Anasayfa > Güvenlik > Symantec Endpoint Protection-Genel Bakış

Symantec Endpoint Protection-Genel Bakış

Merhaba… Yoğun iş temposu nedeniyle bir süredir ara vermek zorunda kaldığım makale yayınlamaya yeniden başlamış olmanın vermiş olduğu mutlulukla yeni yazı dizisine başlıyorum.. Bilindiği gibi kurumların ve hatta tüm bilişim kullanıcılarının en önemli sorunu virüs-antivirüs ilişkini düzenlemek, güvenilir ve sağlıklı bir biçimde bilişim hizmetlerinden faydalanmaktır. Ancak bu her zaman istendiği gibi sorunsuz bir biçimde yürütülen bir süreç olamıyor. İşte bu yüzden bu makale serisini  oluşturulmasına karar verdim. Bu makale dizisinde ilk önce Symantec Endpoint Protection uygulamasına genel bakış yaptıktan sonra Symantec Endpoint Protection uygulamasının hem sunucu tarafında hemde istemci tarafındaki kurulumlarını gerçekleştirip örnek senaryolar vererek kullanımı hakkında bilgi vermeye çalışacağım..Umarım faydalı olur.
Symantec Endpoint Protection; Genel Bakış
Geçmiş yıllarda kurumlarca kullanılan ve her işlem için ayrı yapılandırma gerektiren güvenlik çözümlerinin getirdiği eksikliklerin ve farklı vendorların ürünlerinin aynı ortamda bulunması sonucu oluşan kaos ortamının, ayrıca getirdiği ağır yönetimsel zorlukların üstesinden gelmek için, güvenlik çözümleri kategorisinde merkezi yönetime geçilmeye başlanmış ve pek çok güvenlik çözümü tek noktadan hizmet sunmaya başlamıştır. Hem maliyet açısından hemde merkezi yönetim açısından üstün yönler ilk akla gelenler olarak sayılabilir. Desteğin tek bir yerden alınması, güvenlik bileşenlerinin birbiriyle sorunsuz işlemesi, IT grubu tarafında tek bir ürün üzerinde uzmanlaşmanın getirdiği yönetimsel beceri, üstte saydığımız artılara eklenebilir ve çoğaltılabilir.
Bahsettiğimiz bütünleşik koruma sağlayan ürünlerden birisi  Symantec Endpoint Protection (SEP) dır. Symantec Endpoint Protection Manager, kurum için gerekli olan güvenlik çözümlerinin pek çoğunu tek başına yapabilecek özelliklere sahip bir sınır koruma yazılımıdır.İçerdiği özellikler, pek çok rakibinden daha iyi ve esnek durumdadır.Farklı çözümlerin tek bir noktadan sunumu, güvenliğin güncellemeleriyle beraber üst seviyede tutulması, güncel tehditlere karşı güvenilirliğini kanıtlamış olması gibi pek çok sebep, SEP Manager yazılımı için belli başlı artılardır.
Bu makalede  Symantec Endpoint Protection Manager(SEP Manager) v12.1 ile neler yapılabileceğine göz atacağız.
1- Antivirüs ve AntiSpy Koruması :
Virüs, worm, trojan, spyware, adware türü zararlılara karşı güçlü koruma sağlar. Sürekli güncellenen veritabanı(Database-Db) ile yeni çıkan virüslere karşı duyarlı bir davranış sergiler. Ayrıca tanımlanamayan kodlarıda doğrudan karantinaya alır. Auto Protect(Otomatik Koruma) ile politikalar ile belirlenen davranışlar tüm ağ(network) daki bilgisayarlarda uygulanabilir. İstemci(Client) tarafında eğer bir hata ile karşılaşırsa, bu durum özel bir sayfaya yönlendirilebilir (intranet site). Yine merkezi olarak karantinaya alınmış zararlılarla ilgili politikalar belirlenebilir. Virüs taramaları belirli gruplara belirli saat aralıklarında otomatik olarak veya uygun görüldüğü zamanlarda elle(manual) olarak yönetici(administrator) tarafından yaptırılabilir. 
Merkezi “Hariç” Listeleri : Network çapındaki tüm bilgisayarlarda veya belirli bir grup bilgisayarda uygulanabilen bir liste ile taramalardan ve diğer güvenlik taramalarından hariç tutulacak süreçler tanımlanabilir.
2- Network Access Control : Şirketce belirlenen güvenlik seviyelerine uyum sağlamayan istemcilerin(clientlar) ağ(network)a  girmelerini engelleme olarak açıklanabilir.
Bütünlük(Host Integrity) : İstemci(Client), ağ(network) bağlanmak istediğinde, SEP-NAC politikaları ile belirlenen bazı kontrollerden geçmek zorundadır. Çalışan uygulamaların tipleri ve parametreleri, saat senkronizasyonu, kayıt defteri girdilerinin uygunluğu, yama dosyaları durumları, antivirüs güncelliği veya açık/kapalı durumları, Güvenlik Duvarı(Firewall)’nın açık veya kapalı olması, Microsoft Update servisinin çalışıp çalışmadığı gibi durumlar, istemci(client) ile SEP Manager arasında işlenen politikalar çerçevesinde kontrol edilerek uygunluk durumuna göre ağa(network) erişimine izin verilir. Eğer uygun görülmeyen durum var ise, istemci(client), doğrudan Rehabilitasyon Sunucusu-İyileştirme Sunucusu(Remediation Server)‘a yönlendirilerek uygun duruma getirilir. Buradan gerekli yamalar, güncellemeler ve eksik programlar yüklenerek uyum sağlanır. Rehabilitasyon Sunucusuna(Remediation server) ulaşılamama durumunda istemci(client) güncelleme yapamayacağı için ağa(network) giremeyecektir. Bunun için konsol üzerinde gerekli ayarlamalar yapılarak Rehabilitasyon Sunucusu(Remediation Server) erişiminin başarısız olma durumuna karşı Bütünlük(Host Integrity) kontrolünün yapılmadan geçilmesi sağlanabilir. Yada kullanıcılara bu kontrolü atlama izni verilebilir.
 Ortamda bulunan WSUS server, sisteme entegre edilerek istemcilerin(client) güncellemeler için yönlendirilmesine yardımcı olurlar.
İstemci(Client) ekranında, ağa(network) çıkış izni olmadığında, bir uyarı mesajı görüntülenecektir.
Ön tanımlı olarak Bütünlük(Host Integrity) politikalarında aşağıdaki hususlar dahil edilebilir ;
Antivirus gereksinimleri
Antispyware gereksinimleri
Firewall gereksinimleri
Patch gereksinimleri
Service pack gereksinimleri
Özel Gereksinimler(Custom Requirements) : Bu kısımda, istemci(client) üzerinde uygulanacak Network Access Controll(NAC) politikası için ince ayar yapabilmeye olanak sağlanır. Bu durumu örneklerle daha net açıklayabiliriz.
ÖR : İstemci(Client) üzerinde ZoneAlarm yüklüdür. Buna göre bu istemcide(client) ZoneAlarm yazılımının yüklü/çalışır/güncel durumlarına göre kontrol yapılması sağlanabilir.
ÖR : İstemci(Client) üzerinde KBxxxxxx nolu yamanın yüklü olup olmadığı kontrolü yapılabilir.
ÖR : İstemci(Client) üzerindeki xxx adlı yazılımın 3.2 adlı sürümünün yüklü olması, değilse ağ(network) çıkışının yasaklanması istenebilir.
ÖR : İstemci(Client) üzerinde xxx adı servisin çalışması gerekliliği belirlenebilir.
ÖR : İstemci(Client) üzerinde HKEY_LOCAL_MACHINE\Software\***… adlı dizinde ilgili DWORD değerinin olup olmadığı kontrol edilebilir.
(!) 802.1x kimlik doğrulaması yoluyla ağa(network) erişilen bir alanda, Network Access Control(NAC) işlemi sırasında, kimlik doğrulaması(authenticate) işlemi başarısız olan istemci(client) işletim sistemi, 30 dakika boyunca tekrar istek gönderemez.
(!) 802.1x doğrulamasını gerçekleştiren anahtar(switch) üzerinde bu zaman daha düşük bir değer atansa bile yinede 30 dakika beklenmesi ve yeniden kimlik doğrulaması(re-authenticate) isteği gönderilmesi gerekmektedir. 802.1x kimlik doğrulaması yapılan bir ağda(network) kullanılacak Symantec NAC çözümü için bu değerin değiştirilmesi istenebilir. Bunun için ilgili Microsoft çözümünün uygulanması gerekmektedir.
 (!) Network Access Translation(NAT) özelliği kullanılan bir yönlendirici(router) üzerinden yapılan Özel Sanal Ağ(Virtual Private Network-VPN) bağlantılarını, Symantec NAC desteklemez. Çözüm için Symantec Destek hattından (Symantec Support) VPN ve yönlendirici(router) yapınıza uygun çözüm isteyebilirsiniz.
3- Network Threat Protection :
Güvenlik Duvarı(Firewall) : Tıpkı Grup Politikası(Group Policy-GPO) yapılandırması gibi farklı gruplara farklı politikalar tanımlama olanağı veya miras(inheritance) mantığıyla üstten politika alınma olanaklarına sahip güçlü bir güvenlik duvarına(firewall) sahiptir. Politikalar istenilen gruba atama(assign) yapılabilir. Politikaların ihraç(export) ve ithal(import) edilebilmesine olanak tanır. Farklı bölgeler(site) üzerindeki SEP Yöneticilerine(SEP Manager) doğrudan yüklenebilir. MAC sızdırma(MAC Spoofing) önleme, NETBIOS koruması sağlama gibi ek özelliklere sahiptir olan bu uygulama ayrıca işletim sisteminizin ve browser tipinizin algılanmasını engellemeye yarayan özelliklerede sahiptir.
Saldırı Önleme Sistemi (Intrusion Prevention System (IPS)): İstemciye(Client) gelen ve giden tüm paketler mevcut IPS imzalarıyla taranır ve tehdit algılanırsa bağlantı bloklanır. Güvenlik duvarından(Firewall) sonra ikinci kat koruma sağlamak için kullanılır. 
 4- Proactive Threat Protection :
TruScan Proaktif Tehdit Algılama Taraması(TruScan proactive threat scan) : Antivirüs ve Antispy modülleri tarafından taranan her süreci tekrar tarar. Tararken Antivirüs(AV)lerin standart tarama yöntemlerinin dışında farklı bir yöntem ile tam olarak tanımlanamayan trojan, virüs yada diğer zararlı program ve işlemleri yakalar. Sıfır Gün(Zero-day) olarak bilinen ve antivirüslerce tanınmayan zararlı tiplerini yakalar ve erişimlerini engeller.
Uygulama ve Aygıt Kontrol(Application and Device Control): Ağ(Network) aygıtlarının yetkisiz erişime karşı korunmasını ve istemci(client) üzerinde çalışacak programların düzenlenmesini sağlar. Usb disklerinin engellenmesi yada sadece okunabilir(read-only) olarak veya yazma yasaklı olarak yapılandırılmasını gibi kontrollerin yapılmasını sağlar. Bu aygıtlara USB storage diskler, CD sürücüler, disket sürücüleri, RAM olarak kullanılan usb aygıtları dahildir.
(*) Network Threat Protection disable durumunda ise, bu özellik çalışmayacaktır.
Dosya Parmak İzi(File Fingerprint) : Ağdaki(Network) istemcilerde(client), sadece sağlama(checksum) değeri onaylanmış uygulamaların çalışmasını, diğerlerinin çalışmasının yasaklanmasını sağlayan bir araçtır. Belirlenen dizindeki dosyaların sağlama(checksum) değerleri tanımlanır ve buna göre yetki verilir.
Örnek kullanım : Komut satırından C:\Program Files\Symantec\Symantec Endpoint Protection dizinine gelin ve komutu uygulayın.”checksum.exe bozkurt.docx c:\Program Files”. Bu komut, c:\Program Files dizini içerisindeki tüm exe ve dll dosyalarının checksum değerlerini bulmanıza ve bozkurt.docx adlı dosyaya yazmanıza olanak sağlayacaktır.
Sistem Kilitleme(System Lockdown) : Dosya Parmak İzi(File Fingerprint) ile oluşturulan sağlama değeri (checksum) bilgilerine göre istemci(client) üzerinde oluşturulacak “çalışması güvenli” programların ve engellenmesi gereken (*.ocx, *.exe ) uzantıların tanımlanmasını ve ağ(network) çapında uygulanmasını sağlar. Kayıtların alınması(Log) yöntemiyle kullanıcıların genel olarak kullanmayı seçtiği programlar bu yolla belirlenip onaylanabilir yada onaysız hiç bir programın çalışmaması sağlanabilir.
5- SEP yönetimi için komut satırı araçları : Bu komutlar, standart kullanıcı (user) yetkisiyle çalışanlar ve Yönetici(Admin) yetkisiyle çalışanlar olarak ikiye ayrılırlar ;
 a- Standart kullanıcı yetkisiyle kullanılabilenler ;
smc -checkinstallation : SMC Client servisinin yüklü olup olmadığı sorgulanır. 
smc -checkrunning : SMC Client servisinin çalışıp çalışmadığı sorgulanır.
smc -dismissgui : Sağ alttaki SMC ikonunu ve görsel arayüzü kaldırır.Fakat client korunması devam ettirilir.
smc -showgui : Kullanıcı arayüzünü ekrana getirir.
smc -exportlog : lokal logların export edilmesi için kullanılır.kullanımı ; smc -exportlog log_type 0 -1 C:\log\trafiklogları
smc -runhi : Eğer NAC kurulu ise, Host Integrity kontrolü yapar.
smc -updateconfig : Clientın yapılandırmasını SEP Manager sunucusuna sorarak güncel olup olmadığını kontrol eder.Değilse güncellenir.
Log tipleri ;
0 = Sistem Log
1 = Security Log
2 = Traffic Log
3 = Packet Log
4 = Control Log
 b- Administrator yetkisiyle kullanılabilenler ;
smc -start : Symantec Endpoint Protection veya Symantec Network Access Control client servisini çalıştırır.
smc -stop : Symantec Endpoint Protection veya Symantec Network Access Control client servisini durdurur.
smc -exportconfig : Clientın yapılandırması dosyasını .xml olarak export edilmesini sağlar.
Kullanımı ; smc -exportconfig C:\dosyalar\Client_yapılandırması.xml.
smc -importconfig : Clientın yapılandırması dosyasını .xml olarak import edilmesini sağlar.
Kullanımı ; smc -importconfig C:\dosyalar\Client_yapılandırması.xml.
smc -exportadvrule : Clientın firewall yapılandırma ayarlarını .sar uzantılı dosyaya export edilmesini sağlar.Sadece yönetilmeyen clientlarda, client kontrol mode veya mixed mode üzerinde çalışan clientlarda uygulanabilir.
Kullanımı ; smc -exportadvrule C:\fwkuralları.sar.
smc -importadvrule : Clientın firewall kurallarına ekleme yapar.Var olan kuralı silmez.İsimler ve içerikleri aynı olsa bile çalışmaya devam eder. Kullanımı ; smc -importadvrule 
C:\fwkurallar.sar.İşlem sonrası sistem loglarına ayrı bir kayıt düşecektir.
Dönen cevapların karşılıkları şu şekildedir ;
0 : Komut başarılı
-1: Kullanıcı Administrator / Power Users grubundan değil.
-2 : Geçersiz parametre
-3 : smc client servisi yüklü değil.
-4 : smc client servisi çalışmıyor
-5 : Geçersiz çıktı (hatalı dosya yolu yazılırsa)
-6 : Girdi yapılacak dosya bulunamadı.Ör: Firewall rule import edileceği zaman .sar dosyasının bulunamaması.
Üstteki komutlar, test ortamları için kısıtlı kullanıcılar tarafından uygulanabilir. Yada SEP Manager’a  erişimde problem yaşanması halinde kullanılabilir. Normal durumlarda SEP Manager üzerinden mevcut komutların yaptığı işlemlerin daha detaylı şekilleri yapılabilir.
Bu makale de Symantec Endpoint Protection Manager(SEP Manager) v12.1 hakkında genel bilgiler vermeye  çalıştım..Symantec ile ilgili bir sonraki yazıda SEP Manager’ın kurulması üzerinde durulacak..umarım faydalı olmuştur.. bir sonraki makalede görüşmek üzere…
Kategoriler:Güvenlik Etiketler:, , ,
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: