ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

SonicWALL

Sonicwall Ransomware Karşı Korunmak İçin En İyi Yapılandırma Önerileri

Bu makalede, fidye yazılımlarına karşı korunmak için sonicwall cihazınız üzerinde alınabilecek önlemler anlatılmaktadır.

 

CryptoWall ve CryptoLocker türü fidye yazılımları, genellikle e-posta yoluyla bulaşan ransomwares(fidyeci yazılım)'tir. Microsoft işletim sistemlerini hedef alan bu yazılımlar virüslü e-pota eklerinden bilgisayara bulaşır. Bir bilgisayara bu virüs bulaştığında, kötü amaçlı yazılım bilgisayarda ve bilgisayarın bağlı olduğu ağda depolanan belirli dosyaları şifreler daha sonra, kötü amaçlı yazılım dosyaların şifresini çözmek için ödeme talep eden bir mesaj gösterir.

 

Ödeme aracı olarak Bitcoin kullanılır. Mağdur kişiye belli bir süre tanınır ve bu süre içinde ödeme yapılmazsa dosyaların bir daha geri getirilemeyeceği tehdidinde bulunulur.

 

CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoLocker, Brazilian Ransomware, CryptoTorLocker gibi çeşitli isimlerde birçok türevleri vardır.

 

Bunların yanı sıra windows işletim sisteminin bir açığını kullanarak dosyalarınızı şifreleyen ve fidye talep eden popüler ransomware türü yazılımlardan biride WannaCry virüsüdür. İşletim sistemindeki EternalBlue açığını kullanan ve bulaştığı anda dosyalarınızı şifreleyen bu zararlı yazılım başta 300 dolar talep eder, ödenmez ise bu fiyat 600 dolara çıkarılır ve bir hafta sonra hala ödeme yapılmaz ise şifrelenmiş tüm dosyalar kalıcı olarak silinir.

 

Bu yazılımlar şifrelemede RSA-4096 / AES-256 benzeri çok güçlü şifreleme algoritmaları kullanmaktadır. Günümüz şartlarında bu şifrelemelerin kırılması mümkün değildir. Bu yüzden çözüm geliştirdiğini söyleyen internetteki birçok dolandırıcıya karşı dikkatli olunmalıdır.

 

Fidye yazılımlarına karşı en başta kullanıcılar şu konularda bilgilendirilmelidir;

 

-Önemli dosyalar farklı ortamlara düzenli olarak yedeklenmeli,

-İşletim sisteminin güvenlik güncellemeleri yapılmalı,

-Bilinmeyen veya emin olunamayan kaynaklardan gelen e-posta ekleri açılmamalı,

-Yüksek tutarlı e-fatura şeklinde gelen e-postalardaki linklere tıklanmamalı,

-".exe" ile biten e-posta ekleri açılmamalı.

 

Sonicwall UTM cihazınız İle Alınacak Önlemler


SonicWall Gateway Anti-Virus ve SonicWall IPS aşağıdaki imzalar aracılığıyla bu tehditlere karşı koruma sağlar:

 

clip_image001

 

Sonicwall "Application Control" ağınızdaki I2P tünellerini aşağıdaki imzalarla engelleyebilir:

  • 5 Encrypted Key Exchange -- Random Encryption (Skype, UltraSurf, Emule)
  • 7 Encrypted Key Exchange -- UDP Random Encryption(UltraSurf)
  • 10817 I2P -- HTTP Proxy Access 1 [Reqs SID 5 & 7]
  • 10817 I2P -- HTTP Proxy Access 2 [Reqs SID 5 & 7]
  • 10817 I2P -- HTTP Proxy Access 3 [Reqs SID 5 & 7]

 

Sonicwall Üzerinde Uygulanacak Adımlar


1.Gateway Anti-Virus (GAV)

  • Gateway Anti-Virus servisinin en son imzalarla güncellendiğinden emin olunmalıdır.
  • GAV etkinleştirilmelidir.
  • Cloud GAV etkinleştirilmelidir.
  • HTTP, FTP, IMAP, SMTP, POP3, CIFS / Netbios ve TCP Stream gelen ve giden trafik denetimi etkinleştirilmelidir.

clip_image003

 


Her bir protokolün altındaki Settings butonunu tıklayıp, aşağıdaki onay kutuları etkinleştirilir.

 

  • Restrict Transfer of password-protected ZIP files
  • Restrict Transfer of MS-Office type files containing macros (VBA 5 and above)
  • Restrict Transfer of packed executable files (UPX, FSG, etc.)

 

clip_image004

 

Network / Zones sayfası altında tüm LAN ,WAN bölgelerde GAV etkinleştirilir.

 

clip_image006

 

 

“Block files with multiple levels of zip/gzip compression” seçeneği işaretlenir.

Security services / Gateway Anti-Virus sayfasında global settings bölümünde "Configure Gateway AV Settings" butonu tıklanır.

 

clip_image008

 

Açılan sayfada “Block files with multiple levels of zip/gzip compression” seçeneği işaretlenir ve OK butonu tıklanarak kaydedilir.

 

clip_image009

 


2.Intrusion Prevention Service (IPS)

  • IPS servisinin en son imzalarla güncellendiğinden emin olunmalıdır. Update butonu tıklanarak manuel olarak güncelleme kontrolü sağlanabilir.
  • Medium ve High Priority Attacks  seçenekleri etkinleştirilir. Bu orta ve yüksek  seviyede saldırıların önlenmesini sağlayacaktır. İsteğe bağlı olarak "Low Priority Attacks" seçeneği de etkinleştirilebilir. Bu seçeneklerin tümü, kötü amaçlı yazılım için imzaları otomatik olarak içerecektir.
  • Network / Zones altında LAN ve WAN zone için IPS etkinleştirilir. İsteğe bağlı olarak tüm zone'lar için etkinleştirilebilir.

 

clip_image011

 


3.Geo-IP Filter

 

Geo-IP Filter, çeşitli ülkelerden gelen trafiği kontrol etmenizi sağlar.

  • Geo-IP Filter aktif edilir.
  • Bu "Tüm Bağlantılar" veya "Firewall Kuralları" için uygulanabilir.
  • Firewall / Access Rule sayfasında, ilgili kurallar üzerinde servisin etkinleştirilmesi gerekir. WAN to WAN, WAN to LAN, ve LAN to WAN kuralları için aktif edilmelidir.
  • Ülke seçeneklerinden bilinmeyen ülkelerin seçili olmasına dikkat ediniz. “Anonymous Proxy / Private IP”
  • “Block all UNKNOWN subnets” seçeneği işaretlenir.

 

clip_image012

 

 

4.Botnet Filter

 

Botnet filtresinin etkinleştirilmesi, kötü amaçlı yazılımın bilinen komut ve kontrol sunucularına erişimi engelleyecektir.

  • Security Services | Botnet Filter sayfasında, Block connections to/from Botnet Command and Control Servers onay kutusu etkinleştirilir.
  • Enable Logging onay kutusunu işaretlenir.
  • Firewall / Access Rule sayfasında, ilgili kurallar üzerinde servisin etkinleştirilmesi gerekir. WAN to WAN, WAN to LAN, ve LAN to WAN kuralları için aktif edilmelidir.

 

clip_image013

 

 


5.Content Filter Service (CFS)

 

 

Content Filter Service kategori bazlı yasaklamalar ile “kötü amaçlı yazılım” ve “Hacking / Proxy" siteleri engellemek için yapılandırılabilir. CFS yapılandırmak için "Sonicwall Content Filter Service(CFS) yapılandırma" isimli makalemi inceleyiniz.

Filtrleme servisinde ilk 12 kategori varsayılan olarak block durumdadır. Bunların dışında

"Malware", "Hacking / Proxy Avoidance", ve "Not Rated" kategorilerinin block olduğundan emin olunmalıdır. Burada Not Rated kategorisine dikkat edilmelidir zira bu kategorinin bloklanması zararlı olmasa bile kategorilendirilmemiş tüm WEB sitelerine erişiminizi de engelleyecektir. Bu durumda erişilmek istenen WEB siteler için bir URL list oluşturularak allowed URL list böümünde gösterilerek izin verilmelidir. Ayrıca bu kategorinin kapalı olması cihaz üzerinde işlem yoğunluğuna da sebep olacaktır.

Not Rated siteler için taleplerinizi  mysonicwall.com üzerinden support ekibine iletebilirsiniz.

 

clip_image014

 

 


6.App Control Advanced

 

Zararlı yazılımlardan korunmak için application control servisinin aktif edilmesi ve yapılandırılması gereklidir. Özellikle fidye yazılımlarına karşı "Proxy Access" , "SSH" ve "DNS" kısıtlaması önerilir.

Fidye yazılımları dosyaları şifrelemek için kullanılan şifreleme anahtarlarını elde etmek için TOR kullandığı bilinmektedir. Bu nedenle, TOR'u engellemek için "App Control Advanced" kullanılmalıdır. Cryptowall virüsü böylece bulaştığı bilgisayara zararı azaltılmış ve dosyaları şifrelemek için gerekli anahtarları elde etmesi mümkün olmayacaktır.

  • Firewall | App Control Advanced sayfasıda PROXY-ACCESS kategorisi seçilir.
  • Application olarak TOR seçilir.
  • TOR seçiliyken configüre ikonu tıklanır.
  • Block ve Log seçenekleri Enable yapılır.
  • Kaydetmek için OK butonuna tıklanır.

 

clip_image015

 

 

Tor bunu engellemek için, Encrypted key exchange uygulamasını kullanacaktır bu yüzden yukarıda tor uygulaması için yaptığımız adımları Encrypted key exchange uygulaması içinde yapılır.

 

 

clip_image016

 

Protocols kategorisinde DNS Protocol application seçilerek block edilmesi ve sadece güvenilen DNS adresleri bir address object group altında toplanarak hariç tutulması önerilir.

 

clip_image017

 

SSH bağlantıları güvenilir kaynak ve kullanıcılar ile sınırlandırılmalıdır. Application control advanced sayfasında "protocols" kategorisinde SSH protocol block edilerek sadece güvenilen bağlantılara izin verilmesi önerilir.

 

clip_image018

 

Tüm Proxy-Access kategorisindeki imzaları kısıtlamak kötü amaçlı yazılımlara karşı korunmak için iyi bir yoldur. Ancak bu kategoriyi block yapmanın kötü sonucu, yasal ve kullanılması gereken uygulamaların da stabil çalışmaması veya kesilmelere sebep olmasıdır. Bu yüzden kontrollü olarak, gerekli durumlarda belirli uygulama ve hedeflerin hariç tutularak erişim sağlanması daha güvenli olacaktır.

 

clip_image020

 

 

7.DPI-SSL

 

Sonicwall güvenlik duvarının DPI-SSL özelliği, birden fazla protokol ve uygulamadaki şifreli iletişimler içinde inceleme yeteneği sunar. DPI-SSL, güvenlik duvarının webmail, sosyal medya ve HTTPS bağlantılarını kullanan diğer WEB bağlantıları gibi şifreli iletişimleri denetlemek için bir vekil olarak hareket etmesini sağlar.

 

DPI-SSL 'i etkinleştirme, zorunlu bir önlem olmasa da, ek güvenlik sağlayacaktır çünkü;

 

1)Hemen hemen tüm WEB ve e-posta trafiği SSL üzerindedir. Örneğin, SSL üzerinden bir spam e-postası alınırsa, sonicwall, varsa, kötü amaçlı yazılım içeriğini algılayamaz.

 

2)Tor ağ geçidine ilk bağlantı SSL üzerindedir. DPI-SSL'yi etkinleştirmek, sonicwall cihazınızın bu trafiğin şifresini çözmesine ve kötü amaçlı yazılım için taramasına izin verecektir.

 


Sonicwall güvenlik duvarında DPI-SSL’i etkinleştirin

 

Hizmetlerin aşağıdakiler de dahil olmak üzere tüm alt işlevler için etkinleştirildiğinden emin olun:

  • Intrusion Prevention
  • Gateway Anti-Virus
  • Gateway Anti-Spyware
  • Application Firewall
  • Content Filter

 

clip_image022

 

 

DPI-SSL / Client SSL sayfasında SSL Client Inspection seçeneğini etkinleştirilir. Viriüs koruması için özellikle Gateway Anti-virus ve Intrusion Prevention onay kutuları etkinleştirilir. İsteğe bağlı olarak diğer seçenekler de aktif edilebilir. Burada DPI SSL servisine kısaca değinilmiştir. DPI SSL tam konfigürasyonu için ilgili dökümanını inceleyebilirsiniz.

 


Dikkat: SonicOS 5.6 ve üzeri yazılımı ile NSA 220 üzeri cihazlarda desteklenir.

 

8. Capture ATP

 

Dinamik ve sürekli yeni bir kötü amaçlı yazılım oluşturulması göz önüne alındığında, Sonicwall Capture çözümünün kullanılması tavsiye edilir. Bu servisin AGSS (Advanced Gateway Security Suite) lisansı gerektirdiği unutmamalıdır.

 

 

clip_image023

 

Servis etkinleştirilir ve Gateway Anti-Virus'ün tüm hizmetler üzerinde etkin olduğundan emin olunur.

 

Tüm dosya türlerinin inceleme için seçildiğinden emin olunur.

 

clip_image024

 

 

En iyi uygulama için, Capture işlevinin karar verilene kadar dosya indirmeyi engelle("Block file download until a verdict is returned") seçeneğini etkinleştirmesi önerilir. Bu, kötü amaçlı yazılımların test edilmeden sisteme geçmesini önler.
Capture ATP servisi tarafından bir karara varıncaya kadar dosya indirmeyi geciktirir. Bu, yasal dosyaların yanı sıra potansiyel olarak zararlı dosyaları da etkiler ve kullanıcıların indirmeyi yeniden denemelerini gerektirebilir.
 
NOT: Fidye virüsü her zaman İnternet üzerinden gerçekleşmeyebilir.
Paylaşılan dosyalar ve / veya sürücüler veya USB flash diskler ve harici diskler gibi paylaşılan çıkarılabilir ortamların üzerinde oluşabilir. Bu nedenle, ağdaki bilgisayarlara virüs bulaşmasını önlemek için LAN üzerinde de güvenlik önlemleri alınmalıdır.
 
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

Tarih : 06 Ocak 2019 Pazar 21:04 Yayınlayan: Bilal CİHAN

Yorumlar

 

Hakan UZUNER

Eline sağlık.

Ocak 6, 2019 22:05
 

Rıza ŞAHAN

Elinize sağlık.

Ocak 7, 2019 09:31
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Bilal CİHAN

Yönetim Bilişim Sistemleri, Ağ çözümleri ve güvenliği, Veri Depolama Çözümleri, Kablosuz Ağlar, Cisco

Bu Kategori

Hızlı aktarma

Etiketler