Adem Özdemir

Çözümün bir parçası değilseniz, Sorunun bir parçası olursunuz !

Authentication Package: Always "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" hatası ve error kod açılımı

Authentication Package: Always "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0"
Logon Account: name of the account
Source Workstation: computer name where logon attempt originated

Error Code:

C0000064user name does not exist
C000006Auser name is correct but the password is wrong
C0000234user is currently locked out
C0000072account is currently disabled
C000006Fuser tried to logon outside his day of week or time of day restrictions
C0000070workstation restriction
C0000193account expiration
C0000071expired password
C0000224user is required to change password at next logon
C0000225evidently a bug in Windows and not a risk

Cisco Iron Port Nedir, Ne işe yarar?

Iron port 2000'li yılların başlarında bulunan bir güvenlik teknolojisidir. Cisco 2007 yılında Iron Port'u satın alıp bünyesine dahil etmiştir. 


Iron port bir servis veya bir protokol değildir. Başlı başına bir işletim sistemidir. Tıpkı Pfsense , citrix , JuNOS , McAfee SecureOS gibi Free BSD üzerine inşa edilmiş AsyncOS işletim sistemine sahiptir. Cihazın false-positive değeri 3 / 1,000,000'dür. Yani neredeyse her virüsü , malware'i , spam'ı , spyware'i yakalayabilmektedir. 


Nedir Ne İşe Yarar ? 


Yüksek performans ve güvenlik hedeflenerek dizayn edilmiştir. M,S ve C serisi olmak üzere 3 farklı seriden oluşur ve her bir serinin birbirinden farklı özellikleri bulunmaktadır. Güvenliği detaylandırmak istersek 


Web Proxy : 


Web proxy ile hedeflenen; enterprise seviyesinde caching yapılarak kaynak (memory , CPU , Bandwidth) kullanımını optimum seviyeye çıkarmak ve detaylı içerik analizi yaparak web tabanlı zararlı uygulamaları en kısa sürede tespit etmektir. Bu işlem esnasında web trafiği yanında e-posta'lar üzerinden gelebilecek zararlı uygulamalar (spam'ler dahi) engellenir. 


URL Filtreleme : 


Cisco 70 dil ve 200 ülkeye ait 20 milyon üzerinde siteyi içeren bir veri tabanına sahiptir. Iron Port URL filtreleme yaparken bu veri tabanına göre hareket eder ve elde ettiği yanıt neticesinde kendisine gelen web isteklerini yorumlar. Farklı kullanıcı kesimlerini bu kapsamda 52 farklı kategoriye dahil etmek mümkündür. Aslında bu işin yapılması cihazın donanım kaynaklarını önemli ölçüde zorlamaktadır. Dansguardian'da ilave edilen her bir filtre grubunun CPU ve RAM'i ne kadar etkilediğini tecrübe edenler bunu daha iyi anlarlar.


Uygulama ve Protokol Kontrolü : 


Gelen ve giden trafik L3/L4 olarak incelenebilir. Ve HTTPS trafik decrypt edilerek filtrenelebilmekte ve HTTPS trafiği kullanan malvare vb. zararlı etkinlikler tespit edilebilmektedir. Burada malware olarak bahsettiğimiz phone-home tarzı daha açıkça Trojan tarzı bilgi çalan uygulamalardır.


L4 Trafik Monitör : 


Malware aktivitesine göre (veya bilinen malware domainleri'ne göre) veya portlarına göre tüm portlar eş zamanlı izlenebilir. Tüm portlardan kasıt var olan 65,535 adet portun tamamıdır. Bu sayede zararlı uygulamaların bir ip'den diğer ip'ye migrate olmalarının da önüne geçilmiş oluyor. Bu yöntemle aynı zamanda DDOS , DOS saldırılarının da önüne geçilebiliyor.



Cisco Security Intelligence Operations (SIO)


Aslında IRON portu etkin yapan en güzel özelliklerden birisi de bu . Cisco'nun kendi müşterileri için sağladığı en ileri düzey güvenlik sistemleri . Nelerden oluşuyor : 


• Cisco SensorBase: Buraya bilgi aktaran cisco cihazlardan elde edilen çok geniş ölçekli güncel bir tehdit monitör merkezidir. Tehdit uygulamaları karakteristikleri burada belirleniyor.. Yani bir yerde yapılan tespit sonrası diğer cihazlar kısa sürede haberdar edilerek erken tedbir alınması sağlanıyor. Bir güvenlik sistemi için gerçekten olması gereken bir şey bu. Global bir IDS gibi ... 


• Threat Operations Center: Güvenlik analizi yapan bir oluşum/ekip ve otomatik olarak uygulanabilecek tedbirlerden oluşuyor. 


• Dynamic Updates: Elde edilen tehdit veriler ve tedbirlerin müşteri cihazlarına en hızlı sürede aktarılması için gereken update sistemlerinden oluşuyor. 


Buradaki verilere göre hiç uyumayan ve tedbiri hiç elden bırakmayan bir nöbetçiye dönüşüyor iron port ...


Reputasyon (İtibar) Bazlı Web Filtreleme


SIO tarafında web sitelerinin reputasyon skorları tutulur. Müşteri tarafında iron port buradaki verilerden faydalanarak URL filtreleme yapabilir. Engellenen kötü itibara sahip URL'ler ile müşteriye ait sistemlerin SQL injection , exploid saldırıları ve XSS ataklarından korunması hedeflenmiştir. 


Bounce Verification

Çıkan paketlere tag koyulması ve giren paketlerde bu tag'ın aranması şeklinde bir tedbirdir. 


Ironport Anti-Malware 


Iron Port anti-malware sayesinde birden fazla anti-malware scann engine eş zamanlı veya farklı zamanlarda (duruma göre) çalıştırılabilir. Tabi burada önemli olan bu tarama işlemlerinin performans kaybı yaşatmadan yapılmasıdır. 


Bu farklı scann-engine'ler kısaca : 


-Webroot 

Webroot gelen veya giden trafiği (daha doğrusu istek ve yanıt şeklindeki 2 tip trafiği) tarayarak spyware'leri tespit etmeye çalışır . Bu işi yukarıda bahsettiğimiz güncel veritabanlarından faydalanarak yapar. 


-McAfee 

McAfee aslında hepimizin düşündüğü işi yapar. Antivirüs + Antimalware olarak iron port üzerinde çalışır. 


- DVS (Dynamic Vectoring and Streaming) Engine


Bu özellik kaynakları (özellikle çoklu taramalarda) en verimli kullanmak için dizayn edilmiştir. Performans düşüşü DVS ile farklı scann-enginlerin eş zamanlı veya durumlu çalışması sağlanarak önlenmiştir.


Yukarıda kısaca değindiğimiz özellikler genelde tehditlere karşı tespit ve tedbirlerden oluşan özelliklerdi. Şimdi bahsedeceklerimiz ise data güvenliğini sağlayama yönelik niteliklerdir.



Veri güvenliği ve Veri Kaybı Önleme : 


Kurumdan dışarı gizlilik ihtiva eden verinin mail veya upload yolu ile çıkarılmasını önlemek üzere geliştirilmiş derin içerik analizi yapabilen uygulamalardır . Aslında çok abartılı değil User bazında upload limit koymaktan, mail veya web içeriklerinde hedef kelimeleri taramaktan ve sosyal paylaşım sitelerinde paylaşımı önlemekten öteye gitmeyen bir tedbir bu . Bunlara ilave olarak şifreleme vb. özellikleri bulunmaktadır. 


FTP Protection : 


WEB trafiği gibi FTP trafiği de kullanıcı bazlı farklı gruplara ayrı yetkiler tanınarak yönetilebilmektedir. Örneğin bir grup için FTP yanlızca bazı ip adreslerinden ve Iron Port'un FTP proxy olması şartı ile serbest bırakılabilir. FTP trafiğide tıpkı web gibi incelenebilir. Ve FTP ile taşınan trafik DVS ile scann engine'ler üzerinden geçirilmek zorunda bırakılabilir. Son olarak FTP serverlara veya userlara reputasyon puanlarına göre izin verilir veya bloklanabilirler.




Özetleyecek olursak : 


Piyasada ki benzer entegre proxy/firewall vb. cihazlardan pek farkı yok . En büyük fark reputasyonu bir ölçüt olarak kullanması. Bu ölçüt sayesinde e-posta , web ve FTP trafiği değerlendirilebiliyor. 


Bu cihazların arkasında Cisco'nun real-time tehdit analizi yapan bir ekibi ve kocaman bir veritabanı bulunuyor. Cihaz yaptığı filtre vb. işlemleri performans kaybını minimum oranlara indiriyor. 


Ve en önemlisi kullanıcı dostu bir arayüze sahip. Bu sebeple piyasada korkutucu bir ün yapmamış.


İyi çalışmalar.


Kaynak : ciscotr.com