Bir güvenlik duvarının en kritik görevlerinden bir tanesi bir saldırı karşısında karşı tepki göstermesidir. Bir saldırı olduğunda en iyi davranışın savunmanın ilk hattını internetten kesmek, güvenlik sorunu yaşayan ağ bölümünü diğer ağlardan izole etmek olarak görülür. Ancak önerilen ve yapılması izlenilmesi gereken yaklaşım bu olmamalıdır. Saldırı uygun şekilde karşılanmalı, ağ işleyişi mümkün olan en kısa zamanda çalışır hale getirilmeli ve saldırının kaynağı tanımlanmalıdır.
ISA Server ile beraber gelen Lockdown (Kilitlenme) kipi yukarıda bahsettiğimiz izole etme gereksinimi ile ağın çalışabilir durumda kalması gereksiniminin bir bileşimidir. ISA Server Firewall hizmetinin durmasına yol açan bir durum ne zaman oluşursa ISA Server Lockdown kipine geçer. Bu durumlar;
– ISA Firewall hizmetinin durmasına neden olan bir olay (event). Uyarı tanımlamalarını yapılandırdığınızda hangi olayların ISA Server firewall hizmetinin durduracağını da belirlemiş olursunuz. Esas itibariyle ISA Server’ın ne zaman Lockdown kipine geçeceğini belirlemiş olursunuz.
– ISA Server Firewall hizmeti el ile durdurulur. Eğer bir saldırı olduğunu tespit ederseniz ISA Server’ı ve ağınızı saldırıya karşı hazırlarken bu esnada ISA Server Firewall hizmetini durdurabilirsiniz.
Lockdown kipindeyken aşağıdaki fonksiyonlar geçerli olur;
– Firewall Packet Filter Engine (fweng) Firewall kuralları üzerine uygulanır.
– Local host ağından tüm diğer ağlara bağlantı için izin verilir.
– Bir System Policy kuralı özellikle izin vermedikçe gelen ağ trafiği kabul edilmez ve engellenir. Bunun tek istisnası DHCP trafiğidir, bu bağlantıya her zaman izin verilir.
– Aşağıdaki System Policy kuralları geçerliliğini korumaya devam eder.
i. Güvenilen sunuculardan Local Host’a ICMP’ye izin ver.
ii. MMC kullanarak Firewall’un uzaktan yönetimine izin ver. (RPC üzerinden port 3847)
iii. RDP kullanarak firewall’un uzaktan yönetimine izin ver.
– ISA Server’a VPN istemci erişimi yapılamaz.
– Ağ yapılandırmasında yapılacak herhangi bir değişiklik Firewall hizmeti yeniden başlatılmadan ve ISa Server Lockdown kipinden çıkmadan uygulanmaz.
– ISA Server yapılandırılan hiçbir uyarı için event gerçekleştirmez ve tetiklemez.
Firewall hizmeti yeniden başlatıldığında Lockdown kipinden çıkılır ve ISA Server daha önceden olduğu gibi işlevini sürdürmeye devam eder. Yapılan tüm değişiklikler hizmetin başlatıldığında uygulanır ve geçerli olur. Lockdown kipini iki ana başlık altında inceleyeceğiz; Konfigürasyonu Korumak ve Yayılımı (Deployment) Korumak. Serinin bu ilk makalesinde birinci ana başlığımız olan Konfigürasyonu Korumak bölümünü ayrıntılı olarak inceleyeceğiz.
KONFİGÜRASYONU KORUMAK
ISA Firewall kurallarını ve yapılandırmasını şirketinizin gerektirdiği güvenlik kıstaslarına göre gerçekleştirirken prensip olarak açık ve net olarak izin verilmemiş tüm ağ trafiğini engelleyin. ISA Server varsayılanda bu ilkeyi benimser ve izler. Default Rule olarak bildiğimiz varsayılan kural içerik olarak hiçbir kullanıcıya hiçbir ağa erişim izni vermez. Bu sayede açık ve net olarak izin vermediğimiz durumda son kural tüm erişimi engeller. Konfigürasyonu korumak ve denetlemek için aşağıdaki önerileri takip edebiliriz.
Enterprise sürümler için güvenlik önerileri
a) Configuration Storage Server güvenliği
ISA Server Enterprise sürümü Configuration Storage Server’larda ISA yapılandırma bilgilerini depolayarak çoklu kullanım desteği sağlamaktadır. Array üyeleri en güncel yapılandırma bilgilerine ulaşabilmek için Configuration Storage Server’lar ile iletişime geçebilirler. Ayrıca Array üyeleri diğer Array üyeleri ile de iletişim kurabilirler. İşte bu ortamı güvenliğe almak için aşağıdaki önerileri gözden geçirmeniz tavsiye olunur.
i. Configuration Storage Serverları tek işi bu olan bilgisayarlara yükleyin. Herhangi bir ek görev, örneğin DHCP, yüklemeyin.
ii. Fiziksel erişimi sınırlandırın.
iii. Configuration Storage Server üzerinde Administrator grubuna bağlı olan bir kullanıcı aynı zamanda Enterprise Administrator (ISA yapılandırması içerisinde) yetkilerine sahiptir. Bu sebeple grup üyeliklerine gerekli özeni gösterin.
iv. Configuration Storage Server’ı ağınızın uç noktasına koymak yerine ISA Server hizmeti veren bir sunucunun arkasına yerleştirin. Bu sayede olası saldırıların önüne geçilebilir.
v. Configuration Storage Server üzerinde ki yetki değişikliklerini izleyin. (Audit)
vi. Eğer mümkünse Configuration Storage Server’ları şubelerde bulundurmak yerine sadece şirketinizin merkez ofisinde bulundurun. Eğer şubelerinizin merkez ofise hızlı bir bağlantısı varsa bu yöntemi izlemek fiziksel erişimi sınırlandırmak ve denetlemek açısından en uygun olanıdır. Ancak yavaş bir bağlantı varsa bu da farklı sorunlar getireceğinden istisna yapabilirsiniz.
vii. Configuration Storage Server her bir ISA Server Array üyesini özellikle bu amaç için yaratılmış olan benzersiz (Unique) bir hesap sayesinde tanımlar. Bu hesap Firewall hesap kilitlenmesine tabi değildir. Olası DDoS saldırıları bu şekilde engellenmiş olur. Bu hesap için kullanılan parola ISA Server Array üyesi yüklenirken oluşturulur ve tabi ki en iyi uygulama güçlü ve karmaşık bir parola kullanmaktır.
b) Array İçi İletişim güvenliği
Array içindeki iletişimi güvenliğe almak için aşağıdaki öneriler takip edilebilir.
i. Kurulumun ardından her bir Array üyesi için bir çift public ve private anahtar yaratılır. Bu anahtarlar Array üyelerinin gizli olan yapılandırma bilgilerini birbirlerine transfer ettikleri zaman kullanılır. Eğer bu anahtarların bir şekilde güvenilmez duruma geldiğini düşünürseniz ISA sunucunuzu yeniden kurarak anahtarları tekrar oluşturabilirsiniz.
ii. Array üyesi olan bilgisayarlar üzerinde sadece Array içi iletişim ağında kullanılması için atanmış bir ağ kartı kullanın. Bu kartın kullanacağı ağ tüm Array üyelerinin Array içi haberleşmede kullandığı IP adreslerinden oluşmalıdır.
Upgrade Sonrasında Yapılandırmayı Denetlemek
ISA Server 2004 üzerinde ister migration isterse de in-place yöntemiyle ISA Server 2006’ya yükseltme yapın mutlaka işlemden sonra sistem içerisine import edilen firewall kurallarını tekrar gözden geçirin. Firewall kurallarında özellikle de kural bileşenlerinde bir yanlışlık olup olmadığı yükseltme sonrası kontrol edilmelidir.
Firewall Kurallarını Denetlemek
Herhangi bir firewall kuralı oluşturduktan hemen sonra uyguladığınız kuralı deneyin. İzin verdiğiniz trafik türlerini ve portları kontrol edin. Özellikle portlar için port tarayıcı yazılımlar kullanın.
Yerel Etki Alanları
Yerel ağınızda kullanılan ve yerel olarak tanımlandırdığınız tüm etki alanlarını ISA sunucunuz üzerinde Internal Network ağına ekleyin. Aksi takdirde ISA sunucunuz bu yerel domainler için yapılacak DNS isim sorgularını harici kaynaklara yöneltebilir ve yerel domainlerin işlevselliğinde sorunlar yaşanabilir. Bu noktanın ne kadar önemli olduğunu Windows etki alanlarının DNS hassasiyetlerini yaşaşmış olduğunuzu düşünerek göz ardı etmemenizi öneririm.
Yerel etki alanı tablosunu düzenlemek için aşağıdaki işlemleri yapabilirsiniz:
– Start—All Programs—Microsoft ISA Server—ISA Server Management
– Sunucu Adınız—Configuration—Networks bölümünü genişletin. ISA Enterprise için Arrays—Array Adı—Configuration—networks şeklindedir.
– Internal ağını seçin ve Tasks tabında Edit Selected Network komutunu verin. Domains sekmesinde Add komutunu verin ve Enter a Domain Name to Include bölümünde yerel etki alanlarınızı yazın.
Yedekleme ve Geri Yükleme
ISA Server yapılandırmanızı yedekleme ve geri yükleme amaçlı import ve export özellikleri içermektedir. Yapılandırma bilgileri yerel olarak bir XML dosyası içerisinde saklanabilir. Bu dosyayı herhangi bir klasöre herhangi bir isimle kaydedebilirsiniz. Bir yapılandırma dosyasını sunucunuza geri yüklediğinizde potansiyel olarak firewall kuralları üzerinde değişiklik yapmışsınızdır. Bu sebeple sadece güvenilen kaynaklardan aldığınız XML dosyalarını ISA sunucunuz üzerine yükleyin, dosya kendi yedeğiniz dahi olsa yükledikten sonra her bir Firewall kuralını teker teker gözden geçirin.
Virtual Private Networking
ISA sunucunuzu bir VPN server olarak kullanıyorsanız en iyi güvenlik önerilerini takip etmek ve uygulamak özel bir önem taşır. Aşağıdaki liste VPN server olarak kullanacağınız ISA Server için güvenlik önerileri içermektedir.
– L2TP over IPSec (Layer Two Tunneling Protocol) bağlantıları en güçlü şifreleme koruması için önerilen yoldur. Güçlü bir parola ilkesi kullanımını uygulayın ve kullanılması konusunda baskı yapın, böylece Dictionary attack denilen sözlük saldırılarının başarılı olma ihtimalini en aza indirgeyebilirsiniz. Böyle güçlü bir parola ilkesi uygularsanız hesap kilitlenmesini de devre dışı bırakabilirsiniz, bu şekilde bir saldırganın hesap parolalarını tahmin edemeyeceği gibi yanlış paroladan dolayı tüm hesapları kilitlemesini de engellemiş olursunuz.
– VPN bağlantısına ihtiyaç olacak istemcilerin belirli işletim sistemlerini – Windows Server 2003, Windows XP- Windows Vista- kullanmalarını tercih edin. Her işletim sisteminin dosya sistem güvenliği ve kullanıcı hesap güvenliği birbirlerinden farklı olduğundan güvenliği kanıtlanmış işletim sistemlerini tercih edin.
– Uzak VPN istemcilerinin ağınızın her bölümüne ulaşabilmesini engellemek ve sınırlandırabilmek için ISA Server Quarantine Control özelliğini kullanın. Quarantine Mode özelliğini kullanarak VPN istemcilerinizin ağınıza erişmesinden önce karantina bölgesine alınarak sınırlandırılabilir. Quarantine mode her ne kadar herhangi bir saldırgana karşı direkt olarak koruma sağlamasa da ağınıza erişen sistemlerin güvenliğini dolayısıyla ağınızın güvenliğini korumakta büyük bir yardımcıdır. Bu modu aynı alış veriş merkezlerine girişte yapılan kontrollere benzetebiliriz.
VPN ile Virüsten Koruma
Virüsten etkilenmiş ve yerel ağa bağlanmış bir VPN istemcisi gerek ISA Server üzerine gerekse de yerel ağa karşı flood saldırıları gerçekleştiriebilir, yayılmaya çalışabilir. Bu durumda bu istemci otomatik olarak bloklanamaz. Bu durumda virüs etkisinde ki VPN istemciyi yerel ağınızdan uzaklaştırmak için Remote Access Policy kullanarak kullanıcı hesabı üzerinden engelleyin. Aynı şekilde bağlanan IP adresini de izin verilen IP adreslerinden uzaklaştırın.
VPN için Kimlik Doğrulama
Nitelikli bir güvenli ağ için kimlik doğrulama yöntemlerini kullanın. Kimlik doğrulama için şu an için en güvenli yöntem EAP-TLS’in (Extensible Authentication Protocol-Transport Level Security) smart card’lar ile bütünleşik olarak kullanıldığı yöntemdir. PKI altyapısı gerektirmesi, smart card’lar ile deploy işlemlerinin zorluklarına rağmen, bunları güvenliğe yeğ tutmamanızı öneririm. Varsayılanda EAP-TLS yöntemi Remote Access Policy üzerinde devre dışıdır.
EAP-TLS kimlik doğrulama protokolünü kullandığınız zaman Internet Authentication Server (IAS) üzerine bir computer certificate yüklemelisiniz. İstemci ya da kullanıcı kimlik doğrulaması için istemci bilgisayara bir sertifika yükleyebilir ya da smart card kullanabilirsiniz. Sertifikalarınızı dağıtmadan önce gereksinimlerinize uygun sertifika modelini iyi bir şekilde tasarlamalısınız.
Uzak VPN istemcilerinizin kimlik doğrulamasında CHAP, SPAP ya da PAP gibi artık güvenli olmayan protokoller yerine daha güvenli kimlik doğrulaması sağlayan MS-CHAP v2 veya EAP kullanmayı tercih edin. Varsayılanda CHAP, SPAP, PAP protokolleri devre dışıdır ve buna rağmen etkinleştirmeniz önerilmez.
IPSec Trafiği
Varsayılan olarak ISA Server IPSec trafiğinin parçası olan Encapsulating Security Payload (ESP) ve Authentication Header (AH) trafiklerini engellemezler. Bu trafik hiçbir zaman bir risk olarak algılanmaz ve tasarım gereği güvenli iletişim olarak kabul edilir.
Network Load Balancing
Enterprise sürümler için NLB kullanılacaksa aşağıdaki öneriler dikkate alınmalıdır.
– NLB kullanıyorsanız Technet sitesinde bulunan http://technet2.microsoft.com/windowsserver/en/library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx rehberini mutlaka inceleyin.
– NLB etkinleştirildiğinde, NLB etkinleştirilmiş Array önüne bir router yerleştirin. Bu router’ı Ham IP trafiğini engelleyecek şekilde yapılandırın aksi takdirde tüm Array üyeleri gelen trafiği aynı anda karşılamaya çalışacaklardır. NLB etkinleştirildiğinde saf Ethernet iletişim kurallarını kullanarak Array üyelerini senkronize edecektir. Bu alt seviye ağ trafiği ISA Server tarafından korunmaz ve denetlenmez. Bu trafiği güvenlik atına almak için Internet ve NLB etkinleştirilmiş Array üyeleri arasına Layer-3 bir router konulması önerilir. Aynı uygulama ISA sunucularınız ve diğer güvenilmeyen tüm ağlar içinde yapılmalıdır.
– Yerleştireceğimiz Layer-3 router alt seviye Ethernet iletiğim trafiğinin geçişine izin vermeyecektir, bu suretle NLB etkinleştirilmiş Array üyelerine yönelik olası zararlı NLB çalışabilirliğini etkileyecek internet trafiği de engellenmiş olacak ve güvenlik düzeyi yükselecektir.
Cache Array Routing Protocol (CARP)
Enterprise sürümler için Cache Array Routing Protocol (CARP) iletişim kurallarını etkinleştirdiğinizde aşağıdaki önerileri uygulayabilirsiniz.
– Array’ler arası iletişimi sağlamak için sadece bu iletişim için ayrılmış bir ağ kullanın ve CARP protokolü için bu ağı kullanın.
– CARP protokolünün kullanacağı ağ bölümüne sadece Array üyelerinin erişimine izin verin.
Bağlantı Limitleri
ISA Server herhangi bir anda yapılacak bağlantı sayısını limitleyebilir. Aynı anda yapılabilcek en fazla bağlantı sayısını belirleyerek bağlantıyı sınırlandırabilirsiniz. Belirlediğiniz aynı anda yapılabilecek bağlantı sayısına ulaşıldığında yeni yapılan istemci istekleri Web Listener tarafından reddedilecektir.
Server publish ya da erişim kurallarıyla saniyede yapılabilecek toplam UDP, ICMP ve ham IP oturum başlatma paketlerini sınırlandırabilirsiniz. Bu sınırlandırmalar TCP bağlantılarına uygulanmaz. Bağlantı sayısı sınırladığımız rakam ulaştığında yeni bağlantı kabul edilmez ancak mevcut bağlantılarda kesilmez.
Varsayılan olarak kural başına bağlantı limiti TCP olmayan bağlantılar için saniyede 1000, istemci başına 160 bağlantı şeklindedir. TCP bağlantılar için sınır istemci başına 160 bağlantıdır. Önceden tanımlanmış bu değerleri üst miktarlarda değiştirmenizi kesinlikle önermem. Eğer değiştirmeniz gerekecekse mümkün olan en ufak sayıda belirlemeniz sistem güvenliği için en uygun olanıdır.
Bağlantı limitlerini değiştirmek için;
– Start—All Programs—Microsoft ISA Server—ISA Server Management
– Enterprise sürümler için Arrays—Array_Adı—Configuration—General
Standart sürümler için Configuration—General
– Ayrıntı panosunda Define Connection Limits
Şekil-1
– Connection Limit Sekmesinde Limit The Number Of Connections kutusunu işaretleyelim. Sonrasında TCP ve TCP olmayan bağlantılar için sınır değerlerini belirleyebiliriz.
Şekil-2
Bunun yanı sıra eğer Firewall Chaining işlemini kullanıyorsanız ISA Server bilgisayarınızla Upstream server arasındaki bağlantıda IPSec kullanmanızı öneririm.
ISA Server Firewall Client
ISA Server Firewall Client ile ISA sunucunuz arasında daha güvenli bir İletişim kurmanıza olanak sağlayacak TCP protokolü üzerinden şifreleme mekanizmasını destekler. ISA sunucunuzu sadece bu şifreli bağlantı taleplerini kabul edecek şekilde yapılandırabilirsiniz. Ancak bu yapılandırma Firewall Client yazılımının önceki sürümlerinin bağlantı kurmasını engelleyecektir. Bu şifreleme mekanizmasını kullanmadan önce ağınızda eğer FWC yazılımının eski sürümleri varsa güncellemenizi öneririm.
Firewall Client yazılımını yapılandırmak için;
– Start—All Programs—Microsoft ISA Server—ISA Server Management
– Enterprise sürümler için Arrays—Array_Adı—Configuration—General
Standart sürümler için Configuration—General
– Ayrıntı panosunda Define Firewall Client Settings
– Connection sekmesinde Allow non-encrypted Firewall Client Connections kutusunun işaretli olmadığına emin olun.
Şekil-3
Lockdown kipi, ayarlamaları, tanımları, yapılabilecekler ve yapılamayacaklar hususunda yolu yarıladık. ISA Server dışarıdan bakıldığında her ne kadar sade, kolay ve basit gibi görünse de aslında arkasında bir deniz var. Ayrıntıya ne kadar inersek amacımız olan güvenliğe o kadar çok sahip olabiliriz. Yeter ki bu noktada ufak dediğimiz, önemsemediğimiz ayrıntıları kaçırmayalım. Unutmamak gerekir ki bir güvenlik uzmanı için belki de yapılabilecek en büyük hata ufak ayrıntıları önemsememek, bir bilişim korsanı için ise en büyük hediye bu ufak ayrıntıların önemsenmemesidir. Bir sonraki makalemizde LockDown için neler yapabiliriz görmeye devam edeceğiz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
