Bilgi işlem ve Bilgi Güvenliği çalışmalarını yürüttüğüm Kamu Kurumunun, network sorunu için küçük bir çalışma yaptım.
Kurumda, Metro Internet kullanılmasına ve yerel ağdaki bilgisayarların yarısına yakınının internete çıkma izinlerinin olmamasına rağmen internette kopukluklar oluyor ve network aşırı yavaş işliyordu.
Aklıma ilk gelen ağda bir veya birden çok makinaya bulaşan bir virüsün networkdeki diğer bilgisayarlara bulaşma riskiydi.
Bir diğeri ise, birilerinin yaramazlık yapıp sniffing yada mitm saldırısı yapıyor olma olasılığı…
Laptop ile network’e dahil olup, WireShark ile kısa bir süre networkü izledim.
Gereksiz trafik üreten veya saldırı izi taşıyan bilgisayarları tespit etmek için WireShark, filtreleme özelliği ile bu konuda oldukça işlevsel !
Bu işlem çok çabuk sonuç verdi, gözlemlediğim kadarıyla yaşanan sorun ;
bir makinaya bulaşan solucanın bulunduğu network aralığını (10.0.0.0-10.255.255.254 = oluşan trafiği siz hesaplayın ) tarayarak bulduğu bilgisayarlara kendini kopyalamaya çalışması ve arp spoof yapmasıydı.
WireShark ile tespiti ve çözümü ise şu şekilde ;
A class ında bulunan 10.0.0.x li bir networkün varsayılan subnetmask değeri 255.0.0.0 dır.
Oysa 180 bilgisayardan fazla bulunmayan bir network için A class ındaki bu ip aralığı için subnet değeri 255.255.255.0 olarak tanımlanması broadcast ve arp spoof paketlerinin daha dar bir ortama yayılmasını dolayısıyla networkün trafik yükünün daha aza inmesini sağlardı
Çözüm; Arp Spoofing ve/veya Broadcast yapan gereksiz trafik üreten bilgisayarın tespit edilip incelenmesi…
180 üzeri bilgisayarın bulunduğu büyük bir networkdü, yaklaşık 9 pc tespit edip virüs taramasından geçirdim , farklı nedenlerden dolayı yeniden kurulması gerekenlerde oldu.Antivirüs o kadar çok virüs buldu ki, hangisi bu olaya sebebiyet veriyor araştırmak vakit alacağından, bunu son yapılacak işlem sırasına yazdım : (
Virüs imzasını bulunca buradan ayrıca paylaşıcam…
Ardından, arp spoof yapan makinayı tespit etmek “arp -a” ile kolay oldu.
Peki bu zımbırtı , networke nasıl yayılıyordu bunuda firewall söyledi : )
Bu gibi network vakalarında, alınabilecek en çabuk önlem zararlı yazılımın trafik ürettiği portu tespit edip fw den kapamak.
Ardından makinelerin ağ kablosunuz çekip, zararlı yazılımları temizlemek olucaktır malum iş yükünün fazla olduğu bir networkde türlü atraksiyonlar deneyemez veya fantazi yapamazsınız ?
Planladığım üzre geniş bir çalışma yürütüp, virüs/worm ve casus yazılımlara karşı defans alıp, bu koca networkü VLAN’lara ayırıp güvenli ve yönetilebilir bir sistem oluşturmayı amaçlıyorum.
Buraya kadar yazımı okuyan arkadaşlara teşekkürler ve network güvenliği için değerli yorumlarını paylaşmalarını rica ediyorum…
Not: Bu yazıyı hazırladığım zaman yoğunluktan yayımlamaya fırsat bulamamıştım.Konuyu kısa süre sonra toparlicam.
Güvenli Günler.
