Uzaktan yönetim programlarının firewall dan engellenmesine dair

merhaba

internetten yönetim dışında hepsinin var bir portu

mesela teamwiever ın portu 5900
 

Merhaba.

ISA Server'ın HTTP Filtering özelliği ile bunu yapabilirsiniz. Portalda makaleside var.

OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.

Firewall da Untrust tan Trust a tüm portlar kapalı sadece HTTP HTTPS FTP POP3 açık ama teamviewer clientine bağlanabiliyor. Bu durum nasıl gerçekleşiyordur?

80 nolu portu kullanıyor

Buğra bey 5910 nolu portu kullanıyor demişti o yüzden sordum. o halde donanımsal firewall ile buna engel olabilmek için layer 7 desteği şart yada isa ile halledebiliyorsuz yani değl mi?

araştırırken yabancı bir forumda 5900 teamwiever portu gördüm. belki client tarafında işe yarıyordur bağlanırken hani. bende sizin gibi tüm portları kapatmıştım teamwiever dan client a bağlanıyordum.

ama vnc ve radminin nat yapmadan çalışmıyor bizzat denedim.

teamwiever için isa dan http filtering yapılabilir Serhatın da dediği gibi. 

outgoing için 80

incoming için 5938 (bu bizi ilgilendirmiyor, point to point bağlantı için)

Nette bunun için bir signature'a denk gelmedim ama ethereal ile gelen paketleri incelersen, header bilgisine ulaşabilirsin.

80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.

OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.

Murat'ın verdiği bu cevap ancak işinizi görebilir. Sanırım juniper kullanıyorsunuz. Bunun için IDP kullanmanız lazım. Untrusttan - trustta engel koyarsa çerezlerde sorun olabilir düşüncesindeyim.

Saygılar

Selamlar ;

Logmein ve teamviewer tarzı yazılımlarda istekler içeriden başlatıldıgı ıcın untrust tan trust a 80 ı kapatmanız işe yaramayacaktır ancak ıcerıden dısarıya çıkışları engelleyerek kapatmanız gerekır 80 portu logmein için sadece yanlış hatırlamıyorsam teamviewer 5900 kullanıyordu yada vnc mı idi ama internetten kullandıgı port bulunabılır ama bu kullanılan port u ıcerıden dısarıya dgru yasaklamanız gerekmekte firewall da teamviewer vb programlar ıcın port numarası  bulunup kapatılabılır ama logmein 80 ı kullandıkları ıcın  clıent ın ınternete erişme sorunu oluşacaktır ve bence signature yasaklaması tarzı bi yontem daha uygun olacaktır.

Teşekkürler. 

 

80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.

Merhabalar,

Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?

Merhaba;
İçerideki kullanıcıların teamviewer serverlar ile bağlantısını keserseniz sorun kalmaz.Boşuna port kapatmak imza eklemekle uğraşmayınız.Zaten siz bağlantıyı keserseniz teamviwer sunucusunu bulamadığı için size proxy hatası verir.Bilginize
Selamlar

Merhabalar,

Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?

Sn f1security ,

Soruyu yazan Sn. Kamil Onat. Tek bir uzak erişim programından bahsetmemiş dikkat ederseniz. Eğer tek bir programdan bahsetseydi bu bir şekilde engellenirdi. Genelleme yaptığı için tümünü düşünmek lazım bu durumda uygulama katmanlarında erişimi engellemek zorunda.

Merhaba ;
Haklısınız.Söylediğim çözüm geneline uygun bir yapıda takdir ederseniz.80 portu üzerinden proxy yaptığı malum.Ya uygulama katmanında yada proxyleri engellemek için sunucu iletişimi kesmesi yeterlidir.Aplication layerda engellemesi gerekmekte ama elindeki firewall  yapıya uygunmu ?uygulama katmanında engelleme yapabilirmi bunları bilmiyoruz.Buna istinaden sunucu iletişimi kesmesi yeterli demiştim.
Selamlar

Merhabalar

Bu konuyu açmamdaki bir sebepte şudur; Teamviewer yada logmein gibi programlar bizim bildiğimiz piyasada free yada trial olarak dağıtılan programlar. Bunları bile engellemek için bir sürü uğraş vermemiz gerekiyor portunu bilmemiz yada serverlerini. Prki bizim bilmediğimiz ama birileri tarafından kullanılan bu tarz programlar olabilir ve biz bunların tümünü engelleyebilirmiyiz? Ne portunu biliyoruz ne serverini nede bir başka şeyini. Sadece firewall ımız var birde sizin gibi tecrübeli arkadaşlar.. Bu konuda neler yapılabilir hakkında konuşmak arzusundayım.

Merhaba Kamil Bey,

Bu durum kurumun mevcut yapısına göre değerlendirilmelidir. Eğer bir domain ortamında çalışıyorsanız ve kullanıcı hakları doğru ayarlanmış ise kullanıcının bu tarz programları kullanma şansı zaten olmayacaktır. Diyelim ki kullanıcılarınız workgroup ortamında veya domain ortamında belirli haklara sahip ve bu durumda ne yapmanız gerekiyor ?

İşte burada yukardaki çözümlere ek olarak networkünüzü daima izleminiz ve bu durumu tespit etmeniz gerekecektir. Bu analiz işlemi ayrıca bir uzmanlık gerektirir ki mevcut paketleri incelerken neyin ne olduğunu anlayabilmekten geçiyor. Yukarıdaki sorunuzun net cevabı networkü izlemek ve tespit edilen ismini bilmediğiniz bu remote programlarını engelleme yollarını tespit edip engelleyebilirsiniz olarak özetleyeyim.

Saygılar

Çok teşekkür ederim ayrıntı için. Tam bir domain yapısı yok olanalrdan hakalrı olan kullanıcıalr çoğunlukta. Ama dediklerinizden yaklaşık olarak sonuçlar çıkartabildim. Bir başka sorum olacak. Şubelerde bildiğimiz klasik ve ucuz switch ler kullanılmakta ve o switch biri bir kablo taksa networke girmiş olacak. dhcp dende ip alacak yada elle verecek. Ben şubelere nasıl bir switch koyarak yada nasıl bir kontrolle merkezden onay almadan networke bile girmelerine engel olabilirim?

Kamil Bey yeni sorunuz için yeni bir başlık açmak forum kullanımı açısından daha iyi olacaktır. Yeni başlık altında sorunuzu yanıtlamaya çalışacağım. Birde mevcut yapınızı kullandığınız şekli ile anlatırsanız daha açıklayıcı olacaktır.