Ankara Üniversitesi
Nallıhan Meslek Yüksekokulu
WEB SİTESİ GÜVENLİK AYARLARI
NB P220 W E B PR OJE SI YÖNE T I MI
Web Sunucularındaki Güvenlik Riskleri
1- İşletim Sistemi
2- Yüklü Uygulamalar
3- Sunucu ve uygulamaların hatalı yapılandırılması 4- Web uygulamalarının eksik veya hatalı olması
5- Paylaşımlı sunucularda paydaşlardan kaynaklanan tehditler
Windows Sunucularda Güvenliği Sağlamak
BGYS (Bilgi Güvenliği Yönetim Sistemi) oluşturup yayınlarsanız hem sistem güvenliğiniz artırmış hem de ISO27001 standartlarından birini yerine getirmiş olursunuz.
AD DS kurulumu sonrası default gelen kullanıcıları
kullanılmayacaksa mutlaka kapatınız. Özel yetkisi olan Administrator gibi hesapların kopyasını alarak isimlerini değiştirip kullanın.
Varsayılan Administrator hesabını kapalı duruma getirmeyi
unutmayınız.
Windows Sunucu Güvenlik Önerileri
1. Güncelleme alamayan işletim sisteminizi yeni sürüm ile değiştirin.
2. BIOS’a girişi parola ile korumaya alın.
3. Otomatik güncelleştirme özelliklerini aktif edin, mümkünse SSCM kullanın 4. Sunucuları mümkünse Active Directory üzerine aktarın
5. Sunucular arasında iletişim kurulacaksa Ipsec gibi VPN teknolojileri kullanın 6. Parola güvenliğini sağlamak amacı ile 90 günde bir parola değiştirmeye
zorlayın
7. Parola uzunluklarını minimum 8 karakter olacak şekilde ayarlayın
8. Sunucularda 15 dakikada 2 kez geçersiz parola denemesi yapılırsa hesabı devre dışı bırakın
Windows Sunucu Güvenlik Önerileri
9. Logon olaylarını belirli aralıklarla takip edin
10. Ataklara karşı koymak için sunuculara EMET (Enhanced Mitigation Experience Toolkit) kurulumunu gerçekleştirin
11. Sunucular üzerinde kullanılan 3.parti yazılımların güvenlik güncelleştirmelerini mutlaka gerçekleştirin
12. Anti-virüs uygulamaları kullanımına özen gösterin(Kaspersky, Sophos, Eset vb) 13. Sistemde yüklü olan antivirüs uygulaması ile belirli aralıklarla tarama işlemi
gerçekleştirin
14. Sistemde günlük tutmayı aktif hale getirin
15. Güvenlik duvarı kullanımına özen gösterin, ihtiyacınız olmasa bile güvenlik duvarını açın
Windows Sunucu Güvenlik Önerileri
16. Güvenlik duvarı kullanımına özen gösterin, ihtiyacınız olmasa bile güvenlik duvarını açın
17. Kullanılmayan portlara erişimleri kalıcı olarak kapatın 18. RDP bağlantısı yapılacaksa mutlaka portunu değiştirin
19. Uzak masaüstü bağlantılarında IPSEC gibi VPN teknolojileri kullanın 20. Sunucuda kullanılmayan bütün özellikleri devre dışı bırakın(yazıcı
sunucusu, yazıcı paylaşımı, dosya paylaşımı)
21. Tüm İnternet tarayıcılarını kaldırın veya devre dışı bırakın
22. Kimlik avı saldırılarına karşı korumak için sunucudaki tüm e-posta istemcilerini kaldırın
Windows Sunucu Güvenlik Önerileri
23. Kullanıcı hesap denetimini etkinleştirin ve kuralları operatörlere göre düzenleyin
24. Web sunucusu üzerinde kullanılacak bütün web sitelerinde TLS kullanımına özen gösterin
25. Yedekleme için en az iki DNS sunucusu ve komut isteminden nslookup kullanarak çift onay ad çözümlemesi yapılandırın
26. Sunucunun, istediğiniz adla birlikte DNS’de geçerli bir A kaydının yanı sıra geriye doğru aramalar için bir PTR kaydının olduğundan emin olun.
27. Sunucuda eğer IPv6 kullanılmayacaksa interface üzerinden kalıcı olarak
devre dışı bırakın
Windows Sunucu Güvenlik Önerileri
28. İhtiyacınız olan her şeyin kurulu olduğundan emin olun.
29. İhtiyacınız olmayan her şeyi kaldırın. Sunucunun saldırı yüzeyini gereksiz yere arttırmayın.
30. Sunucuda varsayılan olarak yüklü gelen uygulamaları kaldırın
31. Windows oturum açmalarını ve kerberos güvenliğine dayalı çeşitli diğer işlevler tamamen aksayacağından dolayı NTP kullanımına özen gösterin 32. Powershell ve SSH gibi diğer uzaktan erişim mekanizmaları eğer
kullanılacaksa sadece VPN üzerinden kullanılacak şekilde ayarlayın 33. Şifrelenmemiş protokolleri kullanmayın(telnet, FTP)
34. Mümkünse dosya yükleme işlemlerini SFTP üzerinden gerçekleştirin
Windows Sunucu Güvenlik Önerileri
35. 2008 ve 2003 gibi eski sürümlerde bulunan servisleri özellikle kontrol edin, gerekli olmayanları kapatın
36. Önemli servisleri otomatik olarak başlayacak şekilde ayarlayın
37. Kurtarma konsoluna otomatik yönetimsel oturum açmayı devre dışı bırak 38. Alternatif medyadan izinsiz olarak önyükleme yapılmasını önlemek için
aygıt önyükleme sırasını yapılandırın 39. Misafir hesaplarını devre dışı bırak
40. “everyone” olarak geçen izinleri gerekmedikçe asla kullanmayın 41. Anonim SID ve Ad çeviri özelliğini devre dışı bırak
42. Kullanılmayan kullanıcı hesaplarını derhal devre dışı bırakın veya silin
Windows Sunucu Güvenlik Önerileri
43. Ncacn_ip_tcp kaldırın
44.
TCP / IP üzerinden NetBIOS’u devre dışı bırak
45.
Herhangi bir paylaşımın anonim olarak erişilmesine izin vermeyin
46.Yerel Sistemin NTLM için bilgisayar kimliğini kullanmasına izin ver
47.
LAN Manager kimlik doğrulama seviyesini sadece NTLMv2’ye izin vermek ve LM ile NTLM’yi reddetmek için ayarlayın
48. NTFS veya BitLocker ile yerleşik dosya şifrelemesini etkinleştirin
49.
Windows Server 2016/2012/2008/2003 lisans anahtarlarınızı mutlaka girin
50.Gereksiz tüm yürütülebilir dosyaları ve kayıt defteri aracılığı ile kaldırın
51.Fiziksel sunucu güvenliğinizi mutlaka tamamlayın
Linux Sunucu Güvenlik Önerileri
1. Mümkün olan en güncel sürüm işletim sistemi kullanın 2. Minimal bir temel kurulum kullanmayı tercih edin
3. /home /tmp /var /root /opt /usr /boot için ayrılmış dosya sistemleri oluşturun 4. Mümkünse disk şifrelemesi kullanın
5. BIOS üzerinde parola korumalarını aktif edin 6. Boot dizinini kitleyin
7. GRUB bootloader üzerinde şifreleme uygulayın
8. Sunucu üzerinde USB kullanımını devre dışı bırakın 9. Genele açık dizinler için sticky bit kullanın
10. Dump alınabilmesinin önüne geçin
Linux Sunucu Güvenlik Önerileri
11. Şifrelenmemiş kimlik doğrulama kullanan uygulamalardan kurtulun (FTP, telnet vb)
12. Kullanılmayacak servisleri devre dışı bırakın(DNS, LDAP, DHCP, NFS vb)
13. Loglar için rsyslog kullanımına özen gösterin, bir kopyasını uzak sunucuda saklayın
14. NTP kullanımına özen gösterin
15. Cron ve servislerine kısıtlama getirin, kullanılmıyorsa kapatın
16. Servisler için root kullanıcısını kullanmayı bırakın mümkünse her bir servise ayrı ayrı kullanıcı oluşturun
17. Güçlü parola kullanımına özen gösterin
Linux Sunucu Güvenlik Önerileri
18. root kullanıcı izinlerini kısıtlamak için sudo işlevselliğini kullanın(eğer sistemi birden fazla operatör kontrol ediyor ise)
19. Network bağlantılarını optimize edin
20. IP yönlendirmelerini kalıcı olarak kernel üzerinden kapatın
21. SSH servislerinde mutlaka güncel sürümü ve güncel protokolleri kullanın
22. SSH servislerinde parolalı girişleri kapatın, mümkünse ssh key aracılığı ile girişe zorlayın 23. SSH üzerinde asla root kullanıcısı kullanımına izin vermeyin. Yetkilendirilmiş normal
kullanıcılar kullanın
24. IPS kullanımına özen gösterin mümkünse fail2ban kullanın 25. Web sunucusu üzerinde root kullanıcısını kullanmayın
26. Web sunucusunda mümkünse TLS kullanımına özen gösterin
Linux Sunucu Güvenlik Önerileri
27. HTTP Trace metodunu kalıcı olarak kapatın
28. Web sunucusunda kullanılmayan eklentileri kaldırın
29. Web sunucusu üzerinde halka açık dizinlerde 777 izinlerini vermeyin 30. Web sunucusunu bilgi sızdırmayacak şekilde yapılandırın(sürüm
bilgilerinin gizlenmesi vb)
31. SSH’dan giriş yapacak kullanıcılar için banner tanımlaması yaparak üzerinde işlem yapılan sunucu hakkında kısaca bilgi verin
32. Sunucu üzerinde açık olan portları kontrol edin
33. Iptables gibi güvenlik duvarı uygulamaları kullanmaya özen gösterin
Linux Sunucu Güvenlik Önerileri
34. Sunucu üzerinde belirli aralıklarla malware taraması gerçekleştirin(ClamAV, rootkit vb)
35. Sistemde kullanılmayan kullanıcı hesaplarını kalıcı olarak kaldırın 36. sysrq tuş kombinasyonunun kullanılmasına izin vermeyin
37. Kullanılmayan yazılımları kaldırın
38. Otomatik güncelleştirmeleri aktif edin
39. Kernel güncelleştirmelerini mutlaka yapın
40. Kernel sıkılaştırmalarını yapın
Linux Sunucu Güvenlik Önerileri
41. Kullanıcıların sistemde kalıcı olarak oturum açmalarına izin vermeyin, timeout sürelerini düzenleyin
42. SFTP kullanımına özen gösterin
43. Uygulamaların sıkılaştırma işlemleri için AppArmor vb uygulamaları sisteminize dahil edin
44. Mümkünse uygulamaları sandbox olarak çalıştırın
45. Sunucunun kullanılan verimerkezi hakkında bilgileri paylaşmayın(mümkünse ip bilgilerini temizletin)
46. Sistemde kullanılan tüm komutları kayıt altına alın
Linux Sunucu Güvenlik Önerileri
47. Kullanılmıyorsa IPv6 kapatın(sadece IPv4 üzerinden iletişim sağlanacaksa) 48. Kullanılmıyorsa IPv4 kapatın(sadece IPv6 üzerinden iletişim sağlanacaksa) 49. Kullanıcı dizinlerini 3 ve 6 aylık aralıklar ile gözden geçirin, mümkünse virüs
taraması yapın
50. Desktop ekipmanlarını sunuculardan kalıcı olarak kaldırın
51. Uzaktan erişim için kullanılan uygulamaların servislerini kalıcı olarak kapatın(VNC, Teamviewer vb)
52. Düzenli olarak yedeklerinizi alın
53. Yedeklerinizde bulunan kişisel verileri korumak için GPG şifrelemesi kullanımına özen gösterin
54. Fiziksel sunucu güvenliğinizi mutlaka tamamlayın(kabin ve sistem odası güvenliği)
FTP SUNUCULARA YAPILAN SALDIRILAR
Sıçrama (Bounce) Saldırısı:
Herhangi bir FTP sunucusunun proxy olarak kullanılması sonucu oluşan
“Sıçrama Saldırıları” toplu olarak gerçekleştirildiğinde(yani diğer saldırılar ile birlikte kullanıldığında) iz bırakmaz.
Proxy: Ara sunucudur. Tarayıcı direkt olarak bir sayfaya erişmek yerine proxy (vekil) sunucuya bağlanarak erişimi gerçekleştirir.
Bağlantı Noktası Tarama: Bilgisayara ağ üzerinden bağlanan
saldırganın, açık TCP/UDP portlarının tespiti için kullandığı tehdittir.
Proxy olarak kullanılacak sunucu ile saldırı yapılacak makine aynı alt
ağdaysa ise hedef sunucu, FTP üzerinden gelen veri paketleri üzerinde
filtreleme yapmaz, yollanan paketler güvenlik duvarına takılmadan geçer.
FTP SUNUCULARA YAPILAN SALDIRILAR
Temel Paket Süzgeçlerinden Geçmek: Saldırgan bu yöntemle, anonim bir FTP sunucusunun arkasındaki bir güvenlik duvarı ile korunan bir iç sunucuya ulaşabilir. İç sunucunun tespiti ile, bağlantı noktasının arkasındaki sunucunun erişimi sağlanabilir.
SSL Yerine RPC Kullanımı:
Bu riski açıklamadan önce SSL ve RPC tanımı yapmak daha sağlıklı olacaktır.
SSL (Secure Sockets Layer): Yani güvenli giriş katmanı, sunucu ile istemci arasındaki iletişimin şifrelenmiş bir şekilde yapılmasını sağlayan bir teknolojidir.
RPC (Remote Procedure Call): Uzaktan yordam çağrısı olarak bilinir.
Bilgisayarda tanımlı bir programı ağ üzerinden çalıştırmayı sağlar. RPC sunucu- istemci tabanlı bir servistir.
FTP SUNUCULARA YAPILAN SALDIRILAR
Buradaki zafiyet nedeni ise; RPC’nin mantığı gereği, kullanıcı adı, şifre gibi kimlik bilgileri sunucuya düz metin şeklinde iletilir. Yani saldırı altında bu paket ele geçirildiğinde bahsettiğim kimlik
bilgilerine kolaylıkla erişim sağlanmış olur. İstemci-sunucu
arasındaki bilgi transferi de şifrelenmemiştir. SSL kullanımında ise bunun tam tersi olarak bu veriler şifrelenir.
Zaman Aşımı:
IP/MAC filtrelemesi yapan sunucu üzerindeki saldırı, dosya aktarımı
sırasında yaşanılan kısa süreli bağlantı kopuklukları ile mümkün hale
gelir.
FTP SUNUCULARA YAPILAN SALDIRILAR
DoS (Denial of Service) Saldırısı:
Hizmet yadsıması adı verilen bu saldırı türünde FTP sunucusuna istemcilerin sunucuya bağlanamaması ve istemcinin, veri akışındaki dosyaları alamaması hedeflenir.
Pasif/Aktif Kullanıcı Yapılandırılması:
FTP, “denetleme kanalı” ve “veri kanalı” olmak üzere iki kanaldan
oluşmaktadır. Denetleme kanalı işlemlerini 21 numaralı port üzerinden gerçekleştirir. Veri kanalı için ise port numarası 20'dir.
İstemciler, sunucunun 21 numaralı portuna bağlanarak veri iletişimi sağlarlar.
Dosya aktarımı ise 20 numaralı portta gerçekleşir. Bu noktada dosya aktarımı için iki çeşit bağlantı vardır.
FTP SUNUCULARA YAPILAN SALDIRILAR
Aktif Bağlantı: Aktarımı sunucu başlatır. Fakat işlem
gerçekleştirilebilmesi için güvenlik duvarının bağlantıya izin vermesi gerekmektedir. Bağlantıya izin verebilmek için ise bir bağlantı
noktası açılır. Bu bağlantı noktasından gelen bağlantılara izin verilmiş olur. Tam da burada sunucu üzerindeki açık bağlantı
noktalarının tespitini gerçekleştiren bir saldırgan, FTP kullanarak bu noktalardan herhangi biriyle makineye giriş sağlayabilir.
Pasif Bağlantı: Sunucu kendi üzerinde bağlantı noktası açıp bekler.
Sunucu üzerindeki açık bağlantı noktalarının tespit edilip, dosyanın aktarılacağı istemciden önce makineye bağlanarak herhangi bir
kimlik bilgisi girilmeden saldırı gerçekleştirilebilir.
Kaynakça
1- https://
social.technet.microsoft.com/wiki/contents/articles/53135. windows-server-2019-guve nligi-icin-oneriler-tr-tr.aspx
E.T.:30.01.2020
2- https://arifemreeryilmaz.com/web-guvenligi-web-shell-temizlemek/ E.T.:30.01.2020
3- https://mertcangokgoz.com/windows-sunucu-guvenligi-kontrol-listesi/ E.T.:30.01.2020
4- https://mertcangokgoz.com/linux-sunucu-guvenligi-kontrol-listesi/
E.T.:30.01.2020
5- https://medium.com/ltunes/servis-zafiyetleri-ve-riskler-1-ftp-b9c780fa2893 E.T.:30.01.2020