I. Windows Firewall Nedir ?

Firewall hackerlar, virüsler ve solucanlar gibi bilgisayarınız üzerinden internete erişmeye çalışanları filtreleyen bir uygulamadır. Windows Firewall Windows Server 2003 (Service Pack 1)ve Windows XP (Service Pack 2) itibariyle tüm Windows bilgisayarlarda çalışmakta ve ağ üzerinden gelebilecek saldırıları engellemek için güvenlik sağlamaktadır.

II.Firewall Profili Oluşturma

Windows domain, private ve public olmak üzere 3 ağ profiline sahiptir. Work ve home benzerdir ve private firewall araçlarının altında yer almaktadır. Private, bilgisayarlar ve diğer donanım araçlarının birbirini bulabilmesini sağlayan bir ağ profilidir. Public ise en güvenli profildir. Bu sebeple kafelerde, havalimanlarında vs. kullanılması tavsiye edilen profildir. Eğer ağınızda güvenli olduğundan emin olmadığınız bir bilgisayar varsa, ağ profilinizi “public” olarak ayarlamalısınız. Domain profilini kullanıcılar tarafından seçilemez, bilgisayarınız domain’e katıldıktan sonra kullanılır. Windows Hardening’e başladığımızdan beri, en güvenli ayarları istiyoruz ve Windows’un sadece istendiği zaman iletişim kurmasını sağlamaya çalışıyoruz. Bu sebeple bir domain’e katıldığınızda private ya da public profillerini amacınıza göre seçiniz. Ethernet kablonuzu taktığınızda, en kısıtlayıcı ve güvenli olan Public profilini seçiniz.
Not: Eğer daha önceden Private profilini seçmişseniz ve Public profiline değiştirmek istiyorsanız Windows 10 için tek yöntem PowerShell yardımı ile yapmaktır.

PowerShell’e sağ tıklayıp Yönetici olarak çalıştır seçeneği ile açın.

Sonrasında Get-NetConnectionProfile kodunu yazın ve resimdekine benzer bir çıktı elde edeceksiniz. NetworkCategory : Private olacak sizin çıktınızda.
Sonra ağ adınızı kaydedin ve şunu yazın:
Set-NetConnectionProfile -name “eduroam” -NetworkCategory public burada da eduroam yerine kendi ağınızın adı yer alacak.

III. Windows Advanced Firewall ve Giden Veri Trafiğini Engellemek ve Loglamak

A. Outbound Blocking

Firewall’ların basit ayarları default deny, yani siz izin vermediğiniz sürece tüm trafiği engellidir. Sizin izin verdiğiniz kurallar grubuna da whitelist denir. Windows Firewall’un default ayarları gelenleri engelle ve gidenlere izin ver şeklindedir. “Outbound allow all” konfigurasyonu kolaylaştırır ve engelleme prensibini kullanmaz ki pek ideal değildir çünkü biz zararlı yazılımların yönetici ana serverlarına geri ulaşabilmesini istemeyiz. Outbound Blokcing’i aktif ettiğinizde sadece sizin izin verdiğimiz programlar ve servisler internete erişebilir. Zararlı yazılımlar raporlarını serverlarını ulaştırmakta zorlanırlar. Bu sebeplerden dolayı internete erişmesi gereken bir program kurduğunuzda, antivirüs gibi, tüm exe dosyalarını bir bir kontrol edip hangisinin internete erişmekten sorumlu olduğunu bulmalı ve Windows Firewall Outbound Blocking’de o exe dosyasına ayrıcalık vermelisiniz.

Windows Outbound Blocking’i aktif etmek için Başlat > Arama kısmından Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı’nı açın. Alt kısımda bulunan Windows Güvenlik Duvarı Özellikleri’ne tıklayın.

Yukarıda ki Domain ( Etki alanı ), Private ( Özel) ve Public ( Ortak ) profillerinin her biri için;

1- Giden bağlantılar’ı Engelle moduna getirin.

2- Tek noktaya yayın yanıtına izin ver seçeneğini Hayır’a değiştirin.

3- a. Boyut sınırı’nı max. olan 32.767 KB’a getirin.
b. Bırakılan paketleri günlüğe kaydet’i de Evet seçeneğine getirin.Eğer Automated Configuration Pack denilen otomatik konfigure paketiniz varsa sağ tık > yönetici çalıştır diyerek tüm Firewall kural ve profil ayarlarınızı yapabilirsiniz.
B) Firewall Rules

1.Windows servislerini Outbound istisnalarına eklemek için:

Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı penceresinde sol tarafta bulunan Giden Kuralları sekmesine tıklayın.

Gelen pencerenin sağ tarafında Yeni Kural… butonuna tıklayıp gelen pencereden Özel seçeneğimi seçin. İleri dedikten sonra Hizmetler’in yanında bulunan özelleştir… butonuna tıklayın.

Bu hizmete uygula seçeneğini işaretledikten sonra Windows Update’i bulun ve Tamam ile çıkın. İleri ile devam edin Protokol ve Bağl. Nokt. Ve Kapsam sekmelerini bir değişiklik yapmadan geçin.

Eylem sekmesinde Bağlantıya izin ver seçeneğini işaretleyin ve devam edin.

Profil sekmesinde tüm seçenekleri işaretleyin ve Ad sekmesinde Rule’a (Kuralınıza) bir isim verin. Örnek “X servisine izin ver”.

2. Bir Programı Outbound istisnalarına eklemek için yine Giden Kuralları sekmeksinden Yeni Kural… butonuna tıklayın.

Gelen ekrandan Program seçeneğini işaretleyip devam edin.

Bu programın yolu seçeneğinden Gözat ile programın .exe uzantılı çalıştırılabilir dosyasını bulup, seçin ve devam edin ve Eylem sekmesine kadar bir değişiklik yapmayın.

Bağlantıya izin ver seçeneğini seçip devam ettikten sonra Profil sekmesindeki tüm seçenekleri işaretleyin.İleyleyip kuralınıza bir isim verdikten sonra bitirin. Örnek “X Programına izin ver”.

3. Outbound Blocking’de hedef port ve IP adrese izin vermek için:

Giden Kuralları sekmesinden Yeni Kural… butonuna tıklayarak açılan pencerede Özel seçeneiğini işaretleyin.

Program sekmesinden Tüm programlar seçeneğini işaretleyin.

1- Protokol ve Bağl. Nokt. Sekmesinde Protokol türü seçeneği için duruma göre TCP ya da UCP seçin.
2- Uzak bağlantı noktası seçeneğinden Belirli bağlantı noktalarını seçip portları girin boşluğa. İleri.

Kapsam sekmesinden Bu kural hangi uzak IP adreslerine uygulanıyor? ‘un altında bulunan Bu IP adresleri seçeneğini işaretleyip Ekle… butonuna tıklayın.

Açılan pencerede Bu IP adresi veya alt ağ seçeneğinin altındaki boşluğa IP adreslerini girin.

Bağlantıya izin ver seçeneğini işaretleyin. İleri. Profil sekmesinde tüm seçenekleri işaretleyin. Ve son olarak porta veya IP adresine verdiğiniz kurala isim verin. Örnek “X portu izni, Y IP’si izni”.

TR | Windows Firewall Sıkılaştırması CypmUni İYTE

DNS nedir?

DNS(Domain Name System), internete bağlanmamızı sağlayan servislerden biri. Bugünlerde hepimiz interneti kullanıyoruz. İnternet, kullanıcısının gözünde milyonlarca internet sitesi, milyarlarca diğer kullanıcı ve sayısız resim, video, yazı ve benzeri demektir. Biz bir kullanıcı olarak internete bağlanmak istediğimizde girmek istediğimiz internet sitesini yazar “Enter” a basar ve internette sörf yaparız. Biz bunu yaparken internete bağlanmamızı sağlayan birçok servis kendi aralarında farklı bir dille anlaşır. Onların dili en basit haliyle 0(sıfır) ve 1(bir)lerden oluşur ve DNS servisi de tam olarak insan ve diğer internet servisleri arasında bir tercüman görevi görür. Mesela ben internet tarayıcımı açıp ve bağlanmak için http://canyoupwm.me yazdığımda kullandığım DNS servisi bu adresi 0 ve 1lerden oluşan dile çevirir ve beni bu şekilde internete bağlar.  Yukarıda DNS’in ne olduğunu ve ne iş yaptığını kabaca tanımlamış olduk.Şimdi de gelin DNS servisimizi nasıl daha güvenli hale getirebilirize bakalım.

Olası Tehditler

DNS servis tehditleri temelde iki gruba ayırılabilir. Söz konusu hackerimiz DNS hizmetinin nasıl çalıştığı üzerinden ilerleyip, biz internete bağlanırken DNS ve diğer hizmetler arasındaki trafiği manipüle ederek sistemimize sızabilir ki bu en çok karşılaşılan DNS sızma şeklidir. Bu yönteme örnek verecek olursak; varsayalım biz bağlanmak istediğimiz internet sitesini girdik ve işi DNS’e bıraktık. DNS yazdığımız internet adresini bize getirmek için diğer hizmetlerle iletişim kurarken hacker DNS hizmetimizi yanlış yönlendirip bizi kendi istediği bir sayfaya veya direk kendi istediği bir dosyaya yönlendirip sistemimize sızabilir. Diğer sızma yöntemleri ise kullanılan bazı DNS servis yazılımlarının(BIND vb.) açıklarıyla saldırmak ve DoS (denial-of-service) saldırısı ile sistemimizi meşgul etmek veya çökertmek daha sonra sızmaya çalışmaktır.DNS Hizmeti Saldırılarına Alınabilecek Önlemler DNS hizmeti konusunda alınabilecek önlemler kullanıcının profiline göre değişiklik gösteriyor. Ortalama bir PC kullanıcısı, bir server(sunucu) yöneticisi, kendi DNS sunucusuna sahip bir kullanıcı için gereken önlemler farklı seviyelerde olmak zorunda. Gelin alabileceğimiz örneklere genelden özele doğru bir bakalım.

Adres Çubuğu Kontrolü

En genel ve en kolay uygulanabilir yöntem olarak internete bağlanırken tarayıcımızın adres çubuğunda yazan internet adresinin tamamıyla doğru olduğuna dikkat etmeliyiz. Kullandığımız harflerin ve rakamların birbirine benzerliğini kullanarak bizi dolandırmak isteyen insanlar kullandığımız internet sitelerinin benzerlerini yapıp bizi kandırabilir. Bu yöntem uygulaması ve önlem alması bakımından diğerlerine göre nispeten basittir. Örnek verecek olursak;

Yukarıda adres çubuğunda yazan paypal’ın orijinal internet adresidir ve paypal kullanacağımız zaman bu adrese girmemiz gerekir.

Bu görselde gördüğümüz ise “1” ve “l” karakterlerinin benzerliği kullanılarak paypal kullanıcılarını dolandırmak amacıyla açılmış sahte bir internet adresidir.İkinci görseldeki internet sitesine girmemek ve dolandırılmamak için yapmamız gereken şey interneti kullanırken adres çubuğumuzda yazan internet adresiyle, gerçekte girmek istediğimiz internet adresinin aynı olduğunu kontrol etmek. Bu kadar basit ve basit olmasına karşın bu şekilde dolandırılan insanlar var. Bu yüzden basit olsa da göz ardı edilmemesi gereken bir önlem.

BIND(Berkeley Internet Name Domain) Kullanmak

BIND 1980’lerin başında Berkeley Üniversitesi kaynaklı tasarlanmış açık kaynaklı ve şuanda en çok kullanılan DNS servis yazılımıdır. BIND sayesinde geçen yıllarda DNS üzerinden gerçekleşen birçok tehdit engellendi ve bugün de BIND yoluna açık kaynaklı haliyle DNS tehditlerini engellemek için devam ediyor. BIND kullanmak sizi %100 güvenli yapmaz ama eski DNS açıklarını kapatmış olursunuz ve BIND yazılımını güncel olarak kullanırsanız da en son kapatılan açıklardan da etkilenmezsiniz. Aşağıdaki linklerden İngilizce olarak BIND hakkında resmi bir açıklama ve Windows için indirme linkini bulabilirsiniz.

https://www.isc.org/downloads/bind/
https://www.isc.org/downloads/

Birden Fazla DNS Servisinin Yönetimi

Eğer ihtiyaç gereği birden fazla DNS servisi kullanıyorsanız tedbir olarak, bu servisleri aynı subnet(alt ağ) üzerinden ve hatta aynı router ya da aynı özel hat üzerinden kullanmayın. Bunları farklı kullanmak size esneklik sağlar ve en azından bir DNS servisinize sızılsa bile diğer DNS servisleriniz güvende kalmaya devam edecektir.

TR | DNS Servis Sıkılaştırma CypmUni İYTE

 

• Disk yönetiminden USB belleğimizin harfini A  olarak değiştiriyoruz.

• Şimdi Syskey ‘i etkinleştirebiliriz, başlat’a Syskey  yazarak çalıştırıyoruz,

TR | Windows Hesap Parola Yönetimi CypmUni İYTE

Parola Güvenliği

Parola güvenliği, kullanıcı güvenliğinin en önemli unsurlarındandır. Bilgisayar sistemlerinde ilk karşımıza çıkan güvenlik önlemi parola sistemidir. Hem bizim hem de kullanıcılarımız için parola güvenliği çok büyük önem taşımaktadır. Yakın zamanda çıkan linux işletim sistemlerinde, passwd uygulama sistemi parola güvenliğini en üst seviyeye çıkarmayı amaçlamıştır. Bu yüzden işletim sistemlerimizin güncel olmasına önem göstermeliyiz. Parola belirlerken kaba kuvvet gibi saldırı yollarıyla kırılması zor parolalar seçmeliyiz. Nasıl parola seçmemiz gerektiği  TR | Parola Güvenliği başlığında anlatılmıştır.

Parola Yenileme

Kullanıcıların belirli aralıklarla parolalarını değiştirmelerini sağlamalıyız. Bu sayede kullanıcı güvenliğini artırmış oluruz. Parola değiştirecekleri tarihleri ve ne kadar süre kullanacakları gibi ayarları belirlerken chage  komutu kullanılmaktadır. chage –l username  komutu ile kullanıcımızın parolasına ait bilgileri görmekteyiz.

Parametreleri inceleyelim;
-m  : Kullanıcının parola değiştirdikten sonra tekrar değiştirebilmesi için, en az geçmesi gereken süreyi belirtmemizi sağlar.
-M  parametresi: Belirleyeceğimiz gün geçtikten sonra kullanıcının parolayı tekrar değiştirmesini sağlar.
-E  parametresi: Kullanıcının hesabı son kullanma tarihini belirlememize olanak sağlar. Verilen tarihte hesap kapatılır. Kullanımı “YYYY-AA-GG” şeklindedir.
-I  parametresi: Kullanıcı oturuma belirttiğimiz süre içerisinde giriş yapmazsa, oturum otomatik olarak kilitlenecektir.
-W  parametresi: Kullanıcıya parolasının zamanının dolması ne kadar süre kaldığı hakkında uyaracaktır.

Örnek kullanımı; sudo chage -E 2016-12-29 -M 100 -m 10 -I 5 -W 5 user  şeklindedir.

Yanlış Parola Giriş

Kullanıcının yanlış parola giriş sayısını sınırlandırmalıyız. Kullanıcılar 3 defadan fazla yanlış deneme yaptığında hesabı geçici olarak kapatılmalıdır.  Bu sayede saldırganların, kaba kuvvet gibi saldırılarını önlemiş oluruz. Bu sınırlandırma faillog  komutu ile yapılmaktadır.

Yukarıda ki komutta user kullanıcısının, yanlış parola giriş sayısını 3 deneme ile sınırlamış olduk.
sudo faillog –all  komutu ile bütün kullanıcıların faillog kayıtlarını görebiliriz.
Burada Failures  sütununda kullanıcının yanlış girdiği parola sayısı gözükmektedir. Buradan çok fazla yanlış deneme yapan kullanıcı, passwd –l username  komutu ile hesabı kapatılabilir.

Parolası Olmayan Hesapların Tespiti

Kullanıcıların parolalarını boş bırakmamaları gerekmektedir. Güncel linux sistemleri parolaların boş bırakılmamasına izin vermemektedir.
awk -F: ‘($2== “”) {print}’ /etc/shadow  komutu ile parolası olmayan kullanıcıların tespiti yapılmaktadır.
passwd –l username  komutu ile parolası olmayan kullanıcılar kitlenir.

Kullanıcı UID Değeri 0 olan Kullanıcıların Tespiti

UID sadece root hesabının 0 olması gerekmektedir. UID değeri 0 olan kullanıcıları tespit etmeli ve hesaplarını silmeliyiz veya bu izni bizim verdiğimizden emin olmalıyız. Güncel linux dağıtımlarında, sistem root harici kullanıcıların UID değerinin 0 olmasına izin vermemektedir
awk -F: ‘($3 == “0”) {print}’ /etc/passwd  komutu ile UID si 0 olan kullanıcıları görürüz.

Burada root hariç UID’si 0 olan kullanıcı var ise, passwd –l username  komutu ile hesabı kapatılmalıdır.

Kullanıcıların CPU VE RAM Kullanımlarının Sınırlandırılması

Kullanıcılar herhangi bir kaynak limiti belirlenmediği zaman, sistemi kırmak için sistemi meşgul eden programlar kullanabilirler. Bu sebeple kullanıcıların çalıştıracağı maximum, process sayısını ve kullanacakları RAM boyutunu ayarlamalıyız.

• En fazla RAM kullanan kullanıcıların tespiti

ps axo %mem,comm,pid,euser | sort -nr | head -n 10

• En fazla CPU kullanan kullanıcıların tespiti

ps axo pcpu,comm,pid,user | sort -nr | head -n 10

• Detaylı bilgi

ps -eo pcpu,pid,user,args,pmem | sort -k 1 -r | head -10

/etc/security/limits.conf  dosyasına aşağıdaki satırları ekleyerek, kullanıcının maximum  açabileceği process’i ve kullanacığı bellek boyutunu belirleyebiliriz.

hard core 0 
hard rss 4000 
hard nproc 10

Kullanıcı maximum 10 tane process açabilecek ve 4MB bellek kullanabilecektir.
Bu özellikleri aktif hale getirmek için, /etc/pam.d/login  dosyası aşağıdaki gibi olmalıdır.

#%PAM-1.0 
auth required /lib/security/pam_securetty.so 
auth required /lib/security/pam_pwdb.so shadow 
auth required /lib/security/pam_nologin.so 
account required /lib/security/pam_pwdb.so 
password required /lib/security/pam_cracklib.so 
password required /lib/security/pam_pwdb.so nullok 
session required /lib/security/pam_pwdb.so 
session required /lib/security/pam_limits.so

Kullanıcıların ne zaman sisteme giriş yaptıklarına dikkat etmeliyiz.

Oturum açma girişlerini kaydetmek için /var/log/wtmp  dosyası olmalıdır, yoksa oluşturulmalıdır.
last -a  en son giriş ve çıkış yapmış olan kullanıcıların terminal ismi, tarih, saat, tam istemci adı gibi bilgileri gösterir. Bu komut /var/log/wtmp  dosyasının içini okur.

Kullanıcıların sisteme yanlış giriş denemelerini kaydetmeliyiz.

Yanlış giriş denemeleri kaydetmek için /var/log/btmp  dosyası olmalıdır, yoksa oluşturulmalıdır.
lastb  başarısız oturum açma girişimlerini gösterir. Bu komut /var/log/btmp  dosyasının içerisindeki kayıtları okur ve bize çıktı sunar.

Kullanılmayan Hesapların Kapatılması

UID değeri 500’ün altında olan hesaplar kontrol edilmeli, kullanılmayan hesaplar kapatılmalıdır. Çünkü bu hesaplar saldırganların girmesi için birer kapıdır. Hesabı silmek için userdel UserName  komutunu kullanmalıyız.

Bilgisayarımız herkesin kullandığı bir yerde ise;

/etc/lilo.conf  dosyasını açıyoruz ve aşağıdaki satırı yazıyoruz.

timeout=00 restricted password="belirlediğimiz parola " timeout

Bu satır makine açılırken, LILO’nun beklememesini sağlar, bu sayede LILO’ya parametre verilmesini engellenir. Restricted satırı makinanın single modda açılması gerektiğini belirtir. Kullanıcı girerken belirttiğimiz parola ile giriş yapar.

Yetkiler gruplara verilmeli, kullanıcılar gruplara dahil edilmelidir.

Yeni hesap açan kullanıcıların asgari ihtiyaçlarını karşılayacak minimum yetkinin verildiğinden emin olmalıyız.
Grup hesaplarının oluşturulması için groupadd  komutu kullanılır.

Gruba kullanıcı eklemek için;

usermod –g <grupAdı> -G <diğerGrupAdı> <kullanıcıAdı>

Grup Ön Yükleyicisinin Şifreli Hale Getirilmesi

Yetkisiz erişimlerin önlenmesi amacıyla, ön yükleyicinin şifreli hale getirilmesi sağlanmalıdır.
Bu amaçla, iki dosya üzerinde düzenlemeler yapacağız. Önce bu iki dosyanın her ihtimale karşı yedeklemesini yapmalıyız.

Daha sonra gedit editörü ile /etc/grub.d/10_linux  dosyasını açıyoruz ve en alt satıra ,

cat <<EOF
set superusers="root"
password root p@ssW0rd123* 
EOF

komutlarını ekliyoruz.

Parolayı belirledikten sonra yeni grub.cfg dosyasını oluşturmak için, grub-mkconfig–output=/boot/ grub/grub.cfg  komutunu kullanıyoruz. Daha sonra sunucumuzu yeniden başlatıyoruz.

İşletim sistemi açılırken, kullanıcı adı ve parola soran bir ekranla karşılaşırız. Buradan grub ön yükleyici ekranına giriş olanağı sağlanır.

Şimdi sıra parola güvenliğimizi artırmak için parolamızı şifrelemeye geldi. Parolamızı şifrelemek için grub-mkpasswd-pbkdf2  komutunu kullanıyoruz.

Daha sonra şifrelenmiş kısmı daha öncede kullanmış olduğumuz aşağıdaki kodda password kısmına yapıştırıyoruz.

cat <<EOF
set superusers="root"
password_pbkdf2 root
grub.pbkdf2.sha512.10000.******
EOF

Parola şifrelendikten  sonra tekrar  yeni grub.cfg dosyasını oluşturuyoruz. Bunun için, grub-mkconfig–output=/boot/ grub/grub.cfg  komutunu kullanıyoruz. Daha sonra sunucumuzu yeniden başlatıyoruz.

• Fiziksel / GRUB Güvenliği
• Disk Güvenliği
• Dosya Güvenliği
• Kullanıcı Güvenliği
• Root Güvenliği
• Gereksiz Servislerin Kapatılması
• PAM Modülü
• IP Tables
• TCP Wrappers
• ssh Sıkılaştırması
• History Formatının Düzenlenmesi
• BASH Aktivitelerinin Loglanması
• Varnish
• Mod Evasive
• Apache Sıkılaştırması
• PHP Sıkılaştırması

TR | Linux Kullanıcı Güvenliği CanYouPwnMe

Group Policy; ihtiyaçlar doğrultusunda güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, kullanıcı güvenliği gibi işlemlerin gerçekleştirildiği, merkezi yönetimi kolaylaştıran bir takım düzenlemelerin yapıldığı bölümdür. Group Policy, Active Directory ile gelen
bir özelliktir. Group Policy domain seviyesinde ve organizational unit seviyesinde uygulanır. Farklı organizational unitler oluşturup bunlara organizational unit seviesinde Group Policy uygulamak çok daha kolay olmaktadır. Örneğin 2000 bilgisayara aynı programı yüklemeniz veya kaldırmanız gerekirse ayrı ayrı yapmak kesinlikle çok zor olacağı için kısayol bulmalısınız. Böyle durumlarda aynı program yüklenecek bilgisayarlar aynı organizational unitlere eklenirse kolaylıkla toplu kurulum yapılabilir, yönetim sağlanabilir.

Group Policy Management (Temel Güvenlik Ayarları)

Password Policy (Parola İlkesi)

Yerel güvenlik ilkesi > güvenlik ayarları > hesap ayarları > parola ilkesi yolu izlenerek buraya ulaşılır. Buradaki password policy(parola ilkesi) bilgisayar ayarları altında çalışan bilindik bir policy tipidir. Domaine üye bilgisayarlarda oturum açabilen kullanıcılarla ilgili  uygulanabilecek bütün kuralları içerir.

Burada parolamız ile ilgili her türlü güvenlik tedbirini alabiliriz. Parolanın geçerlilik süresini ayarlayabilir, parolamızı güçlendirebiliriz. Aynı zamandan parolamızın minimum uzunluğunu da buradan ayarlayabiliriz.

Denetim İlkesi(Audit Policy)

Yerel güvenlik ilkesi > güvenlik ayarları > denetim ilkesi ile de domain ortamında olan biteni görebileceğimiz policy bölümü olan denetim ilkesine geliriz. Bu bölümde dizin hizmeti, hesap yönetimi, nesne erişimi, oturum açma vb. olayları denetleyerek daha güvenli hale getirebiliriz.

Kullanıcı Hakları Aşaması(User Right Assignment)

Kullanıcı haklarıyla ilgili tedbirlerin alındığı yerdir. Aygıt sürücüleri, belirteçler, bilgisayara ağ üzerinden bağlantı, nesne etiketleri gibi birçok ilke olmakla birlikte önemli ilkelerden uzak sistemden kapatmaya zorla ve aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkelerinin örneklerini alacağız.
Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek bu sayfaya geliriz. Burada istenilen ayarlar yapılabilir. Uzak sistemden kapatmak için buraya kullanıcı adı girilmelidir. Çünkü Administrator dışında herhangi bir kullanıcı böyle bir hakka sahip değildir.

Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkesi için

Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek yine şekildeki sayfaya ulaştık. Burada da diğer ilkelerde olduğu gibi kullanıcıya yetki vermemiz
gerekiyor. Kullanıcı adımız olan “amele” yi buraya yazarak adları denetle diyoruz ve tamam diyerek bu hakkı amele kullanıcısı ile paylaşmış oluyoruz.

Kullanıcı hakları aşamasında dikkat etmemiz gereken birkaç ilkeyi şöyle sıralayabiliriz:
● Çapraz geçiş denetimi
● Saat dilimi kontrolü
● Sayfaları bellekte kilitleme
● Kalıcı paylaşılan nesneler
● Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme
● Sistemi kapatmak
● Toplu iş ilkeleri
● Yerel olarak oturum açma
● Zamanlama önceliği

Bu ilkelere öncelik vererek bütün ilkeleri gözden geçirmeliyiz.

Güvenik Seçenekleri(Security Options)

Burada çok fazla ayar yapılabilir. Kişisel güvenlik için çok önemli seçenekler vardır. Dikkatli bir şekilde seçim yapılmalıdır.

Yerel güvenlik ilkesi> güvenlik ayarları > yerel ilkeler> güvenlik seçenekleri diyerek bu sayfaya erişiriz. Konuk hesabı ile ilgili ayarlar, kullanıcı hesabı denetimi, etkileşimli oturum açma, Microsoft ağ istemcisi ve sunucusu, ağ erişimi , ağ güvenliği, aygıtlar vb birçok önemli konuda birçok alt dalda konfigürasyonlar vardır.

Burada aygıtları oturum açma gibi işlemler yapmadan çıkarma işlemi için izin ayarları var.

Ortak Anahtar İlkesi(Public Key Policies)

Bu ilke sayesinde her türlü şifreleme ayarları yapabiliriz. Şifreleme algoritma türü veri koruması vb. birçok şifre ayarlarını yapılandırabiliriz.
Yerel güvenlik ilkesi > güvenlik ayarları > ortak anahtar ilkeleri diyerek bu sayfaya ulaşabiliriz.

Ağ(Network)

Yerel güvenlik ilkesi > güvenlik ayarları > administrator şablonları > ağ yolu ile bulunur ve sistemdeki ağ güvenliği hakkında yapılandırmamız gereken ayarları içerir. DNS Server ayarlamalar vb. burada yapılır.

Burada şirket vb. topluluklar için ortak DNS adresi atayabiliriz. Burada şirket DNS araştırma adresi yazan yere adresi yazarız. DNS araştırması için kullanılan ana bilgisayarın adının beklenen adresini belirtmemizi sağlar. Ana bilgisayar adının bu adrese başarıyla çözümlenmesi şirket bağlantısının olduğunu gösterir.

Bu bölümde her türlü güvenlik ilkelerini kullanarak Windows işletim sistemimizi çok daha güvenilir hale getirerek sıkılaştırabiliriz.

Bize uygun olan ayarları Group Policy sayesinde yaparak sistemimizi dış saldırılardan koruyabiliriz.

TR | Group Policy CypmUni İYTE

Dosya ve Yazıcı sistemlerini güvende tutmak için basit önlemler;

• Sunucularınızı fiziki olarak güvende tutun.
• NTFS dosya sistemini bütün sürücülerinizde kullanın . Sisteminizi güncel tutun
• İşinize yaramayan servisleri ve uygulamaları sistemden kaldırın.
• Kullanıcılar sadece dosyalara erişimini ve yazdırma sistemini kullanmalarına yetecek izinler verilmelidir.
• Password Policy security kullanarak kullanıcıların güçlü şifreler seçmelerini zorunlu kılın.
• Administrator ve Guest hesaplarını güçlü şifrelerle koruyun.
• Sunucularınızda işlem yaparken mümkün olduğunca az izinle çalışın.
• Sunucunun kullanıcılar tarafından kullanılabilmesi için print spooler servisinin aşağıdaki gibi yapılandırılması gereklidir.

Windows + R kombinasyonuna services.msc yazarak erişebilirsiniz.

Services.msc  penceresinde aşağıdaki bölümden kullanıcıların kullanacağı şifrelerin güvenliğini arttırabilirsiniz.

Enforce password history : kullanıcıların şifre değiştirecekleri zaman seçecekleri şifrenin önceki şifrelerle aynı olmamasını sağlamak için kullanılır. Windows Server 2008de her kullanıcı için önceki 24 şifresi hatırlatılabilir.
Maximum password age : Bir şifre atandıktan sonra belirlenen gün sonrası şifrenin tekrar değiştirilmesi istenir.
Minimum password age : Atanan şifrenin tekrar değiştirilmesi için gereken minimum süre. Kullanıcıların sürekli şifre değiştirerek eski şifresini tekrar atamasını engellemek için kullanınız.

Password must meet complexity requirements: Aktifleştirildiğinde şifrelerin karşılaması gereken özellikler şu şekilde değiştirilir;

• Kullanıcı adı, tam adının kendisi ya da bir parçasını içeremez.
• En az 6 karakter uzunluğunda olmalı
• Bu 4 koşuldan en az üçünü karşılamalı;Büyük harfler,küçük harfler,rakamlar,özel karakterler

Kullanıcı izinleri

Varsayılan izinler aşağıda gösterilmiştir.

• Administrators:Full Control
• System: Full Control
• Users: Read, Read and Execute
• Creator Owner: Herhangi bir izni yok
• Everyone: Herhangi bir izni yok

Dosya izinlerini düzenlemek için;

1. İzinleri düzenlenecek dosyaya sağ tıklayın.> Özellikler > Güvenlik
2. Ekle  bölümünden yukarıdaki nesneleri ekleyin.
3. İzinleri istediğiniz şekilde düzenleyin. Tam kontrol seçeneği altındaki bütün izinleri aktif hale getirir.Read & Execute  seçeneği otomatik olarak Read  seçeneğini de aktifleştirir.

DESX algoritmasını daha güvenli olan 3DES algoritmasıyla değiştirin. Regedit penceresinden ilerleyin.

1. Kayır Defteri Düzenleyicisi’ni açınız
2. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/EFS  alt anahtarına girin.
3. Yeni DWORD  değeri açın.
4. İsmini AlgorithmID , değerini 0x6603  olarak kaydedin.
5. Restart the computer

TR | Windows Sunucu Güvenliği ile İlgili Öneriler CypmUni İYTE

Fiziksel Güvenlik Nedir?

Sistem güvenliğinde pek de önemsenmeyen fiziksel güvenlik çok küçük ve kolay hatalarla bütün uğraşlarımızın boşuna gitmesine neden olabilir. Çok kolay bir şekilde istismar edilebilecek zafiyetlere sahiptir ve kolay önlemleri vardır.şimdi sırayla bunları inceleyelim.

Bilgisayar/Sunucu Fiziksel Güvenliği:

Fiziksel güvenlik denince ilk olarak makinenin güvenilir bir ortamda saklanması gerekir. Ortamı güvenilirhale getirmek için güçlü kilit sıstemleri ve sağlam malzemeler kullanılabilir. Bu odalara giriş parolalı sistemlerle olmalıdır ve üst üste hatalı parola girişinde sistem kendiliğinden kilitlenmelidir. Ayrıca bilgisayar(sunucu) kesinlikle dışarıdan DC/DVD/USB girişlerine kapalı olmalıdır. Ve aynı şekilde mouse klavye takılı halde bırakılmamalıdır.

BIOS güvenliği:

Basıc Input Output System olarak tercüme edilen bilgisayarın çalışması için gereken temel yapıdır. BIOS yazılımı rom üzerine yazılmasından dolayı anakrt özelliklerini kullanabilr ve diğer donanımlarla
bağ kurabilir. Böylelikle makine başlangicinda donanımlar da kontrol eder.çoğu sistemde BIOS kendiliğinden parola ekli bir şekilde gelir fakat kolay işlemlerle bu parola kaldırılabilir. Bıos işlemini tamamladıktan sonra bootloadera geçiş yapılır farklı işletim sistemleri için farklı bootloaderlar vardır. Windows bootloader windowsun kullandiği bootloaderdır. Fakat bunun yerine grub da kullananbiliriz.

Secure Boot(Güvenli Önyükleme):

Windows 8 ile birlikte gelmeye başlayan bu yeni özellik bilgisayarımızı sadece yetkilendirilen işletim sistemlerinin başlatabilmesini sağlıyor. Normalde güç tuşuna bastıktan sonra BIOS devreye girer ve donanımı kontrol eder.eğer herhengi bir sorun yoksa bootloaderı devreye sokar. Secure boot işte tam olarak bu aşamada devreye giriyor. BIOS görevini bootloadera devrederken secure boot deverye giriyor ve bootloaderın ona verilen veri tabanında olup olmadığına bakıyor. Eğer bu işletim sistemi secure bootun veri tabanındaysa sıkıntısız bir şekilde bootloader devreye giriyor ve işlemler devam ediyor.

Işte kimi sıkıntılar da tam burada çıkıyor. Ya bizim çalıştırmak istediğimiz işletim sistemi bu veri tabanında yoksa ? Öncelikle secure boot özellliğini kullanmak zorunda değiliz. Devre dışı bırakılabilen bir özelliktir. Ayrıca güncel UEFI BIOS larda istenilen işletim sisteminin imzası veritabanına eklenebilecek. Örneğin windows 8 ile birlikte debianı da kullanmak istiyorsak bunları izin verilen işletim sistemleri listesine ekleyebileceğiz , silebileceğiz böylelikle bizim iznimiz dışında hiçbir işletim sistemi çalışmayacak.

Secure Bootun Yararı Nedir?

Yukarıdan da anlaşılacağı gibi Yetkisiz işletim sistemlerinin önyüklenmesini önlemek ilk akla gelen yararı. Bunun la birlikte rootkit denilen, sisteminizdeki önyükleme yöneticisini değiştiren veya önyükleme yöneticisinin yerine geçen bir takım zararlı yazılımlardır. Sistemem yerleşen bu rootkitler henüz sisteminiz çalışmadan istediği gibi kodlarla oynamalar yaparal sistem ayarlarnızı değiştirebilir,verilerinizi internet bağlantısı yoluyla alabilir ve verilerinizin kaybolmasına neden olabilir. Özetle secure boot özelliği sizin izniniz dahilindeki işletim sistemleri dışında hiçbir şeyin çalışmamasını sağlar, gerektiğinde kapatılabilir veya imzaları değiştirilebilir. Bazı sistemlerde sadece secure boot özelliğini kapatmak yetmeyebilir aynı zamanda fast boot özelliğini de kapatmak gerekebilir.

USB Belleklerin Okuma-Yazma Hakkı Kapatılması/Açılması

USB girişi bilgisayarımızın dış dünya ile fiziksel olarak bağlantı kurduğu parçalardan birisidir ve bu nedenle güvenliği son derece önemlidir. Eğer bilgisayarımızın yanında değilsek USB girişlerini kapatmamız gerekir. Ilk olarak başlat menüsündeki arama çubuğuna “regedit” yazarak kayıt defterini açarız.

Açılan defterde LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStoragesDevices  pathini izleyerek gerekli dosyamıza erişmiş olduk kimi sistemlerde RemovableStoragesDevices  dosyası olmayabilir. Windows klasörüne sağ tıklayıp yeni anahtar deriz ardından RemovableStoragesDevices  yazarak enter dersek klasörümüz oluşmuş olur.

USB Belleklerin Okunmasını Engellemek:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz

Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Read  kullandık. Deny_Read  sağ tıkladık değiştir dedik ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb bellek okumasını kapatmış oluruz. Eğer oluşturulan DWORD (32-bit)  değeri silinirse tekrar eski haline dönerek USB bellek
okumayı açarız.

USB Belleklere Yazılmayı Engelleme:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz. Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Write kullandık. Deny_Write sağ tıkladık değiştir dedik ve Ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb belleğe yazılmasını engellemiş olduk.Eğer oluşturulan ”DWORD (32-bit) değeri” silinirse tekrar eski haline dönerek USB belleğe
yazmayı açabiliriz.

Bu şekilde bilgisayarımıza gelebilecek fiziksel saldırılardan daha iyi bir şekilde
korunabiliriz. Sistemimizi daha güvenli hale getirebilir saldırılardan bir nebze korunabiliriz.

TR | Fiziksel Güvenlik CypmUni İYTE

Baskı Cihazları Güvenliği

• Ekstra güvenilirlik ve performans artışı için sisteminize print server cluster kurun. (https://technet.microsoft.com/en-us/library/cc771509(v=ws.10).aspx)
• IPSec protokolünü sunucularınıza kurun. (http://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm).
• Print permissionları gözden geçirip ayarlayın. Print permissions çıktı izinlerini belirtir ve print servislerine hak verip, engelleme olanağı sunar.

Şimdi ise yazıcı ve fakslara istenilen izinleri nasıl vereceğimizi görelim.

yazıcı ve fakslar bölümüne geldikten sonra ekli olan yazıcılarımız ekranda çıkacaktır.şuan bizde herhangi bir yazıcı ekli olmadığı için listeyi yeniliyoruz eğer yine yazıcımız bulunamazsa yazıcı adıyla, TCP/IP adresi veya ana bilgisayar adresi ile, veya el ile yazıcımızı ekleyebiliriz.

yazıcımızı CYPMprinter adıyla yazıcılarımıza ekledik.

Yazıcı ve faks klasöründe istenilen yazıcıya sağ tıklayıp yönet diyerek  bu ekrana ulaştık

güvenlik penceresinden kullanıcılara aşağıdaki izinleri atayabilirsiniz.

• Yazdır; Kullanıcının yazıcıdan çıktı almasını sağlar.
• Bu yazıcıyı yönet; Bir kullanıcı ya da gruba aşağıdaki izinleri sağlar:
  • Yazdırma izinlerini değiştirme.
  • Print spooler ayarlarını değiştirme.
  • Yazıcıyı paylaşma.
  • Yazıcıyı başlatma,durdurma,duraklatma ve devam ettirme.
• Belgeleri Yönet; Bir kullanıcı ya da grubun yazdırma sırasındaki dosyaları kontrol etmesini sağlar.
• Özel izinler: kullanıcılara özel izinler atamamızı sağlar
• Kullanıcılara yazdırma iznini atarken, Varsayılan olarak herkese yazdırma izni verilir. Bunu önlemek için yazıcılardan “Everyone” grubuna verilen izni kaldırın.

burada önemli olan her kullanıcıya yazdırma hakkı vermemektir. Sadece gerekli kullanıcılara yazdırma hakkı vererek güvenliğimizi sağlamış oluruz.

gelişmiş ayarları seçerek buradaki izinleri düzenleyebiliriz.

TR | Print Services CypmUni İYTE

Applocker Nedir? Nasıl kullanılır?

Applocker Windows Yüklü makinelerde bulunur. Sistem içerisindeki yüklü bulunan programları kullanıcıya yönelik bir şekilde kısıtlar ve bu kısıtlamayı uygulamanın adı, yayımcısı ve versiyonuna göre farklı şekillerde gerçekleştirir. Applocker ile birlikte istenilen uygulamaya sadece izin verilen kişiler erişebilir ve kullanabilir. Örneğin MS Office programlarından sadece MS Word ve MS Excel kullanıyoruz ve MS Powerpoint açılmasını engellemek istiyoruz. Böyle durumlarda applocker bize yardım eder.

Applocker kullanarak lisansız program kullanımının önüne geçebilir, lisansız programların çalışmasını engelleyebiliriz. Böylelikle herhangi bir virüsten korunmuş oluruz. Aynı zamanda kullanılan programlardan doğacak açıklıkları engelleriz ve son olarak bir nebze kişisel güvenliğimizi sağlamış oluruz.

Örneğin kişisel bilgisayarımızda birden fazla kullanıcı hesabı var ve biz bir kullanıcı olan “CYPM” isimli kullanıcının internet explorer kullanmasını engellemek istiyoruz.

İlk olarak win+r  basarak çalıştır ekranını açarız.

gpedit.msc yazarak yerel grup ilkesi(group policy) düzenleyicisini açarız.

Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Uygulama Denetim İlkeleri>Applocker diyerek bu aşağıdaki aşağıdaki gibi bir görüntü elde ederiz.

Burada, Applocker’ın içindeki  “Yürütülebilir Kurallar”ın üzerine gelerek sağ tıklayarak “Yeni Kurallar Oluştur” seçeneğini seçeriz.

Böylelikle “Yürütülebilir Kurallar Oluştur” penceresini açılmış olur.

Bu sayfayı tanımak gerekirse ilk önce yapacağımız eylemi belirtmemiz gerekmektedir. Biz Internet Explorer kullanımını engellemek istediğimiz için “reddet” seçeneğini işaretliyoruz.

Kullanıcı adı veya grup adını yazmamız gereken yere kullanıcı adımızı (“CYPM”) yazıyoruz ve adları denetle diyerek kontrol ediyoruz.

İzinler ile ilgili gerekli düzenlemeleri yaptıktan sonra sol menüden Koşullar kısmına geçiyoruz.

Resimde görüldüğü gibi 3 farklı tür koşul vardır. Bunları açıklamak gerekirse;

Yayımcı: Kuralı oluşturmak istediğiniz uygulama yazılım yayıncısı tarafından imzalanmadıysa bu seçeneği seçeriz. Bizim uygulamamızda imzalanmadığı için burayı seçiyoruz.

Yol: Sistemimizdeki dosyalar veya klasörler için kullanılır. Eğer klasör seçersek klasörün içindeki dosyalar da kuraldan etkilenmiş olur.

Dosya Karması:Hiçbir şekilde imzalanmamış bir uygulama için kural oluşturmak istiyorsanız bu seçeneği belirtin.

Türü seçtikten sonra gözat diyerek işlem yapmak istediğimiz uygulamayı seçiyoruz.

Özel değerleri kullan diyerek 11.0.0.0 ve üstünün veya altının çalıştırılmamasını da sağlayabiliriz.

Buradaki özel durumlar ise şuan Internet Explorer için kullanılmıyor fakat ilk verdiğimiz örnekteki Office programları olsaydı Word ve Wxcelin kulllanılması için buraya eklememiz gerekecekti.

Ardından oluşturduğumuz kurala bir isim veriyoruz. İstersek kural ile ilgili açıklama yazabiliriz.

“Oluştur” butonuna bastıktan sonra, kuralları oluştmak için Evet’e basmamız gerekmektedir.

Kuralımızın oluştuğunu bu şekilde görebiliriz.

ÖNEMLİ NOT :Fakat oluşturulan kuralın client bilgisayarlarda çalışması için Application Identity(UygulamaKimliği) servisinin açık ve otomatıkte olması gerekmektir. Bu servisimiz açık değilse şu sekilde açıp otomatik yapabiliriz.

İlk olarak yine çalıştır ekranına services.msc yazalım.

Hizmetler penceresi geldi bu pencereden uygulama kimliği servisini çalıştırmak için başlat dememiz yeterli fakat biz aynı zamanda otomatik olmasını da istiyoruz. Bunun için sağ tuş’a basıp özellikler diyoruz.

Bu ekranda başlangıç türünü otomatik yapıyoruz. “Uygula” ve “Tamam” dediğimizde işlemimiz gerçekleşiyor.

Bundan sonra “CYPM” kullanıcısı Internet Explorer’a erişmek istediğinde “Your system administor has blocked this program. For more information,contact your system administor.” içerikli bir hata ile karşılacağız.

Yaptığımız basit örnekte de görüldüğü gibi, Windows Applocker kullanımı oldukça basit ve rahattır. Oluşturduğumuz kurallar doğrultusunda kullanıcı ve gruplar üzerinde gerekli izin ve kısıtlamaları yapabilmekteyiz.

TR | Applocker Kullanımı CypmUni İYTE

WordPress Hardening

WordPress, açık kaynaklı ve ücretsiz olarak kullanılabilen dünya üzerinde en çok tercih edilen blog sistemlerinden biridir. WordPress’i kolayca kurabilir, sitenizi yayınlayabilir ve içerik eklemeye başlayabilirsiniz.

WordPress topluluk tarafından geliştirilmiştir. Bu sayede isteyen herkes gelişmesine, daha kullanışlı ve sağlam bir hal almasına olanak sağlamaktadır.
WordPress güvenlik kayıtlarına göre yüklenen WordPress yazılımlarının %70’inde saldırganlar tarafından hedef alınabilecek zararlılar bulunmaktadır. Buna ek olarak 2012 yılında 170 bin WordPress sitesi hacklenmiştir ve bu sayı her yıl giderek artmaktadır.

Çok az sayıda trafik alan ya da içinde önemli dosyaların, belgelerin bulunmadığı bir blogun sahibi olduğunu düşündüğünüzde neden saldırgan bize saldırsın ki diye düşünebilirsiniz.Bunun en çok tercih edilme sebebi ise saldırganların sizin sunucunuzu spam mailleri yollamak üzere ele geçirmek istemesidir.

Bu yazıda, sahip olduğunuz WordPress sitesini nasıl tehditlerden korumanız gerektiğini konuşacağız.

Saldırganların size hangi yollardan saldıracağını anlamak için WordPress güvenlik raporundaki sayılara bakabiliriz. Geçen yılki verilere göre:

• %41’lik kısım hosting platformunda bulunan güvenlik zaafiyetlerinden ötürü
• %29’luk kısım WordPress temalarını kullanarak
• %22’lik kısım WordPress pluginlerinden
• %8’lik kısım ise kullanılan zayıf parolalardan dolayı hacklenmiştir.

Görüldüğü üzere saldırıların %41’lik kısmı hosting platformlarında yer almaktadır. Bu, birçok tekniği içeren bir konu olsa da buna bir örnek verebiliriz. Örneğin URL parametrelerini kullanarak SQL Injection saldırısı gerçekleştirilebilir. Bu teknik, saldırganlara istedikleri kodları sizin veritabanınıza kaydetmeyi-örneğin şifrenizin değiştirilmesi gibi- verilerinizi silmeyi ya da değiştirmeyi mümkün kılar.

%51’lik bir kısım ise WordPress plugin ve temalarından kaynaklanan zaafiyetlerden ötürüdür. Saldırgan kişiler plugin ve temaların içine şifrelenmiş şekilde çalıştıralabilir kod parçaçıkları bırakabilir. Bu teknik ile siteniz üzerine bir arka kapı bırakabilir, daha sonra sizin haberiniz olmadan siteniz üzerine erişim sağlayabilirler.

Listenin sonunda yer alan zayıf parolalar ise tahmin edilmesi kolay olduğu için ve kaba kuvvet saldırı ile kolayca elde edilebileceği için tehlike arz etmektedir.

Şimdi ise yapmanız gerekenlerin yer aldığı kısıma geçelim. Unutulmamalıdır ki saldıraya uğramadan sitenizi güvenli hale getirmek, saldırıya uğradıktan sonra düzeltmekten çok daha karlı bir iştir.

Güvenli Bir Hosting Şirketinden Hosting Hizmeti Almak

Yukarda bahsedildiği gibi saldırıların hatrı sayılır bir kısmı hosting şirketlerinde yer alan zaafiyetlerden dolayı olmaktadır.Hosting şirketi tercih ederken aşağıdaki gibi koşulları arayabiliriz;

• PHP ve MySQL’in son sürümünü destekeleyen
• WordPress ile optimize bir şekilde çalışabilecek
• WordPress ile birlikte kullanılabilecek bir güvenlik duvarı olan
• Zararlı yazılım taraması barındıran
• Önemli WordPress güvenlik sorunları karşısında çözüm bulmuş hosting şirketleri tercih edilmelidir.

Eğer paylaşımlı bir hosting almayı düşünüyorsanız, hosting şirketinizin sizin alanınızı diğerlerinde izole ettiğine emin olmanız gerekmektedir. Bu sayede aynı alanda bulunan sitelerde meydana gelen saldırılar, sizi etkilemeden ortadan kalkabilir.

Ayarların Yüklenmesinin Önemi

WordPress Güvenlik Anahtarları olarak adlandırılan yazılım yenilikleri WordPress’in 2.5, 2.6, 2.7 sürümleri ile birlikte gelmeye başlamıştır. Bu anahtarlar sitenizi ziyaret edenlerin çerezlerinin daha güvenli bir şekilde saklanmasına olanak vermektedir. Ayrıca bu anahtarlar sizin parolarına eklenen ek özellikler ile birlikte parolanızın kırılmasını güçleştirecektir.

Bu anahtarlar wp-config.php dosyası içinde yer alır ve değiştirilebilir. Eğer bu anahtarları yükleme esnasında eklemediyseniz, bu dosya üzerinde ekleyebilirsiniz.

WordPress veritabanı üzerinde yer alan tüm tablolara bir ön ek getirir. Default olarak gelen bu ön ek “wp_“‘dir. Örneğin kayıtlar adında bir tablo oluşturmak istediğinizde bu wp_kayitlar şeklinde gözükecektir. Bu ön eki değiştirmenin önemi saldırganların siteniz üzerinde SQL Injeciton saldırı gerçekleştirmesi sırasında tablo isimlerini tahmin edememesini sağlamaktır.

Ön eki değiştirmek için wp-config.php dosyasında

$table_prefix = ‘wp_’;

satırınu değiştirebilirsiniz.

Bu ayarı değiştirmeniz daha önce oluşturmuş ve wp_ ön ekine sahip olan tablo isimlerinizi değiştirdiğiniz anlamına gelmez. Eğer bu işlemi tablo oluşturulmasında sonra yapıyorsanız, tablolarınızı güncellemeniz gerekmektedir.

Bunun için iThemes Security uygulmasını kullanabilir, otomatik olarak tablolarınız güncelleyebilirsiniz. Buna ek olarak bu işlemi elle yapmak da isteyebilirsiniz fakat bu işlem biraz zaman alabilir.

Bu işlemi PHPMyAdmin üzerinde her veritabanı ve her veritabanı içindeki tüm tablolar için tek tek yapmak koşuluyla aşağıdaki komut ile yapabilirsiniz. Tabi pluginlerin oluşturduğu tabloları da unutmamanız gerekmektedir.
RENAME table `wp_links` TO `newprefix_links`;

Elle komut girmek istemiyorsanız bunu yine PHPMyAdmin üzerindeki seçeneklerden de yapabilirsiniz.

Bir sonraki adımda yapmanız gereken işlem tablo ön eklerinin referans alındığı meta isimlerini değiştirmek olacaktır.Bunun için yine PHPMyAdmin üzerinden basit bir sorgu kullanmanız gerekmektedir.

UPDATE `newprefix_usermeta` SET `meta_key` = REPLACE( `meta_key`, ‘wp_’, ‘newprefix_’ )

Son olarak ise options tablosunu da güncelleyerek bu kısmı bitirmiş olursunuz.

UPDATE `newprefix_options` SET `option_name` = ‘newprefix_user_roles’ WHERE `option_name` = ‘wp_user_roles’

WordPress’inizi Güncel Tutun

WordPress’in her sürümü önceki sürümlerde görülmüş bir güvenlik açığını giderir. Dahası, WordPress’in güncel sürümünü kullanıyorsanız bu, sizin saldıralar karşısında daha fazla açığa sahip olduğunuz anlamına gelir. WordPress’inizi güncel tutmak bu ve buna benzer sebeplerden dolayı oldukça önemlidir.

WordPress yılda iki defa büyük sürüm güncellemesi yayınlar. Bu güncellemelerde daha çok yeniliklerden bahsedilir. Buna ek olarak sene içerisinde küçük güncellemeler de yapılır. Bunun da amacı büyük güncellemelerdeki hataları ve güvenlik zaafiyetlerini gidermektir.

WordPress’in 3.7 sürümü ve sonrası kullanıcılarına otomatik güncelleme seçeneği sunar. Fakat bu otomatik güncelleme sadece küçük güncellemeleri kapsar. wp-config.php dosyası içerisine ufak bir kod ekleyerek bu işlemi kendiniz yapabilirsiniz.
define( ‘WP_AUTO_UPDATE_CORE’, true );

Bu şekilde tüm güncellemeleri otomatik şekilde almış olacaksınız. Fakat büyük güncellemelerden sonra sitenizde sorun çıkması ya da sitenizin çökmesi mümkün olabilir.Bu gibi durumlar için önlem almak istiyorsanız otomatik güncelleme seçeneğini kapatmanız gerekmektedir.

WordPress Pluginleri ve Temaları

Temalar ve pluginlerin içindeki güvenlik açıkları başlarda öğrendiğimiz gibi saldırı olayların yarısından fazlasını kapsamaktadır. Siteniz üzerinde kullandığınız pluginleri seçerken oldukça dikkat etmeniz gerekmektedir.

Eğer bir işlemi basit fonksiyonlar ile yapma imkanınız varsa plugin kullanmamayı tercih edin.
Bütün pluginlerin tam amacına hizmet etmek için yazılmadığını unutmayın. Ekleyecek olduğunuz pluginin ne yaptığından emin olun, kaynak koduna bakın.
Kullanmadığınız pluginleri kapatıp kaldırın.
Pluginleri seçerken güncel olanlarını tercih edin.

Kullanmış olduğunuz temanın son sürümünü kullandığınıza ve kodların düzgün bir şekilde yazıldığına emin olun. Temalarınızı ve pluglerinizin kalitesini WordPress’in tema kontrol ve plugin kontrol uygulamalarıyla kontrol edebilirsiniz.

Buna ek olarak bilinmeyen kaynaklardan ücretsiz WordPress temaları indirirken dikkatli olmanız gerekmektedir. Bilinmeyen kaynaklardan zararlı kodların gelebileceğini unutmamak gerekir. Eğer içinizde buna dair bir şüphe varsa, WordPress’in kendi temalarına bağlı kalmayı tercih edin.

Kullanmakta olduğunuz pluginler için otomatik güncelleme işlemini aktif etmek istiyorsanız aşağıdaki kod parçasını wp-config.php dosyası içine ekleyebilirsiniz.

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

Aynı işlemi temalarınız için de yapabilirsiniz.

add_filter( ‘auto_update_theme’, ‘__return_true’ );

Pluginlerinizi ve temalarınızı otomatik olarak update ederken sitenizde herhangi bir sorun çıkabilir. Bu sorun siz bilgisayarınız başında değilken çıktığında ise sizin için sorun oluşturabilir. Bu durumda güncellemeleri manuel olarak yapmak bu gibi olaylardan kaçınmak için tercih edilebilir.

Dosya İzinleri

Dosya izinlerini doğru ayarlamak oldukça önemlidir. Bütün izinlerin 777 olarak ayarlanması zararlı kodların siteniz üzerinde izinsiz çalışmasına sebep olabilir.

WordPress için tavsiye edilen dosya izinleri aşağıdaki gibidir.

• Dizinler için 755 ya da 750
• Dosyalar için 644 ya da 640
• wp.config.php dosyası ise 600 olarak ayarlanmalıdır.

PHP Hata Mesajlarının Kapatılması

Eğer bir plugin ya da tema siteniz üzerinde hata verirse, dışarıya verilen hata mesajı içerisinde siteniz üzerinde yer alan yazılımlar hakkında bilgi verilmemeye dikkat edilmemelidir. Aşağıdaki kod parçasını wp-config.php hata mesajlarını engelleyebilirsiniz.

error_reporting(0);
@ini_set(‘display_errors’, 0);

.htacces Dosyası
.htacces dosyası URL’leri yönlendirme ve kalıcı bağlantı linklerini ayarlamada kullanılan önemli konfigürasyon dosyasıdır. Bu dosya sıkılaştırma işlemleri için de kullanılabilir.

Örneğin wp-config.php dosyası siteniz için önemlidir. İçerisinde veritabanı bağlantı ayarları, tablo ön ekler, güvenlik anahtarları ve diğer önemli bilgiler yer alır. Bu dosyası .htaccess içinde düzeneleme yaparak koruyabilirsiniz.

<files wp-config.php>
order allow,deny deny from all 
</files>

Sitenizi admin paneline sadece belirli IP’lerden gelen istekleri kabul etmek için aşağıdaki gibi ayarlama yapabilirsiniz.

order deny,allow
allow from 192.168.5.1
allow from 123.123.7.8
deny from all

Eğer sitenizi ziyaret eden şüpheli biri ile karşılaştıysanız yine aynı şekilde o kişiyi engelleyebilirsiniz.

order allow,deny
deny from 123.123.8.9
allow from all

Genel olarak /wp-includes/ dizini önemli bilgileri içeren bir dizindir. Sitenizi ziyaret eden kişilerin bu dizine girmesine gerek yoktur. Aşağıdaki kod satırını ekleyerek bu dizini koruyabilirsiniz.

# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

.htaccess dosyasının kendisini korumak için ise aşağıdaki kodu uygulayabilirsiniz.

<Files .htaccess> order allow,deny deny from all </Files>

Ayrıca yapılan isteklerde verilen bilgiler içerisinden kullanmakta olduğumuz apache sürümü bilgilerinin gösterilmesini engellemek adına apache2.conf dosyası içerisinde aşağıdaki değişikliği yapabiliriz.

ServerSignature Off
ServerTokens Prod

ServerSignature Off ile hata sayfalarında apache sürüm bilgisinin dışarıya vurulması engellenir.

ServerTokens Prod ile de http istek başlıklarında server kısmında ne yazacağı ayarlanmış olur. Bunu Prod olarak belirleyerek sadece Apache yazmasını sağlamış oluruz.

Parolalar

Zayıf parolalar saldırganların sitenize kaba kuvvet saldırıları uygulayarak sitenizi ele geçirmeyi deneyebilir. Ayrıca zayıf parolaların tahmin edilme olasılığı da oldukça yüksektir.

• Parolalar düzenli olarak değiştirilmelidir.
• Otomatize toollar yardımı ile güçlü parolalar oluşturulmalıdır.
• Sitenize kayıt olacak diğer kullanıcıların da güçlü parola kullanması için parola politikası belirlenmelidir.

Çoğu WordPress sitesinin en yetkili hesap adı admin olarak seçilmektedir ve bu admin adı eski WordPress sürümlerine default olarak gelmekteydi. Bu durum saldırganlar tarafından bilindiği için yapmaları gereken sadece şifreler için kaba kuvvet saldırısı yapmak olacaktır. Aşağıdaki SQL komutu ile PHPMyAdmin üzerinde yeni bir kullanıcı adı alabilirsiniz.

UPDATE wp_users SET user_login = ‘newusername’ WHERE user_login = ‘admin’;

Giriş Denemelerinin Sınırlanması
Saldırganlar farklı kullanıcı adları ve parolalar ile birlikte sürekli olarak sitenize girmeyi deneyebilir. Bu gibi saldırı türünden kurtulmak için yapılması gereken çözümlerin başında LoginLockDown, LoginSecuritySolution gibi pluginler yükleyerek giriş denemelerini kontrol etmektir.

Bir saldırgan belirli sayıda giriş yapmayı denediğin ve sizin belirlediğiniz eşiği aştığında bir süre için siteye erişiminin engellenmesi gerekmektedir. Bu süreyi ve deneme sayısı belirlemek size kalmıştır. Ayrıca bu pluginler yardımıyla sitenize giriş yapmayı deneyen kişilerin IP adreslerinin de kaydını tutabilmektesiniz. Daha sonra bu IP adresini kullanarak sitenize giremeyecek kişileri düzenleyebilirsiniz.

Ayrıca yanlış giriş denemelerinin sonucunda gösterilen hata mesajlarında kullanıcı adı hatalı ya da parola hatalı gibi olmamalıdır. Bu, karşı tarafa girilen kullanıcı adının var olup olmadığı hakkında karşı tarafa bilgi verir. Bunun yerine kullanıcı adı ya da şifre hatalı gibi bir mesaj gösterilebilir.

İki Aşamalı Güvenlik

İki aşamalı doğrulama saldırganlar için sitenize kaba kuvvet saldırıları ile girilmesini bir kat daha zorlaştıracaktır. Bu sayede her giriş denemesinde güvenlik kodu girilmesi zorunlu hale gelecektir.Aşağıda iki aşamalı güvenlik hizmeti veren bazı WordPress pluginleri yer almaktadır.

• Clef
• Clockwork SMS
• Duo Two-Factor Authentication
• OpenID
• Google Authenticator
• Authy Two Factor Authentication
• Stealth Login Page

Giriş Sayfasının Saklanması

Default olarak giriş sayfası /wp-admin altında yer aldığı için bunu bilen kötü amaçlı kişiler giriş yapmayı deneyebilir. Bu dizini başta bir yere taşımak yine saldırganların kaba kuvvet saldırı yapmasını engellemeye yardımcı olacaktır.Bu işlemi gerçekleştirmek için bazı pluginler yer almaktadır.

• Hide Login
• Lockdown WP Admin
• Rename wp-login.php

WordPress Sürüm Numarasının Kaldırılması

Default olarak WordPress meta tagleri içerisine hangi WordPress sürümünü kullandığınız ekler. Bu bilgi saldırganlar için sisteminiz tanınmasa ve o sistem üzerinde hangi zaafiyetlerin yer aldığının bilinmesine sebep olmaktadır. Bu meta tagini kaldırmak için temanızda yer alan function.php içerisine aşağıdaki kodu ekleyebilirsiniz.

remove_action(‘wp_head’, ‘wp_generator’);

Yine bu işlemi Remove Version adlı plugini yükleyerek de yapabilirsiniz.

Düzenli Yedekleme Yapılması

Siteniz üzerinde her türlü güvenlik önlemini aldığınızı düşünseniz bile belirli alarak siteniz yedeğini almanız gerekmektedir. Ne durumda olursa olsun sitenizin saldırganlar tarafında hedef alınamayağı kesin değildir.

Çoğu hosting şirketi günlük olarak sitelerin yedeklerini almaktadır. Fakat eğer onların da aldıkları yedekler zarar görürse, sizin yedekleriniz de kaybolmuş olacaktır.
Bu yüzünden sitenizin yedeğini kendiniz düzenli olarak almalısınız.

WordPress bu işlemi sizin için yapabilmekte olup yedeğinizi istediğini zaman alabilir, istediğiniz zaman geri yükleyebilirsiniz.

Bu işlemi yaparken BackupBuddy, Backup Creatır, UpdraftPlus Backup and Restoration for WordPress, WordPress Backup to Dropbox gibi pluginleri tercih edebilirsiniz.

Sitenin Taranması

Eğer sitenizin tehlike altında olduğunu düşünüyorsanız, hosting şirketiniz ile görüşüp saldırganın yüklediği dosyaları sitenizden kaldırtabilirsiniz. Fakat bazı saldırganların hedefi sitenizi spam mailleri göndermek için kullanmaktır ve siz dosyaları kaldırdığınızda bile bu işlem devam edecektir.Sitenizde yer alan zararlıları ve şüpheli dosyaları kaldırmanın en güzel yolu sitenizi düzenli aralıklarla taramaktır. Bunun için aşağıdaki pluginleri kullanabilirsiniz.

• Ultimate Security Checker
• AntiVirus
• WP Antivirus Site Protection
• Sucuri Sitecheck
• CodeGuard
• Theme Authenticity Checker

Bu konuda son oalrak WP Changes Tracker plugininden bahsedebiliriz. Bu plugin sizin sitenizdeki, temanızdaki, plugininizdeki tüm değişikliklerin logunu tutar. Bu bir tarama aracı olmasa da siteniz üzerindeki tüm değişiklikleri gözlemleyerek bu karara siz varabilirsiniz.

Hepsi Bir Arada Pluginler

Eğer teknik konularda çok fazla bilginiz yoksa ya da bu işler ile kendiniz uğraşmak istemiyorsanız bazı hazır pluginler sayesinde sitenizi koruma altına alabilirsiniz. Bunların amacı genel olarak sitenizi saldırganlar korumak için önlem almak olsa da bazıları günlük taramalar yapar ve güvenlik duvarları oluşturur.

• Acunetix WP Security
• Sucuri Security
• Wordfence Security
• BulletProof Security

Sonuç Olarak

Siteniz için güvenlik önlemleri almak sizin için oldukça önemli bir ihtiyaçtır. Eğer bu ve buna benzer önlemleri almazsanız, saldırılara karşı oldukça açık durumda kalırsınız. Bu sitenizin spam mailleri gönderdiği için diğer sitelerce kara listeye alınmasına sebep olabilir. En kötü durumda ise sahip olduğunuz verileri kaybedebilirsiniz.

Günlük yarım saatlik bir özen göstererek sitenizin güvenliğini iyi derecede sağlayabilir ve saldırganlar tarafından hedef alınması güç bir site haline gelebilirsiniz.

TR | WordPress Hardening Ali TONKAZ