Güvenlik konusunda.

Yapınızda iyi ve doğru yönetilen bir firewall yoksa, erişim politikaları oluşturmuyorsanız, güvenlik update'leri güncel değilse erişim zaman meselesi sadece. RDP geçmek ve word attack o kadar zor değil. Elinizde backup olması şansınız türkiyede yüzlerce firma bu vakadan büyük zarara uğradı, uğruyor.

3389 dış dünyaya açık olması büyük bir açık. Genelde Vpn ile dışarıdan bağlantıların yapılması gerekiyor. Ücretsiz bir pfsense yapılandırılması bile büyük oranda güvenlik sağlayabilir.

Ayrıca artık microsoft desteği bitecek olan 2003 sunucuyu kullanmamanızı tavsiye ederim.

Etrafımda bu şekilde darbe yiyenlerin tamamı 3389 poru açık olan ve 2003 sunucu kullanan kişiler. 

Arkadaşlar hafta sonu yaşadığımız sıkıntı konusunda fikirlerinizi almak istiyorum.

Pazar öğle saatlerinde çalışanlardan bazıları sisteme giremediklerini belirterek aradılar kontrol edelim dedik ve biz de sisteme bağlanamadık. Şirkete gittiğimizde ise tüm verilerin cyrpt edildiğini asıllarının ise geri dönülemeyecek şekilde disk üzerinden silindiklerini gördük ve ayrıca backuplarımızı da bulup silmiş üzerine tabi 50.000$ para istendiği belirten bir text dökümanı bırakmış. 🙂 Şanslı olduğumuz tek nokta arkadaşlarımızdan biri c.tesi öğleden sonra backupları harici bir disk üzerine kopyalayıp diski sistemden ayırmış olması oldu, bu bizi büyük bir felaketten kurtardı.

Tahmin yürütebilmek için sistemin yapısından biraz bahsetmek isterim. Sistemde dış dünyaya 2 port açık, 1'i 3389 diğeri ise 1433. Admin passwordleri gayet karmaşık user passları ise bir o kadar basit olanlar varmış örneğin 123 gibi. Adam sistemde at koşturmuş resmen, admin olarak her istediğini gayet güzel yapmış. Sisteme login olunmaya çalışıldığını bazı arkadaşlar farkedip o ip.leri block ediyorlarmış zaman zaman, lakin amcam sonunda olayı başarmış ve sızmış. 3389'un natlandığı server 2008R2  1433'ün ise server2003.

Sizce bu adam hangi yöntemleri kullanmış olabilir?

DrayTek 3900 GOIP ile TR dışındaki IP adreslerine girişleri kapatın olsun bitsin, yada VPN deneyebilirsiniz cihazın piyasa fiyatı 1100 dolar seviyesinde pc toplayım Pfsense kurayım deseniz dam akıllı bir cihazda bu paraya gelir soğutması vs... gibi işlemleride yada kardeşi DrayTek 2960 alabilirsiniz aynı özellikler var. 

Merhaba,

2003 üzerindeki Brute Force açığını kullanarak girmiştir büyük ihtimalle. Karşılaşmıştım.

Arkadaşlar hafta sonu yaşadığımız sıkıntı konusunda fikirlerinizi almak istiyorum.

Pazar öğle saatlerinde çalışanlardan bazıları sisteme giremediklerini belirterek aradılar kontrol edelim dedik ve biz de sisteme bağlanamadık. Şirkete gittiğimizde ise tüm verilerin cyrpt edildiğini asıllarının ise geri dönülemeyecek şekilde disk üzerinden silindiklerini gördük ve ayrıca backuplarımızı da bulup silmiş üzerine tabi 50.000$ para istendiği belirten bir text dökümanı bırakmış. 🙂 Şanslı olduğumuz tek nokta arkadaşlarımızdan biri c.tesi öğleden sonra backupları harici bir disk üzerine kopyalayıp diski sistemden ayırmış olması oldu, bu bizi büyük bir felaketten kurtardı.

Tahmin yürütebilmek için sistemin yapısından biraz bahsetmek isterim. Sistemde dış dünyaya 2 port açık, 1'i 3389 diğeri ise 1433. Admin passwordleri gayet karmaşık user passları ise bir o kadar basit olanlar varmış örneğin 123 gibi. Adam sistemde at koşturmuş resmen, admin olarak her istediğini gayet güzel yapmış. Sisteme login olunmaya çalışıldığını bazı arkadaşlar farkedip o ip.leri block ediyorlarmış zaman zaman, lakin amcam sonunda olayı başarmış ve sızmış. 3389'un natlandığı server 2008R2  1433'ün ise server2003.

Sizce bu adam hangi yöntemleri kullanmış olabilir?

Bu arada rdp üzerinde brute force ile girmiyorlar genelde içeride bir client üzerinden sızıyorlar.

Ertan selam,

http://gallery.technet.microsoft.com/scriptcenter/Stop-Brute-Force-attacks-83bc495a

Cyber_RDP_Block.vbs 

Stop Brute Force Dictionary RDP attacks on the fly by null routing attacking IP addresses. 
This script function on Windows 2003 Server. 

Bu arada rdp üzerinde brute force ile girmiyorlar genelde içeride bir client üzerinden sızıyorlar.

Abi inan bana RDP brute force ile uğraşmıyorlar genelde mail aracılığı ile balık tutma usulü ile yerel bir kullanıcıya yedirip sonra onun üzerinde ağa sızıyorlar hatta bazen direk onun file sunucuda kendi bilgisayarında nereye yazma hakkı varsa aynen kilitliyorlar.

Abi şu pFsense için atom önerme işini bırakın bence, atom işlemcilerde donanımsal kriptolama yok o yüzden network gibi şifreli paket cenneti olan bir yerde  bir halt yiyemez. Madem önereceksiniz via nın AES destekli sistemlerini önerin yada tonla ARM board var onları önerin. Bunca millet salak olduğu için router cihazlarına risk işlemciler yada arm yada via işlemcileri kullanmıyor. Intelin network cihazları için olan işlemci ailesi XIP olması lazım atom değil onlarda zaten çok başarılı değiller( perfromans açısından yoksak çok dayanıklılar ) "http://www.intel.com/content/www/us/en/intelligent-systems/previous-generation/intel-ixp4xx-intel-network-processor-product-line.html""

İnsanlar kuruyorlar atomlara ondan sonra sorun üstüne sorun. Masa üstü işlemciden nework işlemcisi olmaz. Millet kuruyor atom işlemciye bir umutla sonra sistem çöp iki ay sonra soruyorsun ne yaptın diye abi xenona taşıdık sistemi ya xenon işlemci fiyatına hem router hemde switch alırım.

GEOIP işini VPN dışı publick olması gereken sistemler için önerdim. VPN kendi sistemi içindir ama aynı zamnada bir extraneti varse GEOIP o zaman iyi iş görüyor. Birde bizim DrayTek çiler yakında zamanda inboundNAT için con/rate limit eklerlerse cihaza o zaman elvada brute force.

Çok basitçe IP telefon geçirirsin abicim üzerinde PPTP ile üzerinden olur biter ( IP telefonların %90 destekler bunu özellikle NAT ın arkasında çalışıyorlarsa. Santrala PPTP ile bağlanıp öyle register oluyorlar bildiğin gibi bir port bir IP için kullanılır yani 10 tane telefonun varsa hepsi için ya Ip alacan ya VPN yapacan yada telefonun kendi özelliğini kullanacan. ), ayrıca unuttuğun birşey var ATOM gibi işlemciler sürekli olarak %100 çalışamazlar yani CPu time srekli meşgul olursa hata üretirler MHZ olayına aldanmayın 600 MHZ lik ARM yada Risk işlemci ile çok daha efektif network yönetirsin. Basitce söyleyim adamın birisi girer networküne firewall baypass etmek için başlar basit bir MAC değiştirme programı ile sürekli DHCp discover yapmaya ATOM işlemci sürekli offer yapmaktan bayılır kalır. Anlayacağın öyle çok fazla şifreli sistemede gerek yok.

Arıca çok başarılı olsa idi intel zaten IXP üretmezdi abi onu üretmek için milyon dolarlık üretim tesisi kuruyor adam atom kullanırsınız der geçerdi ayrıca x86 fıstık gibi üzerine ister linux firewall kur ister windows firewall

Abi yanlış anlaşılan konulardan biriside bu adam senin networküne saldıracak diye birşey yok senin networkün üzerinde başka bir yerede saldırabilir. Bak şimdi atıyorum herhangi bir siteyi durdurmak istedin sitedeki firewallda session limit var belli bir istekden sonra seni blokluyor ne yaparsın ? basit public dnsleri bulursun sonra gider bu public dns lere düşük rate li sorgular yaparsın onlarda topluca gider o sunucuya sorgu yapar sonucunda binlerce farklı IP adresinden milyonlarca sorgu yersin sonuç adamın sistemi susturursun.

Yani illa bana saldıracaklar diye düşünmeyin.

Adam senin sistemine 100 tane sorgu yapar ama senin sistemin gibi binlercesinden başka bir sisteme milyon sorgu yapar.

Basitçe ddos saldırısı işte. 

GEOIP işini VPN dışı publick olması gereken sistemler için önerdim. VPN kendi sistemi içindir ama aynı zamnada bir extraneti varse GEOIP o zaman iyi iş görüyor. Birde bizim DrayTek çiler yakında zamanda inboundNAT için con/rate limit eklerlerse cihaza o zaman elvada brute force.

Port IP to IP yapmak yeterli. Olmuyorsa VPN ve fail2ban gibi bir sey kullanmak yeterli olur. Ancak arkadaslarin network aman aman bir atak yedigini sanmiyorum. Yiyorsada snort ile işini cozebilir. Birde netflow uygularsa iyi bir analizle iyi bir sistem olur. Bu arada hiç bilmediğimiz bir ağ için konuşuyoruz. 🙂

Port IP to IP kullanıcılar ülke içinde ama Dynamic IP adresine sahip olabilir zaten gezici ise 3G vardır onda da static IP pahalı.

fail2ban bu sistem bildiğim belli servisler için loglar aracılığı ile çalışıyor, ayrıca UDP tarafında adam tek bir session üzerinde tonla sorgu yapabilir. 

Ertan selam,

http://gallery.technet.microsoft.com/scriptcenter/Stop-Brute-Force-attacks-83bc495a

Cyber_RDP_Block.vbs 

Stop Brute Force Dictionary RDP attacks on the fly by null routing attacking IP addresses. 
This script function on Windows 2003 Server. 

 

 

Bu arada rdp üzerinde brute force ile girmiyorlar genelde içeride bir client üzerinden sızıyorlar.

Abi mesaın orjinalini okudun, ben RDP si dışarı açık olmayan sunucularda bile bu olayı gördüm. Nereden yakaladın diyeceksin bildiğin gibi biz NAS cihazı da satıyoruz NAS ınloglarından yakaladık. Adam NAS kendi sistemine MAP ediyor sonra MAP edilmiş alanda şifreleniyor bizim müşteriler beş kuruş ödemedi abi NASIn içindeki yedekten anında geri dönderdik sistemi ama sonuç adam sızmıyor mail ile balık tutuyor. Coğu sistemin önünde de bilindik marka UTM cihazları vardı abi 😀 ilk gün saldırısı korumalı. 

not : nası MAP eden şifreleyen değil yerel kullanıcı kolay kullanmak için MAP ediyor e hakkıda oldumu oraya erişmeye yazma çizmeye 🙂 tabi loglara anında düşüyor dosyalara kimin eriştiği. Sonra bir önceki yedeğe dönü veriyorsun sorun yok tabi, sorunlu sistemde arama yapınca mail sisteminde çıkıyor.

>Port IP to IP kullanıcılar ülke içinde
ama Dynamic IP adresine sahip olabilir zaten gezici ise 3G vardır onda
da static IP pahalı.

Baglantilari yada lokasyonlari Site to Site ise diye soyledik. VPN vs. set edene kadar en azindan o arada ağını kurmus olur. Daha sonra VPN sistmini kurar. Özetle hiç bir şey yapmiyorsan bari boyle yapta problem yaşamasın diye önerdim. Yine burada kaynak hedeflerin lokasyon mu yoksa client bazli yazmadigindan önermis oldum.

> fail2ban bu
sistem bildiğim belli servisler için loglar aracılığı ile çalışıyor,
ayrıca UDP tarafında adam tek bir session üzerinde tonla sorgu
yapabilir. 

UDP içinde korumasi mevcut. Tabi burada ipspoof ile gelir dersenizde o zaman yine Linux kernel içinde koruma yapabilir. "rp_filter" Ayrica Bogon network korumasi yaptiktan sonra IDS ile cozumleyebilir ki bu aradakslar disariya acik bir udp sistemi oldugunu yazmamis. DDOS gibi ataklara yapilacaklar bir kaç madde dışında pek bir şey kalmiyor. DDOS kastımın BOT saldırısı olarak diyorum. Yoksa spooff ve bogon saldirisi değil bunlari engellenebilir. Tabi yine gelen bot 'un sayisi vs. vs. gibi...

Programı yazan adamın bu işten haberi yok ben söyleyeyim. http://www.fail2ban.org/wiki/index.php/Main_Page

"Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).

Fail2Ban is able to reduce the rate of incorrect authentications attempts however it cannot eliminate the risk that weak authentication presents. Configure services to use only two factor or public/private authentication mechanisms if you really want to protect services." 

Arıca çok başarılı olsa idi intel zaten IXP üretmezdi abi onu üretmek için milyon dolarlık üretim tesisi kuruyor adam atom kullanırsınız der geçerdi ayrıca x86 fıstık gibi üzerine ister linux firewall kur ister windows firewall

Mesele oradan çıkıyorsa "Arm" yerien "PowerPC" cpu board almak daha iyidir. Atom'da dediğini gibi çöp değildir. Çöp yerine "işe yaramaz" desen çok daha iyi olur. Ve hemen ardindan'da şu , şu sebeblerden dolayi desen ala olurdu. Bizde senden yararlanmis olurduk. Ancak şifreleme dedin orada kaldik. Onun yerine DHCP ataklari gibi LAN olabilecek ataklari kast etigini dusunsek bu ARM ve Powerpc cpu içinde geçerlidir. Yapacağın atak türündeki sıklık ve kaynak atak sisteminin gücüyle orantilidir. Hatta Bruteforce bile yine atak kaynak sistemine dogru orantili olarak DDOS sayilebilecek gibi olabilir. Yani adamin tuturmasi onemli degil.

Telefon örneğini vermiştim üzernden geçirirkende sorun yaratıyor paket boyutlarının sürekli değişmesi ve fragmante paket boyutu diye açıklama gereği duymamıştım.

Abi intel in sitesi hemen orada ark.intel.com buyur bak oradan 🙂 yazılanı tekrardan yazmaya ne gerek var ki. 

Ertan cok haklısın hackingin tek bir yöntemi olması zaten mantıklı değil.

Bir arkadasın şirketi aynı dertten muzdaripti. ben aracı oldum. abi ayağına yatıp hevesli ergen gibi davranıp bütün detayları ögrenmiştim 🙂

O bahsetmişti 2003 Brut force atağından. Bende Bilişim suçlarını aramıştım. Orda ki bilirkişi işletim sistemi upgradi yapın. 2003 kalmasın sistemde

1 haftada 221 kişinin sistemine girildi. hepsi 2003 demişti.

Ertan selam,

http://gallery.technet.microsoft.com/scriptcenter/Stop-Brute-Force-attacks-83bc495a

Cyber_RDP_Block.vbs 

Stop Brute Force Dictionary RDP attacks on the fly by null routing attacking IP addresses. 
This script function on Windows 2003 Server. 

 

 

Bu arada rdp üzerinde brute force ile girmiyorlar genelde içeride bir client üzerinden sızıyorlar.

Abi mesaın orjinalini okudun, ben RDP si dışarı açık olmayan sunucularda bile bu olayı gördüm. Nereden yakaladın diyeceksin bildiğin gibi biz NAS cihazı da satıyoruz NAS ınloglarından yakaladık. Adam NAS kendi sistemine MAP ediyor sonra MAP edilmiş alanda şifreleniyor bizim müşteriler beş kuruş ödemedi abi NASIn içindeki yedekten anında geri dönderdik sistemi ama sonuç adam sızmıyor mail ile balık tutuyor. Coğu sistemin önünde de bilindik marka UTM cihazları vardı abi 😀 ilk gün saldırısı korumalı. 

 

not : nası MAP eden şifreleyen değil yerel kullanıcı kolay kullanmak için MAP ediyor e hakkıda oldumu oraya erişmeye yazma çizmeye 🙂 tabi loglara anında düşüyor dosyalara kimin eriştiği. Sonra bir önceki yedeğe dönü veriyorsun sorun yok tabi, sorunlu sistemde arama yapınca mail sisteminde çıkıyor.

    Çok basit bir yöntem var rdp dışarıya kapatıp kullanıcıları vpn ile içeriye erişmesi sağlamak

       Bildigim kadarıyla 2003 serverlarda admin şifresi sınırsız denenebiliyor buradada saldırı yapan arkadaşın ne kadar yetenekli bir wordlist olmasıyla alakalı eğer şifre basit ise yada karmaşık ama saldırı yapanın wordlistinde mevcut ise kaçanılmaz son...

Abi inan bana RDP brute force ile uğraşmıyorlar genelde mail aracılığı ile balık tutma usulü ile yerel bir kullanıcıya yedirip sonra onun üzerinde ağa sızıyorlar hatta bazen direk onun file sunucuda kendi bilgisayarında nereye yazma hakkı varsa aynen kilitliyorlar.

 

Abi şu pFsense için atom önerme işini bırakın bence, atom işlemcilerde donanımsal kriptolama yok o yüzden network gibi şifreli paket cenneti olan bir yerde  bir halt yiyemez. Madem önereceksiniz via nın AES destekli sistemlerini önerin yada tonla ARM board var onları önerin. Bunca millet salak olduğu için router cihazlarına risk işlemciler yada arm yada via işlemcileri kullanmıyor. Intelin network cihazları için olan işlemci ailesi XIP olması lazım atom değil onlarda zaten çok başarılı değiller( perfromans açısından yoksak çok dayanıklılar ) "http://www.intel.com/content/www/us/en/intelligent-systems/previous-generation/intel-ixp4xx-intel-network-processor-product-line.html""

İnsanlar kuruyorlar atomlara ondan sonra sorun üstüne sorun. Masa üstü işlemciden nework işlemcisi olmaz. Millet kuruyor atom işlemciye bir umutla sonra sistem çöp iki ay sonra soruyorsun ne yaptın diye abi xenona taşıdık sistemi ya xenon işlemci fiyatına hem router hemde switch alırım.

Ben konuyu maliyetten dolayı biliyorum. Bu donanımsal hardware kriptolaması oldukça eskilerde kalan konu. Günümüz modern x86 işlemcileri için pekte geçerli değil. Yanlış anlaşılmasın ben ARM tabanı kötü demiyorum. Sadece konu maliyetle alaka. Pfsense konusunda size katılıyorum.

Ayrıca 100 Mbit simetrik hat üzerinden vpn mi yapacak ki oturup VPN performansını tartışıyoruz.