Anasayfa » Forum

Log Kayıtları Hakkı...
 
Bildirimler

Log Kayıtları Hakkında  

  RSS
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Üstadlar merhaba kaç gündür bir çözüm bulamadım neden olduğunu da bulamadım pcleri tarattım virüste yok ama anlamadığım kayıtlar oluşuyor.

Ayrıca telnet ve ssh üzerinden saldırı alıyorum firewall engelliyor ama engellemeye çalışırken yoruluyor ve networkte yavaşlama oluşuyor. Bu gelen istekleri engellemeyle uğraşmayıp direk drop edip bağlantıyı kesmesini nasıl sağlayabilirim acaba? Aşağıda resimleri paylaşıcam.

dc server da dhcp kurulu ama neden böyle bir istekte bulunuyor firewalla anlamış değilim.

10.0.0.252 içeride bir routera ait o ne isteği gönderiyor anlamadım. 192.168 ile başlayanlar modemler ve upnp kapalı. bu modemlere bilmiyorum ama script falan koyuluyor mu böyle acaba.

asıl önemlisi bu telnet saldırılarını nasıl drop edeceğim. ben firewalldan any-external to firebox olarak telnet kuralı oluşturup bunu deny yaptım ama yok olmuyor telnet portlarını blocked port ekledim yine olmuyor. aşağıda saldırılar görünüyor.

biri yardımcı olursa sevinirim olmasanızda canınız sağolsun yapacak birşey yok.

teşekkür ederim.

Alıntı
Gönderildi : 13/02/2017 18:17
Hüseyin ERTUGRUL
(@huseyinertugrul)
Üye

Mücahit bey merhaba,

Sorduğun sorular için oturup saatlerce konuşulabilir ama bu imkan olmadığından burada kısa cevap vermek gerek, ya da balık tutmayı öğrenmen gerek kısaca.

Trafik monitörde gördüğün trafiğin neden kaynaklandığını anlamak için internet üzerinde arama yaparak sonuç alabilirsin. Örnek olarak TCP/1900 portu için  http://www.speedguide.net/port.php?port=1900  açıklama bu linkte.

Firewall kullanmamızın amacı sistemlerimizi korumasıdır, bunu yaparken firewall yorulacaktır doğal olarak. Dışardan gelen telnet isteklerini doğru şekilde bloklamış görünüyorsun faka bu bloklama firewall üzerinde her bir ip için bir kayıt açtığından bazı çok sayıda atak firewall performansını olumsuz etkiler. Küçük bir cihazın varsa memory darboğaza düşebilir.

Bu yüzden blokladığın trafiği takip ederek performans kaybını kontrol altında tutmalısın.

CevapAlıntı
Gönderildi : 14/02/2017 02:12
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Hocam çok teşekkür ediyorum. Valla vaktinizi alıyorum hakkınızı helal edin ama işin içinden çıkamadığım için yazıyorum buraya. Bundan 1 ay öncesine kadar firewallın fsini bilmiyordum ama şimdi araştırmalarım denemelerim ve sizin de sayenizde watchguard üzerinde bilmediğim kullanamadığım çok az yer var. 

Bu portları araştırdım zaten ama benim anlamadığım ben upnpyi modemlerde kapattığım halde bu istek modemden nasıl çıkıyor kafam buraya takıldı.

Saldırının telnet üzerinden geldiğini de zaten logları inceleyerek buldum. İzin vermedikçe ne giriş ne çıkış var şükür çözdüm bu firewall kullanım mantığını.

Tekrar sağolun. Saygılar üstadım.

CevapAlıntı
Gönderildi : 14/02/2017 03:03
Hüseyin ERTUGRUL
(@huseyinertugrul)
Üye

Modem tarafındaki multicast paketlerinin neden durmadığı biraz da modem üreticisi ile ilgili, o tarafta kaynak varmıdır araştırmak gerek.

Bu şekilde öğrenmeye devam ederseniz yakında güvenik uzmanı olabilirsiniz, tebrikler Mücahit bey.

CevapAlıntı
Gönderildi : 14/02/2017 11:37
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Birde eski firmware yükleyeyim düzelir belki o zaman.

Teşekkür ederim hocam sağolun varolun.

CevapAlıntı
Gönderildi : 14/02/2017 12:51
Paylaş: