bu portları kullanmak suretiyle MS04-011’de tanımlandığı şekilde sisteminize bulaşmaya çalışmaktadır:
Port No
İletişim Protokolü
445
TCP
5556
TCP
9996
TCP
Default olarak inbound(içeri giren) bağlantılarınız için ISA 2004 firewall’u bu portlar için kapalı durumdadır. Ne var ki bu portlar için server publishing kuralları yaratırsanız published server risk altında olabilir. Eğer DMZ bölgenizde front-end bir Exchange Server’ınız varsa bu sorun yaratabilir. Çünkü iç networkünüz ile DMZ bölgeniz arasında bu port açık olmalıdır. Oysa ki dış networkünüz ile DMZ bölgeniz arasında bu portu açmanıza gerek yok. Dolayısıyla risk alanımız çok da geniş değil. ISA 2004’deki default firewall policy Sasser’ın dış networklere yayılmasını engeller. Bunun nedeni Sasser’ın yayılmak için dışarıya açılan bir FTP’ye ihtiyaç duymasıdır. Ancak ISA firewall’unuz “Outbound”(Dışarıya giden) için “All open”(Hepsi açık) şeklinde bir Access Rule(erişim kuralı) ile konfigüre edilmişse bu aşamadan sonra bilinen portlar üzerinden Sasser’ı bloke etmek üzere erişim kuralları yaratmaktan başka çareniz yok. Outbound Sasser ataklarına karşı korunmak için: Yukarıdaki tabloda yer alan portlardaki trafiği engellemek için erişim kuralları yaratın. Outbound olarak 445 nolu TCP portu üzerindeki trafiği engellerseniz CIFS trafiğini de engellemiş olursunuz. Aynı şekilde 5556 ve 9996 nolu TCP portlarını da outbound yönünde kapatırsanız wormun bulaştığı hostların FTP server fonksiyonu görmek suretiyle wormu size bulaştırmasını engellemiş olursunuz.
Yine Firewall clientımızı kötü niyetli Sasser processlerini engelleyecek şekilde konfigüre etmemiz gerekmekte. Bu metodun işleyebilmesi tüm client işletim sistemlerinde Firewall client yazılımlarını kurmalısınız. Bütün clientlarda firewall clientların kurulduğundan emin olduktan sonra (spesifik bir nedeniniz olmadığı sürece network serverlarınıza firewall clientların yüklenmesi önerilmez) eğer bütün outbound erişiminiz authenticated (onaylanmış) ise wormun ISA firewallu üzerinden geçmesi imkansız hale gelecektir. ISA’nın kurulu olduğu makineniz de Sasser wormunun internal(iç) ataklarına karşı potansiyel açıklar içermektedir. ISA firewall’unun kendisini bu ataklara karşı korumak için Local Host için bahsi geçen portlardaki trafiğe izin verecek erişim kuralları yaratmayınız.
Yukarıda belirtilen portlardaki Sasser trafiğini engellemek için: 1.Microsoft Internet Security and Acceleration server 2004 yönetim konsolunu açıp serverınızın isminin yanındaki artıya tıklayıp Firewall Policy noduna tıklayınız. 2.Task penceresindeki Tasks tabına geçip Create a New Access Rule linkine tıklayınız. 3.Welcome to the New Access Rule Wizard sayfasında Access Rule name text kutusunda Block Sasser Outbound yazıp Next ’e tıklayınız. 4.Rule Action sayfasında Deny seçeneğini seçip Next’e tıklayınız. 5.Protocols sayfasında This rules applies to listesinden Selected Protocols seçeneğini seçip Add ‘e tıklayınız. 6.Add protocols dialog kutusunda, New menüsüne tıklayıp Protocol komutunu seçiniz.
Şekil 1
7.Welcome to the New Protocol Definition Wizard sayfasında Protocol Definition Name text kutusuna Sasser Outbound yazıp Next‘e tıklayınız. 8.Primary Connection Information sayfasında New‘e tıklayınız. 9.New/Edit Protocol Definition kutusunda Protocol type olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 445 olarak seçiniz. OK ‘e tıklayınız.
10.Primary Connection Information sayfasında New‘e tıklayınız. 11.New/Edit Protocol Definition kutusunda Protocol olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 5556 olarak belirledikten sonra OK‘e tıklayınız.
12.Primary Connection Information sayfasında New‘e tıklayınız. 13.New/Edit Protocol Definition kutusunda Protocol olarak TCP seçiniz. Direction Outbound olmalı. From ve To port numaralarını 9996 olarak belirledikten sonra OK‘e tıklayınız.
14. Primary Connection Information sayfasında Next‘e tıklayınız.
15.Secondary Connections sayfasında No seçeneğini işaretleyip Next ‘e tıklayınız.
16.Completing the New Protocol Definition Wizard sayfasında Finish‘e tıklayınız. 17.Add Protocols kutusunda User-defined klasörüne tıklayıp Sasser Outbound kısmına çift tıklayınız. Close‘a tıklayınız. 18.Protocols sayfasında Next‘e tıklayınız. 19.Access Rule Sources sayfasında Add‘e tıklayınız. 20.Add Network Entities kutusunda Network Sets klasörüne tıklayıp All Protected Networks kısmına çift tıklayınız. Close‘a tıklayınız.
21.Access Rule Sources sayfasında Next‘e tıklayınız. 22.Access Rule Destinations sayfasında Add‘e tıklayınız. 23.Add Network Entities kutusunda Networks klasörüne tıklayıp External kısmına çift tıklayınız. Close‘a tıklayınız. 24.User Sets sayfasında default seçim olan All Users‘ı kabul edip Next‘e tıklayınız.
25.Completing the New Protocol Definition Wizard sayfasında Finish‘e tıklayınız. 26.Block Sasser Outbound kuralını kurallar listesinde en üst sıraya yerleştiriniz. 27.Değişiklikleri kaydetmek için Apply‘a tıklayıp firewall policy‘i güncelleştiriniz. 28.Apply New Configuration kutusunda OK‘e tıklayınız.
Önemli: Kötü niyetli Sasser process ‘leri şimdilik avserve ve avserve2 olarak bilinmektedir.Sasser worm türevleri rastgele isimler altında da çalışabildiği için aşağıda bahsedeceğimiz işlem tam anlamıyla verimli olamamaktadır. Bu işlem sadece avserve ve avserve2 ‘den gelen bağlantı taleplerini geri çevirecektir.
Firewall Client ‘ının kötü niyetli Sasser processlerini engelleyecek şekilde konfigürasyonu: 1.Microsoft Internet Security and Acceleration Server 2004 yönetim konsolunda, server name ‘i genişletip daha sonra da Configuration‘ı genişletiniz. 2.General‘a tıklayınız. 3.General üzerinde Details kısmında Define Firewall Client Settings linkine tıklayınız. 4.Firewall Client Settings kutusunda Application Settings tabına tıklayınız. 5.Firewall Client Settings kutusunda Application Settings tabına tıklayınız. 6.New‘e tıklayınız.
6.Application Entry Setting kutusunda Application text kutusuna avserve yazınız. Key drop-down listesinde disable‘ı seçiniz. Value drop-down listesinde 1‘i seçiniz. OK‘e tıklayınız.
7.Beş ve altıncı adımları avserve2 için tekrarlayınız.
8.Firewall Client Settings kutusunda OK‘e tıklayınız. 9.Değişiklikleri kaydetmek ve firewall policy‘i güncelleştirmek için Apply‘a tıklayınız. 10.Apply New Configuration kutusunda OK‘e tıklayınız.
Firewall client‘ının avserve.exe ve avserve2.exe için konfigüre edilmesi wormun bulaştığı Firewall client ‘larında bu kötü niyetli process‘lerin çalışmasını engeller. Ancak host aynı zamanda SecureNAT client‘ı olarak konfigüre edilmişse bu ayarın bir etkisi olmayabilir. (SecureNAT client’ının ISA Server’a erişimini engellemek için Access Rules arasında bu uygulamalara erişime izin veren herhangi birinin bulunmadığından emin olmalısınız.) Block Sasser Outbound kuralının fonksiyonelliğini test etmek için ISA 2004 firewall‘u ile korunan bir networkteki clientta Telnet kullanabilirsiniz: 1.Microsoft Internet Security and Acceleration Server 2004 yönetim konsolunu açıp server name’i genişlettikten sonra konsolun sol kısmındaki Monitoring ‘e tıklayınız. 2.Details kısmından Logging tabına tıklayınız. 3.Tasks tabından Start Query linkine tıklayınız. 4.Command prompt açınız.(StartRunCmd) 5. telnet 131.107.1.1 5556 yazıp enter’a tıklayınız. 6. Tekrar Microsoft Internet Security and Acceleration Server 2004 yönetim konsoluna dönüp real time log monitor‘ü görüntülediğinizde Block Sasser Outbound kuralının engellediği entry‘leri göreceksiniz.
Ayrıca http://isatools.org/block_sasser.vbs adresinden yukarıdaki konfigürasyonu gerçekleştirmek üzere Jim Harrison tarafından hazırlanmış olan scriptten faydalanabilirsiniz. Virüssüz günler... İ.ALKIM YILMAZ Kaynak: www.isaserver.org
Related Documents
Isa Server 2004 Saser
November 2019 22
Isa Server Firewall 2004
November 2019 14
Tutorial Isa Server 2004
November 2019 18
Isa Server
July 2020 9
Implementing Microsoft Isa Server 2004 _2824
December 2019 8