ISA Server. Åžirketimizin savunmasının baÅŸladığı nokta. Derler ki bir zincir ancak en zayıf halkası kadar güçlüdür.  ISA Server güvenliÄŸimizin baÅŸladığı yerdir ve tabi ki bittiÄŸi yer. Bize baÄŸlı olarak aynı zamanda en güçlü olduÄŸumuz yer de olabilir, en zayıf olduÄŸumuz yer de. Ä°ç ağımızda istediÄŸimiz güvenlik önlemlerini ya da kısıtlamalarını uygulamaya koyalım güçlü bir ISA Server yapılandırmamız ve politikamız yoksa güvenlik zincirimiz ilk denemede kırılacaktır. Bu noktada ISA serverımızı güçlendirmemiz bizi birçok sıkıntıdan kurtaracaktır. Bir süredir seri olarak ISA sunucumuzu güçlendirmek için makaleler yazıyorum. Bu serinin sonuna yaklaÅŸtık. Lockdown kipi ile ilgili olarak yazdığım ilk makalemde de belirttiÄŸim gibi Lockdown kipini iki ana baÅŸlık altında inceleyeceÄŸiz. Konfigürasyonu Korumak ve Yayılımı (Deployment) Korumak. Åžimdi ikinci ana baÅŸlığımıza geçelim ve güvenlik zincirimiz öncekinden daha da güçlü olsun.

YAYILIMI (DEPLOYMENT) KORUMAK

ISA Server’ı güvenlik altına almanın ilk adımı, sunucunuzu fiziksel olarak güvenli bir yerde bulundurmak ve temel güvenlik yapılandırma önerilerini uygulamış olmaktır.

Tüm bu iÅŸlemleri gerçekleÅŸtirdikten sonra düÅŸünmemiz gereken bir diÄŸer durum ise network altyapısını nasıl oluÅŸturacağımız. Bu baÅŸlık ISA Server tarafından korunun bir ağın nasıl yapılandırılabileceÄŸini anlatmayı amaçlamaktadır.

AÄŸ Ortamınızı GüvenliÄŸe Almak

AÄŸ ortamınızı güvenliÄŸe almak için aÅŸağıdaki adımları uygulayabilirsiniz.

      i.        Layer 2 saldırılarına engel olabilmek için Layer 2 IDS (Intrusion Detection System) çözümleri ya da switchler üzerinde statik MAC ve/veya Port eÅŸleÅŸtirmeleri uygulayın.

     ii.        Ağınızda, mümkün olan her segmentte, IPSec kullanın.

    iii.        ARP Cache üzerinde man-in-the-middle saldırılarını (Çok kısaca, araya giren saldırganın tarafların haberi olmadan iletiÅŸimi izlemesi) engellemeye yardımcı olmak için ISA Server’dan önce bir Router yapılandırın. Bunun sebebi ARP paketlerinin Router üzerinde route (yönlendirme) edilememesidir. EÄŸer ISA Server’ın fiziksel olarak baÄŸlandığı aÄŸ güvensiz bir aÄŸ ise ISA sunucunuzu statik ARP ÅŸeklinde yapılandırın.

Kimlik DoÄŸrulama

Gelen web istekleri için kimlik doÄŸrulama yöntemlerini yapılandırırken mümkün olan en güçlü kimlik doÄŸrulama yöntemlerini kullanın. AÅŸağıdaki kimlik doÄŸrulama yöntemlerini güvenli olmayan baÄŸlantılar üzerinde uygulamanızı öneririm.

-           Basic

-           Digest

-           Outlook Web Access Form Tabanlı Kimlik DoÄŸrulama

-           SecurID

-           RADIUS

RADIUS Server’lar  Kullanmak

Remote Authentication Dial-In User Service (RADIUS), kimlik doÄŸrulaması yapabilmek için kullanılan endüstri standartı bir protokoldür. Bir RADIUS istemcisi (Genel olarak bir dial-up server, VPN Server ya da Wireless Access Point) kullanıcı kimlik doÄŸrulama bilgilerini ve baÄŸlantı parametrelerini bir RADIUS mesaj formu ile birlikte RADIUS sunucusuna gönderir. RADIUS sunucusu gelen isteÄŸi onaylar ve gelen RADIUS mesajı ile beraber yanıtlar.

RADIUS sunucunuzu aÅŸağıdaki ÅŸekilde yapılandırmanız önerilir.

      i.        EÄŸer kimlik doÄŸrulaması için RADIUS server kullanıyorsanız sunucu statusünü izleyebilmek için Connectivity Verifier (BaÄŸlantı DoÄŸrulayıcı) yaratın. ISA üzerindeki uyarıları RADIUS server çalışır durumda deÄŸilken uygun iÅŸlemleri yapması için yapılandırın.

     ii.        Güvenilmeyen ve yetkisiz kullanıcıların RADIUS server ve ISA Server arasındaki aÄŸa eriÅŸemeyeceÄŸinde emin olun. EÄŸer bir ÅŸekilde bu kullanıcıların eriÅŸimi ÅŸartsa IPSec kullanın.

Ek olarak RADIUS kimlik doğrulaması gerektiren bir VPN bağlantısı ya da Firewall kuralı yaratacaksanız aşağıdaki adımları dikkate alabilirsiniz.

    iii.        RADIUS kullanıcı parola gizleme mekanizması parolalar için yeterli güvenliÄŸi sunamayabilir. RADIUS kullanıcı parola gizleme mekanizması parolaları ya da diÄŸer özellikleri ÅŸifrelemek için MD5 ÅŸifreleme algoritmasını kullanır.

    iv.        Parola tabanlı kimlik doÄŸrulaması kullanıyorsanız karmaşık ÅŸifre kullanımını zorlayın ki dictionary ataklarına karşı savunmasız kalmayın.

     v.        EÄŸer kullanıcı adları Ä°ngilizce dışında farklı bir karakter setinden karakterler kullanılırsa, ISA Server bu bilgiyi dönüÅŸtürmek için ISA sunucunuz üzerinde bulunan geçerli kod sayfasını kullanır. Kullanıcı ancak istemci de aynı kod sayfasını kullanıyorsa kimliÄŸini doÄŸrulatabilir.

    vi.        EÄŸer RADIUS server güvenlik kurallarını RADIUS’dan kimlik doÄŸrulatan kullanıcılar oturum açmışken uygularsanız, yeni yaptığınız güvenlik kuralları oturum açmış kullanıcılarda uygulanmayacaktır. Bunun sebebi ISA server’ın RADIUS üzerinden kimlik doÄŸrulayarak OWA’ya baÄŸlanan kullanıcıların oturum açma bilgilerini cache’lemesidir. EÄŸer RADIUS güvenlik kurallarının hemen uygulanmasını istiyorsanız ilk önce bu oturumları kapatmalısınız.

İstemci kimlik Doğrulaması

SSL kullanmadan ISA Server güvenlik duvarına HTTP kimlik doÄŸrulaması kullanıldığında, bu talep potansiyel olarak man-in-the-middle ataklarına açık bir haldedir. Bu talep ve oturum açma bilgileri oturum açma esnasında ya da sonrasında bir saldırgan tarafından deÄŸiÅŸtirilebilir.

Bu tür atak risklerini azaltmak için HTTP üzerinden kimlik doÄŸrulamasını SSL ile birlikte kullanmanızı öneririm.

Kimlik doğrulama Sunucularına Yapılan Bağlantıları Doğrulayın

RADIUS kimlik doÄŸrulaması için ilk madde de demiÅŸtik ki;

“EÄŸer kimlik doÄŸrulaması için RADIUS server kullanıyorsanız sunucu statusünü izleyebilmek için Connectivity Verifier (BaÄŸlantı DoÄŸrulayıcı) yaratın. ISA üzerindeki uyarıları RADIUS server çalışır durumda deÄŸilken uygun iÅŸlemleri yapması için yapılandırın.”

Bunu yapabilmek için;

-           Start > All Programs > Microsoft ISA Server > ISA Server Management

-           Enterprise sürümler için Arrays > Array_Adı > Monitoring

Standart sürümler Server_Adı > Monitoring

-           Ayrıntı panosunda Connectivity sekmesine tıklayın.

-           Tasks sekmesinde Create New Connectivity Verifier komutunu verelim.

-           Gelen sihirbazın Welcome sayfasında yaratacağımız doÄŸrulayıcıya bir isim verelim.

Åžekil-1

-           Connectivity Verification Details sayfasında ÅŸunları yapın.

a)    Monitor connectivity to this server or URL bölümüne izlemek istediÄŸiniz sunucunun bilgilerini girin.

b)    Verification Method bölümünde bir doÄŸrulama yöntemi seçin. (EÄŸer “Send an HTTP GET request” yöntemini seçtiyseniz ve “HTTP Connectivity Verification” yapılmasına izin veren system policy kuralı devre dışı ise etkinleÅŸtirmenizi isteyen bir mesaj alacaksınız, bunu EVET diyerek onaylayın.)

-           Ayrıntı panosunda az önce yarattığınız kuralı seçin.

-           Tasks sekmesinde Edit Selected Verifier komutunu verin.

-           Properties sekmesinde Trigger an alert if the server response is not within the specified timeout kutusunun iÅŸaretli olduÄŸuna emin olun.

Åžekil-2

Kimlik Doğrulama Sunucuları Deployment

Güvenlik sebebiyle kimlik doÄŸrulama sunucularınızı yüksek derecede güvenlik bulunan aÄŸlarda bulundurmalısınız. EÄŸer mümkünse bu sunucuları iç aÄŸdan ya da perimeter networkten ayırarak farklı bir aÄŸ segmentine yerleÅŸtirmeyi düÅŸünmelisiniz.

Kimlik sunucularını deploy etmek için aÅŸağıdaki adımları takip edebilirsiniz.

-           Start > All Programs > Microsoft ISA Server > ISA Server Management > Firewall Policy

-           Tasks sekmesinde Edit System Policy komutunu verelim.

-           System Policy Editor içerisinde Configuration Groups bölümünde Authentication Services altında uygun olan kimlik doÄŸrulama yöntemini seçin.

-           To sekmesinde Add komutunu verin.

-           Add Network Entities bölümünde kimlik doÄŸrulama sunucularının bulunduÄŸu aÄŸ bölümünü seçin.

DNS Sunucuları

Domain Name System (DNS) Internet gibi IP tabanlı aÄŸlarda kullanılan bir isim çözümleme protokolüdür. Bir DNS sunucusu istemcilerinin birbirleriyle iletiÅŸime geçebilmesi için hatırlanabilir, alfanumerik isimleri IP adreslerine çevirir.

ISA Server’da DNS isim çözümleme mekanizmasına benzer bir isim çözümleme altyapısına sahiptir. Bir istemci ulaÅŸmak istediÄŸi bilgisayarın URL adresini belirterek farklı bir aÄŸdaki bir sunucuya baÄŸlanmak istediÄŸinde ISA Server bu ismi çözebilir. ISA Server kullanması için tanımladığınız DNS sunucusuna bir isim çözümleme isteÄŸi gönderir.

DNS cache kirlenmesini ve yanlış bilgilerle dolmasını engellemek için ISA Server’ınızı güvenilir bir DNS sunucusu kullanacak ÅŸekilde yapılandırın. Bu DNS sunucusu internal network üzerinde olmalıdır. EÄŸer güvenilmeyen bir aÄŸ bölümüne (ÖrneÄŸin External Network) DNS sunucu kurmanız gerekirse, ayrıca bir tanede güvenilen bir aÄŸ bölümüne (ÖrneÄŸin Perimeter Network) bir DNS sunucusu daha kurun. Ardından güvenilen aÄŸ bölümünde bulunan DNS sunucusunu gelen istekleri diÄŸer sunucuya yönlendirecek ÅŸekilde yapılandırın.

-           Internal Network üzerinde bir DNS sunucusu yapılandırın.

-           ISA sunucunuzun Internal Network’e baÄŸlı Ethernet kartı üzerinde bu DNS sunucusunu tüm isim çözümleme istekleri için kullanacak ÅŸekilde yapılandırın.

-           ISA Sunucunuzun diÄŸer Ethernet kartlarının güvenilmeyen DNS sunucuları kullanmadığından emin olun.

-           Bir erim kuralı oluÅŸturun ve DNS isim çözümlemesi için sadece DNS sunucunuzun internet eriÅŸimine izin verin.

Ä°zleme ve Sorun Çözümleme

ISA Server üzerinden akan trafiÄŸi izlemek önemli ve sürekli gerçekleÅŸtirilmesi gereken bir görevdir. Log dosyalarında ve izleme bilgilerinde ayrıntılı analizler yapmak bir ISA yöneticisinin en önemli uÄŸraÅŸlarından biridir.

a)    Loglama

Loglama, ağınızdaki kaynaklara kimlerin eriÅŸtiÄŸini görmek, gerçekleÅŸen aÄŸ iÅŸlemlerini izleme fırsatını sizlere saÄŸlar. Logları düzenli ve dikkatli bir ÅŸekilde inceleyin, ÅŸüpheli eriÅŸim ve aÄŸ kaynak kullanımını gözden geçirin.

i.              Sistem yöneticisine gönderilecek uyarıları yapılandırın.

ii.             En üst seviye güvenlik için log dosyalarını farklı bir NTFS bölümünde depolayın. Sadece sistem yöneticilerinin bu bölüme eriÅŸimine izin verin.

iii.            Log bilgilerini bir SQL veritabanına kayıt ediyorsanız SQL kimlik doÄŸrulaması yerine Windows Kimlik DoÄŸrulaması kullanın.

iv.            En üst seviye güvenlik için ISA sunucunuz ve SQL Server arasında IPSec kullanın.

b)    Log Depolama Limitleri

Dikkat edilmesi gereken nokta log bilgilerinin depolandığı diskin tamamen dolu duruma gelmemesidir. Log depolama limitleri için bir uyarı yapılandırın ve limit dolduÄŸunda ISA servislerinin durmasını saÄŸlayın. Loglar düzgün bir ÅŸekilde kayıt edilene kadar eriÅŸime izin vermeyin.

Log depolama limit uyarısı yapılandırmak için;

-           Start > All Programs > Microsoft ISA Server > ISA Server Management

-           Enterprise sürümler için Arrays > Array_Adı > Monitoring

Standart sürümler için Server_Adı > Monitoring

-           Ayrıntı sekmesinde Alerts sekmesine geçin.

-           Tasks sekmesinde Configure Alert Definitions komutunu verin.

-           Alert Definitions ekranında Log Storage limits’i seçin ve Edit komutunu verin.

Åžekil-3

-           General sekmesinde Enable seçelim.

-           Actions sekmesinde Stop Selected Services kutusunu iÅŸaretleyelim ve Select butonuna basarak Microsoft Firewall ve Microsoft ISA Server Job Scheduler hizmetlerini seçin.

Åžekil-4

c)    Ä°zleme

ISA sunucunuz üzerine kimlerin oturum açtığını belirleyebilmeniz için Ä°zleme (Auditing) açın. Bunun için;

-           Start > All Programs > Administrative Tools > Local Security Policy

-           Security Settings’i geniÅŸletin, Local Policies’i geniÅŸletin ve Audit Policy’i seçin.

-           Ayrıntı panosunda Audit Logon Events’e saÄŸ tıklayın ve Properties komutunu verin.

-           Success ve Failure seçeneklerini iÅŸaretleyin.

Åžekil-5

d)    Floods (Taşırma) Saldırıları

Flood saldırısı kullanıcılarınızın aÄŸ hizmetlerinden yararlanmasını engellemek amaçlı olarak yapılan aşırı aÄŸ yüklenmeleridir. ÖrneÄŸin bir worm’un kendisi yaymak için ağınızın dışına çıkma çabası.

ISA Server’ınıza flood saldırısı yapıldığının ilk belirtileri yüksek CPU ve bellek kullanımı ve yüksek sayıda loglama yapılmasıdır. EÄŸer bir flood saldırısı olduÄŸunu düÅŸünüyorsanız, log görüntüleyiciye gidin ve aÅŸağıdakileri arayın.

-           EngellenmiÅŸ Trafik için Log Kayıtları: Bozuk CHECKSUM, spoof ya da kotayı aÅŸan paketler nedeniyle engellenen trafiÄŸe özellikle dikkat edin. Bu genellikle zararlı yazılımdan etkilenmiÅŸ bir istemcinin iÅŸaretidir. EÄŸer 0x80074E23 hatalarını görüyorsanız bu baÄŸlantı limitlerinin aşıldığını gösterir.

-           Sayısız BaÄŸlantının OluÅŸturulduÄŸunu ve Aniden sonlandırıldığını Gösteren Loglar: Bu durum genellikle IP taraması yapan bir istemci ya da saldırgan olduÄŸunu gösterir.

Bir Flood saldırısı esnasında ISA sunucunuzun Performansını yükseltmek için aÅŸağıdakileri yapabilirsiniz.

-           Loglamayı devre dışı bırakın. Flood saldırısı bitene kadar ya tümüyle ya da spesifik bir kural üzerinde loglamayı devre dışı bırakın. Saldırı esnasında log kayıtları çokça yazılacağından sistem geç cevap verecektir.

-           BaÄŸlantı Limit uyarılarını yeninde yapılandırın ya da kapatın.

e)    BaÄŸlantı Limit Uyarıları

Bir baÄŸlantı limit uyarısı oluÅŸtuÄŸunda bunun bir saldırıdan mı yoksa geçici bir aÄŸ trafik yoÄŸunluÄŸundan mı olduÄŸuna karar verin. EÄŸer limitler saldırından dolayı aşılıyorsa,

-           EÄŸer zararlı aÄŸ trafiÄŸinin kaynağı internal network ise bu yerel aÄŸda bir virüs yayılımı olduÄŸunu gösterebilir. Kaynak IP’ler tespit edilemli ve aÄŸ baÄŸlantıları kesilmelidir.

-           EÄŸer zararlı trafiÄŸin kaynağı external bir networkten gelen ufak bir IP aralığıysa, bu kaynak IP’leri engelleyen bir Deny kuralı oluÅŸturun.

-           EÄŸer zararlı trafiÄŸin kaynağı geniÅŸ bir IP aralığıysa tüm ağınızın durumunu gözden geçirin. Daha düÅŸük baÄŸlantı limitleri belirleyin ve bu ÅŸekilde ISA sunucunuz ağınızı daha etkin bir ÅŸekilde korusun.

f)     Worm ya da Virüslerden Kaynaklanan Flood Saldırılarından Korunmak

Yerel ağınız aÅŸağıda belirtilen türde worm’lar tarafından etkilenebilir.

-           Spesifik bir protokolü kullanarak sisteme sızan worm’lar

-           Spesifik bir IP adresini hedef alarak sisteme sızan worm’lar

-           Spesifik bir IP adresinden gelerek sisteme sızan worm’lar

Yerel ağınızı worm ya da diÄŸer zararlı yazılımlardan korumak için ÅŸunları yapabilirsiniz.

-           VPN istemcileri için karantina kontrolünü etkinleÅŸtirin

-           Virüs ya da worm’dan etkilenmiÅŸ istemcilerden gelen ve giden trafiÄŸi engelleyen bir kural oluÅŸturun. Bu kural üzerinde loglamayı kapatın.

-           Virüs ya da worm’dan etkilenmiÅŸ istemcilerin IP adreslerini içeren baÄŸlantısı kesilmiÅŸ bir aÄŸ oluÅŸturun. Bu istemcilerden gelen tüm aÄŸ trafiÄŸi sonlandırılacaktır.

Bağlantısı Kesilmiş Ağ Yaratmak

Bağlantısı Kesilmiş Ağ, ISA sunucunuza fiziksel bağlantıları olmayan bir IP aralığını tanımlar.

OluÅŸturmak için;

-           Start > All Programs > Microsoft ISA Server > ISA Server Management

-           Sunucu Adınız > Configuration > Networks bölümünü geniÅŸletin.  ISA Enterprise için Arrays > Array Adı > Configuration > Networks ÅŸeklindedir.

-           Ayrıntı panosunda Networks sekmesine geçin.

-           Tasks sekmesinde Create a New Network komutunu verin.

-           Welcome sayfasında, oluÅŸturulacak aÄŸa bir isim verin, örneÄŸin Disconnected, ve NEXT butonuna basın.

-           Network Type sayfasında External Network’ü seçin.

-           Network Addresses sekmesinde zararlı yazılımdan etkilenmiÅŸ bilgisayarların IP aralığını girin ve FINISH butonuna basın.

-           Ayrıntı panosunda Networks Rules sekmesine gelin ve yarattığınız networke hiçbir kuralın uygulanmadığına emin olun.

Routing Table Yapılandırılması

Routing Table’ı yapılandırarak zararlı yazılımlardan etkilenen istemcilerin yerel aÄŸa ve ISA sunucunuza eriÅŸmesini engelleyebilirsiniz. Bunun için;

-           ISA Server üzerine bir Ethernet kartı daha ekleyin. Bu kartı hiçbir ISA Server network’ü ile eÅŸleÅŸtirmeyin.

-           Route add komutunu kullanarak zararlı yazılımlardan etkilenen IP adreslerini bu Ethernet kartının IP adresine statik ÅŸekilde ekleyin.

Bu ÅŸekilde Lockdown kipi hakkında vereceÄŸim bilgilerin sonuna gelmiÅŸ oluyoruz. Kısaca özetlersem; Lockdown kipi ISA Server’ı bir saldırıya maruz kalmadan önce koruma altına almak, saldırı olasılığını en aza indirmek, saldırı esnasında en az zarara uÄŸramak için yaptığımız eylemlerin ve hazırlıkların tümüdür. Birçok adım, birçok uygulama içermektedir ve en küçük organizasyondan en büyük yapılara kadar farklı ISA ve aÄŸ yapılarında uygulanabilecek tedbirler içermektedir. Bu noktada sistem yöneticileri olarak yapımıza en uygun olan tedbirleri belirleyip uygulamaya koymak en kötü kabuslarımızı hoÅŸ bir uykuya çevirecektir.

Bu konuyla ilgili sorularınızı http://mshowto.org/forum linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

ISA Server 2004 Security Hardening Guide