Uzaktan yöneti...
 
Bildirimler
Hepsini Temizle

Uzaktan yönetim programlarının firewall dan engellenmesine dair  

  RSS
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?

Alıntı
Gönderildi : 28/03/2008 16:04
Bugra KESKIN
(@bugrakeskin)
Saygın Üye

merhaba

internetten yönetim dışında hepsinin var bir portu

mesela teamwiever ın portu 5900
 

CevapAlıntı
Gönderildi : 28/03/2008 16:07
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

Merhaba.


ISA Server'ın HTTP Filtering özelliği ile bunu yapabilirsiniz. Portalda makaleside var.

CevapAlıntı
Gönderildi : 28/03/2008 16:20
Murat GUCLU
(@muratguclu)
Üye

OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.

CevapAlıntı
Gönderildi : 28/03/2008 16:21
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Firewall da Untrust tan Trust a tüm portlar kapalı sadece HTTP HTTPS FTP POP3 açık ama teamviewer clientine bağlanabiliyor. Bu durum nasıl gerçekleşiyordur?

CevapAlıntı
Gönderildi : 28/03/2008 16:34
Murat GUCLU
(@muratguclu)
Üye

80 nolu portu kullanıyor

CevapAlıntı
Gönderildi : 28/03/2008 16:42
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Buğra bey 5910 nolu portu kullanıyor demişti o yüzden sordum. o halde donanımsal firewall ile buna engel olabilmek için layer 7 desteği şart yada isa ile halledebiliyorsuz yani değl mi?

CevapAlıntı
Gönderildi : 28/03/2008 17:31
Bugra KESKIN
(@bugrakeskin)
Saygın Üye

araştırırken yabancı bir forumda 5900 teamwiever portu gördüm. belki client tarafında işe yarıyordur bağlanırken hani. bende sizin gibi tüm portları kapatmıştım teamwiever dan client a bağlanıyordum.

ama vnc ve radminin nat yapmadan çalışmıyor bizzat denedim.

teamwiever için isa dan http filtering yapılabilir Serhatın da dediği gibi. 

CevapAlıntı
Gönderildi : 28/03/2008 17:36
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

outgoing için 80


incoming için 5938 (bu bizi ilgilendirmiyor, point to point bağlantı için)


Nette bunun için bir signature'a denk gelmedim ama ethereal ile gelen paketleri incelersen, header bilgisine ulaşabilirsin.

CevapAlıntı
Gönderildi : 28/03/2008 17:53
Murat GUCLU
(@muratguclu)
Üye

80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.

CevapAlıntı
Gönderildi : 28/03/2008 18:06
Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

[quote user="Murat GUCLU"]

OSI Application katmanında  bloklama yapabilirsiniz. Bunlar için IDS kullanmanız veya kullandığınız firewall 'un L7 destekli olup ilgili signature ı desteklemesi gerekir.


[/quote]


Murat'ın verdiği bu cevap ancak işinizi görebilir. Sanırım juniper kullanıyorsunuz. Bunun için IDP kullanmanız lazım. Untrusttan - trustta engel koyarsa çerezlerde sorun olabilir düşüncesindeyim.


Saygılar

CevapAlıntı
Gönderildi : 28/03/2008 18:21
 Anonim

Selamlar ;

Logmein ve teamviewer tarzı yazılımlarda istekler içeriden başlatıldıgı ıcın untrust tan trust a 80 ı kapatmanız işe yaramayacaktır ancak ıcerıden dısarıya çıkışları engelleyerek kapatmanız gerekır 80 portu logmein için sadece yanlış hatırlamıyorsam teamviewer 5900 kullanıyordu yada vnc mı idi ama internetten kullandıgı port bulunabılır ama bu kullanılan port u ıcerıden dısarıya dgru yasaklamanız gerekmekte firewall da teamviewer vb programlar ıcın port numarası  bulunup kapatılabılır ama logmein 80 ı kullandıkları ıcın  clıent ın ınternete erişme sorunu oluşacaktır ve bence signature yasaklaması tarzı bi yontem daha uygun olacaktır.

Teşekkürler. 

 

[quote user="Murat GUCLU"]80 portunu kullanan birçok program (logmein, hamachi...) var. Bence kapatabiliyorsanız 80 portunu untrust to trust tan kapatın. Sanırım Owa için kullanıyorsunuz. SSL li kullansınlar.[/quote]

CevapAlıntı
Gönderildi : 29/03/2008 04:52
Savas Demir
(@savasdemir)
Saygın Üye

[quote user="Kamil Onat"]

Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?

[/quote]
Merhaba;
İçerideki kullanıcıların teamviewer serverlar ile bağlantısını keserseniz sorun kalmaz.Boşuna port kapatmak imza eklemekle uğraşmayınız.Zaten siz bağlantıyı keserseniz teamviwer sunucusunu bulamadığı için size proxy hatası verir.Bilginize
Selamlar

CevapAlıntı
Gönderildi : 29/03/2008 12:34
Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

[quote user="Kamil Onat"]

Merhabalar,


Radmin RDP yada vs türü programlar belirli portları kullanarak clientlerinin kurulu oldukları PC lere erişim imkanı veren programlar. Firewall dan bu portları kapattığımızda bu erişimlere engel olabiliyoruz. Ama HTTP (80) nolu port internet için mecbure açık. Bazı programlar (teamviewer gibi) herhangi farklı bir port kullanmıyro sanırım 80 nolu portu kullanıyorlar. Bu port internet için açık olduğuna göre firewall dan bu tarz programların kullanıllanılmasına nasıl engel olabilriim?


[/quote]


Sn f1security ,


Soruyu yazan Sn. Kamil Onat. Tek bir uzak erişim programından bahsetmemiş dikkat ederseniz. Eğer tek bir programdan bahsetseydi bu bir şekilde engellenirdi. Genelleme yaptığı için tümünü düşünmek lazım bu durumda uygulama katmanlarında erişimi engellemek zorunda.

CevapAlıntı
Gönderildi : 29/03/2008 15:17
Savas Demir
(@savasdemir)
Saygın Üye

Merhaba ;
Haklısınız.Söylediğim çözüm geneline uygun bir yapıda takdir ederseniz.80 portu üzerinden proxy yaptığı malum.Ya uygulama katmanında yada proxyleri engellemek için sunucu iletişimi kesmesi yeterlidir.Aplication layerda engellemesi gerekmekte ama elindeki firewall  yapıya uygunmu ?uygulama katmanında engelleme yapabilirmi bunları bilmiyoruz.Buna istinaden sunucu iletişimi kesmesi yeterli demiştim.
Selamlar

CevapAlıntı
Gönderildi : 29/03/2008 15:35
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Merhabalar


Bu konuyu açmamdaki bir sebepte şudur; Teamviewer yada logmein gibi programlar bizim bildiğimiz piyasada free yada trial olarak dağıtılan programlar. Bunları bile engellemek için bir sürü uğraş vermemiz gerekiyor portunu bilmemiz yada serverlerini. Prki bizim bilmediğimiz ama birileri tarafından kullanılan bu tarz programlar olabilir ve biz bunların tümünü engelleyebilirmiyiz? Ne portunu biliyoruz ne serverini nede bir başka şeyini. Sadece firewall ımız var birde sizin gibi tecrübeli arkadaşlar.. Bu konuda neler yapılabilir hakkında konuşmak arzusundayım.

CevapAlıntı
Gönderildi : 31/03/2008 13:49
Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Merhaba Kamil Bey,


Bu durum kurumun mevcut yapısına göre değerlendirilmelidir. Eğer bir domain ortamında çalışıyorsanız ve kullanıcı hakları doğru ayarlanmış ise kullanıcının bu tarz programları kullanma şansı zaten olmayacaktır. Diyelim ki kullanıcılarınız workgroup ortamında veya domain ortamında belirli haklara sahip ve bu durumda ne yapmanız gerekiyor ?


İşte burada yukardaki çözümlere ek olarak networkünüzü daima izleminiz ve bu durumu tespit etmeniz gerekecektir. Bu analiz işlemi ayrıca bir uzmanlık gerektirir ki mevcut paketleri incelerken neyin ne olduğunu anlayabilmekten geçiyor. Yukarıdaki sorunuzun net cevabı networkü izlemek ve tespit edilen ismini bilmediğiniz bu remote programlarını engelleme yollarını tespit edip engelleyebilirsiniz olarak özetleyeyim.


Saygılar

CevapAlıntı
Gönderildi : 31/03/2008 15:31
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Çok teşekkür ederim ayrıntı için. Tam bir domain yapısı yok olanalrdan hakalrı olan kullanıcıalr çoğunlukta. Ama dediklerinizden yaklaşık olarak sonuçlar çıkartabildim. Bir başka sorum olacak. Şubelerde bildiğimiz klasik ve ucuz switch ler kullanılmakta ve o switch biri bir kablo taksa networke girmiş olacak. dhcp dende ip alacak yada elle verecek. Ben şubelere nasıl bir switch koyarak yada nasıl bir kontrolle merkezden onay almadan networke bile girmelerine engel olabilirim?

CevapAlıntı
Gönderildi : 31/03/2008 16:35
Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Kamil Bey yeni sorunuz için yeni bir başlık açmak forum kullanımı açısından daha iyi olacaktır. Yeni başlık altında sorunuzu yanıtlamaya çalışacağım. Birde mevcut yapınızı kullandığınız şekli ile anlatırsanız daha açıklayıcı olacaktır.


 

CevapAlıntı
Gönderildi : 31/03/2008 16:48
Paylaş: