ISA Server. Şirketimizin savunmasının başladığı nokta. Derler ki bir zincir ancak en zayıf halkası kadar güçlüdür. ISA Server güvenliğimizin başladığı yerdir ve tabi ki bittiği yer. Bize bağlı olarak aynı zamanda en güçlü olduğumuz yer de olabilir, en zayıf olduğumuz yer de. İç ağımızda istediğimiz güvenlik önlemlerini ya da kısıtlamalarını uygulamaya koyalım güçlü bir ISA Server yapılandırmamız ve politikamız yoksa güvenlik zincirimiz ilk denemede kırılacaktır. Bu noktada ISA serverımızı güçlendirmemiz bizi birçok sıkıntıdan kurtaracaktır. Bir süredir seri olarak ISA sunucumuzu güçlendirmek için makaleler yazıyorum. Bu serinin sonuna yaklaştık. Lockdown kipi ile ilgili olarak yazdığım ilk makalemde de belirttiğim gibi Lockdown kipini iki ana başlık altında inceleyeceğiz. Konfigürasyonu Korumak ve Yayılımı (Deployment) Korumak. Şimdi ikinci ana başlığımıza geçelim ve güvenlik zincirimiz öncekinden daha da güçlü olsun.
YAYILIMI (DEPLOYMENT) KORUMAK
ISA Server’ı güvenlik altına almanın ilk adımı, sunucunuzu fiziksel olarak güvenli bir yerde bulundurmak ve temel güvenlik yapılandırma önerilerini uygulamış olmaktır.
Tüm bu işlemleri gerçekleştirdikten sonra düşünmemiz gereken bir diğer durum ise network altyapısını nasıl oluşturacağımız. Bu başlık ISA Server tarafından korunun bir ağın nasıl yapılandırılabileceğini anlatmayı amaçlamaktadır.
Ağ Ortamınızı Güvenliğe Almak
Ağ ortamınızı güvenliğe almak için aşağıdaki adımları uygulayabilirsiniz.
i. Layer 2 saldırılarına engel olabilmek için Layer 2 IDS (Intrusion Detection System) çözümleri ya da switchler üzerinde statik MAC ve/veya Port eşleştirmeleri uygulayın.
ii. Ağınızda, mümkün olan her segmentte, IPSec kullanın.
iii. ARP Cache üzerinde man-in-the-middle saldırılarını (Çok kısaca, araya giren saldırganın tarafların haberi olmadan iletişimi izlemesi) engellemeye yardımcı olmak için ISA Server’dan önce bir Router yapılandırın. Bunun sebebi ARP paketlerinin Router üzerinde route (yönlendirme) edilememesidir. Eğer ISA Server’ın fiziksel olarak bağlandığı ağ güvensiz bir ağ ise ISA sunucunuzu statik ARP şeklinde yapılandırın.
Kimlik Doğrulama
Gelen web istekleri için kimlik doğrulama yöntemlerini yapılandırırken mümkün olan en güçlü kimlik doğrulama yöntemlerini kullanın. Aşağıdaki kimlik doğrulama yöntemlerini güvenli olmayan bağlantılar üzerinde uygulamanızı öneririm.
– Basic
– Digest
– Outlook Web Access Form Tabanlı Kimlik Doğrulama
– SecurID
– RADIUS
RADIUS Server’lar Kullanmak
Remote Authentication Dial-In User Service (RADIUS), kimlik doğrulaması yapabilmek için kullanılan endüstri standartı bir protokoldür. Bir RADIUS istemcisi (Genel olarak bir dial-up server, VPN Server ya da Wireless Access Point) kullanıcı kimlik doğrulama bilgilerini ve bağlantı parametrelerini bir RADIUS mesaj formu ile birlikte RADIUS sunucusuna gönderir. RADIUS sunucusu gelen isteği onaylar ve gelen RADIUS mesajı ile beraber yanıtlar.
RADIUS sunucunuzu aşağıdaki şekilde yapılandırmanız önerilir.
i. Eğer kimlik doğrulaması için RADIUS server kullanıyorsanız sunucu statusünü izleyebilmek için Connectivity Verifier (Bağlantı Doğrulayıcı) yaratın. ISA üzerindeki uyarıları RADIUS server çalışır durumda değilken uygun işlemleri yapması için yapılandırın.
ii. Güvenilmeyen ve yetkisiz kullanıcıların RADIUS server ve ISA Server arasındaki ağa erişemeyeceğinde emin olun. Eğer bir şekilde bu kullanıcıların erişimi şartsa IPSec kullanın.
Ek olarak RADIUS kimlik doğrulaması gerektiren bir VPN bağlantısı ya da Firewall kuralı yaratacaksanız aşağıdaki adımları dikkate alabilirsiniz.
iii. RADIUS kullanıcı parola gizleme mekanizması parolalar için yeterli güvenliği sunamayabilir. RADIUS kullanıcı parola gizleme mekanizması parolaları ya da diğer özellikleri şifrelemek için MD5 şifreleme algoritmasını kullanır.
iv. Parola tabanlı kimlik doğrulaması kullanıyorsanız karmaşık şifre kullanımını zorlayın ki dictionary ataklarına karşı savunmasız kalmayın.
v. Eğer kullanıcı adları İngilizce dışında farklı bir karakter setinden karakterler kullanılırsa, ISA Server bu bilgiyi dönüştürmek için ISA sunucunuz üzerinde bulunan geçerli kod sayfasını kullanır. Kullanıcı ancak istemci de aynı kod sayfasını kullanıyorsa kimliğini doğrulatabilir.
vi. Eğer RADIUS server güvenlik kurallarını RADIUS’dan kimlik doğrulatan kullanıcılar oturum açmışken uygularsanız, yeni yaptığınız güvenlik kuralları oturum açmış kullanıcılarda uygulanmayacaktır. Bunun sebebi ISA server’ın RADIUS üzerinden kimlik doğrulayarak OWA’ya bağlanan kullanıcıların oturum açma bilgilerini cache’lemesidir. Eğer RADIUS güvenlik kurallarının hemen uygulanmasını istiyorsanız ilk önce bu oturumları kapatmalısınız.
İstemci kimlik Doğrulaması
SSL kullanmadan ISA Server güvenlik duvarına HTTP kimlik doğrulaması kullanıldığında, bu talep potansiyel olarak man-in-the-middle ataklarına açık bir haldedir. Bu talep ve oturum açma bilgileri oturum açma esnasında ya da sonrasında bir saldırgan tarafından değiştirilebilir.
Bu tür atak risklerini azaltmak için HTTP üzerinden kimlik doğrulamasını SSL ile birlikte kullanmanızı öneririm.
Kimlik doğrulama Sunucularına Yapılan Bağlantıları Doğrulayın
RADIUS kimlik doğrulaması için ilk madde de demiştik ki;
“Eğer kimlik doğrulaması için RADIUS server kullanıyorsanız sunucu statusünü izleyebilmek için Connectivity Verifier (Bağlantı Doğrulayıcı) yaratın. ISA üzerindeki uyarıları RADIUS server çalışır durumda değilken uygun işlemleri yapması için yapılandırın.”
Bunu yapabilmek için;
– Start > All Programs > Microsoft ISA Server > ISA Server Management
– Enterprise sürümler için Arrays > Array_Adı > Monitoring
Standart sürümler Server_Adı > Monitoring
– Ayrıntı panosunda Connectivity sekmesine tıklayın.
– Tasks sekmesinde Create New Connectivity Verifier komutunu verelim.
– Gelen sihirbazın Welcome sayfasında yaratacağımız doğrulayıcıya bir isim verelim.
Şekil-1
– Connectivity Verification Details sayfasında şunları yapın.
a) Monitor connectivity to this server or URL bölümüne izlemek istediğiniz sunucunun bilgilerini girin.
b) Verification Method bölümünde bir doğrulama yöntemi seçin. (Eğer “Send an HTTP GET request” yöntemini seçtiyseniz ve “HTTP Connectivity Verification” yapılmasına izin veren system policy kuralı devre dışı ise etkinleştirmenizi isteyen bir mesaj alacaksınız, bunu EVET diyerek onaylayın.)
– Ayrıntı panosunda az önce yarattığınız kuralı seçin.
– Tasks sekmesinde Edit Selected Verifier komutunu verin.
– Properties sekmesinde Trigger an alert if the server response is not within the specified timeout kutusunun işaretli olduğuna emin olun.
Şekil-2
Kimlik Doğrulama Sunucuları Deployment
Güvenlik sebebiyle kimlik doğrulama sunucularınızı yüksek derecede güvenlik bulunan ağlarda bulundurmalısınız. Eğer mümkünse bu sunucuları iç ağdan ya da perimeter networkten ayırarak farklı bir ağ segmentine yerleştirmeyi düşünmelisiniz.
Kimlik sunucularını deploy etmek için aşağıdaki adımları takip edebilirsiniz.
– Start > All Programs > Microsoft ISA Server > ISA Server Management > Firewall Policy
– Tasks sekmesinde Edit System Policy komutunu verelim.
– System Policy Editor içerisinde Configuration Groups bölümünde Authentication Services altında uygun olan kimlik doğrulama yöntemini seçin.
– To sekmesinde Add komutunu verin.
– Add Network Entities bölümünde kimlik doğrulama sunucularının bulunduğu ağ bölümünü seçin.
DNS Sunucuları
Domain Name System (DNS) Internet gibi IP tabanlı ağlarda kullanılan bir isim çözümleme protokolüdür. Bir DNS sunucusu istemcilerinin birbirleriyle iletişime geçebilmesi için hatırlanabilir, alfanumerik isimleri IP adreslerine çevirir.
ISA Server’da DNS isim çözümleme mekanizmasına benzer bir isim çözümleme altyapısına sahiptir. Bir istemci ulaşmak istediği bilgisayarın URL adresini belirterek farklı bir ağdaki bir sunucuya bağlanmak istediğinde ISA Server bu ismi çözebilir. ISA Server kullanması için tanımladığınız DNS sunucusuna bir isim çözümleme isteği gönderir.
DNS cache kirlenmesini ve yanlış bilgilerle dolmasını engellemek için ISA Server’ınızı güvenilir bir DNS sunucusu kullanacak şekilde yapılandırın. Bu DNS sunucusu internal network üzerinde olmalıdır. Eğer güvenilmeyen bir ağ bölümüne (Örneğin External Network) DNS sunucu kurmanız gerekirse, ayrıca bir tanede güvenilen bir ağ bölümüne (Örneğin Perimeter Network) bir DNS sunucusu daha kurun. Ardından güvenilen ağ bölümünde bulunan DNS sunucusunu gelen istekleri diğer sunucuya yönlendirecek şekilde yapılandırın.
– Internal Network üzerinde bir DNS sunucusu yapılandırın.
– ISA sunucunuzun Internal Network’e bağlı Ethernet kartı üzerinde bu DNS sunucusunu tüm isim çözümleme istekleri için kullanacak şekilde yapılandırın.
– ISA Sunucunuzun diğer Ethernet kartlarının güvenilmeyen DNS sunucuları kullanmadığından emin olun.
– Bir erim kuralı oluşturun ve DNS isim çözümlemesi için sadece DNS sunucunuzun internet erişimine izin verin.
İzleme ve Sorun Çözümleme
ISA Server üzerinden akan trafiği izlemek önemli ve sürekli gerçekleştirilmesi gereken bir görevdir. Log dosyalarında ve izleme bilgilerinde ayrıntılı analizler yapmak bir ISA yöneticisinin en önemli uğraşlarından biridir.
a) Loglama
Loglama, ağınızdaki kaynaklara kimlerin eriştiğini görmek, gerçekleşen ağ işlemlerini izleme fırsatını sizlere sağlar. Logları düzenli ve dikkatli bir şekilde inceleyin, şüpheli erişim ve ağ kaynak kullanımını gözden geçirin.
i. Sistem yöneticisine gönderilecek uyarıları yapılandırın.
ii. En üst seviye güvenlik için log dosyalarını farklı bir NTFS bölümünde depolayın. Sadece sistem yöneticilerinin bu bölüme erişimine izin verin.
iii. Log bilgilerini bir SQL veritabanına kayıt ediyorsanız SQL kimlik doğrulaması yerine Windows Kimlik Doğrulaması kullanın.
iv. En üst seviye güvenlik için ISA sunucunuz ve SQL Server arasında IPSec kullanın.
b) Log Depolama Limitleri
Dikkat edilmesi gereken nokta log bilgilerinin depolandığı diskin tamamen dolu duruma gelmemesidir. Log depolama limitleri için bir uyarı yapılandırın ve limit dolduğunda ISA servislerinin durmasını sağlayın. Loglar düzgün bir şekilde kayıt edilene kadar erişime izin vermeyin.
Log depolama limit uyarısı yapılandırmak için;
– Start > All Programs > Microsoft ISA Server > ISA Server Management
– Enterprise sürümler için Arrays > Array_Adı > Monitoring
Standart sürümler için Server_Adı > Monitoring
– Ayrıntı sekmesinde Alerts sekmesine geçin.
– Tasks sekmesinde Configure Alert Definitions komutunu verin.
– Alert Definitions ekranında Log Storage limits’i seçin ve Edit komutunu verin.
Şekil-3
– General sekmesinde Enable seçelim.
– Actions sekmesinde Stop Selected Services kutusunu işaretleyelim ve Select butonuna basarak Microsoft Firewall ve Microsoft ISA Server Job Scheduler hizmetlerini seçin.
Şekil-4
c) İzleme
ISA sunucunuz üzerine kimlerin oturum açtığını belirleyebilmeniz için İzleme (Auditing) açın. Bunun için;
– Start > All Programs > Administrative Tools > Local Security Policy
– Security Settings’i genişletin, Local Policies’i genişletin ve Audit Policy’i seçin.
– Ayrıntı panosunda Audit Logon Events’e sağ tıklayın ve Properties komutunu verin.
– Success ve Failure seçeneklerini işaretleyin.
Şekil-5
d) Floods (Taşırma) Saldırıları
Flood saldırısı kullanıcılarınızın ağ hizmetlerinden yararlanmasını engellemek amaçlı olarak yapılan aşırı ağ yüklenmeleridir. Örneğin bir worm’un kendisi yaymak için ağınızın dışına çıkma çabası.
ISA Server’ınıza flood saldırısı yapıldığının ilk belirtileri yüksek CPU ve bellek kullanımı ve yüksek sayıda loglama yapılmasıdır. Eğer bir flood saldırısı olduğunu düşünüyorsanız, log görüntüleyiciye gidin ve aşağıdakileri arayın.
– Engellenmiş Trafik için Log Kayıtları: Bozuk CHECKSUM, spoof ya da kotayı aşan paketler nedeniyle engellenen trafiğe özellikle dikkat edin. Bu genellikle zararlı yazılımdan etkilenmiş bir istemcinin işaretidir. Eğer 0x80074E23 hatalarını görüyorsanız bu bağlantı limitlerinin aşıldığını gösterir.
– Sayısız Bağlantının Oluşturulduğunu ve Aniden sonlandırıldığını Gösteren Loglar: Bu durum genellikle IP taraması yapan bir istemci ya da saldırgan olduğunu gösterir.
Bir Flood saldırısı esnasında ISA sunucunuzun Performansını yükseltmek için aşağıdakileri yapabilirsiniz.
– Loglamayı devre dışı bırakın. Flood saldırısı bitene kadar ya tümüyle ya da spesifik bir kural üzerinde loglamayı devre dışı bırakın. Saldırı esnasında log kayıtları çokça yazılacağından sistem geç cevap verecektir.
– Bağlantı Limit uyarılarını yeninde yapılandırın ya da kapatın.
e) Bağlantı Limit Uyarıları
Bir bağlantı limit uyarısı oluştuğunda bunun bir saldırıdan mı yoksa geçici bir ağ trafik yoğunluğundan mı olduğuna karar verin. Eğer limitler saldırından dolayı aşılıyorsa,
– Eğer zararlı ağ trafiğinin kaynağı internal network ise bu yerel ağda bir virüs yayılımı olduğunu gösterebilir. Kaynak IP’ler tespit edilemli ve ağ bağlantıları kesilmelidir.
– Eğer zararlı trafiğin kaynağı external bir networkten gelen ufak bir IP aralığıysa, bu kaynak IP’leri engelleyen bir Deny kuralı oluşturun.
– Eğer zararlı trafiğin kaynağı geniş bir IP aralığıysa tüm ağınızın durumunu gözden geçirin. Daha düşük bağlantı limitleri belirleyin ve bu şekilde ISA sunucunuz ağınızı daha etkin bir şekilde korusun.
f) Worm ya da Virüslerden Kaynaklanan Flood Saldırılarından Korunmak
Yerel ağınız aşağıda belirtilen türde worm’lar tarafından etkilenebilir.
– Spesifik bir protokolü kullanarak sisteme sızan worm’lar
– Spesifik bir IP adresini hedef alarak sisteme sızan worm’lar
– Spesifik bir IP adresinden gelerek sisteme sızan worm’lar
Yerel ağınızı worm ya da diğer zararlı yazılımlardan korumak için şunları yapabilirsiniz.
– VPN istemcileri için karantina kontrolünü etkinleştirin
– Virüs ya da worm’dan etkilenmiş istemcilerden gelen ve giden trafiği engelleyen bir kural oluşturun. Bu kural üzerinde loglamayı kapatın.
– Virüs ya da worm’dan etkilenmiş istemcilerin IP adreslerini içeren bağlantısı kesilmiş bir ağ oluşturun. Bu istemcilerden gelen tüm ağ trafiği sonlandırılacaktır.
Bağlantısı Kesilmiş Ağ Yaratmak
Bağlantısı Kesilmiş Ağ, ISA sunucunuza fiziksel bağlantıları olmayan bir IP aralığını tanımlar.
Oluşturmak için;
– Start > All Programs > Microsoft ISA Server > ISA Server Management
– Sunucu Adınız > Configuration > Networks bölümünü genişletin. ISA Enterprise için Arrays > Array Adı > Configuration > Networks şeklindedir.
– Ayrıntı panosunda Networks sekmesine geçin.
– Tasks sekmesinde Create a New Network komutunu verin.
– Welcome sayfasında, oluşturulacak ağa bir isim verin, örneğin Disconnected, ve NEXT butonuna basın.
– Network Type sayfasında External Network’ü seçin.
– Network Addresses sekmesinde zararlı yazılımdan etkilenmiş bilgisayarların IP aralığını girin ve FINISH butonuna basın.
– Ayrıntı panosunda Networks Rules sekmesine gelin ve yarattığınız networke hiçbir kuralın uygulanmadığına emin olun.
Routing Table Yapılandırılması
Routing Table’ı yapılandırarak zararlı yazılımlardan etkilenen istemcilerin yerel ağa ve ISA sunucunuza erişmesini engelleyebilirsiniz. Bunun için;
– ISA Server üzerine bir Ethernet kartı daha ekleyin. Bu kartı hiçbir ISA Server network’ü ile eşleştirmeyin.
– Route add komutunu kullanarak zararlı yazılımlardan etkilenen IP adreslerini bu Ethernet kartının IP adresine statik şekilde ekleyin.
Bu şekilde Lockdown kipi hakkında vereceğim bilgilerin sonuna gelmiş oluyoruz. Kısaca özetlersem; Lockdown kipi ISA Server’ı bir saldırıya maruz kalmadan önce koruma altına almak, saldırı olasılığını en aza indirmek, saldırı esnasında en az zarara uğramak için yaptığımız eylemlerin ve hazırlıkların tümüdür. Birçok adım, birçok uygulama içermektedir ve en küçük organizasyondan en büyük yapılara kadar farklı ISA ve ağ yapılarında uygulanabilecek tedbirler içermektedir. Bu noktada sistem yöneticileri olarak yapımıza en uygun olan tedbirleri belirleyip uygulamaya koymak en kötü kabuslarımızı hoş bir uykuya çevirecektir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
