Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Huzeyfe.onal@bga.com.tr"

Süleyman Ekren
8 yıl önce
İzleme sayısı:

1 Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma Huzeyfe ÖNAL Bilgi AKADEMİSİ Turkey YAZ

2 Huzeyfe ÖNAL Kurumsal Güvenlik Hizmetleri Yöneticisi BGA / Bilgi AKADEMİSİ Bilgi Danışmanı Bilgi Üniversitesi Öğretim Görevlisi Blogger

3 Amaç Bilgi güvenliğinin dinamik bir alan olduğu ve tak-çalıştır hazır sunulan çözümlerin gerçek manada güvenliğimizi arttırmadığının uygulamalı olarak gösterilmesi. Bilginin nin para harcamakla doğru orantılı olmadığının gösterimi. Bilgi güvenliğini sağlamada en önemli noktanın yetişmiş insan kaynağı olduğu fikrine katkıda bulunma. Ürün kullanmayın demek değil!

4 Kurumsal Firmalar/İş Ortamları

6 Tehditlerden Korunma Amaçlı Siber Savunma Sistemleri En önemli savunma sistemi hakkındaki farkındalıktır. konu Eksi farkındalık kavramı... Siber savunma sistemleri standart, bilinen saldırılara karşı koruma sağlamak amaçlı geliştirilmiştir. Klasik güvenlik anlayışımız: Sihirbazvari her türlü tehditi güvenlik sistemleri/yazılımları kurarak * çözmek.

7 Klasik Güvenlik Anlayışı Tümden savunma! Ürün temelli bir güvenlik anlayışı Ürün= sihirbaz bakış açısı(bilgi-sayar) Türkiye ye özel değil tüm dünya için geçerli Teknik sorunlar teknik yollarla çözülür, insani sorunlar insanla çözülür. Temel bilgi sahibi olmadan ileri seviye işler yapmaya çalışmak TCP/IP bilmeden Firewall/IPS yönetmek = İngilizce bilmeden şarkı söylemeye çalışmak...

8 Kullanılan Siber Savunma Sistem ve Yazılımları Firewall (Güvenlik Duvarı) IDS/IPS (Saldırı Tespit ve Engelleme Sistemi) WAF (Web Application Firewall) DoS/DDoS Engelleme Sistemleri Anti-Virüs/Anti-Spam DLP (Data Leakage Prevention) Log ve Monitoring Sistemleri İnsan

9 Siber Savunma Sistemlerinin Başarı Oranları Siber savunma sistemleri klasik, bilinen saldırıları engellemek için konumlandırılmaktadır. Reklamı yapıldığı gibi savunma sistemleri gercek bir 0 day yakalama başarısını sağlayamaz. Konumlandırılan ürünler sizin bilginiz ve ürüne hakimiyetiniz kadar efektif çözüm sunar. Tüm siber savunma sistemleri internetten ogrenilebilecek yöntem ve araçlarla atlatılabilmektedir.

10 Güvenlik Duvarı / Firewall En temel amacı ağlar arası yalıtımdır. İç ağdan internete/dmz e doğru yapılan erişimler ve internetten DMZ/yerel ağa erişimlerde kontrol sağlamak amaçlı kullanılır. Port, IP bazlı erişim kontrol listesi yazılabilir. Yeni nesil Firewall sistemleri içerik kontrolü, port kontrolü de yapabilir.

11 Firewall Çalışma Mantığı Ağlar arası erişim kontrolü amacıyla kullanılır Port ve IP Bazlı çalışır ANY TCP Port /24 ANY UDP 53 İçeriği denetleyemez(?) Bazı Firewalllar L7(içeriği göre de engelleme yapabilir) Bazı Firewalllar MAC adresine göre filtreleme yapabilir Hesap bilgilerine göre filtreleme özelliği Active Directory, LDAP

12 Güvenlik Duvarları Nasıl Engelleme Yapar? Güvenlik Duvarları genelde iki tip engelleme yöntemi kullanır DROP REJECT DROP: Gelen/giden paketi engelle ve geriye herhangi bir mesaj dönme REJECT:Gelen/giden paketi engelle ve geriye TCP RST/UDP Port Ulaşılamaz gibi bir mesaj dön

13 Firewall Atlatma(İç Ağdan Internete) Genellikle kurumsal ağlarda istemci sistemler internete doğrudan erişim hakkına sahip değildir. HTTP ve HTTPS istekleri Proxy, içerik filtreleme sistemleri üzerinden işlenir. HTTP ve HTTPS üzerinden tünelleme yapılarak güvenlik duvarları atlatılabilir. Httptunnel, Webtunnel uygulaması DNS Tünelleme kullanılarak doğrudan internetteki bir sisteme VPN yapılabilir. Webtunnel kullanarak HTTP istekleri ile sınırsız erişim yapılabilir.

14 WebTunnel Normal HTTP istekleri kullanarak TCP protokollerini tünelleme. %100 HTTP uyumlu olduğu için Yeni nesil güvenlik duvarları dahil engelleme yapamamaktadır.

15 DNS Tünelleme Amaç sadece yerel ağ dns sunucusuna erişimi olan iç ağ kullanıcısının bu DNS sunucuyu aracı olarak kullanarak internete paket gönderip alabilmesi. Özellikle kapalı networklerden dışarı çıkış için tek yolun DNS olduğu durumlarda vazgeçilmez tünelleme yöntemidir. Günümüzde çoğu ağ özellikle ticari Wifi sistemler- bu yönteme karşı korumasızdır.

16 DNS Tünelleme ile Firewall Atlatma

17 Firewall Atlatma (Reverse Shell) Internetten DMZ bölgesine yönelik sadece HTTP/HTTPS ve SMTP portu açık olmaktadır. Sunuculara doğrudan erişim yoktur, NAT vb yöntemlerle erişim yapılır. DMZ bölgesindeki sistemlere yönelik incoming trafik genellikle FW üzerinden ayarlansa da outgoing trafik serbest bırakılmaktadır (%100) Tersine tünel açma yöntemi ile DMZ de normalde yapılamayan RDP vs gibi erişimler yapılabilir.

18 Firewall Atlatma:Ters Tünelleme Teamviewer mantığı!

19 Saldırı Tespit ve Engelleme Sistemleri

20 IDS/IPS Çalışma Mantığı PORT, IP ve içeriğe göre karar verir Firewall dan en önemli farkı paketlerdeki veri alanlarını(payload) inceleyebilmesi Örnek: Firewall: DST TCP Port 80 ACCEPT IPS: dst tcp port 80 and http_uri = cmd.exe DROP

21 Saldırı Engelleme Sistemleri(IPS) İkinci nesil güvenlik sistemleri Firewall & IDS -> IPS & WAF Pakete ait tüm alanları(l2-l7 arası) iceleyip karar verebilir DROP TCP ANY 80 URICONTENT cmd.exe Drop tcp any any -> /24 80 (content: "cgi-bin/phf"; offset: 3; depth: 22; msg: "CGI-PHF attack";) Temelde iki farklı amaç için tercih edilir İçerden dışarı yapılabilecek saldırılarda/istenmeyen trafiklerde Dışardan gelebilecek saldırılarda

22 IPS Keşif Çalışması Amaç:hedef sistem önünde aktif olarak çalışan IPS lerin belirlenmesi Çoğu IPS../../etc/passwd ve../../../cmd.exe isteklerine karşı engelleme politikasına sahiptir. Hedef sunucuya bu tip HTTP istekleri göndererek sistem önünde IPS var mı yok mu anlaşılabilir rasyon-testlerinde-ips-kesfi/

23 IPS Şaşırtma Tor Ağı üzerinden port tarama, paket gönderme Nmap decoy scanning Port taramayı farklı IP adreslerinden geliyormuş gibi gösterme

24 SSL Üzerinden IPS Atlatma Örnek uygulama

25 Encoding Yöntemi ile IPS Atlatma

26 Parçalanmış Paketlerle IDS atlatma echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter tcp_seg 10 ip_frag 64 tcp_chaff paws order random print

27 Antivirüs/HIPS Atlatma AV yazılımları çalıştırılabilir veya normal dosyaların davranışı, imzaları ve içeriklerine göre sınıflandırarak engelleme yapar. En temel engelleme yöntemi statik olarak içerik ve hash kontrolüdür. Davranışsal tabanlı engelleme yöntem ve araçları hassasiyet seviyesine göre rahatlıkla atlatılabilmektedir. Ne kadar az hassasiyet o kadar kolay atlatma, ne kadar çok hassasiyet o kadar müşteri memnuniyetsizliği!

28 AV Atlatma Örneği

29 HIPS Atlatma Denemesi

30 DDoS Engelleme Sistemleri DOS/DDoS Saldırılarını Engelleme Amaçlı Geliştirilmiştir Genellikle istatistiksel veri analizine dayanır Karantina/Rate limiting/threshold özelliği elzemdir! Dikkatli ayarlanmamış bir DDoS engelleme sistemi tersine bir amaç için kullanılır...

31 DDoS Sistemi Keşif ÇAlışması %100 garantili keşif yöntemi değildir Amaç rate limiting özelliğinin varlığını anlama Hping S p 80 flood Hping udp p 53 flood İlgili portlara erişim sağlanamıyorsa muhtemelen bir ddos engelleme sistemi sizi karantinaya almıştır.

32 Örnek Iptables Kuralları iptables -A INPUT p tcp dport 80 -m limit --limit 50/s --limit-burst 30 j REJECT 10 dakikada max 10 bağlantı #iptables -I INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513: dport 22 -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT #iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds hitcount 11 -j DROP

33 Hping ile Özel Paket Üretimi Mikrosaniye =saniyenin de biri Saniyede 10 paket göndermek için #hping -i u S -p 22 a istenilen_ip_adresi Saniyede 100 adet paket gönderimi #hping -S -p c i u100

34 Web Uygulama Güvenlik Duvarı Web uygulamalarına spesifik güvenlik duvarı Sadece port/ip değil tüm paket içeriğine(http, HTTPS vs) bakarak işlem yapılır WAF arkasında çalıştırılan uygulama sisteme ne kadar iyi tanıtılırsa o oranda başarı sağlanır Ağ tabanlı IPS lerden daha fazla koruma sağlar! Değişik yerleşim/çalışma modelleri vardır Inline Reverse Proxy Passive(Active Response)

35 WAF Keşif Çalışması Wafw00f Xss denemeleri vs

36 WAF Atlatma Genellikle WAF lar SSL çözümleme yaptığı için SSL üzerinden atlatma işe yaramaz WAF ların çıkışından itibaren çeşitli atlatma teknikleri geliştirilmiştir /*!12345 select * from */ Reverse_exec http splitting

37 WAF Atlatma:SQL Yorumları /* comment */ yorum satırı olarak algılanır(sql +WAF+IPS tarafından) /*!sql-code*/ ve /*!12345sql-code*/ yorum olarak algılanmaz(sql tarafından) (WAF+IPS ler tarafından yorum olarak algılanır) /?id=1/*! limit+0+union+select+concat_ws(0x3a,u sername,password, )+from+users*/

38 WAF Atlatma:Encoding Inline çalışan WAF/IPS lerde işe yarar

39 WAF Atlatma:Reverse Fonksiyonu SQL Sunucularda bulunan reverse fonksiyonu kullanılır Reverse(lqs) = sql varchar(200) varchar(200) varchar(200) = REVERSE ('1,"snoitpo decnavda wohs" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE = REVERSE ('1,"llehsdmc_px" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE =REVERSE(' gnip" llehsdmc_px') EXEC (@c);- REVERSE(' gnip" llehsdmc_px')= ping

40 En Zayıf Halka

41 Sürü Psikolojisi

42 İletişim Bilgileri Blog.bga.com.tr t m.tr Twitte r Blog

Benzer belgeler

Güvenlik Sistemlerini Atlatma ve Alınacak Dersler. Huzeyfe ÖNAL honal@bga.com.tr www.bga.com.tr www.guvenlikegitimleri.com

Güvenlik Sistemlerini Atlatma ve Alınacak Dersler Huzeyfe ÖNAL honal@bga.com.tr www.bga.com.tr www.guvenlikegitimleri.com Huzeyfe ÖNAL Ağ güvenliği uzmanı Network pentest Alternatif ağ güvenliği sistemleri