Microsoft Forefront TMG (Threat Management Gateway) bir firewall’dan daha fazlasını sunmak için hazırlandığını belirtmiştik. Bunun en güzel örneklerinden biride NIS (Network Inspection System) olduğundan bahsetmiştim. Bu makalede ise ISA Server2006 dan da bildiğimiz, TMG içerisinde Instrusion Prevention System başlığında bulunan Behavioral Instrusion Detection özelliğinden bahsedeceğim.
Şekil-1
İlk ekran BID (Behavioral Instrusion Detection)’in ilk genel görünümüdür. Şimdi ayrıntılı şekilde menülerde gezinmeye başlayalım.
Configure Detection Settings for common Network Attacks seçeneğine tıkladığınızda aşağıdaki pencereye ulaşırız.
Şekil-2
Common Attacks sekmesinde ISA Server’ın bizi hangi ataklara karşı koruduğunu görebilirsiniz. Varsayılan olarak ISA bu seçeneklerin tümü ile işaretli olarak gelir. Aşağıda bu saldırıların ne anlama geldiğini görebilirsiniz.
Windows out-of-band: Bu durum çok sık karşılaşılan Denial of services DDOS atak olarak bilinen ataklara karşı uyarılar oluşturur ve sistemi bu ataklara karşı korumaktadır. Eksik ve çok sık gönderilen ve özellikle netbios karşı yapılan bu ataklar ISA Server tarafından Windwos Out of band özellikleri sayesinde korunur.
Land: Hedef ip adresi ve portu aynı olan sahte IP adresi ve port numarasından SYN paketlerini gönderilerek yapılan saldırılara karşı ISA Server bizi korumakta ve bu şekilde rapor oluşturulmasını sağlamaktadır.
Ping of death: Bu durum gelen paket boyutlarının çok daha büyük şekilde sisteme gönderilmesi ile oluşturulan bir atak çeşididir. Bu atak başarılı şekilde gerçekleştirse bellek hedef sistemde bellek taşmasına yol açar. (Buffer Overflows).
IP half scan: Bu atak geçersiz flag bilgilerine sahip TCP paketlerinin birbiri ardına gönderilmeye çalışıldığını belirtir. Saldırı boyunca, atak yapan sistem 3 yollu el sıkışma sürecinde en son paket olan ACK paketini göndermez. ACK yerine farklı paketler göndererek hedef bilgisayarın log kayıtlarını tutmadan işe yarar ve kullanışlı bilgilerin gönderilmesini sağlar.
UDP bomb: Bu durum kural dışı UDP paketlerinin gönderilmeye çalışıldığı bir atak şeklidir. Ancak UDP bomb atağı eski işletim sistemlerini direkt olarak etkilemektedir.
Port scan: Port scan işlemi her ne kadar atak olarak sayılmasa da yinede sistemin hakkında bir çok bilgiyi atak yapan kullanıcıya iletir. Varsayılan olarak işaretsiz gelen bu özelliği işaretlemenizi öneririm.
Şekil-3
DNS attacks sekmesi ise enable durumda olduğu zaman tespit etme ve filtreleme işlemlerini gerçekleştirmektedir. DNS ile ilgili olan ataklar aşağıdaki 3 başlıkta incelenir.
DNS host name over flow
DNS’in belli bir uzunluktan daha fazla ad çözmesi durumunda bir bellek taşması yaşanmaktadır. Bu durumun engellenmesi ve takip edilebilmesi için seçeneğin işaretli olması gerekir.
DNS length overflow
Bu atak DNS’e gönderilen 4 bayttan büyük olan IP adresinin işlenmesi gerektiğinde bir bellek taşması oluşturur. Bu durumun engellenmesi için seçeneğin işaretlenmesi gerekir.
DNS zone Transfer
Varsayılan olarak bu seçenek işaretsiz olarak gelir. Local network’ünüz de bulunan DNS sunucunuzun bilgilerini farklı bir lokasyona göndermeye ihtiyaç duymuyorsanız bu seçeneği işaretleyebilirsiniz.
Behavioral Instrusion Detection altında bir diğer özellik ise Configure IP Options seçeneğidir. Bu bölüme tıkladığımızda aşağıdaki pencere bizi karşılar.
IP Preferences
TCP / IP protokolü olan IP ağlarında birçok amaç için kullanılabilecek çeşitli IP seçenekleri tanımlanabilir Microsoft Forefront TMG bazı ip özeliklerini bloklama özelliğine sahiptir çünkü günümüzde ip özelliklerinin tamamının kullanılmasına gerek yoktur ve bazı ip özellikleri ise networkünüz için filtrelenemeyebilir. Şekil 4 de gördüğünüz gibi bazı ip özellikleri varsayılan olarak blocklanmıştır. Sizde bu bölümler içersinde blocklanmasını istediğiniz ip özelliklerini seçebilirsiniz ancak benim size önerim bu bölümün varsayılan durumda bırakılmasıdır. Çünkü hatalı şekilde bir yapılandırma network’ünüzde içinden çıkılmaz bir soruna yol açabilir ve bunun tespiti gerçekten çok zor olabilir.
Şekil-4
Ip Fragments
Microsoft Forefront TMG IP fragments işlemini blocklamanıza izin verir. IP fregments işleminden kısaca bahsetmek gerekirse bu özellik gelen paketlerin bölünerek daha küçük parçalar ile dağıtılması işlemidir. Bu özelliği enable duruma getirirseniz parçalanmış paketler ISA Server tarafından engellenecektir. Bu özellik varsayılan olarak disable durumda gelir. Bu özelliği kullanarak yapılan en yaygın saldırı biçimi ise teardrop saldırı biçimidir. Bu işlem çoklu IP fragmentleri bir sunucya gönderilir. Aynı zamanda IP fragmentleri offset değerleri üst üste binecek şekilde düzenlenmişlerdir. Sunucu bu paketleri birleştirmek isterken balşarısız olacaktır. Ancak bu bölümde dikkatli olunması gereken bir nokta ise eğer bu özellik aktif edilirse VPN bağlantılarında sorunla karşılaşabilirsiniz. Çünkü L2TP, IPSec bağlantılarında kullanılan sertifika değişiminde fragmentasyon kullanılır.
Şekil- 5
IPv6
TMG içerisinde görebileceğiniz yeni bir özellik de Windows Server 2008 R2 ile birlikte gelen Direct Access özelliğine uyumlu olmasıdır. Bu konu ile ilgili olarak ilerleyen makalelerde çok daha ayrıntılı bilgi yine mshowto sayfasında yer alacaktır. Kısaca bahsetmek gerekirse hızlı ve güvenli bir VPN bağlantısı Windows Server 2008 R2 ve Windows 7 ile beraber yapılandırılmış durumda. Domain ortamına dahil olan Windows 7 sistemler çok ayrıntılı bir yapılandırmaya gerek kalmadan network içersine uzaktan dahil olabilecekler. Diğer sistemler için ise yine VPN yapılandırması söz konusu.
Şekil- 6
Act as Direct Access Server seçeneğini işaretlediğimizde TMG server bu bağlantılar için hazır olduğunu belirtiyoruz.
Configure Flood Migration Settings
Flood Attacklar DDoS ataklarının tamamını içermektedir. Flood Mitigation yapılandırması varsayılan olarak bir çok flood atağına karşı ve wormların yayılmasına karşı güvenlidir. Birçok TCP bağlantısı için manuel olarak bağlantı sayılarını, bağlantı süreleri gibi özellikleri yapılandırarak işlem yapabilirsiniz.
Şekil- 7
Network’e gelen saldırıların tamamı dışarıdan bir hacker tarafından gerçekleşmiyor olabilir. Yanlış yapılandırılan bir program veya network’ün içerisinde bulunan bazı kullanıcılarda bu soruna sebep olabilir. Flood Mitigation sekmesinde bulunan ayarların hangi networklere etki etmesini istiyorsanız bu alanlar Ip Exceptions sekmesinden belirleyebilirsiniz. Ben Anywhere seçeneği ile TMG içerisinde geçen tüm trafik için bu ayarların geçerli olmasını belirliyorum.
Şekil- 8
Son olarak incelememiz gereken alan SIP Quotas sekmesidir. SIP protokolü VoIP ile net üzerinden telefon görüşmelerini yaptığımız bir protokoldür. (tabiî ki bir çok uygulama video ve ses iletimleri gibi SIP protokolü kullanır.) Eğer TMG arkasında bu şekilde bir santral bulunduruyorsanız gelen çağrıları filtreleyebileceğiniz ve maximum çağrı seçeneklerini ayarlayabileceğiniz bir alandır. Bu bölümde Aynı anda gelen çağrıların toplamı, tek bir IP adresine gelen çağrıların maximum değeri gibi seçenekleri yapılandırmanız mümkün.
Şekil- 9
Varsayılan ayarlarda bu Beavioral Intrusion Detection ayarları gayet stabil şekilde çalışmaktadır. Bu ayarların değişikliği öncesinde planlayarak yapılması ve ihtiyaca uygun şekilde yapılandırılması gerekmektedir. Öncesinde de belirttiğim gibi gözden kaçırdığınız bir yapılandırma sonrasında çözülmesi zor bir probleme yol açabilir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
