CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 4

BÖLÜM-4
COMMUNICATIONS AND NETWORK SECURITY

İLETİŞİM VE AĞ GÜVENLİĞİ
TCP/IP TEMEL BİLGİLER
TCP/IP Protocol Stack
CISSP sınavı açısından OSI (Open Systems Interconnection) modeli
önemli bir bilgi alanıdır. Ancak OSI’ye geçmeden önce günlük
hayatımızda sıklıkla kullandığımız TCP/IP protokol stack’inden
başlamak daha anlaşılır bir yol izlememize yardımcı olacaktır.
TCP/IP, OSI modelinden de önce 1970’li yıllarda DoD (DARPA)
tarafından geliştirilmiştir ve sadece 4 katmanı vardır.
TCP/IP tek bir protokol değildir, bir protokol yığınıdır (TCP/IP
protocol stack).
Bir Web Sitesi Erişimi Örneği (Wireshark ile izleme)
• ARP – Gateway / DNS sunucusu MAC adresini bulma
• DNS – Web sunucusu IP adresini bulma (UDP üzerinden DNS
protokolü ile)
• TCP – Web sunucusuyla TCP oturumunu oluşturma
• HTTP – GET metoduyla web sunucusundan sayfa talebi ve HTTP
response’u
Ethernet, IP, UDP ve TCP başlıklarını inceleyiniz.
TCP 3 Way Handshake
TCP Flag’leri
• SYN: Yeni senkronizasyon numarası ile senkronizasyon isteği
• ACK: Alınan senkronizasyon isteği, veri içeren paket veya graceful
kapatma (FIN) isteğinin alındığının teyidi
• RST: Hemen bağlantıyı koparma isteği (yanıt beklenmez)
• FIN: Bağlantıyı graceful biçimde kapatma isteği (daha sonra
karşından bir ACK, daha sonra bir FIN paketi gelmesi beklenir, son
olarak ilk FIN isteğini gönderen taraf son gelen FIN paketini ACK
paketi ile yanıtlar)
• PSH: Paketin acilen uygulama katmanına iletilmesi isteği ile
iletilen paket
• URG: Acil veri içeren paket
IP ve Port Kavramları
• IPv4 için IP adresleri 4 byte (32 bit) uzunluğundadır. X.X.X.X
şeklindeki ifade sadece byte’ların değerlerini ondalık sisteme
çevirerek insanların aklında kalıcı biçimde ifade etmek için
kullanılır, makine için bunun bir anlamı yoktur.
• Port kavramı UDP ve TCP protokollerinin çalıştığı Transport
katmanı ile ilişkilidir.
• Portların alabileceği değerler 0-65535 arasındadır (çünkü UDP ve
TCP başlıklarında port için ayrılmış alan 16 bit uzunluğundadır)
Port Aralıkları
• 0-1023: Well known ports (bu portlar genellikle yüksek yetkili
sistem servislerine atanır, well known port listeleri genellikle çok
bilinen servislerin kullandığı ve bu aralığın dışındaki portları da
içerir)
• 1024-49151: Registered software ports (well known portlar ve
registered software portlar IANA tarafından register
edilmektedir)
• 49152-65535: Ephemeral, random, dynamic ports (ephemeral
portların bazı kaynaklarda 1024’ten başladığı söylenir)
IP Class’ları
[CIDR – Classless Inter-Domain Routing]

IP Class’ları ve Host Sayıları
Private IP Aralıkları
RFC 1918 ile tanımlanmış olan Private IP aralıklarındaki IP adresleri
internet’te route edilmezler.
• 10.0.0.0/8 [10.0.0.0 – 10.255.255.255 – Toplam 16,777,216 IP adresi]
• 172.16.0.0/12 [172.16.0.0 – 172.31.255.255 – Toplam 1,048,576 IP
adresi]
• 192.168.0.0/16 [192.168.0.0 – 192.168.255.255 – Toplam 65,536 IP
adresi]
Loopback Adresi
• 127.X.X.X IP aralığı RFC 1918 ile loopback adres aralığı olarak
tanımlanmıştır, ancak pratikte sadece 127.0.0.1 adresi kullanılır. Bu
adrese sadece sistem üzerindeki prosesler erişebilir.
192.168.10.186/26
NETWORK ADRESİ HESAPLAMA
11000000 10101000 00001010 10111010

11111111 11111111 11111111 11000000
LOGICAL AND
11000000 10101000 00001010 10000000 [192.168.10.128]
192.168.10.186/26
BROADCAST ADRESİ HESAPLAMA
11000000 10101000 00001010 10111010

00000000 00000000 00000000 00111111
LOGICAL OR
11000000 10101000 00001010 10111111 [192.168.10.191]
192.168.10.186/26
HOST SAYISI HESAPLAMA
00000000 00000000 00000000 00111111
2**6 – 2 = 62
NAT ve Port Forwarding Kavramları
• Network Address Translation (NAT): Genellikle private IP adresi kullanılan iç
ağdan internete erişirken kıt bir kaynak olan routable public IP adresinin
kullanılabilmesi için gönderilen paketin kaynak IP adresinin değiştirilmesi
işlemidir. Internet gateway cihazı üzerinde tuttuğu NAT tablosu ile iç ağdaki
istemcilerin iletişimiyle ilgili kullanılan port numaralarını takip eder. Doğaldır ki
internetten routable IP adresi olmayan iç ağ sunucu ve bilgisayarlarına doğru
bir iletişim başlatılamaz.
• Port Forwarding: İnternetten routable olmayan ve private IP adresi olan bir iç
ağ sunucusuna erişim sağlamak istediğinizde, public IP adresi olan internet
gateway cihazınız üzerine port forwarding tanımı yapmanız gerekecektir.
Örneğin public IP adresi üzerindeki TCP 8080 portuna gelen trafik arkadaki
private IP adresli bir sunucunun (ör: 10.1.1.112) TCP 80 portuna bu ayar ile
iletilebilir.
• Port forwarding olarak tanımladığımız kavram Static NAT, diğeri ise Dynamic
NAT olarak da anılır.
ICMP Tip ve Kod Kavramları
ICMP protokolünde tip ve kod kavramları kullanılır. Aşağıda bazı sık kullanılan
ICMP paketlerinin tip ve kodlarına örnekleri bulabilirsiniz:
• ICMP Echo Request: Type-8 Echo Request / Code-0
• ICMP Echo Reply: Type-0 Echo Reply / Code-0
• ICMP Timestamp Request: Type-13 Timestamp / Code-0
• ICMP Timestamp Reply: Type-14 Timestamp Reply / Code-0
• ICMP Time Exceeded: Type-11 Time Exceeded / Code-0 Time to Live Exceeded
in Transit
• ICMP Port Unreachable: Type-3 Destination Unreachable / Code-3 Destination
Port Unreachable
Firewall REJECT Kuralı: Firewall üzerinde REJECT kuralı tanımlandığında firewall
tarafından istemciye ICMP Type-3 Code-13 Administratively Prohibited paketi
gönderilir.
Kapalı UDP Portu: Hedef bilgisayar üzerindeki kapalı bir UDP portuna erişmeye
çalıştığımızda (arada bir firewall filtreleme yapmıyor ve serbestçe iletişim
kurabiliyorsak) hedef bilgisayar ICMP Type-3 Code-3 Port Unreachable paketi
gönderir.
Özetle ICMP, TCP ve UDP
• ICMP (IP Protokol No: 1): Yardımcı bir protokoldür, port kavramı yerine tip ve
kod kavramlarına sahiptir.
• TCP (IP Protokol No: 6): Paket iletiminde iletim garantisi ile ilgili hizmet verir,
bir oturum oluşturulduktan sonra iletişim başlar ve oturumun
oluşturulabilmesi için 3 paketin iletildiği bir el sıkışma aşaması gerçekleştirilir.
Bu nedenle de iletişim kurulmasını gerektiren durumlarda (ör: GET flood veya
web form parola saldırısı gibi) gerçek kaynak IP adresi kullanılmak zorundadır.
• UDP (IP Protokol No: 17): Hızın ön planda olduğu bir protokoldür, bu nedenle
başlık alanları az sayıdadır. Bununla birlikte DNS gibi kritik servislerde kullanılır,
ancak paket iletiminin uygulama katmanında takibi gereklidir.
Sık Kullanılan Application Layer Protokolleri ve Port Numaraları
Protokol Port
Telnet TCP-23
FTP (File Transfer Protocol) TCP-21
TFTP (Trivial File Transfer Protocol) UDP-69
SMTP (Simple Mail Transfer Protocol) TCP-25
POP3 (Post Office Protocol) TCP-110
IMAP (Internet Message Access Protocol) TCP-143
DHCP (Dynamic Host Configuration Protocol) UDP-67,68
HTTP (Hypertext Transport Protocol) TCP-80
SSL (Secure Socket Layer) TCP-443
SNMP (Simple Network Management Protocol) UDP-161
SSH (Secure Shell) TCP-22
DNS (Domain Name System) UDP-53
NTP (Network Time Protocol) UDP-123
NetBIOS UDP-137,138
TCP-139,445
LDAP (Lightweight Directory Access Protocol) TCP/UDP-389
TCP Wrapper Kavramı
• Firewall kullanılmayan / kullanılamayan durumlarda Unix / Linux
sunucular üzerinde belirli servisler için TCP wrapper kullanılarak ağ
erişimi kontrol edilebilir. TCP wrapper kütüphanesini kullanan servislere
bir tür host based ACL fonksiyonalitesi kazandırır. İlgili konfigürasyon
dosyalarına yapılan tanımlarla kabul edilen bağlantılar tanımlanır.
• İzinsiz bir kaynak IP adresinden erişim yapılmaya çalışıldığında TCP
handshake gerçekleşir ancak hemen devamında sunucu bir FIN paketi
göndererek oturumu düzenli biçimde (gracefully) kapatır (yani FIN,
ACK, FIN, ACK şeklinde 4 paket alınıp verilir)
IPv6
• Adres yetersizliği ve IPv4’ün güvenlik yetersizliklerini gidermek amacıyla
geliştirilmiştir.
• 128 bit’lik adres büyüklüğüne sahiptir (IPv4’te 32 bit’tir)
• IPSec IPv6 içinde tanımlanmıştır.
• IP başlığı küçültülmüş ve performansın artırılması hedeflenmiştir.
OSI MODELİ
Ağ Katmanları
1980’lerde geliştirilmiş olan OSI modeli tam olarak uygulamaya geçmemiştir.
Ancak teorik bir model olarak ağ protokolleri için genel kabul görmüş bir katman
şablonu haline gelmiştir.
OSI modeli geliştirilirken TCP/IP protokol stack’i de yaygın kullanımı nedeniyle göz
önünde bulundurulmuştur.
OSI MODELİ
Ağ Katmanları
• (1) Physical Layer [Bits]: Data link layer’dan frame’i alan fiziksel
katman iletimin yapılacağı ortamın fiziksel özelliklerine uygun
olarak veriyi bit’ler halinde iletir.
• (2) Data Link Layer [Frame]: Network katmanından alınan
paketin kullanılacak olan iletim ortamı ve teknolojisine uygun
olarak formatlanmasını gerçekleştirir. Örneğin: IEEE 802.3
Ethernet, IEEE 802.5 Token Ring, Asynchronous Transfer Mode
(ATM), Fiber Distributed Data Interface (FDDI), Copper DDI (CDDI)
gibi.
• (3) Network [Packet]: Routing ve addressing verilerinin bu
katmandaki başlığa yerleştirilmesinden ve bu verilere göre karar
verilmesinden sorumludur. IP dışındaki diğer Network layer
protokollerine IPX, Appletalk ve NetBEUI örnek verilebilir.
OSI MODELİ
Ağ Katmanları (devamı)
• (4) Transport [Segment (TCP) / Datagram (UDP)]: Bağlantının
bütünlüğünden ve oturumun yönetiminden sorumludur. Tabi bu
ifade daha çok TCP için anlam kazanmaktadır. SSL / TLS protokolü
de bu katmanda sayılır.
• (5) Session [Data Stream]: Adından da anlaşılacağı gibi oturum
yönetiminden sorumludur. TCP/IP’de doğrudan yeri yoktur ancak
NFS (Network File System), SQL, RPC (Remote Procedure Call)
gibi protokoller bu katmanda sayılabilir.
• (6) Presentation [Data Stream]: Verinin anlaşılır formata
çevrilmesinden sorumludur, ASCII, JPEG, MPEG gibi formatlar
örnek olarak verilebilir.
• (7) Application [Data Stream]: Uygulamaların anladığı veri
formatıdır, HTTP, FTP, Telnet, v.b. protokoller örnek olarak
verilebilir.
GENEL AĞ CİHAZLARI
• Hubs: Aynı LAN’da bulunan cihazların bağlandıkları, OSI Layer
1’de çalışan bir cihazdır. Bu cihaza bir paket iletildiğinde cihaza
bağlı tüm bilgisayarlara bu sinyal iletilir. Dolayısıyla hub’a bağlı
tüm sistemler aynı collision domain’dedir.
• Switches: Switch’ler de LAN’da kullanılır ancak hub’dan
akıllıdırlar. OSI Layer 2’de çalışan switch’ler hangi portlarında
hangi MAC adreslerinin göründüğünü belleklerinde tutarak bir
ethernet paketi gönderildiğinde sadece hedef MAC adresinin
bulunduğu porta paketi iletirler. Böylece çarpışma ihtimalini
oldukça düşürürler.
• Routers: OSI Layer 3’te çalışan router’lar farklı ağ bölümlerinde
bulunan sistemler arasında yönlendirme yaparlar, collision ve
broadcast domain’leri ayırırlar. TCP/IP ağları için router’lar IP
adreslerine bakarak karar verirler. Routing tablo’ları statik olarak
tanımlanmamışsa bu cihazlar RIP, OSPF, BGP gibi protokollerle
haberleşerek routing tablolarını dinamik olarak oluştururlar.
• Repeaters, Concentrators, and Amplifiers: Kablo uzunlukları
fiziksel kısıtlar nedeniyle belirli bir uzunluğu aşamazlar. Uzun
bağlantılarda repeater gibi cihazlar sinyalin gücünü artırmak için
ara noktalarda konumlandırılır.
• Modems: Analog ağlar ile (ör: PSTN) dijital ağlar arasındaki
dönüşümü gerçekleştirmek için kullanılırlar. Günümüzde modem
kullanımı yok denecek seviyededir, bu tür bağlantıların yerini DSL
ve cable modemler almıştır.
• Bridges: Bu cihazlar aynı protokolü kullanan ancak farklı hızlarda
çalışan ağ bölümlerini bağlamak için kullanılır. Bunlara store-and-
forward cihazları adı da verilir. Bu cihazlar da switch’ler gibi Layer
2’de çalıştığı için bridge’in her iki tarafındaki sistemler farklı
collision domain’lerdedirler.
• Brouters: Hem bridge hem de router olan cihazlardır. İletişimin
türüne göre routing veya bridge işlevini yerine getirirler.
• Gateways: İç ağlarda gateway’ler farklı subnet’ler arasındaki
geçiş köprülerini ifade etse de aslında gateway cihazları farklı
protokollerde çalışan ağ bölümlerini birbirlerine bağlayan
cihazlardır. Örneğin bir IP-to-IPX gateway iki protokol arasındaki
dönüşümü gerçekleştirir.
• Proxies: Proxy’ler aynı protokolde konuşan istemci ve sunucu
arasında köprü işlevi görür ancak istemcinin kimliğini gizler (kendi
adresini istemci adresi olarak paketlere yerleştirir).
OSI MODELİ
Cihazlar ve Paket İşleme Katmanları
• Sunucu / Web Application Firewall / Proxy: Layer 7 (Application)
• Router / Network Firewall: Layer 3 (Network)
• Switch: Layer 2 (Data Link Layer)
• Hub: Layer 1 (Physical)
LAN saldırılarına karşı önlemler (ör: ARP poisoning) Switch
seviyesinde uygulanmalıdır.
Layer 3 Switch olarak adlandırılan cihazlar genellikle VLAN
aracılığıyla ayrıştırılmış yerel ağlarda kullanılırlar.
ROUTING PROTOKOLLERİNE ÖRNEKLER
Routing protokolleri paketlerin iletilecekleri noktaların
uzaklıklarına / maliyetlerine ve router cihazının bağlı olduğu
linklerin durumlarına göre karar veren, ilgili maliyetleri sürekli
güncellemek için hop noktaları arasında haberleşme sağlayan
protokollerdir. Örnek olarak aşağıdakiler verilebilir:
• RIP – Routing Information Protocol
• IGRP – Interior Gateway Routing Protocol
• BGP – Border Gateway Protocol
• OSPF - Open Shortest Path First
ETHERNET PROTOKOLÜ VE MAC ADRESİ
• Genellikle yerel ağlarda Ethernet protokolünün kullanıldığı Layer
2 katmanında iletişim için MAC adresleri kullanılır. Bu tam olarak
şu anlama gelmektedir; yerel ağlarda bir paket switch cihazına
ulaştığında switch cihazı bu paketi hangi portuna ileteceğine
karar vermek için hedef MAC adresine bakar (hedef IP adresinin
bir önemi yoktur).
• MAC adresleri 6 byte’tan oluşup ilk 3 byte’ı belli üreticilere
atanmıştır (IEEE registration authority tarafından), geri kalan 3
byte’ı ise üretici tarafından cihazlarına tekil olarak atanır.
ARP PROTOKOLÜ VE YEREL AĞ
SALDIRILARI
Layer 2’de paket iletimi aşağıdaki senaryo ile gerçekleştirilir:
• Bir cihaz aynı collision domain’inde (yani pratik anlamda aynı
subnet’te bulunan) bir diğer IP adresi ile iletişim kurmadan önce
ARP cache’ine bakar.
• Eğer burada hedef IP adresinin MAC adresi mevcutsa bunu
kullanarak paketi gönderir. Bulamazsa broadcast MAC adresini
(ff:ff:ff:ff:ff:ff) kullanarak bir ARP, yani Address Resolution
Protocol paketi gönderir ve hedef IP adresine sahip ethernet
arayüzünün MAC adresini sorar.
• Aynı collision domain’indeki tüm cihazlar bu paketi görür, sorulan
IP adresine sahip olan cihaz ARP reply paketini önceki ARP
isteğini gönderen cihaza gönderir.
• Eğer iletişim kurulmak istenen IP adresi bilgisayar ile aynı
subnet’te değilse paket gateway cihazına iletileceği için
yukarıdaki işlemler gateway cihazı için gerçekleştirilir.
SALDIRILARI
ARP Poisoning ve MITM (Man in the Middle) Saldırısı
ARP poisoning saldırısında aynı subnette bulunan bir saldırgan
istemci ve gateway cihazlarının ARP cache’lerini Gratituous ARP
paketleri ile zehirler. Protokol gereği ethernet arayüzleri bu tür
paketlerdeki bilgilere güvenerek cache’lerini güncellerler. Daha
sonra bilgisayar gateway’e bir paket göndermek istediğinde
cache’inde bulunan ve saldırgana ait MAC adresine paketi kullanır
(hedef IP adresi gateway’e ait olsa da). Switch cihazı paketin iletimi
için IP adresini değil MAC adresini dikkate aldığı için paketleri önce
saldırgana iletir.
SALDIRILARI
ARP Poisoning ve MITM (Man in the Middle) Saldırısı
SALDIRILARI
ARP Poisoning Saldırısına Karşı Önlemler
• Pratik olmayan birinci çözüm ARP tablolarının kayıtlarının static
olarak tanımlanmasıdır.
• Pratik olan ikinci çözüm ise kullanılan switch üzerinde bu tür
saldırılara karşı mevcut kontrol fonksiyonalitesini aktif hale
getirmektir. Örneğin Cisco ürünlerinde DHCP Snooping and
Dynamic ARP Inspection (DAI çözümü DHCP opsiyonuna
bağımlıdır) özelliği kullanılabilir.
• Uç noktalarda da kullanılan end point security ürünlerinin bu
saldırılara karşı bir çözümü varsa (bir host tabanlı IDS / IPS gibi)
bu özellik kullanılabilir.
SALDIRILARI
RARP Protokolü: ARP protokolü IP’den MAC adresine ulaşmaya
çalışırken RARP (Reverse Address Resolution Protocol) MAC
adresinden IP adresine ulaşmaya çalışır. Bu nedenle de ARP kadar
fazla gözlenmez.
TÜNELLEME VE ENCAPSULATION NEDİR
Tünelleme bir protokolün içinde / data bölümünde bir başka
protokolün taşınmasıdır. Tünelleme aynı zamanda kriptolamayı da
içerebilir. Örneğin:
İyi Niyetli
• [ Ethernet [ IP [ TCP [ SSL [ HTTP ] ] ] ] ]: HTTP protokolü SSL içinde
tünellenmiştir.
• [ Ethernet [ IPSec [ IP [ TCP [ SSL [ HTTP ] ] ] ] ] ]: Tüm HTTPS
trafiği IPSec protokolü içinde tünellenmiştir.
Kötü Niyetli (covert channel oluşturulabilir, filtreleme kuralları
atlatılabilir)
• [ Ethernet [ IP [ ICMP [ TCP [ HTTP ] ] ] ] ]: Loki gibi bir araç ile
ICMP paketleri içlerinde bir HTTP erişimini tünellemektedirler
(örneğin bir backdoor erişimi sağlamak ve firewall kurallarını
aşabilmek için)
CONVERGED PROTOKOLLER
Converged protokoller ile ilgili bilinmesi gereken en önemli konu
bunların genellikle TCP/IP protokolleri içinde aslında bambaşka protokol
stack’leri bulunan diğer özel (proprietary) iletişim protokollerini
taşıyacak yöntemler olmalarıdır. Bazen de tam tersi biçimde TCP/IP
protokollerinin bir başka protokol içinde taşınmasıdır. Aslında bir tür
tünellemeden bahsediyoruz. Bu protokollerden bir kaçına örnek vermek
gerekirse:
• Fibre Channel over Ethernet (FCoE): Veri saklama maliyetlerinin
yüksekliği nedeniyle belli bir tarihten sonra büyük kurumlarda
optimum kullanım amacıyla sunucular üzerinde disk tutmaktan
vazgeçip tek bir storage sunucusunun çok sayıda sunucu tarafından
kullanılması yöntemine geçildi. Bu altyapıya da Storage Area Network
(SAN) veya Network Attached Storage (NAS) adı verildi. Doğal olarak
ağa bağlı bu sunuculara hızlı erişim için de fiber kablolama kullanıldı.
Ancak fiziksel yakınlık olmayan durumlarda da bu altyapının
kullanılabilmesi için fiber yerine mevcut bakır kablolama ve ethernet
protokolünü kullanacak olan FCoE protokolü geliştirildi.
CONVERGED PROTOKOLLER
• Multiprotocol Label Switching (MPLS): Bu protokolde de bir
protokolün TCP/IP içinde tünellenmesinin aksine TCP/IP ve diğer
protokollerin daha basit bir routing yöntemi uygulayan ve
dolayısıyla daha verimli olabilen bir başka protokol içinde
tünellenmesi örneğini görüyoruz.
SOFTWARE DEFINED NETWORKING
(SDN)
Programlanabilir Network Yönetimi
SDN altyapısında ağ cihazlarının daha basit olması ve büyük oranda
üretici bağımlılığından kurtulunması imkanı doğmaktadır. Çünkü
SDN yapısında ağ cihazları basit kararları uygulamakta, ancak
routing ve filtreleme gibi kurallarda merkezi bir sunucuya
danışmaktadır.
Bu sayede programlanabilir, açık standartlara uyumlu merkezi
yönetimin avantajları yaşanabilmektedir.
SDN altyapılarına henüz sık rastlamıyoruz, ancak bu konuya ilgi
büyüktür.
CONTENT DISTRIBUTION NETWORKS
(CDN)
İnternet üzerinden multimedya dağıtımı yaygınlaştığından bu yükü
dağıtmak için CDN altyapıları kurulmuştur. Bu altyapı sayesinde belli
bir servisi coğrafi konumunuza göre size en yakın yerde
konumlandırılmış sunucudan alabilmektesiniz.
Bu tür sunuculara Tivibu, Digiturk, Netflix tarzı internet üzerinden
yayın yapan multimedya sunucularını örnek verebiliriz.
Dünya üzerinde bu alanda hizmet veren firmalara ise CloudFlare,
Akamai, Amazon CloudFront, CacheFly ve Level 3 Communications
örnek verilebilir.
WIRELESS NETWORKS (802.11)
Kablosuz ağ protokol ailesi 802.11 protokol grubunda yer
almaktadır. Aşağıdaki protokol isimleri, hızları ve frekanslarını
ezberlemek zor olsa da bu bilgilere yakınlığınız olmasında fayda
vardır.
Kablosuz Ağ Modları
• Ad Hoc Mode: İki kablosuz ağ arayüzü arasında doğrudan kurulan
kablosuz ağ modudur.
• Infrastructure Mode: Bu modda bir erişim noktası (Access Point)
bulunmalıdır, kablosuz ağa bağlanan cihazlar doğrudan birbirleri
ile haberleşemezler ve erişim noktası üzerinde uygulanan
kontrollere tabidirler.
Infrastructure Mode Kablosuz Ağ Türleri
• Stand-alone mode: Bir kablolu ağ bağlantısı bulunmayan
bağımsız bir ağ.
• Wired extension mode: Kablolu ağa bağlanan bir kablosuz ağ.
• Enterprise extended mode: Birden fazla erişim noktası ile geniş
bir alanda aynı extended service set identifier (ESSID)’ı
kullanılarak oluşturulan kablosuz ağ. Böyle bir ağda mobil cihaz
kullanıcıları aynı ağda kalarak dolaşabilmektedir (roaming), ancak
cihazlarının ağ arayüzleri dolaşım sırasında farklı Access Point’ler
ile associate olmaktadır.
• Bridge mode: Bu modda erişim noktaları farklı alanlarda bulunan
(örneğin farklı katlarda) kablolu ağları birbirlerine bağlamaktadır.
Service Set Identifier (SSID) Türleri
• Kablosuz ağ bir Access Point kullanıyorsa (yani Infrastructure
Mode’da ise) kablosuz ağın adına ESSID (extended service set
identifier) denir.
• Ad-hoc ya da peer-to-peer mode’da ağın adı BSSID (basic service
set identifier) olarak anılır.
• Infastructure mode’da BSSID değeri Access Point’in MAC
adresidir, bu bilgi aynı ESSID’deki farklı Access Point’leri
ayrıştırmak için kullanılır.
SSID’nin Gizlenmesi (SSID Hiding / Closed SSID)
802.11 protokolünün Management Frame’lerinden “Beacon
Frame”ler (Türkçesi deniz feneri) bu paketleri gözlemleyen
istemcilerin kablosuz ağın varlığını farketmesine neden olur.
Bu nedenle hassas ağların SSID broadcast’i pasif hale getirmelerinde
fayda vardır.
Ancak ağa dahil olan cihazların kullandığı diğer management
frame’lerde de (ör: Authentication Frame, Association Request
Frame, v.d.) SSID bilgisi kullanıldığından bir sniffer aracıyla (örneğin
Kismet aracıyla) pasif olarak dinleme yapan bir kişi tarafından ağın
SSID bilgisi öğrenilebilir.
Bu yüzden SSID’nin gizlenmesi yeterli bir güvenlik yöntemi değildir.
Not: 802.11 Management Frame’leri Layer 2’de iletilen paketlerdir
ve spoof edilebilirler.
MAC Filtering
MAC filtering erişim noktası üzerinde bağlanabilecek client’ların
MAC adreslerinin kısıtlanması kontrolüdür.
Etkili bir güvenlik önlemi olduğu söylenemez, çünkü bir saldırgan
geçerli bir erişimi izleyebilir (erişim kriptolu bile olsa client MAC
adresi gözlenebilecektir) ve MAC spoofing ile erişim hakkı olan bir
MAC adresini kullanabilir.
Kablosuz Ağ Kanalları
Yerel mevzuata bağlı olarak farklı bölgelerde farklı sayıda kanal
kullanılabilmektedir:
• ABD: 11 kanal
• Avrupa: 13 kanal
• Japonya: 17 kanal
Aynı kanalda çok fazla ağ bulunması ağ performansını olumsuz
etkileyecektir.
Site Survey
Wireless site survey bina içinde ve etrafında aşağıdaki amaçlarla
periyodik olarak yapılması gereken bir denetim aktivitesidir:
• Kablosuz ağ sinyalinin eriştiği alanın tespiti
• Rogue Access Point’lerin mevcut olup olmadığı
Ayrıca erişim noktalarının ve yayın kanallarının konumlandırılması
için de site survey yapılabilir. Bu tür bir çalışmada bina şeması veya
harita üzerinde SSID’ler ve sinyal şiddetlerini kaydedici uygulamalar
mobil cihazlar üzerinde kullanılabilir.
Rogue Access Point Nedir?
Rogue AP kurum ağına bağlanmış onaylanmamış (unauthorized)
kablosuz erişim noktalarına verilen addır. Bu AP’ler iyi niyetli veya
kötü niyetli olabilir, ancak kurum bilgi güvenliği politikalarını geçersiz
kıldığı için son derece tehlikelidirler.
Anten Türleri
• Omnidirectional Antennas: Çoğu erişim noktasında bulunan
çubuk şeklindeki antenlerdir. Sinyal çubuğun etrafında simit
formunda dağılır.
• Directional Antennas: Sinyali belli bir yöne doğru yönlendiren
antenlerdir, bu nedenle belli bir yönde daha güçlü sinyal
üretebilir. Cep telefonu baz istasyonlarında bulunan antenler bu
tür antenlerdir.
IEEE 802.11 Encryption
• WEP (Wired Equivalent Privacy): 802.11 standardında tanımlanmış olan WEP
çıkar çıkmaz kırılmış bir authentication ve kriptolama yöntemidir ve bu
nedenle kullanılmamalıdır. WEP 60 sn’den kısa sürede kırılabilmektedir. RC4
kriptolama algoritmasının kullanıldığı WEP Initialization Vector (IV) seçimi ile
ilgili bir kriptolama yöntem zafiyeti nedeniyle güvensizdir. Yeterli sayıda WEP
paketi sniff edildiğinde WEP anahtarı %100 ihtimalle kırılabilmektedir,
herhangi bir dictionary attack yapmaya gerek yoktur. Paket toplama hızını
artırmak için de ARP paketlerinin uzunluğunun sabit olmasından faydalanılarak
ele geçirilen bir ARP paketi çok sayıda replay edilir ve paket üretim hızı artırılır.
• WPA (Wi-Fi Protected Access): WPA, WEP’in geçici olarak yerini almak üzere
geliştirilmiştir, ancak halen yaygın olarak kullanılmaktadır. WPA’de WEP’te
olduğu gibi tüm istemciler için aynı anahtar kullanılmaz, tam tersine her bir
cihaz için farklı anahtar setleri kullanılır. Ancak kullanıcı tanılama sırasında PSK
(Preshared Key) kullanılması halinde WPA’de tüm cihazlar ortak bir passphrase
kullanırlar. WPA, LEAP ve TKIP kriptosistemleri üzerine kurgulanmış olup bu
yöntemlerin kriptografik açıklıkları bulunduğu için WPA güvensiz
görülmektedir. Ayrıca 14 karakterden daha düşük passphrase kullanımı da
güvensiz görülmektedir.
IEEE 802.11 Encryption (devamı)
• TKIP (Temporal Key Integrity Protocol): TKIP WEP’in zayıflıkları
nedeniyle geliştirilen WPA protokolünde anahtar değiştirme ve replay
saldırılarına karşı kontroller içeren bir protokoldür. Ancak WPA TKIP’e
karşı coWPAtty, GPU-based cracking araçları geliştirilmiş ve bu protokol
güvensiz olarak kabul edilmiştir.
• LEAP (Lightweight Extensible Authentication Protocol): Cisco’nun WPA
yöntemi için TKIP’e alternatif olarak geliştirdiği proprietary protokolüdür.
Güvensiz bir protokoldür ve 2004 yılında protokolün zayıflığına yönelik
Asleap adlı bir saldırı aracı geliştirilmiştir.
• WPA2 (IEEE 802.11i): WPA ismi zaten kullanıldığı için aslında WPA ile çok
da yakın olmayan bu yeni yönteme WPA2 adı verilmiştir. WPA2 IEEE
802.11i standardında tanımlanmıştır. AES algoritmasının kullanıldığı
WPA2’nin güvenli olduğu kabul edilmektedir. Ancak PSK (Preshared Key)
kullanıldığı durumlarda hem WPA hem de WPA2 için handshake sırasında
görünür olan passphrase ele geçirilirse dictionary saldırısına tabi
tutulabilir. Bu yüzden kullanılan passphrase’in uzunluk ve karmaşıklığı
önemlidir.
IEEE 802.11 Encryption (devamı)
• 802.1X / EAP (Extensible Authentication Protocol): 802.1X
aslında kablosuz ağlara özel bir authentication yöntemi değil,
VPN bağlantılarında ve kablolu ağlarda da kullanılabilen bir
yöntemdir. 802.1X’te erişim noktası (daha jenerik adıyla Network
Access Server – NAS) kullanıcı tanılama yapmaz, erişim bilgilerini
kablolu ağda bağlı olduğu bir RADIUS / TACACS sunucusuna iletir
ver bu sunucudan gelen yanıta göre istemciyi ağa dahil eder veya
etmez. Dolayısıyla ortak kullanılan parolanın getirdiği zayıflıktan
bizi kurtarır. Hem WPA hem de WPA2 protokolleri 802.1X’i
destekler.
• PEAP (Protected Extensible Authetication Protocol): EAP’a TLS
tünelleme desteği getiren protokoldür. Normalde EAP kriptolu
değildir.
CAPTIVE PORTALLER
Kablosuz (veya Kablolu) Hotspot Ağlarda Kimlik Doğrulama
Kablosuz ağlarda sıklıkla rastladığımız Captive Portaller’de tıpkı
802.1X EAP authentication yönteminde olduğu gibi aslında kablosuz
ağlara özel değildir, kablolu ağlarda da aynı teknik uygulanabilir.
Network Access Server (kablosuz ağlarda bu Access Point olacaktır)
hotspot özelliğine sahipse daha önce doğrulanmamış bir istemci ağa
dahil olduğunda bu kullanıcının ilk HTTP bağlantı isteğinde
kullanıcıyı bir Captive Portal web sayfasına yönlendirir. Bu sayfada
authenticate olan bir kullanıcının MAC adresi için firewall’a bir
accept kuralı eklenerek internet erişimine izin verilir.
WARDRIVING / WARWALKING
Araçla, yürüyerek (Warwalking) ve hatta uçan bir araçla erişim
noktalarının tespit edilmesi, bu ağların authentication protokollerini
ve görüldükleri yerin koordinatları kaydetme işlemine verilen addır.
Bu işlemi yapan meraklılar topladıkları bilgileri belli web sitelerine
de yükleyerek tüm dünya ile paylaşabilmektedir.
WIRELESS DE-AUTHENTICATION ATTACK
WPA ve WPA2 protokollerinde PSK (Pre-Shared Key) kullanılması
halinde authentication sırasında PSK hash’i iletilmekte ve bir
saldırgan bu iletişimi dinliyorsa hash değerini ele geçirebilmekte ve
offline olarak parola hash’ine karşı dictionary (sözlük) saldırısı
gerçekleştirebilmektedir.
Ancak Layer 2’de kullanılan Management Frame’lerde herhangi bir
authentication yapılmadığından bir saldırgan Access Point’in
BSSID’sini (yani MAC adresini) spoof ederek ağa bağlı istemcileri de-
authenticate edebilir. Bu durumda istemci tekrar authenticate
olmak zorunda kalacaktır. Saldırgan yeni bir istemcinin ağa
bağlanmasını beklemek yerine proaktif olarak yeni bir
authentication’ı bu şekilde tetikleyebilir.
AĞ BÖLÜMLERİ KAVRAMLARI
Genel Ağ Bölümleri
• İnternet: Tüm dünyanın erişimi olan sistemler ve ağ cihazlarından
oluşur.
• Intranet: Sadece iç ağa konumlanmış cihazlarla erişilebilen kurum
iç ağ sunucu ve cihazlarıdır. Ağ bölümleme (network
segmentation) konusuna ayrıca değineceğiz.
• Extranet: Kurum ağında bulunan ancak internet kullanıcıları veya
kurum dışında bulunan belli ağlardan (iş ortakları, tedarikçiler,
kamu kurumları, v.b.) erişilebilen ağ bölümleridir. Bunlardan en
tipik olanı internete açık olan servisleri barındıran sunucuların
konumlandırıldığı DMZ (Demilitarized Zone) alanıdır.
Ağ Bölümleme (Network Segmentation)
Öncelikle güvenlik amacıyla yapılan iç ağ bölümlemesinin getirdiği
faydalar aşağıdaki gibidir:
• Güvenlik ihtiyaçları ve sınıflandırmaları benzer olan sunucuların
gruplanması vasıtasıyla ağ güvenliğinin artırılması
• Hatlar üzerindeki trafiğin azaltılması suretiyle ağ performansının
artırılması, hata ihtimalinin azaltılması ve hatanın hızlı tespitini
kolaylaştırması
Ağ bölümlemesi iç ağda konumlandırılacak firewall cihazları ile
yapılabileceği gibi switch tabanlı bir çözüm olan VLAN (Virtual LAN)
teknolojisi ile de gerçekleştirilebilir.
Ağ Bölümleme (Network Segmentation) (devamı)
VLAN Nedir: VLAN teknolojisi aynı switch üzerinde olsa bile
collusion domain’leri bölerek hem erişim kontrolünü artırma hem
de ağ performansını artırmaya yardımcı olan bir teknolojidir. Ağ
paketleri VLAN tag’i adı verilen başlık alanları ile işaretlenir ve
switch’ler bu etiketlere göre erişim kurallarını uygularlar. VLAN ile
ilgili standart IEEE 802.1Q’dur.
VLAN’lar arasındaki iletişim bir router üzerinden sağlanır ve erişim
kontrol listeleri (ACL) ile filtrelenebilir. Bu filtreleme bir external
router ile de yapılabilir Switch üzerinde de (bu tür switchlere multi-
layer ya da 3rd layer switch denir) yapılabilir.
Ağ Bölümleme (Network Segmentation) (devamı)
Trunking Nedir: Eğer aynı VLAN içinde bulunan cihazlar farklı
switchlere bağlı ise switchler arasındaki trunk bağlantıları sayesinde
bu sunucular sanki aynı cihaza bağlıymış gibi haberleşebilirler.
VLAN Hopping Saldırısı Nedir: Diğer VLAN’lara erişmek için yapılan
saldırılara verilen addır.
SCADA GÜVENLİĞİNDE AĞ
BÖLÜMLEMENİN ÖNEMİ
Supervisory Control and Data Acquisition (SCADA) sistemleri
bilgisayar networklerindeki cihazlar gibi çok sayıda istemciye yanıt
vermek üzere tasarlanmamışlardır. Bu yüzden cihazların sağladığı
güvenlik konfigürasyonlarını yapmanın yanı sıra en kritik kontrol
SCADA ağlarının bilgisayar ağlarından ayrıştırılmasıdır.
NETWORK ACCESS CONTROL (NAC)
Network access control son derece önemli önleyici bir ağ erişim
kontrolüdür. Ağa dahil olacak cihazların güvenilirliğini güvence altına
almaya çalışan bu teknoloji çeşitli seviyelerde uygulanabilir:
• Ethernet MAC adresi seviyesinde: Her bir switch portu üzerinde
yapılacak ayarlar ve DHCP server ayarları ile bağlanan cihazı ağa
alma veya almama, alınırsa da kısıtlı bir alan alma gibi kurallar
uygulanabilir. Tahmin edilebileceği gibi MAC spoofing yöntemi ile
bu kontrol rahatlıkla atlatılabilir.
• İşletim sistemi seviyesinde: 802.1x EAP protokolü ile
authentication kontrolünü uyguladıktan sonra bağlanan bilgisayar
üzerindeki bir agent uygulama sayesinde bilgisayarın işletim
sistemi yamaları, anti-malware çözümü güncellemeleri kontrol
edilerek eksikliklerin giderilmesi amacıyla bir karantina ağ
bölümüne alınması, güncellemeler tamamlandıktan sonra güvenli
ağa dahil edilmesi gibi kontroller uygulanabilir.
FIREWALL’LAR
Firewall Türleri
Firewall’lar (normalde) 3. katmanda çalışırlar ve IP ve port bazında
kısıtlama yapabilirler. Ancak güncel ürünlerde 7. katman inceleme ve
IPS özellikleri de firewall cihazlarında görülmektedir.
• Static Packet-Filtering Firewall (1st Gen. FW): İlk jenerasyon
firewall’lardır, her bir paketi diğer paketlerden bağımsız inceler ve
karar verir. Örneğin içeriden bir sunucunun dışarıya doğru başlattığı
bir oturuma gelen yanıt olup olmadığını bilemeyeceği için içeriye
doğru gelen ve ACK flag’i işaretli tüm paketleri kabul etmek zorunda
kalabilir, aksi takdirde iletişim gerçekleşemeyecektir. Böyle bir
konfigürasyon da ACK scan adı verilen port tarama imkanını
sağlayabilir. Router cihazları üzerinde uygulanan ACL’ler ile bu basit
firewall özelliği sağlanabilir.
• Stateful Inspection Firewall (3rd Gen. FW): Static Packet Filtering
Firewall’un durum farkındalığı eksikliği giderilmiş halidir. Oturum
hakkında tuttuğu bilgiler sayesinde sadece geçerli oturumlarla ilgili
paketlerin geçişine izin verebilir. Modern firewall’lar bu tiptedir.
FIREWALL’LAR
Firewall Türleri (devamı)
• Application-Level Gateway Firewall (2nd Gen. FW): Bu
firewall’lar proxy gibi çalışır, yani gelen paketi uygulama
katmanında alır, kopyalar, kaynak IP adresini değiştirerek diğer
tarafa iletir. Her bir servisin kendine ait bir proxy’si bulunmak
zorundadır, yani çok sayıda proxy servisi barındıran bir sistemden
söz ediyoruz. Layer 7’de çalışan bir firewall türüdür.
• Circuit-Level Gateway Firewall (2nd Gen. FW): SOCKS çok
bilinen bir circuit level gateway firewall’dur. Layer 5 (session)’te
çalışır. Pratikte kullanımı yüksek değildir.
PACKET FILTERING FIREWALL’LARIN
PROBLEMLERİNE ÖRNEK
FTP Protokolünün Sıradışı Davranışı
FTP protokolü authentication ve diğer komutlar için TCP 21 portunu
kullanır. Ancak veri iletimi için Active ve Passive mode olmak üzere 2
farklı yöntemi destekler. Her iki durumda da firewall’un FTP
bağlantısının state’leri hakkında bir fikri yoksa ek kurallarla erişim
sağlanması gerekir.
• Active FTP: İstemci TCP 1023’ten büyük bir N portundan
sunucunun TCP 21 portuna bağlanır, authentication sonrasında
PORT N+1 komutuyla bağlandığı portun bir üst portundan
dinlemeye başlar. Sunucu TCP 20 portundan istemcinin TCP N+1
portuna bağlanır ve veri transferi gerçekleşir.
• Passive FTP: Bu bağlantıda istemci PORT komutu yerine PASV
komutu gönderir. Sunucu bu komuta karşılık olarak açtığı bir
Port’un numarasını istemciye gönderir. Daha sonra istemci bu
porta bağlanarak veri iletimi gerçekleştirilir.
Active FTP
Client'ın packet filtering firewall’unda ayrıca sunucudan (FTP sunucu

IP adresi belirli değilse tüm internet IP'lerinden) içeriye doğru kaynak
port TCP 20 portundan gelen trafiğe erişim verilmelidir. Ancak
stateful firewall’da oturumları takip ettiğinden böyle bir kurala
ihtiyaç yoktur.
Passive FTP
Passive FTP modu packet filtering firewall'un state takip edememe

problemini azaltabilmek için geliştirilmiştir. Bu durumda client dışarı
yönlü bir erişim yaptığı için güvenlik riski daha düşüktür.
FIREWALL KURULUM MİMARİLERİ
Single Tier
İnternet ve intranet arasında bir firewall vardır. En düşük güvenlik
seviyeli mimaridir çünkü internete açık servislere erişen bir internet
kullanıcısı bu servis üzerindeki bir açıklığı kullandığında iç ağa
doğrudan erişebilecektir.
Two-Tier
İnternete açık servisler için ayrı bir bölüm bulunur (DMZ), bu bölüm
iç ağ ile ayrıştırılmıştır. Aşağıda bu mimarinin tek firewall ve 2
firewall kullanılarak uygulanmış örneklerini görebilirsiniz.
Three-Tier
Bu yapıda intranet ve DMZ arasında bir başka tampon alan daha
bulunmaktadır. Doğal olarak bu tampon alandan iç ağa erişim
kuralları daha da sıkılaştırılmış olacaktır.
FIREWALL’LARDA EGRESS (DIŞARI
YÖNLÜ) FILTERING
Firewall’larda genellikle içeri yönlü trafik (ingress) filtrelemeye
odaklanılır. Ancak kurum ağında bulunabilecek zombi
bilgisayarlardan veya olası saldırganlardan internete doğru
yapılabilecek saldırılardan da biz sorumlu olacağımız için egress
filtering’de önemli bir ihtiyaçtır. Egress filtering kuralları
belirlenirken şu konular dikkate alınabilir:
• Kaynak adresi kurum IP adreslerinin dışındaki bir adres olan
paketler
• Broadcast adreslere yönelik paketler
• HTTP – HTTPS trafiği (web trafiğinin bir proxy üzerinden
sağlanması zararlı yazılım aktivitesini de zorlaştıracaktır)
• ve tabi gereksiz trafik
INTRUSION DETECTION SYSTEM (IDS) /
INTRUSION PREVENTION SYSTEM (IPS)
Intrusion Detection System’leri konumlandıkları yer açısından 2
tür’den oluşmaktadır:
• Network Based IDS (NIDS): Ağ geçitlerinde gözlemlediği ağ
paketlerini inceleyerek saldırı tespiti yapmaya çalışır.
• Host Based IDS (HIDS): Belli bir sunucu üzerindeki olaylar ve bu
sunucuya doğru ve sunucudan dışarıya doğru trafiği inceleyerek
saldırı tespiti yapmaya çalışır. Sunucu üzerinde çalıştığından
sunucu üzerindeki sistem dosyalarının bütünlüğünü izleyebilir ve
anti-malware fonksiyonalitesine de sahip olabilir.
Kurallar açısından 2 tür’den oluşmaktadır:
• Knowledge / Rule / Signature Based Detection: Trafikte neyin
şüpheli olduğuna dair kurallar sisteme tanımlanmış olmalıdır.
• Behavior / Anomaly / Statistical / Heuristics Based Detection:
Ağ için belirlenmiş veya öğrenilmiş normal trafiğin dışında bir
aktivite olduğunda tespit eder.
• IDS / IPS Arasındaki Fark: IDS sadece bir alarm / log kaydı
üretirken IPS tehlikeli trafiğin kesilmesine yönelik aksiyon alır
veya aksiyon alınmasını tetikler. Firewall cihazı ile IPS’in aynı cihaz
olması halinde kuralın uygulanması daha kolay olacaktır, ancak
IPS çözümü firewall üzerinde dinamik olarak kural da
tanımlayabilir.
• IDS / IPS ve Encryption: IDS, IPS, Anti-Malware, DLP v.d. güvenlik
ürünlerinin ağ trafiği üzerinde herhangi bir inceleme
yapabilmeleri için trafiği açık olarak görmeleri gerekir. Dolayısıyla
kriptolu protokoller üzerinden yapılan iletişimde bu kontroller
etkisiz kalacaktır.
ENDPOINT SECURITY
Hem katmanlı güvenlik anlayışının gereği hem de kurum bilgisayar
ve cihazlarının kurum dışında da kullanılma ihtiyacının artması
nedeniyle uç nokta olarak adlandırılan kullanıcı bilgisayarları da
güvenlik araçları ile donatılmalıdır. Bunlara örnekler:
• Anti-malware çözümleri
• Disk encryption
• Host based firewall
• DLP agent çözümleri
• Endpoint policy enforcer agent çözümleri (örneğin kuruma ait
olmayan kablosuz ağlara bağlanmaya izin vermeme)
FİZİKSEL NETWORK TOPOLOJİLERİ
Ring Topoloji
Ring topolojide tüm bilgisayarlar aşağıdaki gibi birbirine bağlıdır.
Ağda mesajlar tek bir yönde akar. Ağda sürekli iletilen token’ı elinde
tutan bilgisayar ağa sinyal gönderebilir, işi bittikten sonra token’ın
tekrar dönmesine izin verir.
Bus Topoloji
İletim için ortak bir ortam kullanılır ve iletilen her paketi tüm
bilgisayarlar görür. Tüm bilgisayarlar aynı collision domain’de yer
alır. Bu tür bir ortamda çarpışmaları farkeden ve bunu ele alan bir
Layer 2 protokole ihtiyaç vardır (ör: Ethernet).
Star Topoloji
Tüm bilgisayarlar merkezi bir ağ cihazına bağlanır. Ancak bu cihazın
hub veya switch olması mantıksal topoloji açısından çok farklıdır.
Hub bir portuna gelen bir paketi tüm portlarına gönderdiğinden
aslında mantıksal topoloji bus topolojidir. Switch ise gelen paketi
sadece hedef cihazın bağlı olduğu portuna ileteceğinden mantıksal
olarak da star topolojiyi uygular.
Mesh Topoloji
Cihazlar birbirlerine doğrudan bağlıdır. Tam bir mesh topolojisini
uygulama çok pahalıdır, o yüzden kısmi mesh topolojileri tercih
edilir. Sürekliliğin çok önemli olduğu ağ bölümlerinde, örneğin
omurga switch’lerde, storage bağlantılarında gözlenir.
LOCAL AREA NETWORK (LAN) VE WIDE
AREA NETWORK (WAN) KAVRAMLARI
LAN ve WAN arasındaki fark ağın coğrafi dağılımıdır. LAN aynı lokasyondaki
cihazları birbirine bağlayan bir ağ türü iken WAN farklı iller / ülkelerdeki ağları
birbirine bağlayan ağ yapısıdır.
Bu iki ağ türü arasında kullanılan protokoller farklılık göstermektedir.
• LAN Protokolleri: Önde gelen LAN protokolleri Ethernet, Token Ring ve
FDDI’dır.
• WAN Protokolleri: Burada iki farklı kategoriden bahsedilebilir:
• Private Circuit Teknolojileri: Dedicated ya da leased line (LL) bağlantılar,
PPP, SLIP, ISDN, DSL gibi protokoller
• Packet Switching Teknolojileri: X.25, Frame Relay, Asynchronous Transfer
Mode (ATM), SDLC, HDLC gibi protokoller
Her iki ağ yapısında da Layer 2 protokollerden söz ediyoruz. Ancak layer 2
protokollerin genellikle fiziksel katman da kullanılan ortamla ve topoloji ile de ilgili
olduğunu unutmayınız.
AUTONOMOUS SYSTEM NUMBER [ASN]
Autonomous System (AS) bir idari yapı altında işletilen, internete
erişimde ortak ve net bir routing politikasına sahip, IP routing
prefix’leri topluluğudur.
LAN TEKNOLOJİLERİ
• Ethernet (IEEE 802.3): Ethernet paylaşılan fiziksel ortamlar için
geliştirilmiştir, bu yüzden Bus ve Star fiziksel topolojilerini
destekler. İki yönlü (yani full-dublex) iletişimi destekler.
• Token Ring: Mantıksal bir token sırayla bilgisayarları dolaşır.
Token ring Ring ve Star fiziksel topolojilerinde çalışabilir. Token
ring teknolojisi günümüzde pek kullanılmamaktadır.
• Fiber Distributed Data Interface (FDDI): Fast Ethernet ve Gigabit
Ethernet altyapıları yokken kampüs alanlarında hızlı LAN
teknolojisi olarak kullanılmıştır. Trafiğin ters yönlerde aktığı 2 ring
ile uygulanmıştır, böylece yedeklilik imkanı da sağlamıştır.
LAN MEDIA ERİŞİM YÖNTEMLERİ
• Carrier Sense Multiple Access (CSMA): Cihaz ağda bir sinyal yoksa
sinyali gönderir ve alındığına dair acknowledgement bekler. Gelmezse
tekrar gönderir. Collision riskini azaltmayı hedeflemez.
• Carrier Sense Multiple Access with Collision Avoidance (CSMA-CA):
AppleTalk ve 802.11 Wireless ağlarda kullanılır. Bilgisayarın ağa iki
bağlantısı vardır, birisi gelen paketler için diğeri ise giden paketler için.
Eğer gelen iletişim yoksa bilgisayar veri iletmek için izin ister. İzin gelince
veriyi gönderir ve teyit bekler. Teyit gelmezse tekrar başa döner ve
iletim için izin ister.
• Carrier Sense Multiple Access with Collision Detection (CSMA-CD):
Ethernet kullanır. Ağı dinler ve kullanılmıyorsa veriyi iletir. İletim
sırasında çarpışma olup olmayacağını izler, eğer collision olmuşsa Jam
Sinyal’i gönderir. Jam Sinyal’i geldiğinde tüm bilgisayarlar iletişimi keser.
Her bilgisayar random bir süre boyunca bekledikten sonra ilk adımdan
başlayarak veri göndermeye başlar.
LAN MEDIA ERİŞİM YÖNTEMLERİ
• Token Passing: FDDI gibi token ring teknolojilerinde kullanılır.
Token’a sahip olan sistem ağı kullanır, işi bitince de token’ı
dolaşmak üzere serbest bırakır.
• Polling: Synchronous Data Link Control (SDLC) protokolü kullanır.
Master slave yapısında çalışır, bir master sıraya slave’lere ağı
kullanma ihtiyacı olup olmadığını sorar. İhtiyacı varsa ağı
kullanma yetkisini ikincil bilgisayara verir diğerleri bekler.
KABLO TÜRLERİ
• Coaxial Cable: 1970-1980’lerde veri ağlarında çok kullanılmış,
ancak 1990’larda twisted pair kabloların çıkışıyla popülaritesini
kaybetmiştir. Ancak bugün halen televizyon ve görüntü ileten
altyapılarda kullanılmaktadır. Dış yüzeydeki shield manyetik
interference’ı azaltmak için kullanılmıştır.
KABLO TÜRLERİ
• Twisted-Pair Cable: Birbiri etrafına sarılmış 4 çift bakır kablodan
oluşur, shielded (STP) ve unshielded (UTP) olmak üzere ikiye
ayrılır. Birbiri etrafına sarılmış olan kablolar crosstalk ve
interference’ı azaltmak için sarılmıştır. Maliyet ve kullanışlılık
olarak daha iyi olan twisted pair kabloların etkili olduğu mesafe
daha kısa olmakla birlikte switch kullanımının artması ve
hiyerarşik ağ kablolama yaklaşımı nedeniyle bu dezavantaj
önemini yitirmiştir.
KABLO TÜRLERİ
UTP Kategorileri ve Hızları
KABLO TÜRLERİ
• Fiber Optic Cable: İletken kabloların dezavantajları olan
interference ve hızlı sinyal kaybı zayıflıklarını barındırmaz, ancak
maliyet ve kullanım zorluğu dolayısıyla performansın önemli
olduğu bölümlerde kullanılırlar. İletken kablolara göre bir başka
avantajları da manyetik alan oluşturmadıklarından dinleme
riskinin bakır kablolara göre daha düşük olmasıdır (elbette kablo
kesilerek bir dirsek yapılırsa veya bir layer 1 cihaz ile kopyalama
yapılırsa dinleme yapılabilecektir, buradaki kasıt kabloya fiziksel
müdahalede bulunmadan manyetik alan sayesinde dinleme
yapılabilmesidir)
KABLOSUZ AĞLAR FİZİKSEL İLETİŞİM
PROTOKOLLERİ
Kablosuz iletişimde kanallar farklı frekansların kullanımı ile
oluşturulur. Ticari frekans kullanımları yasalarla kısıtlandığı için
üreticiler bu frekansları verimli kullanacak protokoller geliştirmek
durumunda kalmıştır.
• Spread Spectrum: Spread spectrum iletilecek verinin parçalanarak
aynı anda birden fazla frekanstan verinin iletilmesi yöntemidir. Bu
bir paralel iletişim protokolüdür.
• Frequency Hopping Spread Spectrum (FHSS): Bu protokolde tüm
spektrum kullanılmakta ancak paralel olarak değil belli bir
zamanda belli bir frekans kullanılarak yapılmakta, kullanılan
frekans da sürekli değiştirilmekte ve seri iletim kullanılmaktadır.
Amaç interference ihtimalini azaltmaktır (unutmayın burada
fiziksel katmandan bahsediyoruz, mantıksal katman paket
kayıplarını ele alacaktır).
KABLOSUZ AĞLAR FİZİKSEL İLETİŞİM
PROTOKOLLERİ
• Direct Sequence Spread Spectrum (DSSS): Bu protokol tüm
frekansları paralel olarak kullanmakta, ayrıca chipping code adlı
özel bir encoding kullanarak iletişimin bir bölümü interference
dolayısıyla kayba uğrasa da iletişimin sağlanmasını güvence altına
almaktadır. Bu yöntem RAID-5’teki parity verisinin kullanımına
benzer.
• Orthogonal Frequency-Division Multiplexing (OFDM): Kullandığı
fiziksel yöntemleri açıklamak karmaşıktır, ancak daha dar bir
frekans aralığında daha yüksek throughput sağlar.
BLUETOOTH (802.15) RİSKLERİ
• Cihaz ilişkilendirmesi (pairing) için 4 adet rakam kullanılması:
Pairing için 4 rakamın kırılması olasıdır. Ayrıca pek çok cihaz
öntanımlı olarak “0000” PIN değerini kullanır.
• Bluejacking: Cihazınıza bluetooth bağlantısı üzerinden SMS
benzeri mesajlar iletilmesidir.
• Bluesnarfing: Cihazınıza isteğiniz dışında bağlantı kurulması ve
kontaklarınız, verileriniz, mesajlaşmalarınız gibi verilere erişim
sağlanması saldırısıdır.
• Bluebugging: Bluetooth cihazınızın özellik ve fonksiyonlarına
uzaktan hakim olma saldırısıdır.
BLUETOOTH KONTROLLERİ
• Hassas işlemler için bluetooth’un kullanımından sakınılmalıdır.
• Bluetooth cihazlar discovery mode’da bırakılmamalıdır.
• Öntanımlı PIN numarası değiştirilmelidir.
• Gerekli olmadığında bluetooth arayüzü kapatılmalıdır.
BLUETOOTH TARAMALARI
Pek talep edilmese de bluetooth cihazlar için de tarama yapılabilir.
• Bluetooth Active Scan: Aktif taramada cihazların pin güçleri ve
security mode’ları (authenticated pairing, encryption desteği
v.b.) değerlendirilebilir.
• Bluetooth Passive Scan: Bluetooth cihazların yüksek oranda
tespiti için yüksek sayıda ziyaret gerekebilir çünkü pasif taramada
sadece aktif cihazlar farkedilebilir. Ayrıca bluetooth’un menzilinin
kısa olması da cihaz tespitini zorlaştıracaktır.
ÇEŞİTLİ AĞ TERİMLERİ
• Baseband ve Broadband: Baseband teknolojileri bir fiziksel ortam
üzerinden aynı anda tek bir iletişime izin verir. Broadband
teknolojileri ise aynı anda birden fazla iletişime imkan verir.
• Unicast: Belli bir alıcıya doğru trafiğin iletilmesidir.
• Broadcast: Trafiğin tüm alıcılara iletilmesidir.
• Multicast: Unicast’in ekonomik olmadığı, broadcast ile tüm ağın
kaynaklarının tüketilmesinin de anlamlı olmadığı durumlarda
kullanılır. Örneğin video yayınında aynı veri birden fazla alıcıya, ancak
sadece izlemek isteyenlere iletilebilir.
• Analog ve Dijital: Analog iletişimde 0-1 arasında sonsuz değer
iletilebilir, dijital iletişimde veya veri saklamada 0 ya da 1 değerleri
kullanılabilir. Analog veri iletimi veya saklama için kullanılabilir ancak
dosya iletimi veri yapısından dolayı dijital olarak yorumlanmak
durumundadır.
TEMEL NETWORK AUTHENTICATION
PROTOKOLLERİ
• Challenge Handshake Authentication Protocol (CHAP): Bağlantı sağlandıktan
sonra sunucu / erişim kontrol cihazı istemci cihaza random bir challenge
gönderir. İstemci bu değere “ID” ve “Secret” bilgilerini ekleyerek MD5 hash
değerini hesaplar ve bu değeri sunucuya gönderir. Bu şekilde parola bilgisi
açıkta iletilmediği gibi replay saldırılarına karşı da güvence sağlanmış olur.
• Password Authentication Protocol (PAP): PAP’ta kullanıcı kodu ve parolası
açıkta iletilir. Bazı uygulamalarda parola hem istemci cihaz hem de sunucu
tarafından bilinen bir “secret” ile kriptolabilir, ancak bu işlem replay
saldırılarına karşı bir koruma sağlamayacaktır.
• Extensible Authentication Protocol (EAP): EAP tek başına bir protokol
olmaktan ziyade bir framework’tür ve Smart Card, token ve biyometrik
tanılama gibi özel çözümleri destekler.
Bu authentication protokolleri ilk olarak dial-up PPP bağlantıları için
geliştirilmiştir, ancak günümüzde RADIUS v.d. pek çok kullanıcı tanılama
altyapısında kullanılmaktadır
CENTRALIZED REMOTE AUTHENTICATION
SERVICES
AAA (Authentication, Authorization, Accounting) Servers
• Authentication: Windows Domain yapısını geliştirmeden önce dahi ağlarda
merkezi kullanıcı doğrulama ihtiyacı bulunmaktaydı. Örneğin PSTN ağı
üzerinden Dial-In modem kullanarak bir ağa dahil olan kullanıcıların
doğrulanması için bir Authentication server ihtiyacı vardı. Ağ üzerindeki
sayısız ağ cihazına tek tek kullanıcı tanımlamak yerine merkezi bir
authentication server oldukça kullanışlıydı.
• Accounting: Ayrıca yine ağ erişimlerinde kritik olan bir ihtiyaç ağ
kaynaklarının kullanımlarının takip edilmesi ve kullanıcıların kullandıkları
kaynaklar nispetinde faturalandırılması veya belli limitler aşıldığında ağ
kulanımlarının kısıtlanması ihtiyacı bulunmaktaydı. Bu işlem kullanıcının ağa
erişmek için kullandığı Network Access Server (NAS) tarafından belli
periyotlarda AAA sunucusuna gönderdiği accounting verileri ile
sağlanmaktadır. Ayrıca ağ cihazları üzerinde yapılacak AAA Accounting ayarları
ile cihazlar üzerinde işletilen komutlar da AAA sunucu üzerinde
toplanabilmektedir.
SERVICES
AAA (Authentication, Authorization, Accounting) Servers (devamı)
• Authorization: Kullanıcılar bir ağ cihazı üzerinden (Network
Access Server – NAS) ağa erişmek için authenticate olduklarında
veya ağ kullanımı sonucunda belirli limitleri aştıklarında AAA
sunucusunun NAS’a göndereceği attribute’ler ve bu
attribute’lerin değerleri ile sınırlandırılırlar (ör: bant genişliğinin
kısıtlanması, oturum süre sınırı kısıtı gibi)
SERVICES
RADIUS (Remote Authentication Dial-in User Service)
• Bir Network Access Server (NAS), örneğin bir Access Point veya VPN
cihazı, CHAP, PAP ve EAP protokollerinden herhangi birisini kullanarak
kullanıcıyı RADIUS sunucudan doğrulayabilir.
• Radius sunucusu bu doğrulama talebinin sonunda ACCESS-REJECT
yanıtı gönderirse NAS kullanıcıyı ağa dahil etmez, ACCESS-ACCEPT
yanıtı gönderirse ağa dahil eder.
• RADIUS bir AAA sunucusudur, yani Authenticate, Authorize,
Accounting. Authentication hizmetinin yanı sıra Accounting hizmeti
de vererek ağ kullanım miktarını ve hızını kısıtlayabilir. NAS cihazı
sürekli trafik kullanım verisini RADIUS Accounting servis portuna
gönderir, eğer belli bir noktada kullanım kotası aşılmışsa RADIUS
sunucusu NAS cihazına gönderdiği bir yanıtla NAS cihazına (örneğin
bir ADSL modem’e) trafik hızını kısıtlama politikasını uygulatabilir.
SERVICES
RADIUS (Remote Authentication Dial-in User Service) (devamı)
• Öntanımlı RADIUS Authentication portu UDP-1812, Accounting
portu UDP-1813’tür.
• Ağ erişimlerinde statik parola yerine OTP kullanıldığı durumlarda
RADIUS veya farklı bir merkezi kullanıcı doğrulama çözümü
kullanılmak durumundadır.
SERVICES
Diğer AAA Sunucuları
• TACACS+ (Terminal Access Controller Access-Control System
Plus): İşlev olarak RADIUS’un benzer işlevlerine sahip farklı bir
AAA sunucusudur. TACACS+ TCP-49 portunu kullanır.
• Diameter: RADIUS’a göre daha fazla protokol desteği bulunan bu
çözüm daha çok mobil cihazların roaming kullanım durumlarında
(yani coğrafi dolaşımda bulunan ve farklı erişim noktalarına
bağlanma ihtiyacı olan durumlarda) tercih edilmektedir.
VOICE OVER IP (VOIP)
• VOIP sinyalleşme ve veri taşıma protokollerinden oluştur. En
yaygın kullanılan sinyalleşme protokolü Session Initiation
Protocol (SIP)’tir.
• H.323 ilk VOIP protokollerinden birisidir, ancak SIP’in
yaygınlaşması ile genellikle uzun mesafe networklerinde
kullanılmaktadır.
• Ses verisinin taşınması için ayrıca Real-time Transport Protocol
(RTP) gibi protokollere ve Codec’lere ihtiyaç vardır. Bu protokoller
içerik verisini sıkıştırarak iletişim performansını da artırmaktadır.
• İletişim verisinin gizliliği için SRTP gibi güvenli protokollerin
kullanılması önerilmektedir.
• IP Telephony PBX santrallerinin sağladığı konferans görüşme,
beklemeye alma v.b. servislere verilen addır.
VOIP Riskleri
VOIP ses iletişiminin IP paketleri içine encapsulate edilmesi ile
gerçekleştirilmesidir. Dolayısıyla TCP/IP ağlarının risklerini de taşımaktadır.
VOIP risklerinden bazıları aşağıdaki gibidir:
• Spoofing: Caller ID bilgisinin spoof edilmesi ile (bu risk PSTN ağları için
de geçerlidir) vishing (Voice Phishing) saldırıları gerçekleştirilebilir.
• MITM: Saldırganlar görüşmelerin arasına girebilir (MITM) ve dinleyebilir.
• Sniffing: VoIP trafiği kriptolu değilse iletişim dinlenebilir.
• Exploit ve DOS: Call Manager sistemleri ve VoIP telefonlarının kendileri
bellek taşma v.b. saldırıları ile DoS saldırılarına maruz kalabilir.
• SPIT: SPIT (Spam Over Internet Telephony), yani VoIP üzerinden önceden
kaydedilmiş ses kayıtları ile yapılan istenmeyen aramalardır ve giderek
yaygınlaşması beklenmektedir.
VOIP Güvenlik Kontrolleri
• Ayrıştırma: VOIP sistemleri TCP/IP ağlarına yönelik risklerden
mümkün olduğunca korunabilmek için data network’lerinden ayrı
bir network’te bulundurulmalıdır.
• Kriptolama: Dinleme riskine karşı VOIP iletişimi kriptolu
protokoller kullanılarak yapılmalıdır.
PSTN FRAUD
Phreakers
PSTN ağlarını kötüye kullanan saldırganlara verilen isimdir. Bu aktivitelere kişisel
sesli posta kutularına yetkisiz erişimler, mesajların, gelen ve giden çağrıların
yönlendirilmesi, başkalarına ait hatlar ve santraller üzerinden görüşme yapma
verilebilir.
Önlemler – PSTN ağlarından gelebilecek saldırılara karşı alınabilecek önlemlerden
bazıları şunlardır:
• PBX aktiviteleri loglanmalı ve izlenmelidir
• Maintenance modemler (uzaktan bakım için kullanılan modemler) gerekmiyorsa
kaldırılmalı, gerekli ise erişim kontrolleri uygulanmalıdır.
• Remote calling özelliği kapatılmalıdır (bu özelliğin kötüye kullanımı uzaktan PBX
santralinin aranması ve bu bağlantı üzerinden bir başka numaranın aranarak
arama maliyetinin hedef kuruma yüklenmesi ile sonuçlanabilir)
• PBX fraud riskini azaltmak için DISA (Direct Inward System Access) teknolojisi
kullanılmalıdır. Ancak DISA üzerinden erişimlerde kullanılan access code’ları basit
olursa fraud ihtimali yine yüksek olacaktır.
PSTN FRAUD
Blue Box
Phreaker’lar telefon networklerini kötüye kullanmak için çeşitli
cihazlar geliştirmişlerdir. Bunlardan en ünlüsü blue box’tır. Diğer
cihazlara da yine renk isimleri verilmiştir. Bu cihaz phreaker’lar
tarafından telefon operatör networkünde kullanılan ses tonlarını
üreterek ücretsiz uzak mesafe görüşmeleri yapmak için kullanılırdı.
WARDIALING
PSTN hatlar üzerinden Dial-in modemleri bulabilmek için bir kuruma
ait telefon numara aralığının wardialing yazılımı ve bir modem
vasıtasıyla taranmasıdır.
Bundan sonraki aşamada arkasında bir modem olduğu tahmin
edilen telefon numaralarına bir terminal uygulamasıyla (ör:
hyperterm) bağlanılarak hedef sistemin niteliği incelenir.
Denenebilecek ilk yöntem hedefteki sistemin öntanımlı parolalarının
geçerli olup olmadığıdır.
MULTIMEDIA COLLABORATION ARAÇLARI VE
RİSKLERİ
• Remote Meeting / Video Conferencing
• Instant Messaging / Chat
• Corporate E-mail
• VoIP
Tüm bu araçlarda hassas iş kararları v.b. bilgilerin alış verişi yer
alabileceğinden kriptografik kontroller, erişim kontrolleri, loglama ve
izleme, kaydı tutulması gereken bazı işlemler için yedekleme
kontrolleri değerlendirilmeli ve uygulanmalıdır.
E-MAIL SECURITY
E-Mail Sunucu Mimarisi
• Relay Sunucular (SMTP): Bir e-posta hesabına mesaj atıldığında
mesajın e-posta hesabının bağlı bulunduğu relay sunucusuna
(DNS kayıt tipine göre MX sunucusu) SMTP (veya SMTP over TLS)
protokolü ile iletilmesi gerekir. Mesajı gönderen istemci hedef
SMTP sunucusuyla bu bağlantıyı doğrudan kendisi kurabileceği
gibi kendi hesabının ilişkili olduğu bir SMTP relay sunucusu
üzerinden de mesaj iletimini gerçekleştirebilir. Ülkemizde DSL
bağlantılar üzerinden doğrudan hedef bir SMTP sunucusuna
mesaj gönderilmesini engelleyebilmek için TCP-25 portu
kapalıdır. Windows ortamlarında en çok kullanılan SMTP server
MS Exchange (bu sunucunun farklı bileşen türleri de vardır),
Linux ortamında ise Sendmail’dir.
E-MAIL SECURITY
E-Mail Sunucu Mimarisi (devamı)
• Posta Kutusu Sunucuları (IMAP, POP3): E-posta kullanıcılarının
kendilerine gelen mesajları görebilmeleri veya kendi
bilgisayarlarına çekebilmeleri için gelen e-posta mesajlarının bir
e-posta sunucusunda depolanmaları gerekir. Bu kurulmuş olan
mimariye bağlı olarak SMTP sunucusuyla aynı sunucu da olabilir
ayrı bir sunucu da olabilir. E-posta kullanıcısı kullandığı bir istemci
uygulama ile (ör: MS Outlook ile) bu sunucuya IMAP, POP3 gibi
protokollerle bağlanarak mesajlarını inceleyebilir veya kendi
üzerine çekebilir. Webmail uygulamaları bu tür bir istemci
ihtiyacını ortadan kaldırarak bir web uygulaması ile posta
kutusuna erişimi sağlarlar.
E-MAIL SECURITY
E-Mail Riskleri
• Open Relay Servers: Relay sunucuları diğer alan adlarından
sorumlu SMTP relay sunucularına mesaj iletimi için kullanılabilir.
SPAM üreticiler internetteki herhangi bir kullanıcı doğrulama
(authentication) yapmadan mesaj iletimini destekleyen bu
sunucuları kullanarak SPAM mesajlarını gönderebilirler. Böyle bir
durumda kullanılan relay server’ın IP adresi kısa sürede kara
listelere (blacklist) girecektir.
• Kriptosuz E-posta Kutusu Erişim Protokolleri: POP3 protokolü e-
posta sunucuna authentication ve mail’lerin çekilmesi
aşamalarında herhangi bir kriptolama servisi sağlamaz. Bu
nedenle güvensiz ağlardan yapılan bu erişimlerde MITM
saldırıları ile e-posta hesabı kullanıcı kodu ve parolaları çalınabilir.
E-MAIL SECURITY
E-Mail Riskleri (devamı)
• Phishing ve Sahte Gönderen Adresi: Bir e-posta adresinin hedef
posta kutusuna iletilebilmesi için gönderen adresinin veya alan
adının doğru olması gerekmez, çünkü bu bilginin protokolde kritik
bir rolü yoktur (tıpkı telefon iletişiminde Caller ID’nin olmadığı
gibi). Anti-spam çözümleri mail’in gönderildiği IP adresinin
reverse lookup adresi (PTR DNS kaydı) kontrolü gibi yöntemlerle
mesajın sahte olup olmadığını anlamaya çalışır.
E-MAIL SECURITY
E-Mail Confidentiality, Integrity ve Authentication Protokolleri
SMTP servisi normalde herhangi bir kriptolama servisi sağlamadığı
için ve mesajı gönderenin kimliğini doğrulamak da bu altyapı ile
mümkün olmadığı için, kimlik doğrulama, mesaj bütünlüğünü ve
gizliliğini güvence altına almak üzere protokoller geliştirilmiştir. Tüm
bu protokollerin ortak özelliği asimetrik kriptolama yöntemleri
kullanmalarıdır.
• S/MIME (Secure Multipurpose Internet Mail Extensions)
• MOSS (MIME Object Security Services)
• PEM (Privacy Enhanced Mail)
• PGP (Pretty Good Privacy)
E-MAIL SECURITY
E-Mail Sunucu Güvenilirliğini Güvence Altına Alma
Kurumlar DNS kayıtları ile kendi alan adları kullanılarak gönderilen
(ör: <From: abc@abcbank.com.tr> gönderen bilgisi ile) e-postaların
spam, phishing e-postaları olup olmadıklarına dair alıcıların daha
yüksek güvence almalarını sağlayabilirler.
Bu amaçla kullanılabilen DNS kayıtları ve yöntemlerine örnekler:
• SPF (Sender Policy Framework)
• DKIM (Domain Keys Identified Mail)
• DMARC (Domain-based Message Authentication, Reporting and
Conformance) - SPF ve DKIM yöntemlerinin birlikte kullanımına
dayanır
FAKS GÜVENLİĞİ
Faks kullanımı gittikçe azalsa da halen kullanan organizasyonlarda
hem gönderim hem de alım noktalarında dikkatli olunmalıdır. Tabi
faks mesajlarının dinlenme riski de unutulmamalıdır, çünkü
herhangi bir kriptolama kontrolü bulunmamaktadır.
Bazı kurumlar dijital faks çözümleri kullanmakta olduğundan gelen
imajlar basılmak yerine bir sunucu üzerinde saklanmaktadır.
Dolayısıyla bu sunuculara erişim kontrolü de önemli hale
gelmektedir.
APPLICATION PROGRAMMING INTERFACE (API)
VE SCREEN SCRAPER ÇÖZÜMLERİ
• API’ler: Farklı teknolojilerle geliştirilmiş veya farklı taraflarca
geliştirilen veya reusability’yi artırmak için çeşitli uygulamalar
veya sistemlerin birbirlerinin servislerinden faydalanabilmeleri
için kullanılan ortak standartlara bağlı uygulama arayüzleridir.
Örneğin web servisleri HTTP protokolü üzerinden bir XML
formatıyla (ör: SOAP) diğer uygulamalara hizmet verebilir.
• Screen Scraper’lar: Genellikle API imkanlarının sınırlı olduğu
legacy (eski) uygulama kullanıcı arayüzlerini okuyarak bu
ekranlardaki verileri farklı bir arayüzde sunmak için kullanılan ara
çözümlerdir. Bu tekniğin kullanıldığı bir örnek olarak bir
mainframe uygulamasının text tabanlı arayüzünden telefonla
arayan bir müşterinin bilgilerinin çekilmesi ve IVR çözümünde
müşteriye okunması verilebilir.
TELECOMMUTING TEKNOLOJİLERİ
Telecommuting uzaktan çalışmaya verilen addır. Personel uzaktan
çalışabilmek için aşağıdaki erişim imkanlarını kullanabilir:
• VPN ile kurum ağına erişme, bu erişim üzerinden kurum ağındaki
sunuculara erişme
• VoIP ile kişisel telefonunu kullanabilme (softphone uygulaması ile
VoIP sunucusuna register olma ve kendi extension’ına gelen
çağrıları alabilme)
• Remote desktop erişimi ile kurumdaki PC’sine erişme (erişim VPN
tüneli içinden sağlanmalıdır.)
• Virtual application teknolojisi ile bağlandığı bilgisayara bir
kurulum yapmadan bir terminal sunucusundaki masaüstü
uygulamayı kullanma
VPN (VIRTUAL PRIVATE NETWORK)
VPN Bağlantı Türleri
VPN bağlantıları 2 türlü kurulabilir:
• Remote VPN – [End to End Encryption]: İstemci bilgisayar internetin
herhangi bir noktasından kurum ağına kurum VPN sunucusuna
bağlanarak bir tünel kurar. Genellikle kurum personeli kurum
dışında iken kurum ağına bağlanmak için bu yöntemi kullanır.
• Site-to-Site VPN [Link Encryption]: Arkasında istemci ve sunucular
bulunan iki kurum / organizasyona ait belli IP adreslerine sahip VPN
cihazları (genellikle VPN özelliği bulunan Firewall’lar bu amaçla
kullanılır) aralarında bir tünel kurarlar. Bu tünel üzerinden bir
kurumdaki m istemci diğer bir kurumdaki n sunucuyla (VPN cihazı
üzerinde veya firewall’lar üzerinde uygulanan filtreleme kurallarına
uygun olarak) iletişim kurabilir.
Başlıca VPN Protokolleri
• IPSec (IP Security Protocol): Layer 3’te çalışır ve sadece IP ağlarında
çalışır. En popüler VPN protokollerinden birisidir. IPSec’e daha önce
değinilmişti, ancak CISSP sınavı açısından önemli olduğu için tekrar
etmek gerekirse:
• Transport Mode çalışma şekli: IP başlığına dokunulmaz sadece data
bölümü kriptolanır.
• Tunnel Mode çalışma şekli: Paket tamamıyla kriptolanır ve pakete
yeni bir IP başlığı eklenir. Yani tünel içinde hangi istemcinin hangi
sunucuyla iletişim kurduğu görülemez.
• Authentication Header (AH) fonksiyonu: Authentication, integrity
ve non-repudiation hizmeti verir (encryption sağlamaz)
• Encapsulating Security Payload (ESP) fonksiyonu: Encryption ve
Authentication hizmeti verir
Başlıca VPN Protokolleri (devamı)
• PPTP (Point to Point Tunneling Protocol): Layer 2’de çalışır. Sadece IP
ağlarında çalışır. PPP protokolünden geliştirilmiş olup PPP’nin desteklediği
authentication protokollerini destekler (MS-CHAP, CHAP, PAP, EAP, SPAP).
RADIUS ve TACACS+’ı desteklemez.
• L2TP (Layer 2 Tunneling Protocol): Layer 2’de çalışır, herhangi bir LAN
protokolünü encapsule edebilir. TACACS+ ve RADIUS desteği vardır. Built in bir
encryption yöntemi yoktur, güvenlik için genellikle IPSec kullanılır.
• L2F (Layer 2 Forwarding Protocol): Layer 2’de çalışır, herhangi bir LAN
protokolünü encapsule edebilir. Cisco tarafından geliştirilmiştir. Authentication
hizmeti verir ancak encryption sağlamaz.
Bunların dışında kriptolama imkanı sağlayan protokollerin pek çoğu aynı zamanda
VPN işlevi görebilir. Örneğin SSL VPN çözümleri ve iki sunucu / bilgisayar arasında
kurulan SSH bağlantısı da VPN aracı olarak kullanılabilir.
IPSEC KAVRAMLARI
Security Associations [SA]
• Security Association verisi her bir uç noktanın diğer uç ile yapacağı
iletişimde kullanacağı kriptolama mekanizmalarını (kriptolama ve
authentication protokolleri, AH veya ESP kullanılacağı gibi) tanımlar.
• Her bir SA tek yönlüdür, yani duplex / two-way bir iletişim kurulacaksa
her bir uçta 2 adet SA verisi tutulmalıdır.
IPSEC KAVRAMLARI
Internet Key Exchange [IKE]
IPSec'in authentication bileşenini oluşturur, her iki tarafın kimliğini
doğrulamak için kullanılır. Daha sonra güvenli iletişi kanalının kurulmasını
sağlar. IKE 2 fazda çalışır:
• Phase-1: Bu fazda her iki taraf aşağıdaki yöntemlerden birisi ile birbirini
doğrular
o Shared Secret (sabit bir parola ile)
o Public Key Encryption (Dijital sertifikalar ile)
o Revised Mode of Public Key Encryption (overhead maliyeti
düşürülmüş bir public key encryption yöntemidir)
• Phase-2: Bu fazda 1. fazın sonunda oluşturulmuş olan güvenli tünel
kullanılarak tarafların Security Association (SA)'ları oluşturulur.
İŞLETİM SİSTEMİ SANALLAŞTIRMA
TEKNOLOJİLERİ
Host OS – Guest OS: Donanım üzerinde çalışan ve sanallaştırma
teknolojisinin de üzerinde çalıştığı işletim sistemine Host işletim
sistemi denir. Sanallaştırma teknolojisinin içinde çalıştırılan diğer
işletim sistemlerine Guest işletim sistemi denir.
Guest OS Network Bağlantı Şekilleri
• Host Only: Guest işletim sistemi sadece diğer guest sistemler ve
host sunucu ile iletişim kurabilir.
• NAT: Guest işletim sistemi Host sistemin bağlı olduğu ağ ile
Host’un IP adresini kullanarak haberleşebilir. Bu işlem için NAT
yöntemi kullanılır. NAT’ın doğası gereği Guest dış dünyaya bir
bağlantı başlatabilir ancak Host OS’in dışındaki sistemler Guest
OS ile iletişim kuramazlar.
TEKNOLOJİLERİ
Guest OS Network Bağlantı Şekilleri (devamı)
• Bridge: Guest işletim sistemi Host işletiminin bağlı olduğu ağ ile
kendisine ait (tabi Host’un içinde bulunduğu Subnet tanımına
uygun bir) IP adresi ile haberleşebilir. Guest OS’in Host OS ile aynı
ağ bölümünde bir IP adresi olduğundan Guest OS tam bir sunucu
olarak davranabilir ve ağ isteklerini karşılayabilir.
• Özel Subnet’ler: Host OS üzerinde oluşturulacak sanal ağ
bölümleri ve DHCP servisleri ile ayrıştırılmış subnet’ler
oluşturulabilir. İstenirse Host Only network’te olduğu gibi bu
ağdan Host interface’ine erişim sağlanabilir ve host ile host
üzerindeki diğer guest OS’lere erişim sağlanabilir, veya host
arayüzü kaldırılarak subnet’teki sunucuların sadece kendi
aralarında erişimi sağlanabilir.
TEKNOLOJİLERİ
Hypervisor: Host işletim sistemi üzerinde çalışan ve guest işletim
sistemlerine sanki fiziksel bir makinede çalışıyormuş gibi ortam
sağlayan katmana hypervisor adı verilir.
VM Escape Saldırıları: Hypervisor’un bir açıklığını kullanarak host
sunucuyu ele geçirme ve dolayısıyla diğer makinelere müdahale etme
imkanı veren saldırılardır.
Sanallaştırma Sistem Örnekleri
• VMWare
• Microsoft Virtual PC
• Microsoft Virtual Server
• Hyper-V
• Virtual Box
• Apple’s Parallels
UYGULAMA SANALLAŞTIRMA (APPLICATION
VIRTUALIZATION)
Uygulama sanallaştırma teknolojisinin anlaşılması sık
kullanılmadığından işletim sistemi sanallaştırmasının anlaşılmasına
nazaran daha zordur.
Bunun en güzel örneği bir Windows uygulamasının Linux üzerinde
“wine” uygulamasıyla çalıştırılmasıdır. Linux üzerinde çalışacak olan
Windows uygulaması işletim sistemi API çağrılarını karşılayacak bir
sanallaştırma teknolojisiyle karşılaşır ve işlevlerini yerine getirmeye
devam edebilir.
WAN / VOICE SWITCHING YÖNTEMLERİ
WAN ve ses iletişim hizmetleri veren firmalar genellikle her iki iletişim
için de benzer teknolojiler ve yöntemler kullanırlar.
• Circuit Switching: Plain Old Telephone Service (POTS) ve Public
Switched Telephone Network (PSTN) gibi teknolojilerde olduğu gibi
iletişimde devre bir defa kurulur ve tüm trafik bu devreden akar.
Bu durumda alınan bant genişliği değişmez ve belirli kalitede
hizmet alınır. Ancak devrenin herhangi bir noktasında bir kesinti
olursa tüm iletişim kesilecektir.
• Packet Switching: Veri ağlarının gelişmesiyle ve verimliliğin daha
da kritik hale gelmesiyle ortaya çıkmıştır. İletişimde bir devre
kurulmaz, paket her defasında farklı rotalar izleyerek hedefine
ulaşabilir. Bu durumda da paketin izleyeceği yok kesin
olmadığından dinleme riski artmaktadır. Bununla birlikte ağdaki bir
arızanın iletişimi kesintiye uğratma ihtimali azalacaktır.
WAN TEKNOLOJİLERİ
Dedicated Lines
Leased Line (LL) veya point-to-point link olarak da adlandırılabilir. Bu
bağlantılar iki nokta arasında bir defa kurulur ve iletişim sürekli
onun üzerinden akar. ABD ve Avrupa'da verilen isimleri ile LL
bağlantı tipleri ve hızları aşağıdaki gibidir.
WAN TEKNOLOJİLERİ
Non-dedicated Lines
DSL (Digital Subscriber Line): Telefon networkleri üzerinden 144
Kbps’den 6 Mbps veya daha fazlasına kadar erişim hızı sağlar. Çok
sayıda türü vardır (ör: ADSL, xDSL, CDSL, HDSL, SDSL, RASDSL, IDSL
ve VDSL)
ISDN (Integrated Services Digital Network): Dijital telefon ağları
üzerinden hem ses hem de veri trafiğini destekleyen ISDN
servislerinin 2 sınıfı vardır:
• BRI (Basic Rate Interface): Veri trafiği için 2 B kanalı (64 Kbps) ve
ses trafiği için 1 D kanalı (16 Kbps) içerir.
• PRI (Primary Rate Interface): 2-23 arasında B kanalı, 64 Kbps’lık
bir D kanalı içerir.
WAN TEKNOLOJİLERİ
WAN Switching Protokollerinden Bazıları
• X.25: Eski bir packet switching teknolojisidir, düşük performansı
nedeniyle terkedilmiştir.
• Frame Relay: Bir packet switching teknolojisidir, leased line
bağlantılarına nazaran daha ekonomiktir. F/R bağlantılarda hattın
tüm kapasitesinden düşük olmak kaydıyla Committed Information
Rate (CIR) garantisi verilebilmektedir. Bir F/R bağlantı için DTE/DCE
(data terminal equipment/ data circuit-terminating equipment) adlı
bir tür Layer 2 bağlantı cihazına ihtiyaç vardır.
• ATM (Asynchronous Transfer Mode): Sabit uzunlukta (cell olarak
adlandırılan) frame’ler ile iletişimi sağlar. Sabit uzunlukta frame’ler
kullanılması nedeniyle yüksek veri iletimlerinde çok verimlidir. 53
byte’lık bu cell’ler farklı erişim oturumları arasında paylaştırılır.
AĞ TEHDİTLERİ
DOS / DDOS (Dağıtık Hizmet Kesinti Saldırıları)
DOS saldırıları 2 şekilde yapılabilir:
• Belli bir servise yönelik hizmet kesintisi açıklığını kullanarak yapılan
saldırı sonucu hizmeti kesintiye uğratma
• Hedef kurum veya sisteme erişim için kullanılan bant genişliğini
doldurma veya servisin kapasitesini tüketme yoluyla hizmet veremez
hale getirme
Botnet: Bazı DOS saldırılarında saldırganların ele geçirdiği sistemler de
araç olarak kullanılabilir. Bu istemlere “bot”, “zombi”, “agent” adları
verilebilir. Bu sistemlerin tümüne de “botnet” adı verilir. Command and
Control sunucuları botnetlere hükmederek saldırıyı yönlendirir.
Botnet’ler sadece DDOS için değil açıklık barındıran sunucuların
taranması, SPAM mail gönderme, parola bruteforce saldırıları gibi
amaçlarla da kullanılabilirler.
AĞ TEHDİTLERİ
DOS / DDOS (Dağıtık Hizmet Kesinti Saldırıları) (devamı)
Önlemler: DOS saldırılarına karşı yamaların zamanında geçilmesi,
çok çeşitli türlerde olan DDOS saldırılarına karşı kurum ağında ve ISP
seviyesinde DDOS koruması alınması, Layer 7 saldırılara karşı Layer 7
DDOS çözümü kullanılması ve muhakkak saldırı takibi yapılması
gereklidir.
AĞ TEHDİTLERİ
DOS / DDOS Saldırı Türleri
SYN Flood
• Açık bir port için bir SYN paketi geldiğinde buna yanıt olarak SYN-
ACK paketi gönderilir.
• Ancak TCP oturumunu takip edebilmek için sunucu belleğinde bir
alan ayıracaktır.
• SYN Flood saldırısı çok sayıda SYN paketi göndererek sunucunun
bellek ve işlemci kaynaklarını tüketmeyi amaçlar. Belli bir
aşamadan sonra sunucu geçerli bağlantı isteklerine yanıt
vermekte yavaşlamaya ve muhtemelen hiç yanıt verememeye
başlar.
• SYN Flood saldırıları genellikle IP spoofing ile birlikte yapılır.
AĞ TEHDİTLERİ
Smurf (ICMP)
• Smurf saldırısında amaç kurbanı ICMP Echo Reply paketleriyle
boğmaktır.
• Bunun için saldırgan kurbanın IP adresini spoof ederek broadcast
adreslerine gönderilen çok sayıda ICMP Echo Request’leri gönderir.
• Ağ protokollerinin özelliklerini kullanarak az bir paketle çok sayıda ve
çok veri içeren paketleri hedefe yönlendirme saldırılarına Amplification
saldırıları denir.
• Pek çok firewall yapılandırmasında broadcast adreslerine gönderilen
ICMP Echo Request’leri engellendiğinden etkinliğini yitirmekte olan bir
saldırı türüdür.
• Smurf ve Fraggle saldırılarını hatırlamak zor olacağı için içinde U
bulunan Smurf’ün UDP ile ilgili olmadığını hatırlamak faydalı olabilir.
BROADCAST ADRESİ NEDİR?
Bir network subnet’inde:
• İlk adres Network adresidir. Bu adres subnet’i tanımlar.
• Son adres Broadcast adresidir. Broadcast IP adresine gönderilen
paketler subnet’teki tüm cihazlar tarafından yanıtlanır.
Örneğin:
• Subnet: 192.168.2.0 / 24
• Network Address: 192.168.2.0
• Broadcast Address: 192.168.2.255
AĞ TEHDİTLERİ
Fraggle (UDP)
• Fraggle’da broadcast adreslerine kurbanın IP adresini spoof
ederek paketler gönderir, ancak ICMP yerine UDP paketleri
kullanır.
• Gönderilen paketler UDP 7 (Echo servisi) ve UDP 19 (Character
Generation servisi) portlarına gönderilir. Bu servisler eğer açıksa
yanıt doğururlar, değillerse de spoof edilmiş IP adresine ICMP
port unreachable paketleri dönecektir.
• Broadcast adreslerine tehlikeli ağlardan gönderilen paketler
engellenmeye başladıklarından Smurf gibi etkinliği azalan bir
saldırı yöntemidir.
AĞ TEHDİTLERİ
Ping Flood
• Genellikle botnet’ler kullanılarak kurban sisteme veya ağa çok
sayıda ICMP Echo Request gönderilerek gerçekleştirilir.
• Flood saldırılarında genellikle IP spoofing kullanılır.
AĞ TEHDİTLERİ
Tek Paketlik Saldırılar (Eski İşletim Sistemleri için)
• Ping of Death (Büyük Ping): Ping paketleri genellikle 32 veya 64 byte’lık veri
içerir. TCP/IP ağlarında maksimum paket boyutu da 65535 byte’tır. 1998 ve
öncesinde üretilen işletim sistemleri (Windows 95, 98 ve Linux işletim
sistemleri) bu boyuttan yukarıdaki ping paketlerini aldıklarında
donuyorlardı.
• Teardrop (Hatalı Offset): Fragment edilmiş paketler negatif offset’le
birleştirilecek biçimde özel olarak üretildiğinde ve hedefe gönderildiğinde
Windows NT, Windows 95, Linux kernel 2.1.63 öncesi sistemler çöküyordu.
• Land Attack (Kendi Kendine Paket Gönderme): 1997 yılında ortaya
çıkmıştır. Saldırganın hedef sistemin adresini spoof ederek, kaynak IP adresi
ve portunu hedef IP adresi ve portu olarak da kullanarak gönderdiği TCP
SYN paketleri ile yapılır. Modern işletim sistemleri bu tür saldırılara
dayanıklıdır.
PACKET FRAGMENTATION NEDİR?
IP paketleri paket boyut sınırı olan (MTU – Maximum Transmission
Unit değeri paket boyutundan düşük olan) ağ bölümlerinden
geçerlerken ağ cihazları tarafından bölünerek (fragmented) yollarına
devam ederler ve hedef sisteme ulaştıklarında tekrar birleştirilirler.
Bu işlemin gerçekleştirilebilmesi için IP başlığının IP ID alanı ve offset
alanı kullanılır. Parçalanan paketler hedefe ulaştığında tekrar
birleştirilir.
Paket parçalama geçmişte IDS atlatma tekniği olarak da
kullanılmıştır. Ancak modern IDS cihazlarında paketler tekrar
birleştirilerek inceleme yapıldığından bu yaklaşım geçerliliğini
yitirmiştir.
AĞ TEHDİTLERİ
Sniffing / Packet Capture / Eavesdropping (Dinleme)
Ağın dinlenmesi iyi veya kötü niyetli olarak yapılabilir. Örneğin IDS
sistemleri ağı iyi amaçlar için dinlerken veri sızdırmak isteyen bir
saldırgan doğal olarak kötü amaçlarla bu işlemi yapacaktır. Ancak
doğal olarak her iki taraf için de benzer teknik kurallar
bulunmaktadır.
• Promiscuous Mode: Normalde bilgisayarınızın ağ arayüzü sadece
kendisine (yani kendi MAC adresine) iletilmiş paketleri dikkate
alacak ve TCP/IP stack’inin üst katmanlarına iletecektir. Ağ
arayüzünüzün tüm paketleri görür ve işler hale gelmesi için
“promiscuous” mod’a geçmesi gerekecektir.
AĞ TEHDİTLERİ
Sniffing / Packet Capture / Eavesdropping (Dinleme) (devamı)
• Port Mirroring: Bağlı bulunduğunuz switch sadece sizin MAC adresinizle
ilgili paketleri size iletecektir. Bağlı olduğunuz switch üzerindeki tüm trafiği
görebilmek istiyorsanız 2 şey yapabilirsiniz. Birincisi ARP poisoning ile Layer
2’deki trafiği üzerinizden geçirmek. Bu kötü niyetli saldırganların tercih
edebileceği yöntemlerden birisidir, çünkü normalde ağ konfigürasyonunda
bir değişiklik yapamayacaklardır. Ancak ikinci yol daha etkili, ağ trafiğini
daha az olumsuz etkileyecek bir yöntem olan bağlı bulunduğunuz switch
portunu SPAN / Monitor portu olarak konfigüre etmek olacaktır. Böylece
switch üzerindeki tüm paketler sizin portunuza da kopyalanacaktır. Daha da
profesyonel bir dinleme yapmak için tek işi üzerinden geçen trafiği
kopyalamak olan Tap cihazı kullanılabilir. Tap cihazı aldığı trafiği 2 farklı
porttan kopyalayarak iletir, dolayısıyla switch üzerindeki trafiği değil de
switch’ler arasındaki trafiği gözlemlemek için veya firewall’un bir
portundaki trafiği izlemek için daha mantıklı bir çözüm olacaktır.
AĞ TEHDİTLERİ
Sniffing / Packet Capture / Eavesdropping (Dinleme)
• Sniffer: Bilgisayarınızın ağ arayüzüne gelen paketleri analiz etmek
ve kaydetmek için bir sniffer yazılıma ihtiyacınız olacaktır. Sniffer
yazılımları normal TCP/IP sürücülerinden farklı kütüphaneleri
kullanırlar (libpcap / winpcap gibi). Başlıca sniffer yazılımları
Wireshark ve tcpdump’tır.
Önlemler: Dinleme tehdidine karşı en etkili yöntem kriptolama

olacaktır. Ancak fiziksel erişim kontrolleri, NAC kontrolü, ARP
poisoning’e karşı dynamic arp inspection ve dhcp snooping ayarları,
ağ cihazlarının erişim kontrolleri sıkılaştırması, v.d. kontroller de
dinleme riskini farklı açılardan azaltacaktır.
AĞ TEHDİTLERİ
Man in the Middle (MITM) ve Modification Saldırıları
Bu saldırılarda trafik saldırganın sistemi üzerinden akar ve saldırgan
suistimal senaryosuna uygun olarak giden veya dönen paketlerin
içeriğinde değişiklikler yapar. MITM saldırılarının yapılabilmesi için iç
ağlarda ARP poisoning saldırısı, DNS spoofing / poisoning saldırısı,
HTTPS iletişiminde araya girebilmek için sahte sertifika üretecek
Attack Proxy aracı gibi yöntem ve araçlar kullanılmalıdır.
Önlemler: Yerel ağlarda MITM saldırı riskini azaltmak için ARP
poisoning saldırılarına karşı Dynamic ARP Inspection ve DHCP
spoofing yöntemi kullanılabilir. HTTPS erişimlerinde araya girme
risklerinin azaltılabilmesi için (mobil uygulamalar veya masaüstü
uygulamalarda) SSL pinning adı verilen yöntem uygulanabilir. Jenerik
bir kontrol olarak da gönderilen paketin bütünlüğünü test etmeyi
sağlayacak kriptografik yöntemler kullanılabilir.
AĞ TEHDİTLERİ
IP Spoofing
Spoofing iletilen ağ paketleri veya mesajlarda gönderen MAC adresi, IP
adresi veya e-posta adresi gibi adreslerin sahte adresler olarak
kullanılmasıdır. Bu değişiklik protokolün kurallarına göre bazen işimize
yarayabilir ancak bazı durumlarda işimize yaramaz. Örneğin TCP
iletişimde sahte kaynak IP adresi kullanırsanırsak TCP el sıkışma
tamamlanmayacağından herhangi bir data gönderemeyiz, dolayısıyla
bir web uygulamasına sahte adresle erişemeyiz. Ancak amacımız
sadece bir SYN flood saldırısı yaparak sahte IP adreslerinden
gönderiliyormuş gibi çok sayıda paket göndermekse IP spoofing işimize
yarayacaktır.
Önlemler: Spoofing’e karşı her bir saldırı durumu için özel bir önlem
uygulamak gereklidir. Bazı durumlarda ise yapılabilecek birşey
olmayabilir.
AĞ TEHDİTLERİ
IP Spoofing (devamı)
SYN Cookie: TCP SYN flood saldırılarında gelen SYN paketlerinin
gerçekten bağlantı kurmak isteyen bir istemci olup olmadığını
anlamak için SYN cookie’leri kullanılabilir. SYN flood saldırılarının
amacı hedef sunucunun SYN state tablosunu tüketmek ve daha fazla
bağlantı alamaz hale getirmektir. SYN cookie uygulamasında sunucu
bir algoritmaya göre initial sequence number’ı belirleyerek SYN/ACK
paketi ile yanıt verir ancak state tablosunda bir kayıt üretmez.
Böylece kaynak tüketmez. Bir ACK paketi geldiğinde de kullandığı
algoritmaya göre sıra numarasını kontrol eder, eğer herşey
yolundaysa state kaydı oluşturulur. SYN cookie olarak kullanılan sıra
numarasını oluştururken kullanılan algoritma yavaş artan bir
timestamp’i, sunucu ve istemci IP adresleri ile port numaraları gibi
faktörleri kullanabilir.
AĞ TEHDİTLERİ
Hping aracı ile paket üretme (packet crafting)
AĞ TEHDİTLERİ
AĞ TEHDİTLERİ
Impersonation / Masquerading
Impersonation veya masquerading çalınmış erişim bilgileri ile bir
uygulama veya servise farklı bir kullanıcıymış gibi erişmekle ilgilidir.
Yani kullanıcı bilgileri doğrudur ancak kullanan kişi doğru kulanıcı
değildir.
Önlemler: Impersonation’ı engellemek için tek kullanımlık parola
(OTP) kullanılabilir ve erişim bilgilerinin networkten çalınmasını
zorlaştırmak için kriptografi ve Kerberos, NTLM gibi güvenli
authentication protokolleri kullanılabilir. Bu protokoller challenge
response ve kriptografik kontrolleri kullandıklarından dinleme ve
MITM saldırılarına karşı daha dayanıklıdırlar.
AĞ TEHDİTLERİ
Replay Saldırıları
Bir tür impersonation saldırısı olan replay saldırılarında saldırgan
içeriğini okuyamasa da ele geçirdiği bir authentication isteğini tekrar
göndererek hedef servise erişim sağlayabilmektedir.
Önlemler: Authentication isteklerinin replay edilememesi için
challenge-response mekanizması kullanılabilir. Bunun dışındaki OTP
dahil tüm erişim kontrolleri için mutlaka erişim bilgilerinin kriptolu
bir tünel içinden (ör: SSL) iletilmesi gereklidir. Çünkü bu değerlerde
kısa bir süre için olsa da yine de replay saldırılarına karşı dayanıksız
olabilir. Örneğin genellikle zaman bazlı OTP değerleri her 30 sn.’de
bir değişecektir.
AĞ TEHDİTLERİ
ARP Poisoning ve MITM Saldırı Araç Örnekleri
• Ettercap (Linux)
• arpspoof (Linux)
• Cain & Abel (Windows)
Sniffer’ların (ve MITM araçlarının) Kullandıkları Network Kütüphaneleri
Sniffer’lar, wireless saldırı araçları, packet crafting araçları, ARP poisoning
araçları standart işletim sistemi TCP/IP stack’ini oluşturan kütüphaneleri
kullanamazlar, çünkü yaptıkları faaliyetler rutin kullanım faaliyetleri
değildir. Bu nedenle farklı kütüphaneleri (driver’ları) kullanmak
zorundadırlar. Sniffer’ların kullandıkları kütüphanelere örnekler:
• WinPcap (Windows)
• libpcap (Linux)
AĞ TEHDİTLERİ
DNS Poisoning ve Spoofing
DNS'in Çalışma Yöntemi:
• DNS poisoning bir DNS sunucusunun cache’inin bir alan adına karşı gelen
IP adresinin saldırganın istediği bir IP adresi olarak belirlenmesi saldırısıdır.
• DNS altyapısında bir istemci bir DNS sunucusuna bir alan adının IP adresini
soran bir istek gönderir.
• DNS sunucusu sorulan adresin IP adresi cache’inde mevcutsa hemen DNS
yanıtını istemciye gönderir.
• Eğer bu isteğin yanıtını bilmiyorsa alan adının top level domain’inden
sorgulamaya başlayarak (örneğin önce .com, sonra com.btrisk gibi)
authoritative name server’ı bulur ve istemcinin sorduğu alan adının IP
adresini sorar.
• Authoritative name server’ın verdiği yanıtı istemciye iletirken aynı
zamanda bu veriyi cache’ine yazar.
AĞ TEHDİTLERİ
DNS Poisoning ve Spoofing (devamı)
• DNS Poisoning: DNS poisoning işte DNS sunucusunun bu isteğine
yanıt gelmeden önce üretilecek olan sahte bir DNS yanıtının DNS
sunucusuna iletilmesi ve farklı bir IP adresi ile cache’in
zehirlenmesi saldırısıdır. Bu mümkündür çünkü DNS UDP
protokolünü kullanır ve IP spoofing saldırısı bu durumda başarılı
olacaktır. Bu saldırının gerçekleştirilebilmesi için ayrıca
saldırganın ağı dinliyor olması ve DNS request ID bilgilerini biliyor
olması gerekmektedir. Daha sonra gelecek olan yanıt DNS
sunucusu tarafından dikkate alınmayacaktır.
• DNS Spoofing: DNS Spoofing ise istemcinin DNS sunucusundan
yanıt alamadan önce sahte bir yanıt ile saldırganın istediği bir IP
adresi ile yanıltılmasıdır.
AĞ TEHDİTLERİ
DNS Zone Transfer (AXFR)
DNS sunucuları ağ üzerindeki sunucularla ilgili bilgi sağladıklarından
bilgi toplama aktivitelerinde sıklıkla hedef alınırlar. DNS
sunucularının birbirlerinden kayıtları yedeklemek için kullandıkları
Zone Transfer (AXFR tipi) istekleri saldırganlar tarafından da
kullanılabilir. Bu istek sayesinde olası saldırgan DNS sunucumuzdaki
tüm kayıtları tek istekle çekebilir.
AĞ TEHDİTLERİ
DNS Server Mimarisi ve Yapılandırma
• Kurum kullanıcıları içerideki bir DNS sunucusunu kullanmalıdırlar.
Aksi takdirde başka birisinin yönettiği DNS sunucusu ile pharming
v.b. saldırılara maruz kalabilirler.
• DNS sunucuları üzerinde zone transfer isteğinde bulunabilecek
sunucular kısıtlanmalıdır.
AĞ YÖNETİMİ TEMEL KULLANICI ARAÇLARI
• ipconfig [Windows] / ifconfig [Linux]: Bilgisayarımızın arayüzlerini ve
konfigürasyonlarını görüntülemek için kullandığımız temel komutlardır.
Ayrıca ağ arayüzlerinin konfigürasyonu için de kullanılırlar.
• tracert [Windows] / traceroute [Linux]: Uzaktaki bir sistemle
aramızdaki hop noktalarını (router’ları) tespit etmek için kullanılır. Bu
araç IP başlığındaki TTL (Time to Live) alanından faydalanır ve
gönderdiği paketlerdeki TTL değerini 1’den başlatarak her seferinde
bir artırır.
• iwconfig [Linux]: Linux’ta kablosuz arayüz konfigürasyonu için
kullanılır.
• route: Bilgisayarlardaki routing tabloları üzerinde işlem yapmaya yarar.
• dhclient [Linux]: Linux’ta IP almada problem yaşandığında DHCP
isteğini yeniden göndermek için kullanılır.
Örnek: ifconfig (Linux)
Örnek: route (Linux)

CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 4

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 4

Uploaded by

Copyright:

BÖLÜM-4

COMMUNICATIONS AND NETWORK SECURITY

[CIDR – Classless Inter-Domain Routing]

NETWORK ADRESİ HESAPLAMA

11000000 10101000 00001010 10111010

BROADCAST ADRESİ HESAPLAMA

11000000 10101000 00001010 10111010

HOST SAYISI HESAPLAMA

00000000 00000000 00000000 00111111

Client'ın packet filtering firewall’unda ayrıca sunucudan (FTP sunucu

Passive FTP modu packet filtering firewall'un state takip edememe

Önlemler: Dinleme tehdidine karşı en etkili yöntem kriptolama

You might also like