Kritik altyapı sistemleri dahil olmak üzere, bilişim sistemelerini uzaktan kontrol etmek, uzaktan bakım gerçekleştirmek ve buna benzer birçok işlem için hedef sistemle (sunucu) bağlantı gerçekleştirmek gerekmektedir. Bağlantı gerçekleştirilirken genellikle kriptolu iletişim sağlayan SSH servisi kullanılmaktadır. Fakat kullanılan sürümüne göre SSH servisinin de güvenlik açıklıkları çıkmaktadır. Siber saldırganların bilişim sistemlerine yetkisiz erişimini engellemek için bir takım yöntemler kullanılmaktadır. Bu makalede “Port Knocking” ve “TCP Wrapper” yöntemlerinden bahsedilecektir.
Port Knocking (knockd)
İstemci/sunucu mantığı ile çalışan bir sistemde, bir port açık olmadığı halde uzaktan verilecek belirli port yoklamaları ile portun açılması veya sisteme bağlanmadan istenilen komutun çalıştırılması işlemi “port knocking” adlandırılmaktadır. Örnek olarak SSH bağlantısı yapılmak isteniyorsa
, istemcinin tercihine göre belirli sayıda belirli portlara bağlantı kurulmaya çalışılır ve sonrasında 22. porta bağlanılır.
Normalde port bilgisi 4. Katmanda okunur. Knockd paketi 4. katmana ulaşmadan 2. katmanda yakalanır. Yoklama gerçekleştirilirken, yoklama yapılan portların açık ya da kapalı olmaması önemli değildir. Port knocking yöntemi genellikle SSH servislerinde kullanılmaktadır.
Port knocking işlemini yapmak için istemci ve sunucu tarafına “knockd” kurulması gerekmektedir. Varsayılan yapılandırma dosyası /etc/knockd.conf dosya yolundadır. Bu konfigürasyon dosyasında port yoklamaları arasındaki zaman aşımı (seq_timeout), uygun port yoklaması oluştuktan sonra başlatılacak komut (start_command), komut sonrası ne kadar bekleneceği (cmd_timeout) ve çalıştırılacak komut (command) gibi ayarlamalar yapılabilmektedir.
TCP Wrapper
TCP Wrapper kullanılacak servislere sınırlama getirmek için kullanılmaktadır. Hangi servislere hangi kullanıcıların erişebileceği veya engelleneceği belirlenmektedir. Erişim kontrolleri için /etc/hosts.allow ve /etc/hosts.deny dosyaları üzerinden konfigürasyon işlemleri yapılmaktadır. Erişim izni verilecek IP adresleri hosts.allow dosyasında, engellenecek IP adresleri de hosts.deny dosyasında belirtilmektedir. Örnek olarak sshd servisine erişebilmek için /etc/hosts.allow dosyasına “sshd:192.168.1.0/255.255.255.0” komutu; engellemek için ise “sshd: ALL” komutu kullanılabilmekedir.