2. Man In The Mıddle Nedir?
• Ağda sunucu ve istemci arasına girerek ya da
iki node (düğüm) arasına girerek ağı
dinlemeye dayalı bir atak çeşididir.
• MITM eski bir kavramdır fakat günümüzde
halen yaygın bir şekilde kullanılmaktadır.
• Yeni teknolojilerde dahi yaygın bir şekilde
kullanılır ve başarılı sonuçlar verebilir.
3. MITM Mantığı
• En basit şekliyle şu şekilde anlatılabilir:
• Bir grup çocuk tek sıra oturmuştur ve kulaktan kulağa
oyunu oynarken sırasıyla ilk çocuk ikinci ikinci çocukta
diğerine ilk çocuğun söylediklerini fısıldar. Sıranın sonunda
çocuk ise ona gelen son cümleyi söyler ve oyun tamamlanır.
Fakat bazen araya yaramaz çocuklar karışır. Örneğin ilk
çocuk “Benim sandalyem mavi” der fakat aradaki bu çocuk
diğerine “Benim saçlarım mavi” der. Ardından çocukların
hepsi en son çocuğa gülerler.
• Yaramaz diye nitelendirilen bu çocuğun yaptığı aslında
iletiyi dinleyip içeriğini değiştirmek ardından da diğerlerine
farklı ve zararlı olabilecek şekilde göndermektir.
• İşte MITM mantığı da buna dayanır.
4. MITM Nerelerde Kullanılır?
• Bu atak tipi telefonlarda, bilgisayar ağlarında
ve aslında veri aktarımı söz konusu olabilen
her yerde geçerli olabilir.
• George W.Bush başkanlık döneminde National
Security Agency NSA kuruluşuna El-Kaide
örgütüne ait bütün eposta, telefon
konuşmaları ve diğer sosyal medya
kaynaklarından gelen verileri monitor etmesi
için (izlemesi için) görevlendirmişti.
5. Neden Ortadaki Adam Saldırısı
• Yurt dışında bazı kuruluşların düzenlediği
konferanslarda bu atak tiplerinin gerçekten
uygulanılabilir olduğu ve sonuçlarının tehlikeli
olmasından dolayı MITM ile birlikte gelen tehlikeler
konulu görüşmeler yapılıyor.
• Bu görüşmelerde aynı zamanda MITM ile mücadele adlı
konularda işlenmiştir.
• Bu atak tipi gerçekten bütün platformla alınan bütün
güvenlik tedbirlerine rağmen başarılı olmaktadır.
Öğrenilmesi ve uygulanması gayet kolaydır.
• Yeni teknolojili sistemlerde hala 100 de 100 başarılı
olan exploitler(sömürüler) mevcuttur.
6. MITM Ağdaki Rolü Basit Senaryo
Ağda bazı başarılı teknikler kullanılarak
saldırganlar kullanıcı ve yönlendirici ağ
cihazı arasına girebilirler. Şekilde de
görüldüğü gibi kullanıcı ile aslında chat
sunucusu arasına girmiş olan saldırgan
bütün veri akışını görüntülemektedir.
Saldırgan bu senaryoyu birkaç farklı araç
ile gerçekleştirebilir. Bu atak sayesinde
saldırgan kullanıcıdan gelen verileri
değiştirerek araya zararlı
yazılımlar(virüsler,trojanlar,spamlar gibi)
ekleyip gönderebilir. Güvenlik
konferanslarında MITM ile gelen tehlikeler
adı altında bu atak tipide işlenildi.
Resim 1
7. Ağı Dinlemek ve Atak Yapmak
• Resim 1 görülen atak tipiyle saldırgan MITM boyunca
kullanıcının başarılı session bilgilerini kaydeder. Bu geçerli
kimlik bilgileriyle saldırgan daha sonra chat sunucusuna
gerçeği gizleyerek legal şekilde bağlanabilir. (Oturum bilgilerini
çalmak genelde Hijacking olarak isimlendirilir.)
• Buradan şunu anlayabilir: Saldırgan şifrelenmeden ya da
şifrelenerek gönderilmiş verilerin bir kopyasını çıkararak daha
sonra kullanabilir.
• Saldırgan çalışan bazı komutları kullandığı oturum bilgilerine
enjekte ederek uygulamayı ve protokolleri daha rahat
kullanabilmeyi sağlar.
• Saldırgan sistemlere eklediği bazı kod parçacıklarıyla internet
aracılığla diğer IP adreslerine DDOS atağı başlatabilir.
8. (Internet Control Message Protocol Redirect)
ICMP
• ICMP Redirect routerların mesajları daha kolay ve hızlı bir şekilde
ulaştırabilecekleri yollar keşfetmek için kullanılır.
• Yeşil çizgilerle belirtilmiş yollar kullanıcı bilgisayarının Ofis bilgisayarına ulaşması
için kullandığı ilk yolu gösterir. Kırmızı ile belirtilmiş yollar ise routerlar tarafından
belirtilmiş ICMP redirect mesajıyla (type 5) daha kolay ve hızlı bir şekilde hangi
düğümlerden nasıl geçeceği gösterilmiştir.
Resim 2
9. ICMP ile MITM
• Saldırgan MITM araçlarıyla ağa ICMP redirect
mesajı yayınlar. Bütün ağa yapılan bu kava
kuvvet saldırısı ile düğümler bir yerden bir
yere geçmek için saldırganı ağ geçidi olarak
tanıyacaklardır.
• Bu sayede bir düğümden diğerine giden
paketler görüntülenebilecek ve saldırganlar
kullanıcıları ya da sunucuları istenilen yere
yölendirebileceklerdir.
10. MITM ile Gelen Tehlikeler ve Atak
Senaryoları
• MITM ile ağdaki veri akışlar intercept (önlenebilir) edilebilir.
Gönderilen mesajlar değiştirilebilir ve araya farklı içerikli mesajlar
sokulabilir. Saldırı farklı bir senaryo ile örneklendirilebilir:
• David ve Rob güvenlik şirketinde çalışmaktadırlar. David Rob ile clear
text (şifrelenmemiş) bir mesaj ortamından anlık mesajlaşıyorlar.
Saldırgan ise konuşma boyunca MITM atağı başlatıyor ve gizlice
konuşmayı dinliyor. Gizli yapılan bütün görüşmeleri görüntülüyor.
Rob David’e Alan isimli birinin ulusal güvenlik araştırması için bir
görüşme talep ettiğini ve öğle yemeğini yerel Thai restoranında
yiyeceklerini onunla katılması gerektiğini belirtiyor. Eğer saldırgan
David in yolladığı bu gizli görüşmenin Rob’a ulaşmasını engeller ve
bu mesajı değiştirip yollarsa muhtemelen Rob bu durumda
inanılmaz şaşıracak ve tehlikeye düşecektir.
11. Adres Resolution Protocol(ARP)
• ARP ,MAC adresleri gibi ağdaki
routerların diğer cihazlarla
haberleşebilmesini sağlayan,
routerlar tarafından gönderilen bir
adrestir. ARP protokolü tarafından
gönderilir. Yönlendiriciler diğer
düğümlere ulaşabilmek için MAC
adresleriyle IP adreslerini ARP
tablosunda tutarlar. Router ağa
broadcast mesajlarını yayar bu
mesajı alan düğümler yolladıkları
cevaptan sonra router bu kurallara
göre iletişimi yönlendirir.
• Veri akışı bu durumda router üzerinden geçer ve ağ geçidi olur. Windows
sistemlerde komut satırından arp –a komutu verilerek sistemdeki ARP
tablosu görülebilir.
• ARP tablosu sayesinde mesaj sonucunda dönen cevaplarla iletişimin hangi
IP’ler arasında olması gerektiği anlaşılır.
Resim 3
12. ARP Cache Posining
ARP Zehirlemesi Senayosu
• Bu senaryoda saldırganın
kullanacağı araçlardan birisi
ettercap tir. Ettercap’e internet
üzerinden serbestçe lisanssız
bir şekilde ulaşılabilir.
Eklentileriyle atağı oldukça
basitleştirip tehlikeli hale
getirmektedir. Bu saldırı bir
senaryo ile şu şekilde açıklana
Micheal Texas’ta Seguin,
şehrinde motosiklet parçaları
satan küçük bir şirkette dizayn
mühendisi olarak çalışmaktadır.
bilir:
Micheal bir motosiklet tutkunudur ve işe gelirken kaza yapar. Bu kaza sonucunda
kendi herhangi bir zarar almaz fakat motosikleti kullanılamaz hale gelir. Şirketinin
sigortası bu kazayı sigorta kapsamı dışında bırakır ve hasarı ödemez. Micheal
motosikletini özlerken sinirlenir ve şirket çalışanlarına bir saldırı yapmaya karar
verir.
Resim 4
13. ARP Cache Posining
ARP Zehirlemesi Senaryosu
• Şirketinde çalışan web geliştiricisinin ve ağ mühendisini yakından
tanıyor ve bilgisayarının ismini biliyordur. Micheal Ettercap aracı ile
ağda bir tarama yapar ve host isimleri ile IP adreslerini görüntüler.
Webdev isimli bilgisayarın IP adresini olarak 192.168.204.139 ve
Windows Server 2008 işletim sisteminin adını corpweb olarak
192.168.204.131 IP si ile keşfeder. ARP posining atağını başlatır ve
ağa sürekli ARP paketleri göndererek routerın ARP tablosunu
zehirlemesine (unutmasına) sebep olur. Dolasıyla ağ geçidini kendi
üzerine alarak Windows Sunucusu ve diğer istemcinin MAC
adreslerinin kendi bilgisayarının IP si üzerinden sistemlere
erişmesini sağlar. Web geliştiricinin gün içerisinde bir çok kez
sunucuya eriştiğini bildiği için biraz bekler.
• Bir süre sonra FTP sunucusuna (web servera) bağlantı kuran Web
geliştiricisinin kullanıcı ve adı ve şifresini görüntüler.
14. ARP Zehirlemesi Senaryosu
• Ardından bu kullanıcı adresi ve
şifresiyle sisteme girip şirket
adına bazı parçalarda yüzde 50
indirim olduğunu ve parçalardan
sipariş edilebileceğini yayınlar.
Bu durumda müşteriler
gördükleri indirim reklamından
sonra bir çok kez sisteme sipariş
talebi gönderirler. Satış
departmanı çalışanı ise bu
indirimden sonra teşekkür eden
müşterilerden sonra bir terslik
olduğunu sezer ve hemen
şirketin web sitesine girer.
Sitede gördüğü manzarayla birlikte inanılmaz bir şekilde panik geçirir ve durumu
web geliştiricisine aktarır. Şuan ki durumda şirketin siparişleri iptal etmesi ya da
kendi sistemlerine yabancı birisinin girdiğine yönelik mesajlar bu şirketin artık
güvenilmez bir alış veriş şirketi olmasına yol açacaktır. Siparişler gönderilir şirket bir
sürü zarara uğrar ve buna sebep olan web geliştiricisi ya da sistem mühendisi belki
de işten çıkarılacaktır.
Resim 5
15. Secure Sockets Layer (Güvenli Soket Katmanı)
Saldırı Senaryosu
• SSL web formlardan gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve
ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini
sağlayan bir güvenlik tedbiridir.
• Webmitm veya sslstrip araçlarıyla bu güvenlik uygulaması geçerliğini yitirerek
saldırganların MITM aracılığıyla başarılı kimlik doğrulamasıyla sisteme giriş yapması
sağlanır. Bu saldırı için şöyle bir senaryo düşünülebilir.
• Web site sahibi sitesinde SSL güvenlik katmanını aktif etmiştir. Saldırgan hezalnut adlı
kafede otururken bazı gözlemler yapar ve bunları sonlandırır. Çalışanlar kafe için yapılan
bu web sitesindeki XML dosyasına kendilerine ait bazı fikirleri girmek için siteye giriş
yaparlar.
• Saldırgan kendi bilgisayarına bazı bilinen şirketlerin etiketlerini yapıştırmıştır (XYZ şirketi
gibi) ve karşıdan çalışanlara herhangi bir şirket için çalışan normal birisi gibi
görünmektedir. Saldırganın MITM yapabilmesi için bu senaryo yeterlidir.
16. Secure Sockets Layer (Güvenli Soket Katmanı)
Saldırı Senaryosu
• Saldırgan ağı tarar görüntülediği bilgilerden SSL kullanan siteye girildiğini
görür ve bu kafenin sitesine giren kullanıcıların kullandığı bir bilgisayarın
IP’sini belirler.
• Saldırgan ağdaki doğru bilgisayarı ve ağ geçidini tespit ettikten sonra
sslstrip aracını çalıştırır. Sslstrip gelen verileri iptables ile HTTP ve HTTPS
portlarını dinleyerek kaydeder. ARP zehirlemesi yapabilmek için Ettercap
çalıştırır ve atağını başlatır.
• Kurban siteye girerek kullanıcı adı ve şifresini girdikten sonra ssltrip aracı
sonradan görüntülemek üzere verileri kaydeder. Saldırgan bu kaydedilen
kimlik bilgileri ile sisteme giriş yapar.
• İptables aracı linux sistemlerde çalışan:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
Komutuyla TCP port 80 i TCP port 10000 e yönlendirmiştir.
17. Secure Sockets Layer (Güvenli Soket Katmanı)
Saldırı Senaryosu
• İptables ile girilen bu kurallar ardından saldırgan sslstrip aracına komut
satırından şu komutu verir:
./sslstrip.py --listen=10000
• Python geliştirme ortamında yazılmış sslstrip aracı port 80 den gelip 10000
e giden verileri dinleyerek bu sayede kaydeder.
• Saldırgan bütün ARP isteklerini kendi üzerine alabilmek için şu şekilde bir
komut verir:
arpspoof –i eth0 -10 192.168.204.139 192.168.204.1
• Bir süre sonra çalışan ssltrip aracı loglarına kaydedilen kimlik bilgileri
görüntülenir.
• Bu atak başarılı olduğunda kafe çalışanları veya şirket için oldukça tehlikeli
sonuçlar doğuracaktır.
18. Domain Name System Spoofing
Sahte Alan Adı Kayıtları
• DNS adresi Nedir?
DNS adresi: ISP tarafından verilmiş domain isimlerini IP adreslerine
dönüştürebilmek için gerekli eşleştirmeleri yapan sunucu adresidir.
Herhangi bir domain ismini tarayıcıya girdiğimizde bu öncelikle DNS
cache uğrar ve burada gerekli cevabı bulabilirse bize doğru cevabı
ulaştırarak işlemi hızlandırmamızı sağlar.
• DNS spoofing ise bu önbellekteki değerleri doğru adreslere
ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek
spam,virüs,worm gibi zararlı yazılımları enjekte eder. Man In The
Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda
DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı
senaryosu oluşturabilir.
19. Domain Name System Spoofing
Sahte Alan Adı Kayıtları
• Saldırgan bu saldırı tipinde bir çok aracı kullanabilir. Bunlardan birisi
dnsspoof aracıdır.
• Bu araç gelen DNS sorgularını dinler gelen isteklere saldırganın
girmiş olduğu DNS cevaplarını gönderir.
• Saldırganın yönlendirdiği adres gerçek adres değildir. Şu şekilde
örneklenirse:
• Kurban www.microsoft.com adresine bağlantı talebinde bulunur.
Kurbanın bilgisayarı DNS sunucusuna bu adrese hangi IP adresi ile
ulaşacağını sorar. Sunucuya girilen cevap www.fedoraproject.org
adlı adresin IP adresidir. Sonuçta dönen bu adresin IP adresi olduğu
için kullanıcı ekranında www.fedoraproject.org ait bilgileri
görüntüler.
• Yönlendirilen bu adres genelde gerçek bir web site adresi değildir.
Fakat saldırgan öyle bir dizayn eder ki gerçeğinden ayırmak genelde
mümkün olmaz.
20. Domain Name System Spoofing
Sahte Alan Adı Kayıtları
• Saldırgan bu adres üzerinden oluşturduğu zararlı içerikli yazılımları
ya da reklam virüslerini kurbanın bilgisayarına bulaştırır.
• Başka bir senaryo ile açıklamak gerekirse:
• Kurban online internet bankacılığı sistemine girmek için bankanın
adresini yazar. Saldırgan DNS spoofing ile kendi oluşturduğu online
internet bankacılığı sistemine yönlendirilmiştir. Sistem kurbanın
ulaşmak istediği online bankacılık sisteminin benzeri hatta kopyası
olarak yapılmıştır.
• Saldırgan sitede kurbanı kendi hesap bilgilerini girip hesabını kontrol
etmesi zorunda olduğunu sitenin bir bakımdan geçtiği uyarısını da
vererek onu giriş yapmaya zorlar.
• Hiçbir kullanıcı bu mesajı gördükten sonra acaba bu gerçek mi? diye
bankayı arayıp kontrol etmek istemez. Kurban kimlik bilgilerini girer
ve siteye giriş yapar. Artık kurbanın kimlik bilgileri çoktan saldırganın
eline geçmiştir. Bu durumda saldırgan bu kimlikle bir çok yasa dışı
platformda harcama yapıyordur.
21. Gelecekte MITM Saldırıları
• Gelecekte bu atak çeşidinin çok zor olacağı
öngörülüyor. Fakat her yeni gün hatta saat
diliminde kullanılması için yeni araçlar
geliştiriliyor ya da var olan araçlara yeni eklentiler
konuluyor.
• Aksine bu atak ilerleyen zamanlarda daha da
geliştirilip yayılabilir. Yeni geliştiriciler için yeni
ataklar.
• Yazılan kitaplarda ve Blackhat ve DefCon gibi
güvenlik konferanslarında bu açıkça belirtiliyor.
22. Ağda MITM atağı yapmak için
Kullanılan Araçlar
• Altta listesi görülen bu araçlar atağın başarılı
yapılması ve basitleştirilmesi açısından önemlidir.
• Cain
• Ettercap
• AirJack
• Ucsniff
• Wireshark
• SSLStrip
23. Farklı isimlerde MITM
• Ortadaki adam saldırısı bazı ağ uzmanları
arasında farklı isimlendirilebiliyor. Monkey in
the middle, Bucket-brigade attack, session
hijacking ve TCP hijacking gibi.
• Ethical hacking grupları ve eğitim
platformlarında daha çocuk session hijacking
isimlendirilmesi ya da Man In The Mıddle
kullanılıyor.
24. Gelecekte MITM Saldırıları
Büyük Hata
• Sistem yöneticileri ve güvenlik araştırmacıları gerekli fon bulamadıkları için
tehditlerle başa baş bilgi düzeyinde kalamıyorlar.
• Konferans ve yayınlardan tehditlerin sürekli değişim içinde olduğu
görülüyor. Bu bağlamda yeni araçlar ve tekniklerin geliştirildiğini
görüyoruz.
• Güvenlik uzmanlarından can sıkıcı şeyler duyulurken yöneticilerin güvenlik
alanında kendilerini geliştirmeleri için yeterli zaman bulamamaları ayrı bir
tezattır.
• Daha kötüsü yöneticilerin bizim bu konularla ilgilenmemize ihtiyacımız yok
demesi daha da büyük boyutlu faciaların eşiğinde olduklarını belirtiyor.
• Uzmanlar yapılan eğitimlere ve konferanslara sistem yöneticilerinin
katılması gerektiğini ve hatta kullanıcılarında katılmalarının çok büyük
önem arz ettiğinin altını çizmekteler.
• Fakat bu büyük bir bütçe gerektirdiği için kimse yanaşmamakta.
• Bu yüzden kuruluşlar şimdiden güvenlik için sağlayacakları önlemleri ve
farkındalığı artırmak için planlamalar yapmak zorundadırlar.
25. MITM Ataklarını Önleme
• Yapılan MITM ataklarını görüntülemek ve
önlemek mümkündür. Bu önlemler geniş çaplı
düşünceler ve katlı network mimarileri sayesinde
geliştirilmiş ya da tasarlanmıştır.
• Atak yöntemleri sürekli değiştiği için öncelikle
gelen atakların paket parçalarını denetleyerek
öncelikle bu atağın ne olduğunu anlayabilmek
gereklidir.
• Devamlı farkındalık sonucunda elde edilen
bilgilerde tehdidin ve atak tekniğinin ne olduğu
tespit edilerek buna karşı bir strateji geliştirilir.
26. Saldırılar için Savunma Donanımları
• Eksik savunma yöntemleri sistemin saldırgan
tarafında düşürülmesine saldırının başarılı
olmasına sebep olacaktır.
• Yetenekli bir saldırgan farklı katmanlarda güvenlik
önlemleri alınmış bir sistem üzerine giderken
farklı senaryolar deneyerek başarılı olmaya
çalışacaktır.
• Bu tür saldırılara maruz kalmamak için şirketlerin
güvenlik departmanları için çok geniş çaplı bir
güvenlik planlarının olması gerekmektedir. Bir
planlama hatası olarak şöyle bir örnek verilebilir.
27. Saldırılar için Savunma Donanımları
• Amerikan hava indirme piyadesinde bir yönetici bir
takım piyade erini sistemlerdeki herhangi bir hatayı
yahut uyarı görüntülemek ve bildirmek için
görevlendirmiştir.
• Bu piyadeler sistemde belirli bazı noktalarda dinleme
ve gözlemleme yapmaktadırlar.
• Bir süre sonra sistemden uyarı alan ve Intrusion
Detection Systems(IDS) saldırı engelleme sistemlerinin
de faaliyete geçtiğini görürler.
• Saldırı IDS sistemleri tarafından erkenden tespit
edilmiştir. Bu durumda maliyetler ve saldırının
yapılması sonucu potansiyel bir çok atak engellenmiştir.
28. Saldırılar için Savunma Donanımları
• Saldırılar için başka bir yaklaşımda sisteme giriş yapan ağ
üzerine sistemden önce oluşturulan fiziksel bariyerlerdir.
• Bunlar proxy sunucu ve güvenlik duvarı olarak adlandırılır.
• Saldırı esnasında gönderilen verilerin engellenmesi ya da
verilere dönen cevapların geciktirilerek saldırganı vazgeçirtmeye
yöneliktir. Sıralanılan bu cihazlar kontrol noktalarına yerleştirilen
küçük güvenlik önlemleridir. Fakat gelen bir çok saldırıya cevap
verme özelliğini barındırırlar.
• Daha önce sıralanan bir çok kontrol mekanizması bir masaüstü
bilgisayar güvenliği içinde kullanılan bir çok donanımdır.
Saldırılar için her ne kadar bu şekilde önlem alınsada bu iş için
yetkinlik yine de üst düzeyde tutulmadır. Çünkü bu sistemleri
atlatabilecek yetkinlikte saldırganlarda gerçek dünyada mevcut.
29. Savunma için Derinlemesine Yaklaşım
• Public Key Infrastructure (Açık Anahtar Alt Yapısı): Bu
sistem sunucu ile istemci arasında başlatılan veri
akışının sunucu tarafından şifrelenerek istemci
tarafında doğrulanan bu şifreleme türünün
çözülmesiyle benzersiz oturum oluşturmayı amaçlar.
HTTP ve HTTPS olarak bilinen bu teknoloji önceki
slaytlarda da değindiğimiz gibi MITM atakları için
tamamen engelleme yapamaz.
• PKI protokolü farklı şekillerde ayarlamalarda MITM
ataklarını yapan kişileri caydırmaya yönelik kullanılır.
Diğer sistemlerle birlikte kullanılırsa MITM ataklarının
başarıya ulaşması daha da zorlanabilecektir.
30. Savunmalar için Derinlemesine Yaklaşım
• Port Security (Port Güvenliği) : Open source (Nmap gibi)
araçlarla ağ bağlantı protokollerinin erişilebilir olanlarının
çıkarılması bir çok atak vektörünün engellenmesi için önem
arz etmektedir.
• Şirketler genelde çalışma alanlarındaki erişilebilir ağ
bağlantıları çıkarmazlar. Bu yüzden çalışma alanlarındaki ağ
protokolleri gerçek tehditlere açık durumdadırlar.
• Şirketler ziyaretçilerin sistemlere ulaşabilmeleri için geçici
olarak internet erişimlerini açmak zorundadırlar.
• Sistem yöneticileri bu durumda ziyaretçilerin sisteme
erişebilmeleri için önlemleri kaldırırlar. Bu durumda bazı
tehlikeler doğmaktadır.
31. Port Güvenliği
• Cisco, L Juniper ve HP gibi bir çok ürün sağlayıcıları port güvenliği
sağlamak amacıyla bazı ürünler sunmaktalar.
• Bu ürünler portlara gerçek kimlikle gelen yöneticiler ve ziyaretçilerin
sisteme bağlantı kurmasını kabul ederler. Fakat sahte kimliklerle
girmeye çalışan kişilerin bağlantı taleplerini süzerek engellerler.
• Bu sayede yöneticiler için potansiyel tehditleri engellemiş olurlar.
Ayrıca bunların yöneticilere hangi IP adreslerinden ulaştığını
listeleme özellikleri bulunmaktadır.
• Ayrıca bu ürünler bağlantı talep edilen portları keşfederek o portları
kapatarak başka portlara aktarırlar. Portların sürekli değiştirilmesiyle
sisteme yasadışı bağlanmaya çalışan saldırganların oturumunu
sonlandırmış olurlar. Bir kez daha bu porta bağlantı talebinde
bulunan saldırgan bilgilerini yöneticiye uyarı vererek
görüntüleyebilirler.
32. Port Güvenliği
• Bahsedilen kısıtlayıcı mantıksal güvenlik önlemi her ne
kadar kulağa hoş gelse de saldırgan erişmek istediği
portların fiziksel adresini biliyorsa kendi bilgilerini spoof
ederek (gizleyerek) sisteme geçerli erişim başlatabilirler.
• Bazı yetenekli cihazlar dinamik ARP isteklerini tespit eder ve
önleyebilirler.
33. Use Encrypted Protocols
Şifreli Protokoller Kullanmak
• FTP, Telnet ve HTTP uygulamalarının clear text
(şifrelenmemiş veri) yollanması MITM ataklarını
kolaylaştırmaktadır.
• Bu protokoller yerine bünyelerine eklenmiş şifreleme
algoritmaları içeren SFTP, SSH ve HTTPS kullanılmalıdır.
• Yöneticilerin uzaktan sunucuya erişimleri ve
kullanıcıların yine bu sunucular içerisinde
yetkilendirilmiş sunuculardan bazılarına erişim istekleri
şifreli protokoller vasıtayla gerçekleştirilmelidir.
• Şifreleme tekniği yalnız başına MITM ataklarını
engellemeye yetmeyecektir.
34. Low-Level Detection
Alçak Seviye Tespitleri
• Ağ trafiğine dair herhangi bir şüpheli durumda
sisteme gelen trafiği dinleme yöntemleriyle ya
da arp tablosuna bakarak herhangi bir
tehdidin olup olmadığı gözlenebilir.
• Amaç merkezi bir sistemle bütün ağı
gözlemleyebilmektir. Arp tablosu
görüntülendiğinde resimdekine benzer bir
durumla karşılaşılırsa o anda atak yapıldığının
anlaşılmasına için
35. Low-Level Detection
Alçak Seviye Tespitleri
• Merkezi bir sistemden ağa dair herhangi bir
saldırının olup olmadığı denetlenebilir.
• Ağda yavaşlama ya da herhangi bir durumdan
şüphelenilirse arp tablosu incelemeye alınır.
Resim 6
36. Low-Level Detection
Alçak Seviye Tespitleri
• Resim 6 daki gibi fiziksel adres kolonunda aynı
fiziksel adres görüntülenmekteyse ağda MITM
atağı yapıldığı anlaşılmalıdır.
• Fiziksel katmanda bu görülen iki IP adresi
üzerinden ARP verileri yollanılıyor. Fakat
gerçekte 192.168.1.131 adresi bir Windows
2008 sunucusuna aittir. Bu durumda ağda
MITM yapıldığı aşikardır.
37. Low-Level Detection
Alçak Seviye Tespitleri
• MITM atağından şüphelenilen durumda ağ wireshark aracılığıyla
dinlenilebilir. Bu durumda karşımıza gelen veriler değerlendirilerek
atağın nereden geldiği tespit edilebilir.
38. Low-Level Detection
Alçak Seviye Tespitleri
• Wireshark ile görüntülenen verilerde fark edilirse iki
farklı IP adreslerinden ARP verileri gönderildiği
anlaşılıyor.
• Subnet adresi ile 192.168.1.1 bu 192.168.1.197 adres
arasına konuşlan bir saldırganın gönderdiği ARP verileri
bulunmaktadır. Bu verilerin gönderildiği donanım
arayüzünün fiziksel adres ise gerçekte
00:21:70:7E:51:17 saldırganın bilgisayarına aittir.
• Arpwatch adlı araçla sistemi belli zaman dilimlerinde
görüntülenerek farklı ARP istekleri alındığında mail
adreslerine mesaj bırakarak ya da syslog mesajlarıyla
yöneticiler uyarılmaktadır.
39. Özet
• Sunuda verilen senaryolar ve atak tipleri bilgilendirme
amaçlıdır.
• Bir çok saldırgan temelde bu atakların daha farklı
tipleriyle sistemlere giriş senaryoları hazırlamaktadırlar.
• Ayrıca savunma sistemleri için geliştirilmiş bir çok
atlatma yöntemi mevcuttur. Saldırılardan 100 de 100
korunmak çokta mümkün olmasa da etkileri en alt
seviyeye indirgenmeye çalışılır.
• Bunlara ek olarak 0 day ataklarından bahsetmek
gerekirse güncel durumda bulunmuş hiçbir güvenlik
bülteninde bahsedilmemiş atakların maalesef
engellenme yöntemi yoktur.