Bir güvenlik duvarının en kritik görevlerinden bir tanesi bir saldırı karşısında karşı tepki göstermesidir. Bir saldırı olduÄŸunda en iyi davranışın savunmanın ilk hattını internetten kesmek, güvenlik sorunu yaÅŸayan aÄŸ bölümünü diÄŸer aÄŸlardan izole etmek olarak görülür. Ancak önerilen ve yapılması izlenilmesi gereken yaklaşım bu olmamalıdır. Saldırı uygun ÅŸekilde karşılanmalı, aÄŸ iÅŸleyiÅŸi mümkün olan en kısa zamanda çalışır hale getirilmeli ve saldırının kaynağı tanımlanmalıdır.

ISA Server ile beraber gelen Lockdown (Kilitlenme) kipi yukarıda bahsettiÄŸimiz izole etme gereksinimi ile ağın çalışabilir durumda kalması gereksiniminin bir bileÅŸimidir. ISA Server Firewall hizmetinin durmasına yol açan bir durum ne zaman oluÅŸursa ISA Server Lockdown kipine geçer. Bu durumlar;

- ISA Firewall hizmetinin durmasına neden olan bir olay (event). Uyarı tanımlamalarını yapılandırdığınızda hangi olayların ISA Server firewall hizmetinin durduracağını da belirlemiÅŸ olursunuz. Esas itibariyle ISA Server’ın ne zaman Lockdown kipine geçeceÄŸini belirlemiÅŸ olursunuz.

- ISA Server Firewall hizmeti el ile durdurulur. EÄŸer bir saldırı olduÄŸunu tespit ederseniz ISA Server’ı ve ağınızı saldırıya karşı hazırlarken bu esnada ISA Server Firewall hizmetini durdurabilirsiniz.

Lockdown kipindeyken aÅŸağıdaki fonksiyonlar geçerli olur;

- Firewall Packet Filter Engine (fweng) Firewall kuralları üzerine uygulanır.

- Local host ağından tüm diÄŸer aÄŸlara baÄŸlantı için izin verilir.

- Bir System Policy kuralı özellikle izin vermedikçe gelen aÄŸ trafiÄŸi kabul edilmez ve engellenir. Bunun tek istisnası DHCP trafiÄŸidir, bu baÄŸlantıya her zaman izin verilir.

- AÅŸağıdaki System Policy kuralları geçerliliÄŸini korumaya devam eder.

i. Güvenilen sunuculardan Local Host’a ICMP’ye izin ver.

ii. MMC kullanarak Firewall’un uzaktan yönetimine izin ver. (RPC üzerinden port 3847)

iii. RDP kullanarak firewall’un uzaktan yönetimine izin ver.

- ISA Server’a VPN istemci eriÅŸimi yapılamaz.

- AÄŸ yapılandırmasında yapılacak herhangi bir deÄŸiÅŸiklik Firewall hizmeti yeniden baÅŸlatılmadan ve ISa Server Lockdown kipinden çıkmadan uygulanmaz.

- ISA Server yapılandırılan hiçbir uyarı için event gerçekleÅŸtirmez ve tetiklemez.

Firewall hizmeti yeniden baÅŸlatıldığında Lockdown kipinden çıkılır ve ISA Server daha önceden olduÄŸu gibi iÅŸlevini sürdürmeye devam eder. Yapılan tüm deÄŸiÅŸiklikler hizmetin baÅŸlatıldığında uygulanır ve geçerli olur. Lockdown kipini iki ana baÅŸlık altında inceleyeceÄŸiz; Konfigürasyonu Korumak ve Yayılımı (Deployment) Korumak. Serinin bu ilk makalesinde birinci ana baÅŸlığımız olan Konfigürasyonu Korumak bölümünü ayrıntılı olarak inceleyeceÄŸiz.

KONFÄ°GÜRASYONU KORUMAK

ISA Firewall kurallarını ve yapılandırmasını ÅŸirketinizin gerektirdiÄŸi güvenlik kıstaslarına göre gerçekleÅŸtirirken prensip olarak açık ve net olarak izin verilmemiÅŸ tüm aÄŸ trafiÄŸini engelleyin. ISA Server varsayılanda bu ilkeyi benimser ve izler. Default Rule olarak bildiÄŸimiz varsayılan kural içerik olarak hiçbir kullanıcıya hiçbir aÄŸa eriÅŸim izni vermez. Bu sayede açık ve net olarak izin vermediÄŸimiz durumda son kural tüm eriÅŸimi engeller. Konfigürasyonu korumak ve denetlemek için aÅŸağıdaki önerileri takip edebiliriz.

Enterprise sürümler için güvenlik önerileri

a) Configuration Storage Server güvenliÄŸi

ISA Server Enterprise sürümü Configuration Storage Server’larda ISA yapılandırma bilgilerini depolayarak çoklu kullanım desteÄŸi saÄŸlamaktadır. Array üyeleri en güncel yapılandırma bilgilerine ulaÅŸabilmek için Configuration Storage Server’lar ile iletiÅŸime geçebilirler. Ayrıca Array üyeleri diÄŸer Array üyeleri ile de iletiÅŸim kurabilirler. Ä°ÅŸte bu ortamı güvenliÄŸe almak için aÅŸağıdaki önerileri gözden geçirmeniz tavsiye olunur.

i. Configuration Storage Serverları tek iÅŸi bu olan bilgisayarlara yükleyin. Herhangi bir ek görev, örneÄŸin DHCP, yüklemeyin.

ii. Fiziksel erişimi sınırlandırın.

iii. Configuration Storage Server üzerinde Administrator grubuna baÄŸlı olan bir kullanıcı aynı zamanda Enterprise Administrator (ISA yapılandırması içerisinde) yetkilerine sahiptir. Bu sebeple grup üyeliklerine gerekli özeni gösterin.

iv. Configuration Storage Server’ı ağınızın uç noktasına koymak yerine ISA Server hizmeti veren bir sunucunun arkasına yerleÅŸtirin. Bu sayede olası saldırıların önüne geçilebilir.

v. Configuration Storage Server üzerinde ki yetki deÄŸiÅŸikliklerini izleyin. (Audit)

vi. EÄŸer mümkünse Configuration Storage Server’ları ÅŸubelerde bulundurmak yerine sadece ÅŸirketinizin merkez ofisinde bulundurun. EÄŸer ÅŸubelerinizin merkez ofise hızlı bir baÄŸlantısı varsa bu yöntemi izlemek fiziksel eriÅŸimi sınırlandırmak ve denetlemek açısından en uygun olanıdır. Ancak yavaÅŸ bir baÄŸlantı varsa bu da farklı sorunlar getireceÄŸinden istisna yapabilirsiniz.

vii. Configuration Storage Server her bir ISA Server Array üyesini özellikle bu amaç için yaratılmış olan benzersiz (Unique) bir hesap sayesinde tanımlar. Bu hesap Firewall hesap kilitlenmesine tabi deÄŸildir. Olası DDoS saldırıları bu ÅŸekilde engellenmiÅŸ olur. Bu hesap için kullanılan parola ISA Server Array üyesi yüklenirken oluÅŸturulur ve tabi ki en iyi uygulama güçlü ve karmaşık bir parola kullanmaktır.

b) Array Ä°çi Ä°letiÅŸim güvenliÄŸi

Array içindeki iletiÅŸimi güvenliÄŸe almak için aÅŸağıdaki öneriler takip edilebilir.

i. Kurulumun ardından her bir Array üyesi için bir çift public ve private anahtar yaratılır. Bu anahtarlar Array üyelerinin gizli olan yapılandırma bilgilerini birbirlerine transfer ettikleri zaman kullanılır. EÄŸer bu anahtarların bir ÅŸekilde güvenilmez duruma geldiÄŸini düÅŸünürseniz ISA sunucunuzu yeniden kurarak anahtarları tekrar oluÅŸturabilirsiniz.

ii. Array üyesi olan bilgisayarlar üzerinde sadece Array içi iletiÅŸim ağında kullanılması için atanmış bir aÄŸ kartı kullanın. Bu kartın kullanacağı aÄŸ tüm Array üyelerinin Array içi haberleÅŸmede kullandığı IP adreslerinden oluÅŸmalıdır.

Upgrade Sonrasında Yapılandırmayı Denetlemek

ISA Server 2004 üzerinde ister migration isterse de in-place yöntemiyle ISA Server 2006’ya yükseltme yapın mutlaka iÅŸlemden sonra sistem içerisine import edilen firewall kurallarını tekrar gözden geçirin. Firewall kurallarında özellikle de kural bileÅŸenlerinde bir yanlışlık olup olmadığı yükseltme sonrası kontrol edilmelidir.

Firewall Kurallarını Denetlemek

Herhangi bir firewall kuralı oluÅŸturduktan hemen sonra uyguladığınız kuralı deneyin. Ä°zin verdiÄŸiniz trafik türlerini ve portları kontrol edin. Özellikle portlar için port tarayıcı yazılımlar kullanın.

Yerel Etki Alanları

Yerel ağınızda kullanılan ve yerel olarak tanımlandırdığınız tüm etki alanlarını ISA sunucunuz üzerinde Internal Network ağına ekleyin. Aksi takdirde ISA sunucunuz bu yerel domainler için yapılacak DNS isim sorgularını harici kaynaklara yöneltebilir ve yerel domainlerin iÅŸlevselliÄŸinde sorunlar yaÅŸanabilir. Bu noktanın ne kadar önemli olduÄŸunu Windows etki alanlarının DNS hassasiyetlerini yaÅŸaÅŸmış olduÄŸunuzu düÅŸünerek göz ardı etmemenizi öneririm.

Yerel etki alanı tablosunu düzenlemek için aÅŸağıdaki iÅŸlemleri yapabilirsiniz:

- Start---All Programs---Microsoft ISA Server---ISA Server Management

- Sunucu Adınız---Configuration---Networks bölümünü geniÅŸletin. ISA Enterprise için Arrays---Array Adı---Configuration---networks ÅŸeklindedir.

- Internal ağını seçin ve Tasks tabında Edit Selected Network komutunu verin. Domains sekmesinde Add komutunu verin ve Enter a Domain Name to Include bölümünde yerel etki alanlarınızı yazın.

Yedekleme ve Geri Yükleme

ISA Server yapılandırmanızı yedekleme ve geri yükleme amaçlı import ve export özellikleri içermektedir. Yapılandırma bilgileri yerel olarak bir XML dosyası içerisinde saklanabilir. Bu dosyayı herhangi bir klasöre herhangi bir isimle kaydedebilirsiniz. Bir yapılandırma dosyasını sunucunuza geri yüklediÄŸinizde potansiyel olarak firewall kuralları üzerinde deÄŸiÅŸiklik yapmışsınızdır. Bu sebeple sadece güvenilen kaynaklardan aldığınız XML dosyalarını ISA sunucunuz üzerine yükleyin, dosya kendi yedeÄŸiniz dahi olsa yükledikten sonra her bir Firewall kuralını teker teker gözden geçirin.

Virtual Private Networking

ISA sunucunuzu bir VPN server olarak kullanıyorsanız en iyi güvenlik önerilerini takip etmek ve uygulamak özel bir önem taşır. AÅŸağıdaki liste VPN server olarak kullanacağınız ISA Server için güvenlik önerileri içermektedir.

- L2TP over IPSec (Layer Two Tunneling Protocol) baÄŸlantıları en güçlü ÅŸifreleme koruması için önerilen yoldur. Güçlü bir parola ilkesi kullanımını uygulayın ve kullanılması konusunda baskı yapın, böylece Dictionary attack denilen sözlük saldırılarının baÅŸarılı olma ihtimalini en aza indirgeyebilirsiniz. Böyle güçlü bir parola ilkesi uygularsanız hesap kilitlenmesini de devre dışı bırakabilirsiniz, bu ÅŸekilde bir saldırganın hesap parolalarını tahmin edemeyeceÄŸi gibi yanlış paroladan dolayı tüm hesapları kilitlemesini de engellemiÅŸ olursunuz.

- VPN baÄŸlantısına ihtiyaç olacak istemcilerin belirli iÅŸletim sistemlerini – Windows Server 2003, Windows XP- Windows Vista- kullanmalarını tercih edin. Her iÅŸletim sisteminin dosya sistem güvenliÄŸi ve kullanıcı hesap güvenliÄŸi birbirlerinden farklı olduÄŸundan güvenliÄŸi kanıtlanmış iÅŸletim sistemlerini tercih edin.

- Uzak VPN istemcilerinin ağınızın her bölümüne ulaÅŸabilmesini engellemek ve sınırlandırabilmek için ISA Server Quarantine Control özelliÄŸini kullanın. Quarantine Mode özelliÄŸini kullanarak VPN istemcilerinizin ağınıza eriÅŸmesinden önce karantina bölgesine alınarak sınırlandırılabilir. Quarantine mode her ne kadar herhangi bir saldırgana karşı direkt olarak koruma saÄŸlamasa da ağınıza eriÅŸen sistemlerin güvenliÄŸini dolayısıyla ağınızın güvenliÄŸini korumakta büyük bir yardımcıdır. Bu modu aynı alış veriÅŸ merkezlerine giriÅŸte yapılan kontrollere benzetebiliriz.

VPN ile Virüsten Koruma

Virüsten etkilenmiÅŸ ve yerel aÄŸa baÄŸlanmış bir VPN istemcisi gerek ISA Server üzerine gerekse de yerel aÄŸa karşı flood saldırıları gerçekleÅŸtiriebilir, yayılmaya çalışabilir. Bu durumda bu istemci otomatik olarak bloklanamaz. Bu durumda virüs etkisinde ki VPN istemciyi yerel ağınızdan uzaklaÅŸtırmak için Remote Access Policy kullanarak kullanıcı hesabı üzerinden engelleyin. Aynı ÅŸekilde baÄŸlanan IP adresini de izin verilen IP adreslerinden uzaklaÅŸtırın.

VPN için Kimlik DoÄŸrulama

Nitelikli bir güvenli aÄŸ için kimlik doÄŸrulama yöntemlerini kullanın. Kimlik doÄŸrulama için ÅŸu an için en güvenli yöntem EAP-TLS’in (Extensible Authentication Protocol-Transport Level Security) smart card’lar ile bütünleÅŸik olarak kullanıldığı yöntemdir. PKI altyapısı gerektirmesi, smart card’lar ile deploy iÅŸlemlerinin zorluklarına raÄŸmen, bunları güvenliÄŸe yeÄŸ tutmamanızı öneririm. Varsayılanda EAP-TLS yöntemi Remote Access Policy üzerinde devre dışıdır.

EAP-TLS kimlik doÄŸrulama protokolünü kullandığınız zaman Internet Authentication Server (IAS) üzerine bir computer certificate yüklemelisiniz. Ä°stemci ya da kullanıcı kimlik doÄŸrulaması için istemci bilgisayara bir sertifika yükleyebilir ya da smart card kullanabilirsiniz. Sertifikalarınızı dağıtmadan önce gereksinimlerinize uygun sertifika modelini iyi bir ÅŸekilde tasarlamalısınız.

Uzak VPN istemcilerinizin kimlik doÄŸrulamasında CHAP, SPAP ya da PAP gibi artık güvenli olmayan protokoller yerine daha güvenli kimlik doÄŸrulaması saÄŸlayan MS-CHAP v2 veya EAP kullanmayı tercih edin. Varsayılanda CHAP, SPAP, PAP protokolleri devre dışıdır ve buna raÄŸmen etkinleÅŸtirmeniz önerilmez.

IPSec TrafiÄŸi

Varsayılan olarak ISA Server IPSec trafiÄŸinin parçası olan Encapsulating Security Payload (ESP) ve Authentication Header (AH) trafiklerini engellemezler. Bu trafik hiçbir zaman bir risk olarak algılanmaz ve tasarım gereÄŸi güvenli iletiÅŸim olarak kabul edilir.

Network Load Balancing

Enterprise sürümler için NLB kullanılacaksa aÅŸağıdaki öneriler dikkate alınmalıdır.

- NLB kullanıyorsanız Technet sitesinde bulunan http://technet2.microsoft.com/windowsserver/en/library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx rehberini mutlaka inceleyin.

- NLB etkinleÅŸtirildiÄŸinde, NLB etkinleÅŸtirilmiÅŸ Array önüne bir router yerleÅŸtirin. Bu router’ı Ham IP trafiÄŸini engelleyecek ÅŸekilde yapılandırın aksi takdirde tüm Array üyeleri gelen trafiÄŸi aynı anda karşılamaya çalışacaklardır. NLB etkinleÅŸtirildiÄŸinde saf Ethernet iletiÅŸim kurallarını kullanarak Array üyelerini senkronize edecektir. Bu alt seviye aÄŸ trafiÄŸi ISA Server tarafından korunmaz ve denetlenmez. Bu trafiÄŸi güvenlik atına almak için Internet ve NLB etkinleÅŸtirilmiÅŸ Array üyeleri arasına Layer-3 bir router konulması önerilir. Aynı uygulama ISA sunucularınız ve diÄŸer güvenilmeyen tüm aÄŸlar içinde yapılmalıdır.

- YerleÅŸtireceÄŸimiz Layer-3 router alt seviye Ethernet iletiÄŸim trafiÄŸinin geçiÅŸine izin vermeyecektir, bu suretle NLB etkinleÅŸtirilmiÅŸ Array üyelerine yönelik olası zararlı NLB çalışabilirliÄŸini etkileyecek internet trafiÄŸi de engellenmiÅŸ olacak ve güvenlik düzeyi yükselecektir.

Cache Array Routing Protocol (CARP)

Enterprise sürümler için Cache Array Routing Protocol (CARP) iletiÅŸim kurallarını etkinleÅŸtirdiÄŸinizde aÅŸağıdaki önerileri uygulayabilirsiniz.

- Array’ler arası iletiÅŸimi saÄŸlamak için sadece bu iletiÅŸim için ayrılmış bir aÄŸ kullanın ve CARP protokolü için bu ağı kullanın.

- CARP protokolünün kullanacağı aÄŸ bölümüne sadece Array üyelerinin eriÅŸimine izin verin.

Bağlantı Limitleri

ISA Server herhangi bir anda yapılacak bağlantı sayısını limitleyebilir. Aynı anda yapılabilcek en fazla bağlantı sayısını belirleyerek bağlantıyı sınırlandırabilirsiniz. Belirlediğiniz aynı anda yapılabilecek bağlantı sayısına ulaşıldığında yeni yapılan istemci istekleri Web Listener tarafından reddedilecektir.

Server publish ya da erişim kurallarıyla saniyede yapılabilecek toplam UDP, ICMP ve ham IP oturum başlatma paketlerini sınırlandırabilirsiniz. Bu sınırlandırmalar TCP bağlantılarına uygulanmaz. Bağlantı sayısı sınırladığımız rakam ulaştığında yeni bağlantı kabul edilmez ancak mevcut bağlantılarda kesilmez.

Varsayılan olarak kural başına baÄŸlantı limiti TCP olmayan baÄŸlantılar için saniyede 1000, istemci başına 160 baÄŸlantı ÅŸeklindedir. TCP baÄŸlantılar için sınır istemci başına 160 baÄŸlantıdır. Önceden tanımlanmış bu deÄŸerleri üst miktarlarda deÄŸiÅŸtirmenizi kesinlikle önermem. EÄŸer deÄŸiÅŸtirmeniz gerekecekse mümkün olan en ufak sayıda belirlemeniz sistem güvenliÄŸi için en uygun olanıdır.

BaÄŸlantı limitlerini deÄŸiÅŸtirmek için;

- Start---All Programs---Microsoft ISA Server---ISA Server Management

- Enterprise sürümler için Arrays---Array_Adı---Configuration---General

Standart sürümler için Configuration---General

- Ayrıntı panosunda Define Connection Limits

Åžekil-1

- Connection Limit Sekmesinde Limit The Number Of Connections kutusunu iÅŸaretleyelim. Sonrasında TCP ve TCP olmayan baÄŸlantılar için sınır deÄŸerlerini belirleyebiliriz.

Åžekil-2

Bunun yanı sıra eÄŸer Firewall Chaining iÅŸlemini kullanıyorsanız ISA Server bilgisayarınızla Upstream server arasındaki baÄŸlantıda IPSec kullanmanızı öneririm.

ISA Server Firewall Client

ISA Server Firewall Client ile ISA sunucunuz arasında daha güvenli bir Ä°letiÅŸim kurmanıza olanak saÄŸlayacak TCP protokolü üzerinden ÅŸifreleme mekanizmasını destekler. ISA sunucunuzu sadece bu ÅŸifreli baÄŸlantı taleplerini kabul edecek ÅŸekilde yapılandırabilirsiniz. Ancak bu yapılandırma Firewall Client yazılımının önceki sürümlerinin baÄŸlantı kurmasını engelleyecektir. Bu ÅŸifreleme mekanizmasını kullanmadan önce ağınızda eÄŸer FWC yazılımının eski sürümleri varsa güncellemenizi öneririm.

Firewall Client yazılımını yapılandırmak için;

- Start---All Programs---Microsoft ISA Server---ISA Server Management

- Enterprise sürümler için Arrays---Array_Adı---Configuration---General

Standart sürümler için Configuration---General

- Ayrıntı panosunda Define Firewall Client Settings

- Connection sekmesinde Allow non-encrypted Firewall Client Connections kutusunun işaretli olmadığına emin olun.

Åžekil-3

Lockdown kipi, ayarlamaları, tanımları, yapılabilecekler ve yapılamayacaklar hususunda yolu yarıladık. ISA Server dışarıdan bakıldığında her ne kadar sade, kolay ve basit gibi görünse de aslında arkasında bir deniz var. Ayrıntıya ne kadar inersek amacımız olan güvenliÄŸe o kadar çok sahip olabiliriz. Yeter ki bu noktada ufak dediÄŸimiz, önemsemediÄŸimiz ayrıntıları kaçırmayalım. Unutmamak gerekir ki bir güvenlik uzmanı için belki de yapılabilecek en büyük hata ufak ayrıntıları önemsememek, bir biliÅŸim korsanı için ise en büyük hediye bu ufak ayrıntıların önemsenmemesidir. Bir sonraki makalemizde LockDown için neler yapabiliriz görmeye devam edeceÄŸiz.

Bu konuyla ilgili sorularınızı http://mshowto.org/forum linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

ISA Server 2004 Security Hardening Guide