Professional Documents
Culture Documents
CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 4
CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 4
2**6 – 2 = 62
TCP/IP TEMEL BİLGİLER
NAT ve Port Forwarding Kavramları
• Network Address Translation (NAT): Genellikle private IP adresi kullanılan iç
ağdan internete erişirken kıt bir kaynak olan routable public IP adresinin
kullanılabilmesi için gönderilen paketin kaynak IP adresinin değiştirilmesi
işlemidir. Internet gateway cihazı üzerinde tuttuğu NAT tablosu ile iç ağdaki
istemcilerin iletişimiyle ilgili kullanılan port numaralarını takip eder. Doğaldır ki
internetten routable IP adresi olmayan iç ağ sunucu ve bilgisayarlarına doğru
bir iletişim başlatılamaz.
• Port Forwarding: İnternetten routable olmayan ve private IP adresi olan bir iç
ağ sunucusuna erişim sağlamak istediğinizde, public IP adresi olan internet
gateway cihazınız üzerine port forwarding tanımı yapmanız gerekecektir.
Örneğin public IP adresi üzerindeki TCP 8080 portuna gelen trafik arkadaki
private IP adresli bir sunucunun (ör: 10.1.1.112) TCP 80 portuna bu ayar ile
iletilebilir.
• Port forwarding olarak tanımladığımız kavram Static NAT, diğeri ise Dynamic
NAT olarak da anılır.
TCP/IP TEMEL BİLGİLER
ICMP Tip ve Kod Kavramları
ICMP protokolünde tip ve kod kavramları kullanılır. Aşağıda bazı sık kullanılan
ICMP paketlerinin tip ve kodlarına örnekleri bulabilirsiniz:
• ICMP Echo Request: Type-8 Echo Request / Code-0
• ICMP Echo Reply: Type-0 Echo Reply / Code-0
• ICMP Timestamp Request: Type-13 Timestamp / Code-0
• ICMP Timestamp Reply: Type-14 Timestamp Reply / Code-0
• ICMP Time Exceeded: Type-11 Time Exceeded / Code-0 Time to Live Exceeded
in Transit
• ICMP Port Unreachable: Type-3 Destination Unreachable / Code-3 Destination
Port Unreachable
TCP/IP TEMEL BİLGİLER
ICMP Tip ve Kod Kavramları
Firewall REJECT Kuralı: Firewall üzerinde REJECT kuralı tanımlandığında firewall
tarafından istemciye ICMP Type-3 Code-13 Administratively Prohibited paketi
gönderilir.
TCP/IP TEMEL BİLGİLER
ICMP Tip ve Kod Kavramları
Kapalı UDP Portu: Hedef bilgisayar üzerindeki kapalı bir UDP portuna erişmeye
çalıştığımızda (arada bir firewall filtreleme yapmıyor ve serbestçe iletişim
kurabiliyorsak) hedef bilgisayar ICMP Type-3 Code-3 Port Unreachable paketi
gönderir.
TCP/IP TEMEL BİLGİLER
Özetle ICMP, TCP ve UDP
• ICMP (IP Protokol No: 1): Yardımcı bir protokoldür, port kavramı yerine tip ve
kod kavramlarına sahiptir.
• TCP (IP Protokol No: 6): Paket iletiminde iletim garantisi ile ilgili hizmet verir,
bir oturum oluşturulduktan sonra iletişim başlar ve oturumun
oluşturulabilmesi için 3 paketin iletildiği bir el sıkışma aşaması gerçekleştirilir.
Bu nedenle de iletişim kurulmasını gerektiren durumlarda (ör: GET flood veya
web form parola saldırısı gibi) gerçek kaynak IP adresi kullanılmak zorundadır.
• UDP (IP Protokol No: 17): Hızın ön planda olduğu bir protokoldür, bu nedenle
başlık alanları az sayıdadır. Bununla birlikte DNS gibi kritik servislerde kullanılır,
ancak paket iletiminin uygulama katmanında takibi gereklidir.
TCP/IP TEMEL BİLGİLER
Sık Kullanılan Application Layer Protokolleri ve Port Numaraları
Protokol Port
Telnet TCP-23
FTP (File Transfer Protocol) TCP-21
TFTP (Trivial File Transfer Protocol) UDP-69
SMTP (Simple Mail Transfer Protocol) TCP-25
POP3 (Post Office Protocol) TCP-110
IMAP (Internet Message Access Protocol) TCP-143
DHCP (Dynamic Host Configuration Protocol) UDP-67,68
HTTP (Hypertext Transport Protocol) TCP-80
SSL (Secure Socket Layer) TCP-443
SNMP (Simple Network Management Protocol) UDP-161
SSH (Secure Shell) TCP-22
DNS (Domain Name System) UDP-53
NTP (Network Time Protocol) UDP-123
NetBIOS UDP-137,138
TCP-139,445
LDAP (Lightweight Directory Access Protocol) TCP/UDP-389
TCP/IP TEMEL BİLGİLER
TCP Wrapper Kavramı
• Firewall kullanılmayan / kullanılamayan durumlarda Unix / Linux
sunucular üzerinde belirli servisler için TCP wrapper kullanılarak ağ
erişimi kontrol edilebilir. TCP wrapper kütüphanesini kullanan servislere
bir tür host based ACL fonksiyonalitesi kazandırır. İlgili konfigürasyon
dosyalarına yapılan tanımlarla kabul edilen bağlantılar tanımlanır.
• İzinsiz bir kaynak IP adresinden erişim yapılmaya çalışıldığında TCP
handshake gerçekleşir ancak hemen devamında sunucu bir FIN paketi
göndererek oturumu düzenli biçimde (gracefully) kapatır (yani FIN,
ACK, FIN, ACK şeklinde 4 paket alınıp verilir)
TCP/IP TEMEL BİLGİLER
IPv6
• Adres yetersizliği ve IPv4’ün güvenlik yetersizliklerini gidermek amacıyla
geliştirilmiştir.
• 128 bit’lik adres büyüklüğüne sahiptir (IPv4’te 32 bit’tir)
• IPSec IPv6 içinde tanımlanmıştır.
• IP başlığı küçültülmüş ve performansın artırılması hedeflenmiştir.
OSI MODELİ
Ağ Katmanları
1980’lerde geliştirilmiş olan OSI modeli tam olarak uygulamaya geçmemiştir.
Ancak teorik bir model olarak ağ protokolleri için genel kabul görmüş bir katman
şablonu haline gelmiştir.
OSI modeli geliştirilirken TCP/IP protokol stack’i de yaygın kullanımı nedeniyle göz
önünde bulundurulmuştur.
OSI MODELİ
Ağ Katmanları
• (1) Physical Layer [Bits]: Data link layer’dan frame’i alan fiziksel
katman iletimin yapılacağı ortamın fiziksel özelliklerine uygun
olarak veriyi bit’ler halinde iletir.
• (2) Data Link Layer [Frame]: Network katmanından alınan
paketin kullanılacak olan iletim ortamı ve teknolojisine uygun
olarak formatlanmasını gerçekleştirir. Örneğin: IEEE 802.3
Ethernet, IEEE 802.5 Token Ring, Asynchronous Transfer Mode
(ATM), Fiber Distributed Data Interface (FDDI), Copper DDI (CDDI)
gibi.
• (3) Network [Packet]: Routing ve addressing verilerinin bu
katmandaki başlığa yerleştirilmesinden ve bu verilere göre karar
verilmesinden sorumludur. IP dışındaki diğer Network layer
protokollerine IPX, Appletalk ve NetBEUI örnek verilebilir.
OSI MODELİ
Ağ Katmanları (devamı)
• (4) Transport [Segment (TCP) / Datagram (UDP)]: Bağlantının
bütünlüğünden ve oturumun yönetiminden sorumludur. Tabi bu
ifade daha çok TCP için anlam kazanmaktadır. SSL / TLS protokolü
de bu katmanda sayılır.
• (5) Session [Data Stream]: Adından da anlaşılacağı gibi oturum
yönetiminden sorumludur. TCP/IP’de doğrudan yeri yoktur ancak
NFS (Network File System), SQL, RPC (Remote Procedure Call)
gibi protokoller bu katmanda sayılabilir.
• (6) Presentation [Data Stream]: Verinin anlaşılır formata
çevrilmesinden sorumludur, ASCII, JPEG, MPEG gibi formatlar
örnek olarak verilebilir.
• (7) Application [Data Stream]: Uygulamaların anladığı veri
formatıdır, HTTP, FTP, Telnet, v.b. protokoller örnek olarak
verilebilir.
GENEL AĞ CİHAZLARI
• Hubs: Aynı LAN’da bulunan cihazların bağlandıkları, OSI Layer
1’de çalışan bir cihazdır. Bu cihaza bir paket iletildiğinde cihaza
bağlı tüm bilgisayarlara bu sinyal iletilir. Dolayısıyla hub’a bağlı
tüm sistemler aynı collision domain’dedir.
• Switches: Switch’ler de LAN’da kullanılır ancak hub’dan
akıllıdırlar. OSI Layer 2’de çalışan switch’ler hangi portlarında
hangi MAC adreslerinin göründüğünü belleklerinde tutarak bir
ethernet paketi gönderildiğinde sadece hedef MAC adresinin
bulunduğu porta paketi iletirler. Böylece çarpışma ihtimalini
oldukça düşürürler.
• Routers: OSI Layer 3’te çalışan router’lar farklı ağ bölümlerinde
bulunan sistemler arasında yönlendirme yaparlar, collision ve
broadcast domain’leri ayırırlar. TCP/IP ağları için router’lar IP
adreslerine bakarak karar verirler. Routing tablo’ları statik olarak
tanımlanmamışsa bu cihazlar RIP, OSPF, BGP gibi protokollerle
haberleşerek routing tablolarını dinamik olarak oluştururlar.
GENEL AĞ CİHAZLARI
• Repeaters, Concentrators, and Amplifiers: Kablo uzunlukları
fiziksel kısıtlar nedeniyle belirli bir uzunluğu aşamazlar. Uzun
bağlantılarda repeater gibi cihazlar sinyalin gücünü artırmak için
ara noktalarda konumlandırılır.
• Modems: Analog ağlar ile (ör: PSTN) dijital ağlar arasındaki
dönüşümü gerçekleştirmek için kullanılırlar. Günümüzde modem
kullanımı yok denecek seviyededir, bu tür bağlantıların yerini DSL
ve cable modemler almıştır.
• Bridges: Bu cihazlar aynı protokolü kullanan ancak farklı hızlarda
çalışan ağ bölümlerini bağlamak için kullanılır. Bunlara store-and-
forward cihazları adı da verilir. Bu cihazlar da switch’ler gibi Layer
2’de çalıştığı için bridge’in her iki tarafındaki sistemler farklı
collision domain’lerdedirler.
• Brouters: Hem bridge hem de router olan cihazlardır. İletişimin
türüne göre routing veya bridge işlevini yerine getirirler.
GENEL AĞ CİHAZLARI
• Gateways: İç ağlarda gateway’ler farklı subnet’ler arasındaki
geçiş köprülerini ifade etse de aslında gateway cihazları farklı
protokollerde çalışan ağ bölümlerini birbirlerine bağlayan
cihazlardır. Örneğin bir IP-to-IPX gateway iki protokol arasındaki
dönüşümü gerçekleştirir.
• Proxies: Proxy’ler aynı protokolde konuşan istemci ve sunucu
arasında köprü işlevi görür ancak istemcinin kimliğini gizler (kendi
adresini istemci adresi olarak paketlere yerleştirir).
OSI MODELİ
Cihazlar ve Paket İşleme Katmanları
• Sunucu / Web Application Firewall / Proxy: Layer 7 (Application)
• Router / Network Firewall: Layer 3 (Network)
• Switch: Layer 2 (Data Link Layer)
• Hub: Layer 1 (Physical)
LAN saldırılarına karşı önlemler (ör: ARP poisoning) Switch
seviyesinde uygulanmalıdır.
Layer 3 Switch olarak adlandırılan cihazlar genellikle VLAN
aracılığıyla ayrıştırılmış yerel ağlarda kullanılırlar.
ROUTING PROTOKOLLERİNE ÖRNEKLER
Routing protokolleri paketlerin iletilecekleri noktaların
uzaklıklarına / maliyetlerine ve router cihazının bağlı olduğu
linklerin durumlarına göre karar veren, ilgili maliyetleri sürekli
güncellemek için hop noktaları arasında haberleşme sağlayan
protokollerdir. Örnek olarak aşağıdakiler verilebilir:
• RIP – Routing Information Protocol
• IGRP – Interior Gateway Routing Protocol
• BGP – Border Gateway Protocol
• OSPF - Open Shortest Path First
ETHERNET PROTOKOLÜ VE MAC ADRESİ
• Genellikle yerel ağlarda Ethernet protokolünün kullanıldığı Layer
2 katmanında iletişim için MAC adresleri kullanılır. Bu tam olarak
şu anlama gelmektedir; yerel ağlarda bir paket switch cihazına
ulaştığında switch cihazı bu paketi hangi portuna ileteceğine
karar vermek için hedef MAC adresine bakar (hedef IP adresinin
bir önemi yoktur).
• MAC adresleri 6 byte’tan oluşup ilk 3 byte’ı belli üreticilere
atanmıştır (IEEE registration authority tarafından), geri kalan 3
byte’ı ise üretici tarafından cihazlarına tekil olarak atanır.
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
Layer 2’de paket iletimi aşağıdaki senaryo ile gerçekleştirilir:
• Bir cihaz aynı collision domain’inde (yani pratik anlamda aynı
subnet’te bulunan) bir diğer IP adresi ile iletişim kurmadan önce
ARP cache’ine bakar.
• Eğer burada hedef IP adresinin MAC adresi mevcutsa bunu
kullanarak paketi gönderir. Bulamazsa broadcast MAC adresini
(ff:ff:ff:ff:ff:ff) kullanarak bir ARP, yani Address Resolution
Protocol paketi gönderir ve hedef IP adresine sahip ethernet
arayüzünün MAC adresini sorar.
• Aynı collision domain’indeki tüm cihazlar bu paketi görür, sorulan
IP adresine sahip olan cihaz ARP reply paketini önceki ARP
isteğini gönderen cihaza gönderir.
• Eğer iletişim kurulmak istenen IP adresi bilgisayar ile aynı
subnet’te değilse paket gateway cihazına iletileceği için
yukarıdaki işlemler gateway cihazı için gerçekleştirilir.
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
ARP Poisoning ve MITM (Man in the Middle) Saldırısı
ARP poisoning saldırısında aynı subnette bulunan bir saldırgan
istemci ve gateway cihazlarının ARP cache’lerini Gratituous ARP
paketleri ile zehirler. Protokol gereği ethernet arayüzleri bu tür
paketlerdeki bilgilere güvenerek cache’lerini güncellerler. Daha
sonra bilgisayar gateway’e bir paket göndermek istediğinde
cache’inde bulunan ve saldırgana ait MAC adresine paketi kullanır
(hedef IP adresi gateway’e ait olsa da). Switch cihazı paketin iletimi
için IP adresini değil MAC adresini dikkate aldığı için paketleri önce
saldırgana iletir.
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
ARP Poisoning ve MITM (Man in the Middle) Saldırısı
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
ARP Poisoning Saldırısına Karşı Önlemler
• Pratik olmayan birinci çözüm ARP tablolarının kayıtlarının static
olarak tanımlanmasıdır.
• Pratik olan ikinci çözüm ise kullanılan switch üzerinde bu tür
saldırılara karşı mevcut kontrol fonksiyonalitesini aktif hale
getirmektir. Örneğin Cisco ürünlerinde DHCP Snooping and
Dynamic ARP Inspection (DAI çözümü DHCP opsiyonuna
bağımlıdır) özelliği kullanılabilir.
• Uç noktalarda da kullanılan end point security ürünlerinin bu
saldırılara karşı bir çözümü varsa (bir host tabanlı IDS / IPS gibi)
bu özellik kullanılabilir.
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
RARP Protokolü: ARP protokolü IP’den MAC adresine ulaşmaya
çalışırken RARP (Reverse Address Resolution Protocol) MAC
adresinden IP adresine ulaşmaya çalışır. Bu nedenle de ARP kadar
fazla gözlenmez.
TÜNELLEME VE ENCAPSULATION NEDİR
Tünelleme bir protokolün içinde / data bölümünde bir başka
protokolün taşınmasıdır. Tünelleme aynı zamanda kriptolamayı da
içerebilir. Örneğin:
İyi Niyetli
• [ Ethernet [ IP [ TCP [ SSL [ HTTP ] ] ] ] ]: HTTP protokolü SSL içinde
tünellenmiştir.
• [ Ethernet [ IPSec [ IP [ TCP [ SSL [ HTTP ] ] ] ] ] ]: Tüm HTTPS
trafiği IPSec protokolü içinde tünellenmiştir.
Kötü Niyetli (covert channel oluşturulabilir, filtreleme kuralları
atlatılabilir)
• [ Ethernet [ IP [ ICMP [ TCP [ HTTP ] ] ] ] ]: Loki gibi bir araç ile
ICMP paketleri içlerinde bir HTTP erişimini tünellemektedirler
(örneğin bir backdoor erişimi sağlamak ve firewall kurallarını
aşabilmek için)
CONVERGED PROTOKOLLER
Converged protokoller ile ilgili bilinmesi gereken en önemli konu
bunların genellikle TCP/IP protokolleri içinde aslında bambaşka protokol
stack’leri bulunan diğer özel (proprietary) iletişim protokollerini
taşıyacak yöntemler olmalarıdır. Bazen de tam tersi biçimde TCP/IP
protokollerinin bir başka protokol içinde taşınmasıdır. Aslında bir tür
tünellemeden bahsediyoruz. Bu protokollerden bir kaçına örnek vermek
gerekirse:
• Fibre Channel over Ethernet (FCoE): Veri saklama maliyetlerinin
yüksekliği nedeniyle belli bir tarihten sonra büyük kurumlarda
optimum kullanım amacıyla sunucular üzerinde disk tutmaktan
vazgeçip tek bir storage sunucusunun çok sayıda sunucu tarafından
kullanılması yöntemine geçildi. Bu altyapıya da Storage Area Network
(SAN) veya Network Attached Storage (NAS) adı verildi. Doğal olarak
ağa bağlı bu sunuculara hızlı erişim için de fiber kablolama kullanıldı.
Ancak fiziksel yakınlık olmayan durumlarda da bu altyapının
kullanılabilmesi için fiber yerine mevcut bakır kablolama ve ethernet
protokolünü kullanacak olan FCoE protokolü geliştirildi.
CONVERGED PROTOKOLLER
• Multiprotocol Label Switching (MPLS): Bu protokolde de bir
protokolün TCP/IP içinde tünellenmesinin aksine TCP/IP ve diğer
protokollerin daha basit bir routing yöntemi uygulayan ve
dolayısıyla daha verimli olabilen bir başka protokol içinde
tünellenmesi örneğini görüyoruz.
SOFTWARE DEFINED NETWORKING
(SDN)
Programlanabilir Network Yönetimi
SDN altyapısında ağ cihazlarının daha basit olması ve büyük oranda
üretici bağımlılığından kurtulunması imkanı doğmaktadır. Çünkü
SDN yapısında ağ cihazları basit kararları uygulamakta, ancak
routing ve filtreleme gibi kurallarda merkezi bir sunucuya
danışmaktadır.
Bu sayede programlanabilir, açık standartlara uyumlu merkezi
yönetimin avantajları yaşanabilmektedir.
SDN altyapılarına henüz sık rastlamıyoruz, ancak bu konuya ilgi
büyüktür.
CONTENT DISTRIBUTION NETWORKS
(CDN)
İnternet üzerinden multimedya dağıtımı yaygınlaştığından bu yükü
dağıtmak için CDN altyapıları kurulmuştur. Bu altyapı sayesinde belli
bir servisi coğrafi konumunuza göre size en yakın yerde
konumlandırılmış sunucudan alabilmektesiniz.
Bu tür sunuculara Tivibu, Digiturk, Netflix tarzı internet üzerinden
yayın yapan multimedya sunucularını örnek verebiliriz.
Dünya üzerinde bu alanda hizmet veren firmalara ise CloudFlare,
Akamai, Amazon CloudFront, CacheFly ve Level 3 Communications
örnek verilebilir.
WIRELESS NETWORKS (802.11)
Kablosuz ağ protokol ailesi 802.11 protokol grubunda yer
almaktadır. Aşağıdaki protokol isimleri, hızları ve frekanslarını
ezberlemek zor olsa da bu bilgilere yakınlığınız olmasında fayda
vardır.
WIRELESS NETWORKS (802.11)
Kablosuz Ağ Modları
• Ad Hoc Mode: İki kablosuz ağ arayüzü arasında doğrudan kurulan
kablosuz ağ modudur.
• Infrastructure Mode: Bu modda bir erişim noktası (Access Point)
bulunmalıdır, kablosuz ağa bağlanan cihazlar doğrudan birbirleri
ile haberleşemezler ve erişim noktası üzerinde uygulanan
kontrollere tabidirler.
WIRELESS NETWORKS (802.11)
Infrastructure Mode Kablosuz Ağ Türleri
• Stand-alone mode: Bir kablolu ağ bağlantısı bulunmayan
bağımsız bir ağ.
• Wired extension mode: Kablolu ağa bağlanan bir kablosuz ağ.
• Enterprise extended mode: Birden fazla erişim noktası ile geniş
bir alanda aynı extended service set identifier (ESSID)’ı
kullanılarak oluşturulan kablosuz ağ. Böyle bir ağda mobil cihaz
kullanıcıları aynı ağda kalarak dolaşabilmektedir (roaming), ancak
cihazlarının ağ arayüzleri dolaşım sırasında farklı Access Point’ler
ile associate olmaktadır.
• Bridge mode: Bu modda erişim noktaları farklı alanlarda bulunan
(örneğin farklı katlarda) kablolu ağları birbirlerine bağlamaktadır.
WIRELESS NETWORKS (802.11)
Service Set Identifier (SSID) Türleri
• Kablosuz ağ bir Access Point kullanıyorsa (yani Infrastructure
Mode’da ise) kablosuz ağın adına ESSID (extended service set
identifier) denir.
• Ad-hoc ya da peer-to-peer mode’da ağın adı BSSID (basic service
set identifier) olarak anılır.
• Infastructure mode’da BSSID değeri Access Point’in MAC
adresidir, bu bilgi aynı ESSID’deki farklı Access Point’leri
ayrıştırmak için kullanılır.
WIRELESS NETWORKS (802.11)
SSID’nin Gizlenmesi (SSID Hiding / Closed SSID)
802.11 protokolünün Management Frame’lerinden “Beacon
Frame”ler (Türkçesi deniz feneri) bu paketleri gözlemleyen
istemcilerin kablosuz ağın varlığını farketmesine neden olur.
Bu nedenle hassas ağların SSID broadcast’i pasif hale getirmelerinde
fayda vardır.
Ancak ağa dahil olan cihazların kullandığı diğer management
frame’lerde de (ör: Authentication Frame, Association Request
Frame, v.d.) SSID bilgisi kullanıldığından bir sniffer aracıyla (örneğin
Kismet aracıyla) pasif olarak dinleme yapan bir kişi tarafından ağın
SSID bilgisi öğrenilebilir.
Bu yüzden SSID’nin gizlenmesi yeterli bir güvenlik yöntemi değildir.
Not: 802.11 Management Frame’leri Layer 2’de iletilen paketlerdir
ve spoof edilebilirler.
WIRELESS NETWORKS (802.11)
MAC Filtering
MAC filtering erişim noktası üzerinde bağlanabilecek client’ların
MAC adreslerinin kısıtlanması kontrolüdür.
Etkili bir güvenlik önlemi olduğu söylenemez, çünkü bir saldırgan
geçerli bir erişimi izleyebilir (erişim kriptolu bile olsa client MAC
adresi gözlenebilecektir) ve MAC spoofing ile erişim hakkı olan bir
MAC adresini kullanabilir.
WIRELESS NETWORKS (802.11)
Kablosuz Ağ Kanalları
Yerel mevzuata bağlı olarak farklı bölgelerde farklı sayıda kanal
kullanılabilmektedir:
• ABD: 11 kanal
• Avrupa: 13 kanal
• Japonya: 17 kanal
Aynı kanalda çok fazla ağ bulunması ağ performansını olumsuz
etkileyecektir.
WIRELESS NETWORKS (802.11)
Site Survey
Wireless site survey bina içinde ve etrafında aşağıdaki amaçlarla
periyodik olarak yapılması gereken bir denetim aktivitesidir:
• Kablosuz ağ sinyalinin eriştiği alanın tespiti
• Rogue Access Point’lerin mevcut olup olmadığı
Ayrıca erişim noktalarının ve yayın kanallarının konumlandırılması
için de site survey yapılabilir. Bu tür bir çalışmada bina şeması veya
harita üzerinde SSID’ler ve sinyal şiddetlerini kaydedici uygulamalar
mobil cihazlar üzerinde kullanılabilir.
WIRELESS NETWORKS (802.11)
Rogue Access Point Nedir?
Rogue AP kurum ağına bağlanmış onaylanmamış (unauthorized)
kablosuz erişim noktalarına verilen addır. Bu AP’ler iyi niyetli veya
kötü niyetli olabilir, ancak kurum bilgi güvenliği politikalarını geçersiz
kıldığı için son derece tehlikelidirler.
WIRELESS NETWORKS (802.11)
Anten Türleri
• Omnidirectional Antennas: Çoğu erişim noktasında bulunan
çubuk şeklindeki antenlerdir. Sinyal çubuğun etrafında simit
formunda dağılır.
• Directional Antennas: Sinyali belli bir yöne doğru yönlendiren
antenlerdir, bu nedenle belli bir yönde daha güçlü sinyal
üretebilir. Cep telefonu baz istasyonlarında bulunan antenler bu
tür antenlerdir.
WIRELESS NETWORKS (802.11)
IEEE 802.11 Encryption
• WEP (Wired Equivalent Privacy): 802.11 standardında tanımlanmış olan WEP
çıkar çıkmaz kırılmış bir authentication ve kriptolama yöntemidir ve bu
nedenle kullanılmamalıdır. WEP 60 sn’den kısa sürede kırılabilmektedir. RC4
kriptolama algoritmasının kullanıldığı WEP Initialization Vector (IV) seçimi ile
ilgili bir kriptolama yöntem zafiyeti nedeniyle güvensizdir. Yeterli sayıda WEP
paketi sniff edildiğinde WEP anahtarı %100 ihtimalle kırılabilmektedir,
herhangi bir dictionary attack yapmaya gerek yoktur. Paket toplama hızını
artırmak için de ARP paketlerinin uzunluğunun sabit olmasından faydalanılarak
ele geçirilen bir ARP paketi çok sayıda replay edilir ve paket üretim hızı artırılır.
• WPA (Wi-Fi Protected Access): WPA, WEP’in geçici olarak yerini almak üzere
geliştirilmiştir, ancak halen yaygın olarak kullanılmaktadır. WPA’de WEP’te
olduğu gibi tüm istemciler için aynı anahtar kullanılmaz, tam tersine her bir
cihaz için farklı anahtar setleri kullanılır. Ancak kullanıcı tanılama sırasında PSK
(Preshared Key) kullanılması halinde WPA’de tüm cihazlar ortak bir passphrase
kullanırlar. WPA, LEAP ve TKIP kriptosistemleri üzerine kurgulanmış olup bu
yöntemlerin kriptografik açıklıkları bulunduğu için WPA güvensiz
görülmektedir. Ayrıca 14 karakterden daha düşük passphrase kullanımı da
güvensiz görülmektedir.
WIRELESS NETWORKS (802.11)
IEEE 802.11 Encryption (devamı)
• TKIP (Temporal Key Integrity Protocol): TKIP WEP’in zayıflıkları
nedeniyle geliştirilen WPA protokolünde anahtar değiştirme ve replay
saldırılarına karşı kontroller içeren bir protokoldür. Ancak WPA TKIP’e
karşı coWPAtty, GPU-based cracking araçları geliştirilmiş ve bu protokol
güvensiz olarak kabul edilmiştir.
• LEAP (Lightweight Extensible Authentication Protocol): Cisco’nun WPA
yöntemi için TKIP’e alternatif olarak geliştirdiği proprietary protokolüdür.
Güvensiz bir protokoldür ve 2004 yılında protokolün zayıflığına yönelik
Asleap adlı bir saldırı aracı geliştirilmiştir.
• WPA2 (IEEE 802.11i): WPA ismi zaten kullanıldığı için aslında WPA ile çok
da yakın olmayan bu yeni yönteme WPA2 adı verilmiştir. WPA2 IEEE
802.11i standardında tanımlanmıştır. AES algoritmasının kullanıldığı
WPA2’nin güvenli olduğu kabul edilmektedir. Ancak PSK (Preshared Key)
kullanıldığı durumlarda hem WPA hem de WPA2 için handshake sırasında
görünür olan passphrase ele geçirilirse dictionary saldırısına tabi
tutulabilir. Bu yüzden kullanılan passphrase’in uzunluk ve karmaşıklığı
önemlidir.
WIRELESS NETWORKS (802.11)
IEEE 802.11 Encryption (devamı)
• 802.1X / EAP (Extensible Authentication Protocol): 802.1X
aslında kablosuz ağlara özel bir authentication yöntemi değil,
VPN bağlantılarında ve kablolu ağlarda da kullanılabilen bir
yöntemdir. 802.1X’te erişim noktası (daha jenerik adıyla Network
Access Server – NAS) kullanıcı tanılama yapmaz, erişim bilgilerini
kablolu ağda bağlı olduğu bir RADIUS / TACACS sunucusuna iletir
ver bu sunucudan gelen yanıta göre istemciyi ağa dahil eder veya
etmez. Dolayısıyla ortak kullanılan parolanın getirdiği zayıflıktan
bizi kurtarır. Hem WPA hem de WPA2 protokolleri 802.1X’i
destekler.
• PEAP (Protected Extensible Authetication Protocol): EAP’a TLS
tünelleme desteği getiren protokoldür. Normalde EAP kriptolu
değildir.
CAPTIVE PORTALLER
Kablosuz (veya Kablolu) Hotspot Ağlarda Kimlik Doğrulama
Kablosuz ağlarda sıklıkla rastladığımız Captive Portaller’de tıpkı
802.1X EAP authentication yönteminde olduğu gibi aslında kablosuz
ağlara özel değildir, kablolu ağlarda da aynı teknik uygulanabilir.
Network Access Server (kablosuz ağlarda bu Access Point olacaktır)
hotspot özelliğine sahipse daha önce doğrulanmamış bir istemci ağa
dahil olduğunda bu kullanıcının ilk HTTP bağlantı isteğinde
kullanıcıyı bir Captive Portal web sayfasına yönlendirir. Bu sayfada
authenticate olan bir kullanıcının MAC adresi için firewall’a bir
accept kuralı eklenerek internet erişimine izin verilir.
WARDRIVING / WARWALKING
Araçla, yürüyerek (Warwalking) ve hatta uçan bir araçla erişim
noktalarının tespit edilmesi, bu ağların authentication protokollerini
ve görüldükleri yerin koordinatları kaydetme işlemine verilen addır.
Bu işlemi yapan meraklılar topladıkları bilgileri belli web sitelerine
de yükleyerek tüm dünya ile paylaşabilmektedir.
WIRELESS DE-AUTHENTICATION ATTACK
WPA ve WPA2 protokollerinde PSK (Pre-Shared Key) kullanılması
halinde authentication sırasında PSK hash’i iletilmekte ve bir
saldırgan bu iletişimi dinliyorsa hash değerini ele geçirebilmekte ve
offline olarak parola hash’ine karşı dictionary (sözlük) saldırısı
gerçekleştirebilmektedir.
Ancak Layer 2’de kullanılan Management Frame’lerde herhangi bir
authentication yapılmadığından bir saldırgan Access Point’in
BSSID’sini (yani MAC adresini) spoof ederek ağa bağlı istemcileri de-
authenticate edebilir. Bu durumda istemci tekrar authenticate
olmak zorunda kalacaktır. Saldırgan yeni bir istemcinin ağa
bağlanmasını beklemek yerine proaktif olarak yeni bir
authentication’ı bu şekilde tetikleyebilir.
AĞ BÖLÜMLERİ KAVRAMLARI
Genel Ağ Bölümleri
• İnternet: Tüm dünyanın erişimi olan sistemler ve ağ cihazlarından
oluşur.
• Intranet: Sadece iç ağa konumlanmış cihazlarla erişilebilen kurum
iç ağ sunucu ve cihazlarıdır. Ağ bölümleme (network
segmentation) konusuna ayrıca değineceğiz.
• Extranet: Kurum ağında bulunan ancak internet kullanıcıları veya
kurum dışında bulunan belli ağlardan (iş ortakları, tedarikçiler,
kamu kurumları, v.b.) erişilebilen ağ bölümleridir. Bunlardan en
tipik olanı internete açık olan servisleri barındıran sunucuların
konumlandırıldığı DMZ (Demilitarized Zone) alanıdır.
AĞ BÖLÜMLERİ KAVRAMLARI
Ağ Bölümleme (Network Segmentation)
Öncelikle güvenlik amacıyla yapılan iç ağ bölümlemesinin getirdiği
faydalar aşağıdaki gibidir:
• Güvenlik ihtiyaçları ve sınıflandırmaları benzer olan sunucuların
gruplanması vasıtasıyla ağ güvenliğinin artırılması
• Hatlar üzerindeki trafiğin azaltılması suretiyle ağ performansının
artırılması, hata ihtimalinin azaltılması ve hatanın hızlı tespitini
kolaylaştırması
Ağ bölümlemesi iç ağda konumlandırılacak firewall cihazları ile
yapılabileceği gibi switch tabanlı bir çözüm olan VLAN (Virtual LAN)
teknolojisi ile de gerçekleştirilebilir.
AĞ BÖLÜMLERİ KAVRAMLARI
Ağ Bölümleme (Network Segmentation) (devamı)
VLAN Nedir: VLAN teknolojisi aynı switch üzerinde olsa bile
collusion domain’leri bölerek hem erişim kontrolünü artırma hem
de ağ performansını artırmaya yardımcı olan bir teknolojidir. Ağ
paketleri VLAN tag’i adı verilen başlık alanları ile işaretlenir ve
switch’ler bu etiketlere göre erişim kurallarını uygularlar. VLAN ile
ilgili standart IEEE 802.1Q’dur.
VLAN’lar arasındaki iletişim bir router üzerinden sağlanır ve erişim
kontrol listeleri (ACL) ile filtrelenebilir. Bu filtreleme bir external
router ile de yapılabilir Switch üzerinde de (bu tür switchlere multi-
layer ya da 3rd layer switch denir) yapılabilir.
AĞ BÖLÜMLERİ KAVRAMLARI
Ağ Bölümleme (Network Segmentation) (devamı)
Trunking Nedir: Eğer aynı VLAN içinde bulunan cihazlar farklı
switchlere bağlı ise switchler arasındaki trunk bağlantıları sayesinde
bu sunucular sanki aynı cihaza bağlıymış gibi haberleşebilirler.
VLAN Hopping Saldırısı Nedir: Diğer VLAN’lara erişmek için yapılan
saldırılara verilen addır.
SCADA GÜVENLİĞİNDE AĞ
BÖLÜMLEMENİN ÖNEMİ
Supervisory Control and Data Acquisition (SCADA) sistemleri
bilgisayar networklerindeki cihazlar gibi çok sayıda istemciye yanıt
vermek üzere tasarlanmamışlardır. Bu yüzden cihazların sağladığı
güvenlik konfigürasyonlarını yapmanın yanı sıra en kritik kontrol
SCADA ağlarının bilgisayar ağlarından ayrıştırılmasıdır.
NETWORK ACCESS CONTROL (NAC)
Network access control son derece önemli önleyici bir ağ erişim
kontrolüdür. Ağa dahil olacak cihazların güvenilirliğini güvence altına
almaya çalışan bu teknoloji çeşitli seviyelerde uygulanabilir:
• Ethernet MAC adresi seviyesinde: Her bir switch portu üzerinde
yapılacak ayarlar ve DHCP server ayarları ile bağlanan cihazı ağa
alma veya almama, alınırsa da kısıtlı bir alan alma gibi kurallar
uygulanabilir. Tahmin edilebileceği gibi MAC spoofing yöntemi ile
bu kontrol rahatlıkla atlatılabilir.
• İşletim sistemi seviyesinde: 802.1x EAP protokolü ile
authentication kontrolünü uyguladıktan sonra bağlanan bilgisayar
üzerindeki bir agent uygulama sayesinde bilgisayarın işletim
sistemi yamaları, anti-malware çözümü güncellemeleri kontrol
edilerek eksikliklerin giderilmesi amacıyla bir karantina ağ
bölümüne alınması, güncellemeler tamamlandıktan sonra güvenli
ağa dahil edilmesi gibi kontroller uygulanabilir.
FIREWALL’LAR
Firewall Türleri
Firewall’lar (normalde) 3. katmanda çalışırlar ve IP ve port bazında
kısıtlama yapabilirler. Ancak güncel ürünlerde 7. katman inceleme ve
IPS özellikleri de firewall cihazlarında görülmektedir.
• Static Packet-Filtering Firewall (1st Gen. FW): İlk jenerasyon
firewall’lardır, her bir paketi diğer paketlerden bağımsız inceler ve
karar verir. Örneğin içeriden bir sunucunun dışarıya doğru başlattığı
bir oturuma gelen yanıt olup olmadığını bilemeyeceği için içeriye
doğru gelen ve ACK flag’i işaretli tüm paketleri kabul etmek zorunda
kalabilir, aksi takdirde iletişim gerçekleşemeyecektir. Böyle bir
konfigürasyon da ACK scan adı verilen port tarama imkanını
sağlayabilir. Router cihazları üzerinde uygulanan ACL’ler ile bu basit
firewall özelliği sağlanabilir.
• Stateful Inspection Firewall (3rd Gen. FW): Static Packet Filtering
Firewall’un durum farkındalığı eksikliği giderilmiş halidir. Oturum
hakkında tuttuğu bilgiler sayesinde sadece geçerli oturumlarla ilgili
paketlerin geçişine izin verebilir. Modern firewall’lar bu tiptedir.
FIREWALL’LAR
Firewall Türleri (devamı)
• Application-Level Gateway Firewall (2nd Gen. FW): Bu
firewall’lar proxy gibi çalışır, yani gelen paketi uygulama
katmanında alır, kopyalar, kaynak IP adresini değiştirerek diğer
tarafa iletir. Her bir servisin kendine ait bir proxy’si bulunmak
zorundadır, yani çok sayıda proxy servisi barındıran bir sistemden
söz ediyoruz. Layer 7’de çalışan bir firewall türüdür.
• Circuit-Level Gateway Firewall (2nd Gen. FW): SOCKS çok
bilinen bir circuit level gateway firewall’dur. Layer 5 (session)’te
çalışır. Pratikte kullanımı yüksek değildir.
PACKET FILTERING FIREWALL’LARIN
PROBLEMLERİNE ÖRNEK
FTP Protokolünün Sıradışı Davranışı
FTP protokolü authentication ve diğer komutlar için TCP 21 portunu
kullanır. Ancak veri iletimi için Active ve Passive mode olmak üzere 2
farklı yöntemi destekler. Her iki durumda da firewall’un FTP
bağlantısının state’leri hakkında bir fikri yoksa ek kurallarla erişim
sağlanması gerekir.
• Active FTP: İstemci TCP 1023’ten büyük bir N portundan
sunucunun TCP 21 portuna bağlanır, authentication sonrasında
PORT N+1 komutuyla bağlandığı portun bir üst portundan
dinlemeye başlar. Sunucu TCP 20 portundan istemcinin TCP N+1
portuna bağlanır ve veri transferi gerçekleşir.
• Passive FTP: Bu bağlantıda istemci PORT komutu yerine PASV
komutu gönderir. Sunucu bu komuta karşılık olarak açtığı bir
Port’un numarasını istemciye gönderir. Daha sonra istemci bu
porta bağlanarak veri iletimi gerçekleştirilir.
PACKET FILTERING FIREWALL’LARIN
PROBLEMLERİNE ÖRNEK
Active FTP