Anasayfa » Forum

Etherneti Zaman Aya...
 
Bildirimler

[Çözüldü] Etherneti Zaman Ayarlı Otomatik Kapama ve Açma  

  RSS
mehmet gezginç
(@mehmetgezginc)
Üye

Merhabalar Özel olmayan bir Kurumda Bilgi işlem Sorumlusu olarak çalışıyorum son 2 yılda 2018 ve 2019 yıllarında 2 sefer fidye virüsü saldırısına uğradık. Güvenlik duvarı fortigate  lisanslı olmasına rağmen. Allah'a çok şükür kendi imkanlarımla yedeklemeleri düzenli olarak yaptığım için hiçbir sorun yaşamadım. Sabit olan IP numaramı da değiştirmemin gerekli olduğunu düşündüm fakat kurum olduğu için bu durum telekom haricinde kurumumuzun diğer kurumlardan kullanmış olduğu birçok internet ve web tabanlı yazılımları olduğu için bunu bütün kurumlara yazışmayla bildirmem gerektiği için hayli zaman almasından ziyade IP adresi değişse bile tekrar aynı gün fidye virüsüne maruz kalan kurumların bilgisini aldım. Günümüzde nas cihazları var fakat bunlarda doğru konumlandırılmadığı takdirde fidye virüsleri buna da bulaşabiliyor. Bu tür cihazların uyku modu gibi özelliklerinden faydalanarak doğru konumlandırılması gerekiyor.Bu sorunun en iyi çözümünü şuan Bulut yedekleme de buldum. Çünkü bulut sistemleri kriptolu verileri kabul etmediği gibi, geçmiş tarihte ve saatte verilerinizi geri getirebilirsiniz. Örneğin 1 gün öncesi verilerinize ulaşabiliyorsunuz. Bunun haricinde tek satırlık bir .bat uzantılı olan komutla ethernetimi görev zamanlayıcı ile belirlemiş olduğum gün ve saatlerde otomatik kapanıp, açılmasını sağlıyorum. Yaptığım işlemlerimi sıralayım;

1-Bulut sistemine anlık yedekleme.

2-Manuel olarak Client bir bilgisayara hergün otomatik belirlenen saatte yedekleme (imaj şeklinde).

3-Etherneti görev zamanlayıcısı ile hergün, hafta sonların hariç (hafta sonları kapalı) otomatik belirlediğim saatlerde kapatması ve açması.

Aç komutu: "netsh interface set interface "Ethernet" enable" (tırnak içinde belirttiğim komutu tırnak işareti olmadan oluşturmalısınız .bat uzantılı olarak)

Kapat komutı: "netsh interface set interface "Ethernet" disabled" (tırnak içinde belirttiğim komutu tırnak işareti olmadan oluşturmalısınız .bat uzantılı olarak)

Bu yapmış olduğum işlemleri benim gibi fidye virüsü bulaşmış veya bulaşabilecek risk altında olan ve birde benim durumumda (Bilgi İşlem Sorumlusu) olan arkadaşlara bir faydam olursa düşüncesiyle bu konuyu yazarak belirtmek istedim.

Bu konu 1 ay önce 3 defa mehmet gezginç tarafından düzenlendi
Alıntı
Gönderildi : 22/01/2020 10:12
Resul SOYDAŞ
(@resulsoydas)
Üye

Tamam da personel mesai bitiminde bilgisayarlarını kapatmıyorlar mı?

CevapAlıntı
Gönderildi : 22/01/2020 11:29
mehmet gezginç
(@mehmetgezginc)
Üye

@resulsoydas

Personel kapatıyor personelde sıkıntı yok. Ana makine yani sunucumuz devamlı açık olduğu için bütün bunları sadece sunucu için yapıyorum. Zaten önce direk sunucuları hedef alıyor çoğunlukla fidye virüsleri.

Bu ileti 1 ay önce mehmet gezginç tarafından düzenlendi
CevapAlıntı
Gönderildi : 22/01/2020 12:15
ibrahim yildiz
(@ibrahimyildiz)
Üye

Yöntemi paylaşmanız güzel ama kulağı tersten tutmak olmuş sanki biraz. Aktif role sunucuların ethernet'ini kapatamazsınız ki roller mesai saatleri dışında da aktif kalmalı. Tavsiye olarak bunun yerine doğru senaryo, policy'ler oluşturulması gerekmekte bu tip attacklar için. Burada firewall, anti çözümler ve offsite backup ana aşamalar. Örneğin sizin yaptığınız da bir amatör offsite backup uygulaması. Offsite backup cloud, tape yada unmount edilen bir external disk olabilir ve tabi ki bunu yönetecek bir yazılım. Ayrıca local ransomware ataklarında wan ip değiştirmenize gerek yok. İçeri sızmalarda da temel de gerek yok. Sızma gerçekleşen ortamlar açık kaldığında çoğunluk senaryo da IP değişse de yine sizi bulurlar. O yüzden açıkların kapatılması, dışarıdan erişimlerin denetim altına alınması ana mecburiyet. Mesela bu devlette bir web portal üzerinden gerçekleşmişse de bildirirsiniz o konuda uzman desteğiyle çözüm üretmeleri gerekir.

CevapAlıntı
Gönderildi : 22/01/2020 13:24
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba, endüstri standartı olmayan yöntemler hiç bir zaman kullanmayın. Özellikle bu ethernet açma, kapatma çok riskli bir durum.

Bunun yerine aslında en iyi çözümü bulmuşsunuz. Kamu kurumu olduğunuzu düşünüyorum, "yerel" pek çok bulut sağlayıcısı var, bunlara verilerinizi on-prem de şifrleyip yollayabiliyorsunuz. Bu sayede %100 güvenlik sağlayabilirsiniz.

Diğer yöntemler yönetilmesi zor şeyler bence.

İnceleyebilirsiniz

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/01/2020 23:36
Paylaş: