Checkpoint Üzerinde Port Taramalarına Karşı Önlemler-2

Bu hafta sizlere bir önceki yazımızın devamı olan checkpoint üzerinde port taramalarına karşı alınanabilecek önlemlere devam edeceğim. Önceki yazımızda kısaca port taraması nedir, çeşitleri nelerdir ve nasıl yapılır  basitçe değindik.  Bu yazımda da aşağıdaki konulara değinmek istiyorum.

  • Stateful Packet Inspection(SPI) veya  Dynamic Packet Inspection nedir,
  • Checkpoint üzerinde SPI ayarları,
  • Checkpoint üzerinde IPS blade’in aktif edilmesi,
  • IPS blade üzerinde network seurity ayarları,

Not: Yapılan bütün işlemler R77 versiyonu üzerinde yapılmıştır ****

 

Öncelik ile SPI mantığından bahsedelim ki alacağınız veya kullandığınız firewall, IPS/IDS sisteminde bunun ne kadar önemli olduğunu ve stabil çalışması gerektiğini unutmayalım.

 

Stateful Packet Inspection(SPI)

Günümüzde az da kullanılsa geleneksel  dediğimiz sadece TCP paketinin header’ına bakarak (destination IP, port number) port koruması yapan özetle L3 koruma yapan firewall’lara inat, checkpoint firmasının 1990’larda çıkardığı TCP paketinin source – destination IP, port numarası, tcp sequence numarası, window size  yani L7 seviyesine kadar paketi analiz yapan koruma yöntemidir.

  • Firewall’a gelen istek öncelikle kural tablosuna bakılır ve ilgili port açıksa state tablosuna TCP paketi gönderilir. Port kapalı ise gönderilmeden block’lanır.
  • State tablosuna gönderilen paket için firewall three-way handshake oluşmasını bekler, window size gibi değerleri  kontrol eder ve bunlardan uyuşmayan, TWH tamamlanmayan bağlantıyı veya başlangıçta SYN paketi gelmeyen farklı bir flag’de (FIN, ACK, URG v.b) gelen bağlantı varsa paketi drop eder.

1

 

Anlaşılacağı üzere stateful firewall mantığı çok önemli olmakla beraber mutlaka alacağınız bir firewall olursa üzerinde bu tür testleri yapmadan ve sağlıklı sonuç aldığınızı görmeden satın alım yapmayın derim.

 

Checkpoint firewall üzerinde Stateful Inspection ayarlarına bakmak ve bunlar üzerinde değişiklik yapabilmek için,   smartdashboard üzerinde  Global Properties -> Stateful Inspection adımlarını takip ememiz gerekiyor.

2

 

 

Bu alanlara değinmekte fayda var.

TCP start timeout: Bir tcp connection’ında 3-way handshake başlaması için belirttiği süre. Bu sürede başlamazsa connection’ı drop eder.

TCP session timeout : Askıda kalan bir session varsa ne kadar süre sonra state tablosundan sileceğini belirtir. Bu sayede connection tablosunun şişmesini önlersiniz. Firewall arkasında database sunucusu varsa bu süreyi biraz yüksek tutun derim.

TCP end timeout:  Karşılıklı connection kapatılması sürecine girdiğinde FIN, FIN-ACK, ACK-FIN paketlerinin süre aşımını belirtir.  Bu sürede kapanmazsa bağlantıyı RST paketi yollayarak keser.

UDP Virtual Session Timeout: UDP paketleri TCP  gibi 3-way handshake yapmadığı için paketleri izlemek zordur. UDP virtual session demesindeki nedende UDP paket geldiği veya gittiği zaman UDP’ye karşılık cevap bekler. Bu cevap paketi gelmediği zaman buradaki session timeout süresi devreye girer.

Accept Stateful ICMP:  ICMP paketlerinde hata yakalama için kullanılan error ve replay paketlerinin üzerinden geçmesine izin verir. Bunu mutlaka aktif etmeniz gerekir.  Bu kapalı olursa firewall arkası sistemlerinize ping dahil atamazsınız çünkü replay paketleri size iletilmeyecektir.

Out Of State Packets :  Aktif ettiğiniz zaman 3-way handshake başlaması için mutlaka ilk paketin SYN paketi olmasını bekler. Bunun dışında ACK, SYN-ACK, FIN v.b paketler gelirse firewall üzerinde out of state hatası olırsınız. Bunun nedenide, sisteminize port taraması yapan biri olduğunu, networkde bozuk paket gezdiğini veya timeout sürelerinden sonra paket geldiğini anlarsınız. Bu hata denetimi içinde çok aktif kullanılan bir yöntemdir.

Tcp out of state 3

 

Log da da görüldüğü üzere bu yazdığım nedenlerden dolayı drop olan bir connection’ı görüyorsunuz.

 

Not: Stateful inspection ayarları sadece checkpoint’de yok. Farklı bir firewall’da kullanıyorsanız bu ayarlar işinize yarayacaktır.

Gaia üzerinde “fw tab -t connections -s“  komutu ile aktif olan connection’ları görebilirsiniz.

   “ fw tab -s komutu ile de state tablosunda tutulan değerleri görüntüleyebilirsiniz.

 

4_state_table

Stateful packet inspection’dan ve checkpoint üzerindeki ayarlardan bahsettikten sonra checkpoint üzerinde IPS blade’i aktif etmeyi ve port taramalarına karşı alınan önlemlerden bahsedelim.

 

SmartDashboard üzerinde Network Object alanında firewall sekmenize geliyorsunuz.

Burada belirtmekte fayda var ki, checkpoint standalone veya distributed olarak kurulabilir. Lisans, performans, kullanıcı sayısı ve yönetilebilirlik ile ilgili bir durum.

 

Standalone

6_standalone

 

 

Distributed

7

 

 

Benim yapımda Distributed bir mimari olduğu için firewall’un genel ayarlarına gelip IPS sekmesinin yanındaki işareti aktif ediyorum ve blade’im aktif olmuş oluyor.

fw5

 

Bu aşamadan sonra şimdi de IPS alanımıza gidip burada port taramalarına karşı alınacak önlemlerden bahsedelim.

Port taramalarına karşı alınacak önlemler checkpoint üzerinde IPS -> Protections-> By Protocol -> IPS Software Blade -> Network Security alanında yer alıyor.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Network Security

 

 

Şimdi de önemli olan alanlardan birkaçını açıklayıp ufak bir test yapalım.

 

Stream Engine Settings :  Firewall üzerinden geçen ve state tablosunda  tutulan TCP ve UDP paketlerinde herhangi bir değişiklik olduğunda

  • sequnce number değişimi
  • Paket timeout süresi
  • Tcp paket’in içinde belirtilen windows size değerini

Ve buna benzer değerleri kontrol eder ve bir değişiklik gördüğünde paketi drop eder.

 

Stream Engine Set 8

 

 

Danial of Service:  Burada en önemli olan ve config ederken dikkat etmemiz gereken alan “Aggressive Aging”  firewall üzerinde connection tablosu dolduğunda (DOS atak v.s sonucunda) stateful alanındaki değerlere baskın gelir ve buradaki değerlere göre state tablosunda connection’ları drop eder.

Default değerlere bakacak ve yapacağı işlemi yorumlayacak olursak, memory ve connection tablosu %80 leri aştığında, bağlantıları verdiğiniz değerlere göre sonlandırır.

 

aggresive aging

 

TCP : Bu alanda da TCP saldırıları ile ilgili ayarların bir  kısmını yapılandırabilirsiniz.  SYN taramalarına karşı bu alanda rahatlıkla önlem alabilirsiniz.

 

TCP9

 

Örnek olarak sistemimde nmap yüklü opensource bir makinam var ve firewall arkasında belirlediğim bir server’a SYN  attack  yapacağım.  Yukarıda kırmızı ile işaretlediğim kuralı önce inactive yapıp sonuca bakacağız sonra da aktif edip bazı ayarlar ile oynayıp duruma bakacağız.

 

Saldırı yapacağım makinada önce “nmap   -sS  -n -PN host_ip” komutu ile SYN attack yapalım

10_Scanning

Görüldüğü üzere sunucu üzerindeki açık portları rahatlıkla tespit edebiliyoruz.

Şimdi biraz önceki alanı aktif edelim ve sistemimize saldırı yapan kişiye client üzerinden değil de firewall üzerinden tarama yapılan her port için SYN-ACK paketi yollatalım. Böylece saldırgan her portun açık olduğunu düşünerek kandıralım.

13

 

Bu işlemleri yaptıktan sonra da tekrar bir test yapıp durumu görüntüleyelim.

11_Syn_Prevent

Bu liste 65000’e kadar gidiyor.  Port tarama ve bunlara karşı önlem alma senaryolarını çoğaltabiliriz.

Benim size tavsiyem eğer bütçeniz müsade ediyorsa sisteminizde ayrı bir IPS/IDS almanız veya SNORT kurup bunun üstünde işlem yapmanızdır. UTM cihazlar ne kadar IPS sistemini firewall içinde opsiyon olarak getirse de %100 başarı almanız maalesef çok zor.  Örneğin Checkpoint üzerinde sadece bir IPS kuralını firewall’a uygulayabiliyorsunuz ve sisteminize gelen tüm paketler bu kurala tabi oluyor ve latency oluşması kaçınılmaz oluyor. Daha birçok şey söyleyebilirim ama yeterince uzattım diye düşünüyorum.

Yazdıklarımda eksik veya gözden kaçırdığım nokta varsa şimdiden özür diler, birdahaki makalemde görüşmeyi temenni ederim J

Teşekkürler…

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*