2. blog.btrisk.com @btrisk /btrisktv /btrisk
1
I. Ağ Güvenliği Denetim
Metodumuz
i. Ağ Güvenliği Denetim Yaklaşım Özeti
Ağ güvenlik denetim yaklaşımımız, analitik olarak ardı ardına
gerçekleştirilen her bir aktivitenin bir sonrakine girdi üretmesi
biçiminde takip eden sayfalarda ifade edilmiştir.
Bununla birlikte denetim çalışmasının ileri adımlarında yer alan
bir aktivite gerçekleştirilirken ek bilgiler elde edilebilecek veya
yeni birbilgiye ihtiyaçduyulabilecektir. Bu durumda denetlenen
alanın güvenlikaçısındankritikliği de gözönünde bulundurularak
önceki adımlara dönüp aktivitenin yeni bilgi ışığında veya yeni
bilgi ihtiyacını sağlamaya yönelik olarak tekrarı söz konusu
olabilecektir.
Kullanılacak parola sözlük ve kaba kuvvet saldırıları çalışma için
ayrılmış zaman bütçesi göz önüne alınarak zamanlanacaktır. Bu
saldırıların sahipolunanzamanaralığında başarılamamasızafiyeti
hafifletici bir durum olmayıp bu bulgular raporda yer alacaktır.
Hizmet kesintisi saldırıları gerçeklenmeyecektir.
Özellikle saldırı kodlarının denenmesi sırasında risk yönetim
prosedürüne uygun biçimde kurum personeli ile koordinasyon
halinde bulunulacaktır.
3. blog.btrisk.com @btrisk /btrisktv /btrisk
2
ii. Ağ Güvenliği Denetim Yaklaşım Detayı
Kurum ve Kurum’a Ait İnternet Servisleri Hakkında Bilgi Toplama:
Kurumaait internet servisleri, teknik personel iletişim bilgileri,
kurumun BT ürün ve hizmet sağlayıcıları, kurum tarafından
kullanılanteknolojik altyapı (işletim sistemi, web sunucusu, vb.
bazında) ve yazılımlar hakkında saldırı için fayda sağlayabilecek
verilerin aşağıdaki araç ve yöntemlerle toplanmasını içerir:
Arama Motorları (link verilerinden faydalanılarak web
sunucularının ve web uygulamarının tespiti, hassas kurumsal
dosyaların,(wardialing çalışması kapsam içindeyse bu çalışmaya
baz teşkil edecek) kuruma ait telefon numaraları bilgilerinin, ve
yukarıda da sayılan diğer verilerin toplanması için)
Netcraft(kurumalanıiçinde yeralanwebsunucularının,bunların
model ve versiyonlarının, kurum alan adlarına benzer alan
adlarının tespiti, wayback machine aracı ile web sitelerinin eski
görüntülerinin tespiti için)
Whois(IP,AlanAdı) Veritabanları (kuruma ait IP adres aralığının,
teknikpersonelbilgilerinin, destek alınan ISP bilgilerinin tespiti
için)
BGP Sorgulama (internet çıkış bilgilerinin ve komşu otonom
sistemlerin belirlenmesi için)
4. blog.btrisk.com @btrisk /btrisktv /btrisk
3
DNS Sorgulama (ad kaba kuvvet saldırıları ve alan transferi
yöntemleri ile sunucu tespiti, IP adres bloğunda bulunan IP’ler
için tersine sorgulamayla sunucu isimleri ve işlevleri hakkında
bilgi toplamak için)
WebSunucuları(tümiçeriğinindirilmesi, içeriğin içindeki yorum
satırlarının ve içerikteki güvenlik açısından hassas bilgilerinin
incelenmesi için)
SMTP Mesajı (mevcut olmayan bir e-posta adresine e-posta
gönderilmesi suretiyle geri dönen mesajın başlık bilgilerinden
faydalanarak kurum ağ mimarisi hakkında bilgi edinmek için)
Diğer Halka Açık Bilgiler (kurum fiziksel yerleşimleri, grup
şirketleri ve diğer ağ bağlantıları hakkında bilgi toplamak için)
Yukarıdaki aktiviteler Bidiblah gibi bir araç veya doğrudan ilgili
bilgiyi sağlayan internet servisi kullanılarak
gerçekleştirilebilecektir.
Sunucu ve Servis Tarama
Genel bilgi toplamaadımındaelde edilen verilerden yola çıkarak
ve kurumun sahip olduğu IP adres aralığındaki canlı sistem ve
servisleri tespit etmek amacıyla protokol ve servis taramalarını
içerir:
IP protokol tarama
ICMP tarama (Type 8, 13, 15 ve 17 ICMP paket türleri
kullanılarak)
TCP port tarama (TCP connect bağlantısı yöntemiyle tarama IP
yasaklaması doğurmuyorsa tam güvence için connect bağlantı
yöntemiyle)
UDP port tarama (tarama zamanını çok fazlaartırdığından sadece
bilinenportlariçin ve UDP servisi barındırdığından şüphelenilen
sunuculara odaklanılarak)
Eğer mevcutsa web proxy ve ftp sunuculara yönelik proxy
sıçrama taraması
Bu adımın çıktıları işletim sistemi ve ağ servisleri üretici ve
versiyon belirleme çalışmasına esas oluşturacaktır.
Ağ Haritasının Çıkarılması
Kurum ağının derinliği, DMZ ve iç ağ bölümleri, filtreleme
kurallarınınanlaşılmasıiçingerçekleştirilen aşağıdaki aktiviteleri
içerir:
Yönlendirme bilgisi toplama (Traceroute, hping2 gibi araçlarla)
5. blog.btrisk.com @btrisk /btrisktv /btrisk
4
Filtreleme kurallarının testi (Firewalk ile)
İşletim Sistemi Tespiti (Enumeration)
İşletimsistemi versiyonununyüksekihtimalle tespitedilmesi için
protokol ve port taramalarından elde edilen verilerin yanı sıra
aşağıdaki aktif yöntem ve araçlarla gerçekleştirilen aktiviteleri
içerir:
o Farklı işletim sistemlerinin farklı başlık bilgilerine sahip
paketlere verdikleri farklılıklardan yola çıkarak her bir
işletimsistemi içinaşağıdaki özelliklerinaktif yöntemlerle
incelenmesi (fingerprinting):
IP protokol özelliklerinin
ICMP protokol özellikleri
TCP protokol özellikleri
o Dinleyen port numaralarından yola çıkarak kabaca
işletim sistemi ailesi ve versiyonunun tespiti
o Her birservisiçin“banner”metinlerininincelenmesi (bu
metinlerkesinolarakgüvenilememekle birlikte versiyon
tespiti için önemli bilgi verebilmekte, bazı durumlarda
sistem yöneticisi tarafından değiştirilse bile belli başlık
alanları veya gönderilen isteklere karşı ürettikleri yanıt
özellikleri nedeniyle işletimsistemi veya servis tespitine
olanak sağlayabilmektedirler)
o Servis davranış özellikleri ve uygulama seviyesinde
isteklere verilen yanıtlardaki farklılıklar
Ağ Servisleri ve Sistem Kullanıcılarının Tespiti (Enumeration)
Servis versiyonu ve sistem kullanıcılarının tespiti için aşağıdaki
genel ve servise ve işletim sistemine özel aktivitelerin
gerçekleştirilmesini içerir:
Servis ve servis versiyonu belirleme için genel aktiviteler
o Banner metinlerinden yola çıkarak tahmin
o Bilinen port numaralarından yola çıkarak tahmin
o AMAP(veyaNMAP’inservisbelirleme özelliği) ile servis
versiyon tahmini (application fingerprinting)
o Özellikle versiyon ve kullanıcı kodlarının belirlenmesine
imkantanıyabilecekaşağıdaki genel ve işletim sistemine
özel servislerinincelenmesi (Not: Sıralanan Windows ve
Unix işletimsistemlerine özgü servis isimleri çalışmanın
detayı hakkında fikir vermek içindir. Bu işletim
6. blog.btrisk.com @btrisk /btrisktv /btrisk
5
sistemlerinin dışındaki sistemler için kendilerine has
servisler incelenecektir):
Genel Servisler
o SNMP (UDP 161)
o SMTP (TCP 25)
o POP-3 (TCP 110)
o IMAP (TCP 143)
o TFTP (TCP/UDP 69)
o FTP (TCP 21)
o Telnet (TCP 23)
o HTTP/HTTPS (TCP 80/ TCP 443)
o SSL
o IPSec (ISAKMP – UDP 500)
o SSH (TCP 22)
o VNC (TCP 5800 / 5900)
Unix Servisleri
o Unix RPC (TCP/UDP 111, 32771)
o NFS (RPC programı 100003)
o R-Services (exec – TCP 512, login – TCP 513, shell – TCP
514)
o NTP (UDP 123)
o X Windows Server (TCP 6000-6063)
Unix Kullanıcı Tespitine Yardımcı Servisler
o Finger (TCP/UDP 79)
o Rwho (UDP 513) ve Rusers (RPC programı 100002)
o NIS (RPC programı 100004)
o Auth (TCP 113) (identd servisi)
Windows Servisleri
o NetBIOS Name Service UDP 137)
o SMB (NetBIOS Session Service: TCP 139 veya SMB over
TCP – CIFS: TCP/UDP 445)
o LDAP ve Active Directory Global Catalog (TCP 389 / TCP
3268)
o MSRPC (TCP/UDP 135)
o NTP (UDP 123)
o Terminal Services (TCP 3389)
7. blog.btrisk.com @btrisk /btrisktv /btrisk
6
Kullanıcı Parola Tespit Saldırılarının Gerçekleştirilmesi (Kısıtlı
Zaman İçin)
Aşağıdaki yöntemlerle tespit edilmiş olan kullanıcı kodlarına
yönelik kısıtlı süre için sözlük (dictionary) ve kaba kuvvet
saldırıları yöntemleriile parolatespitve yetkisizerişimtestlerinin
gerçekleştirilmesi:
o Tespitedilenservislerdenkullanıcı kodu sızdırma yoluyla
belirlenen kullanıcı kodları
o Genel bilgi toplamaadımındaelde edilenkullanıcıkodları
o Tespit edilen servislerin kurulumunda öntanımlı olarak
bulunan kullanıcı kodları
o Kurum bilgilerinden yola çıkarak tahmin edilebilen
kullanıcı kodları
o Yaygın olarak kullanılan kullanıcı kodları (bilgi, admin,
user, helpdesk gibi)
Kullanılan parola sözlükleri kuruma özgü ve kurumla ilgili bilgi
toplama adımında elde edilen veriler de kullanılarak
oluşturulacaktır. Saldırı için kullanılacak araç veya geliştirilecek
betikler söz konusu servise yönelik ve bu servisin iletişim
kurduğu protokole uygun olarak belirlenecektir.
Tespit Edilen Servis Versiyonlarına Yönelik Açıklık Tespiti ve
Açıklığın Test Edilmesi
Versiyonu belirlenen servisler için herkese açık açıklık
veritabanları taranacaktır. Söz konusu açıklık için yayınlanmış bir
POC (proof of concept) saldırı kodu bulunuyorsa bu kod
derlenerek söz konusu açıklığın gerçekten bulunup bulunmadığı
test edilecektir.
Özellikle açıklığın saldırı koduyla denenmesi risk yönetim
prosedürümüz gereği kurumtemsilcisiyle koordinasyon halinde
gerçekleştirilecektir.
Hizmetkesintisine yönelik saldırı kodları denenmeyecek, açıklık
veritabanlarından söz konusu versiyonla ilgili raporlanmış olan
hizmet kesintisi açıklıkları sadece olası açıklık olarak
raporlanacaktır.
8. blog.btrisk.com @btrisk /btrisktv /btrisk
7
Genel Ağ Güvenliği Değerlendirmesi
Ağ güvenliğideğerlendirmesi sadece yetkisizerişimzafiyetleri ve
hafıza taşma, “format string”, “integer overflow”, “race
condition” gibi uygulama açıklıkları yönünden değil aşağıdaki
açılardan da gerçekleştirilecektir:
o Filtreleme kurallarının yeterliliği
o Parola politikalarının yeterliliği
o Kaba kuvvet saldırılarına karşı kullanılan yöntemlerin
etkinliği(CAPTCHA kullanımı, 3 başarısız deneme sonrası
belli bir süre kullanıcı hesabının kilitlenmesi gibi)
o İnternet’e açık servislerin nitelikleri ve gereklilikleri
(örneğin veritabanı servisinin doğrudan internet gibi
tehlikeli ağbölümlerine açılmasının neden olacağı riskin
değerlendirilmesi gibi)
o Kullanılan protokollerin güvenlik açısından yeterliliği
(örneğine-postaveyafinansal işlemsağlayanservislerde
kriptolama kullanılmaması gibi)
o Kullanılan servislerin kullandığı kriptolama ve özet
algoritmalarının yeterliliği
o Servislerin hatalı işlemler, hatalı kullanıcı tanılama
denemelerine karşı verdiği hata mesajlarının kritik veya
saldırganın işini kolaylaştırıcı bilgi barındırmaması
o Servislerin gereğinden fazla bilgiyi banner’larında veya
yanıt olarak dışarı sızdırmaması