Cyberoam Single Sing On İle Active Directory Konfigürasyonu Cyberoam üzerinde bu konfigurasyonunun yapılmasının amacı DC üzerinde bulunan son kullanıcı ve grupların hepsini Cyberoam üzerine alıp yönetebilmektir. Yukarıdaki network topoloji baz alınarak Cyberoam Firewall üzerinde Active Directory konfigürasyonu aşağıdaki adımlar takip edilerek yapılır. Cyberoam ile DC arasındaki bağlantıyı sağlayacak Cyberoam Transparent Authentication Suite (CTAS) kurulumu yapıldıktan sonra aşağıdaki işlemler yapılır.
CTA Collector bölümünde Cyberoam LAN interface bacağının IP si yazılır. CTA Agent sekmesinde yapılacak işlem ise DC nin olduğu network sınıfı tanımlanır.
Aşağıdaki resimde görüldüğü üzere DC nin üzerinde tanımlı olan Netbios name= TARIMTV, Specify Fully Qualfied domain Name= tarimtv.local alanları doldurulur.
DC nin üzerinde tanımlı olan alan adı bu bölümde tanımlanır.
Start > Administrative Tools > Local Security Policy (Başlat > Yönetici Araçları > Yerel Güvenlik İlkesi ) yolu takip edilerek Security Settings > Local Policies > Audit Policy (Güvenlik Ayarları > Yerel İlkeler > Denetim İlkesi ) Hesap oturumu açma olaylarını denetle çift tıklanarak Yerel Güvenlik Ayarı sekmesinde Success (Başarılı) ve Failure (Hata) kutucukları işaretlenir.
Aynı şekilde belirtilen adımların olduğu yerde oturum açma olaylarını denetle kısmıda çift tıklanarak Başarılı ve Hata kutucukları işaretlenir.
Cyberoam da CTA konfigurasyonundan sonra Console üzerinden girilmesi gereken 2 komut yazılarak DC den user ve grupları Cyberoam üzerine çekilmesi sağlanır. console> cyberoam auth cta enable
console> cyberoam auth cta collector-ip <ip-address> collector-port <port> create-new-collector-group IDENTITY > Authentication > Authentication Server > Add yolu takip edilerek aşağıdaki tanımlamalar yapılır. IDENTITY > Authentication > Firewall > Authentication Server List adımları takip edilerek aşağıdaki işlemler yapılır ve konfigurasyon tamamlanmış olur.
IDENTITY > Authentication > Firewall > CTAS Settings adımları takip edilerek User Inactivity Enable seçilir. DC den gelen userları görmek için IDENTITY > Users yolu takip edilir. İlgili ekran görüntüsünde olduğu üzere DC üzerindeki tüm kullanıcılar user sekmesinde görünmektedir.
Cyberoam Firewall ve Android Üzerinde Open SSL VPN Yapılandırması SSL Vpn dış networkten yani kurum dışında herhangi bir noktadan internet üzerinden kurum networküne erişim sağlamak için yapılan bir uygulamadır. Bu makalede Android işletim sistemini kullanan cep telefonları üzerinden open source bir yazılım olan OPEN VPN uygulamasını kullanarak kurum networküne erişim yapmak için Cyberoam üzerinden yapılması gereken işlemler anlatılacaktır. Cyberoam güvenlik duvarı üzerinde Open SSL Vpn bağlantısı oluşturmak için öncelikle bir kullanıcı oluşturulur. IDENTY > Users > Add adımları takip edilerek kullanıcı tanımlanır. Cyberoam un public ip sini SSL Vpn portu belirtilerek kullanıcı ekranı gelmesi sağlanır.
Kulla nıcı ekranında ilk adımda tanımlanan kullanıcı bilgileri girilerek, SSL VPN User Portal ı karşımıza çıkacaktır. Bu portal da Android Open SSL Vpn için bir konfigürasyon dosyası oluşmuştur. Client Configuration for Mac Tunnelblick IPV4 dosyası tıklanarak bilgisayara indirilir. Sonrasında dosya rar dan çıkartılarak normal dosya şeklinde Android bir telefona yüklenir.
Android telefonlarda Google Play uygulaması üzerinden OpenVPN programı indirilerek kurulum gerçekleştirilir. Ve aşağıdaki adımlar takip edilir.
Tüm bu işlemlerden sonra OpenVPN ile bir Android telefonda nasıl bağlantı kurulduğunu ve de bağlantıdan sonra da Cyberoam loglardan nasıl görüldüğü belirtilmiş oldu. Cyberoam Firewall Mac Adres Filtreleme Cyberoam Firewall (Güvenlik Duvarı) üzerinde belli kullanıcılara mac adresi filtrelemesi yaparak internet çıkışını sağlamak için aşağıdaki adımlar takip edilir. Buradaki kurgu, kurum içinde yada dışında olan kullanıcıların wifi şifrelerini bilseler bile mac adresi listesinde kendi bilgisayarlarının mac adresi yoksa internete erişimleri engellemektir. Bu sadece belli kullacıların o hattı kullanmalarını sağlamak için yapılan bir adımdır. Amaç hem güvenlik hem de o hattın verimli kullanılmasıdır. Aşağıda verilen adımda internet izni verilecek olan mac adreslerin girişleri yapılır. OBJECTS > Hosts > MAC Host > Add
FIREWALL > Rule > IPv4 Yukarıda belirtilen adımlarda mac adresi tanımlanan kullanıcıları internete çıkarmak için kural tanımlanır. Burada dikkat edilecek husus kısıtlama yapılacak olan misafir kullanıcılarının hangi zoneda olduğudur. Bu bilindikten sonra destination olarak Wan Zone seçilirek devam edilir.4 nolu adımda bir önceki resim de ifade edilen mac adreslerinin olduğu liste seçilir. Sonrasında ise diğer adımlar takip edilerek devam edilir. Aşağıdaki resimde ifade edilen açıklamalar önemlidir. Artık belirtilen listedeki kullanıcılar haricinde GUEST Zone da bulunan diğer kullacılar internet erişimi sağlayamayacaklardır.
Cyberoam Güvenlik Duvarı Application Filter Oluşturma Cyberoam Firewall üzerinde user/grouplar üzerinden internete çıkışlarda belli başlı uygulamalar engellenmek isteniyorsa applicaiton filter uygulanır. Bunun için ilk önce user yada gruplar belirlenir. Sonrasında ise yasaklanmak istenilen uygulamalar belirlenip istenilen kural üzerinde etkin hale getirilir. Bu makalede social networking kategorisinde bulunan (facebook,twitter vb.) uygulama ve siteleri Cyberoam FW (güvenlik duvarı) üzerinde nasıl engelleneceği adım adım anlatılacaktır. 1- APPLICATION FILTER > Policy > Add yolu takip edilerek bir şablon oluşturulacaktır. 2- Adımlar takip edilerek gerekli alanlar doldurulur. 2 nolu adım önemlidir. Allow all seçilirse ilk etapta bu şu anlama gelir. Bu şablonun içerisinde her uygulamaya izin ver, sadece deny olanlara izin verme anlamını taşır. Eğer ilk etapta Denny
all seçilirse şayet bu şablonda yer alan hiçbir uygulamayı çalıştırma sadece allow olanlara izin ver anlamını taşımaktadır.burada ise her uygulamaya izin verilecek sadece sosyal network uygulamaları engellenecektir. 3- Oluşan Social Networking şablonunun içine girilerek Add sekmesine tıklanılır. 4-1 nolu adımda Category kısmından Social Networking seçilir. 2 nolu adımda Select All denilerek tüm bu category de olan uygulamalar kısıtlanmış olacaktır. Select Individual Application seçilirse burada tüm işaretler kalkacak ve sadece istenilen seçilerek ilerlenir. 3-nolu adım da bu uygulamalar
yasaklanacağı için Deny seçilerek 4 nolu adımda onay verilir. 5- Bu Category kısmında olan tüm uygulamalar Deny yapılarak yasaklanmıştır. 6- Oluşturulan şablonun ilgili users/gruopslarda etkin hale getirmek için FIREWALL > Rule > LAN-WAN_AnnyTraffic kuralının içine girilir.
7- Security Policies > Application Filter > Social Networking > Ok diyerek ilgili kurala, hazırlanmış olan şablon entegre edilmiş olacaktır. 8- Yukarıdaki adımlardan sonra ilgili kuralda bu şablonu etkin hale getirmek için OK tuşuna basılır.
Network te bulunan user/grouplar için uygulanmak istenilen sosyal medya yasaklanmıştır. Cyberoam Güvenlik Duvarı Web Filter Oluşturma Cyberoam Firewall üzerinde user/group lar üzerinden internete çıkışlarda belli başlı web siteleri engellenmek isteniyorsa web filter uygulanır. Bunun için ilk önce user yada gruplar belirlenir. Sonrasında ise yasaklanmak istenilen web siteleri belirlenip istenilen kural üzerinde etkin hale getirilir. Bu makalede social networking, shopping, porn, hacking, adult içerik vb. kategorilerde bulunan bir çok web siteleri cyberoam fw (güvenlik duvarı) üzerinde nasıl engelleneceği adım adım anlatılacaktır.
1- WEB FILTER > Policy > Add yolu takip ederek ilk önce bir şablon oluşturulur. 2- Name kısmına isim verildikten sonra Template kısmına da Allow All denilir. Bu kısım önemlidir. Allow all denilmesi tüm sitelere izin ver yanlızca bu şablon içinde yer alan category yada belli siteleri yasakla anlamına gelir. Eğer Deny All denilirse bu düşüncenin tam tersi olacaktır. 3- Oluşturulan ilgili şablona tıklanarak diğer adımlar takip edilir.
4- Şablonun içine girildikten sonra Add denilerek karşımıza çıkan sayfada Web Category bölümünde istenilen alanlarda kısıtlamalar yapılır. Seçilen kısıtlamalarda HTTP Action ve HTTPS Action kısımları mutlaka Deny olmalıdır. 5Aşağıdaki resimde görüldüğü üzere yukarıdaki resimde belirtilen yerden bir çok category de kısıtlamalar yapılmıştır.
6- Oluşturulan web filtrenin etkin hale getirebilmesi için LAN-WAN a giderken uygulanması gerekmektedir. FIREWALL > Rule > LAN_WAN_AnyTraffic kuralına tıklanarak içerisine girilir. 7- Security Policies > Web Filter > Yasaklı_Siteler category si seçilir ve Ok basılır.
8- Yukarıdaki işlemlerden sonra kuralın içinde aktif hale gelebilmesi için OK tuşuna basılır. Artık bu oluşturulan web filtere aktif hale getirilmiştir. Paloalto LDAP
Yapılandırılması LDAP: Açılımı Lightweight Directory Access Protocol olan LDAP, X.500 standardı ile tanımlanan dizin erişim protokolünün hafifletilmiş sürümüdür. İletişim protokolü TCP/IP dir. ( DAP (Directory Access Protocol), sunucu ve istemci arasındaki haberleşmeyi tanımlar. OSI modelinin uygulama katmanında çalışan bir protokoldür. Çalışabilmesi için tüm OSI katmanlarına ihtiyaç duyar.) LDAP istemcisi ldap icin yazilmis ve ldap istemcisinin icine gömülmüş API (Application Programming Interface) vasitasiyla aradigi bilginin formatını olusturarak TCP/IP vasıtasıyla dizin sunucusuna gönderir. Bu istegi alan dizin sunucusu bu istegi dizini iceren bilgisayari sorgulayarak (Eskiden LDAP X.500 dizinlerine ulaşmak icin kullanilan bir gateway idi ve böylece LDAP sunucusu ile X.500 dizini farklı bilgisayarlarda bulunurdu. Fakat zamanla X.500 un getirdigi yük sebebi ile dizin direk sunucunun olduğu sisteme gömülmüştür) gerekli bilgiyi yine ayni yolla istemciye gönderir. Kısacası LDAP tüm kullanıcılarının en hızlı şekilde ve sürekli olarak bilgiye ulaşmalarını sağlayabilmek için, hızlı, ölçeklenebilir ve yönetilebilir bir ağ altyapısı kurmak için oluşturulmuştur. Bilgisayarların yoğun olarak kullanıldığı ağ üzerindeki IP (Internet Protocol) adres ayarlarının otomatik olarak gerçekleştirilebilmesi amacıyla LDAP (Light Weight Directory Access Protocol) kayıtlarını kullanan bir otomatik IP atama sistemi kullanılır. Paloaltoda ldap tanımlamasına geçmeden önce her hangi bir network üzerinde olduğumuzu kabul edip var olan network içinde aktif dizin alanında olan ip bloklarının ve user(kullanıcı) ların yetkilendirmek yada kısıtlamak amacı ile LDAP oluşturacağımızı varsayıyoruz. Verilen ip ler yada userlar kendi topolojime göre hazırlanmıştır. Şimdi ise paloalto fw
cihazında LDAP nasıl tanımlanır anlatmaya çalışalım. İlk önce Device-Server Profiles-LDAP-Add işlemi yapılır. Şekil 1 Yukarıdaki işlemden sonra LDAP tanımlaması yapılacak olan yer karşımıza çıkacaktır. Burada bazı bilgilere ihtiyaç olacaktır. System admin olan kişiden Aktif dizine ait bazı bilgilerin (server ip, etki alanı adı, password vs.) alınması gerekmektedir. Şekil 2
Ok işaretleri ile gösterilen yerler önemlidir. Oluşturulan bütün profiller de name yazılmalıdır. Yazılmadığı takdirde paloalto, her zaman sarı ile çizgi çizer. Sizde yanlış yaptığınızda yada doldurulması gereken bir yerde boş bırakılan alanlar olduğunda profilin tamamlanmadığını göreceksiniz. Servers bilgileri kısmında elimizde olan bilgiler girilir ve burada port numarası önemlidir. Eğer ssl bağlantılı bir ldap tanımlaması yapılacaksa 636 portundan bağlanmak gerekecektir. Ssl olmayacaksa 389 nolu port yazılmalıdır. Bundan sonra ise Device-User Identification-User Mapping sekmelerine gelindikten sonra Şekil 3 te en sağ da ok ile gösterilen yer tıklanır. Şekil 3
Yukarıdaki şekilde sağ ok ile gösterilen yere tıklanıldığında Şekil 4 de gösterilen WMI Authentication sekmesine gelindiğinde, çok önemli olan bir noktayı kaçırmamak gerekiyor. O da User Name alanındaki yazılan Aktif Dizin deki tanımlanan isim nasılsa, buraya da aynısı yazılmalıdır. Buradaki User Name kısmı rast gele yazılamaz. Aksi taktirde tanımlanan LDAP kesinlikle çalışmayacaktır. Password kısmına yazılan şifre de kesinlikle sizin kafanızdan yazdığınız bir şifre olmamalıdır. System admin tarafından verilen bilgiler arasında şifre de olmak durumundadır. Not: Verilen ip adresinde tanımlanan user lar aşağıdaki verileri doğru yazdıktan sonra paloalto cihazı aktif dizinden çekebilecektir. Şekil 4
Şekil 5 te ise Device-User Identification-Grup Mapping kısmına gelindiğinde Server Profile sekmesinde Check List tıklandığında ilk önce tanımlanan ldap karşımıza gelecektir. Şekil 5 Burada ise Device-User Identification-Grup Mapping kısmına gelindiğinde Group Include List sekmesinde ok işaretleri ilen gösterildiği üzere ldap içersinde tanımlanan user leri ortada bulunan + işaretine basılarak grup
oluşturabilirsin. Not: Aşağıdaki gibi, user listeleri gelmiyorsa eğer yukarı da yapılan tanımlamalardan bir yada bir kaçı yanlış yapılmış demektir. Başa dönüp kontrol etmelisiniz. Şekil 6 Aşağıdaki şekilde çok dikkat edilmesi gereken bir husus var. O da Şekil 1 de yaptığımız tanımlamada ssl bağlantısını seçtiğimiz için authetication olabilmesi için DeviceAuthetication Profile-Add sekmelerine gelip profil oluşturmalıyız. Şekil 7
Aşağıdaki şekilde görülen yerleri aynen yapabilirsiniz. Name text alanına istenilen bir ad girilebilir. Sol alt tarafta add kısmına gelindiğinde karşımıza Şekil 6 da oluşturduğumuz Include Groups lar gelecektir. Authentication text alanında LDAP oluşturduğumuz için ldap seçilir. Server Profile kısmında ise zaten ldap seçtiğimiz için yukarda otomatik oluşturduğumuz profile gelecektir. Şekil 8 olarak Şekil 2 de
Normal şartlarda LDAP tanımlamamız bitmiştir. Ola ki birden fazla Aktif Dizin tanımlaması yaptınız ve bunun yönetimini nasıl yapacaksınız ile ilgili olarak son şeklimizde onun tarifini yapalım. Device-Aouthentication SequenceAdd sekmelerine basarak bir den fazla ldap tanımlamasını (sıralandırılmasını) yapılandırabilirsiniz. Şekil 9
Paloalto Güvenlik Duvarı Dhcp Uygulaması DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini otomatik olarak dağıtan bir protokoldür. DHCP kullanımı şu şekilde gerçekleştirilir: Bir makine DHCP sunucu olarak kurulur. DHCP sunucuda diğer bilgisayarlara dağıtılacak adresler için bir adres aralığı ve bir subnet maskesi tanımlanır. IP adresi ve subnet maskesi dışında dağıtılabilecek parametreler de(default gateway, DNS ve WINS sunucu adresleri gibi) tanımlanabilir. DHCP istemci olarak belirlenmiş bilgisayarlar DHCP sunuculara başvurduklarında adres havuzlarından uygun bir adres seçilerek subnet maskesi ile birlikte istemciye gönderilir. Bu sırada seçimlik bilgiler (default gateway adresi, WINS sunucu ve DNS
sunucu adresleri gibi) de istemciye gönderilebilir. Eğer istemci bilgisayar bu adres önerisini kabul önerilen adres istemciye belli bir süre için verilir. adres havuzunda verilebilecek bir adres kalmamışsa ve başka bir DHCP sunucudan da adres alamıyorsa iletişimine geçilemez. DHCP ile IP adres alımı broadcast mesajlara ağımızı oluşturan her bölüme bir DHCP gerekmektedir. Bölümlerin birine kuracağımız diğer bölümlere de hizmet vermek mümkündür. büyük alanlara kurulu olan üniversitelerde, kuruluşlarında, okullarda kurulmaktadır ederse Eğer IP istemci TCP/IP dayandığı için, sunucu kurmak DHCP sunucu ile DHCP sunucular çeşitli devlet Görüldüğü üzere DHCP tanımlaması bir hayli uzun bir iş gibi duruyor. Ama paloalto sayesinde bu işin çok da rahat olduğunu göreceksiniz. Firewall ların bu denli zahmetli işleri çok basite indirgemesi işimizi çok kolaylaştırıyor. Şimdi ise paloalto da nasıl DHCP tanımlanır hep beraber görelim. Paloalto Fw ana ekranından gelip add sekmesi tıklanır. Şekil 1 Network-DHCP sekmesine
Karşımıza gelen ekranda DHCP Server sekmesine gelip add linki tıklanır. Şekil 2 Şekil 3 te dikkat edilmesi gereken yerler var. İlk olarak Interface belirtilmeli sonrasında ise Gateway i yazılmalıdır. Interface de tanımlı hangi subnet varsa IP Pools a o subnet yazılır. Eğer istenirse bu kısma siz belli bir aralıkta(10.0.1.100-10.0.1.200) yazabilirsiniz. DNS kısımlarıda eğer bir DNS sunucunuz varsa o sunucuya ait IP leri, yoksa Türk Telekom un yada Google DNS sunucu adresleri yazılabilir. İşlemler bittikten sonra commit işlemini yapılır. Artık o Interface üzerinden bağlı bütün client lar ip lerini paloalto üzerinden almış olacaktır. Şekil 3
Böylelikle paloalto firewall üzerinden DHCP nasıl kurulmuş öğrenmiş olduk. Artık DHCP sunucuna gerek kalmadan sizin yerinize bütün işlemleri paloalto halletmiş oldu. Paloalto Qos Uygulaması QOS ( Quality of Service) Kısaca tanımlamak gerekirse QoS uygulamalarında asıl amaç var olan internet bant genişliğini (bandwidth) en verimli şekilde
kullanılabilmesine imkan sağlamaktır.başka bir ifade ile bir network bağlantısı üzerinde çalışan bir trafik veya uygulama türüne öncelik veren çeşitli teknikler diyebiliriz. Bu uygulama hakkında gerekli araştırmalar internet üzerinden yapılabilir. Bu makalenin amacı Paloalto firewall cihazında, QOS yapısının youtube uygulamasında nasıl yapıldığı ile ilgili örnek bir çalışma yapılarak anlatılması olacaktır. Şekil-1 Yukarıdaki Şekil 1 de paloalto da ki mantalitesi verilmeye çalışılmış. İlk önce profile oluşturulacaktır. Sonrasında ise profile class tanımlaması yapılıp Qos policy de gerekli tanımlamalar yapılacaktır. Bunun için gerekli adımlar takip edilir. Paloalto firewall cihazında QOS uygulamasının yapabilmesi için ilk önce Network-Qos Profile-Add sekmeleri üzerine gelip Şekil 2 olduğu gibi adımlar takip edilir. Şekil-2
Profile ekleme işleminden sonra karşımıza gelen görüntüde belirtilen alanlar doldurulur. Şekil-3 Şimdiki ekranda aktifleştirilir. (Şekil-4) ise oluşturulan profile
Sırası ile Network-Qos-Add tanımlamalara devam edelir. sekmelerine tıklayarak Şekil-4 Şekil-5 Şekil-5 de verilen açıklamalara dikkat etmeliyiz. Önemli uyarılardır. Burada dikkat edilmesi gereken hususlardan biri de bantwith genişliğini hangi interface de gerçekleştirmemiz gerekiyorsa o interface belirtmemiz gerekmektedir. Şekil-6
Not: Şekillerdeki açıklamalara dikkat edilmelidir. Şekil-7 Şekil-7 de ise Qos tanımlamasının son halini görülmektedir. Şimdi ise artık yapılan tanımlamaları Policies-Qos-Add kısmına gelerek uygulamayı aktif hale getirebiliriz. Şekil-8
Şekil-9 Yukarıdaki şekilde verilen isim şuana kadar yapılan uygulama sayısını gösteriyor. Siz tabi ki de kendinize göre isim verebilirsiniz. Şekil-10
Source zone belirttikten sonra source ip yi de bilirtilir.siz buraya 10.10.1.0/24 subneti belirterek te yazabilirsiniz.sadece tek bir ip de kısıtlı kalmak istemesseniz eğer. Şekil-11
Destination(hedef) zone da belirtilir. Destination Address te yine ip ya ip aralığı belirtebiliriz. Şekil-12 Application kısmında ise daha önce tanımlanan profile daki özellikler hangi uygulamada kısıtlanacaksa o uygulamayı belirtilmelidir. Buradan sonra yapılması gereken artık oluşturulan Qos uygulamasının commit edilerek çalıştırılmış hale getirilmelidir.sonrasın da ise Browser dan youtube uygulamasını çalıştırıp uygulamanın paloalto cihazındaki oluşumu aşağıdaki gibi izlenilebilir. Şekil-13
Burada ise Monitor-Session Browser da işaretlenen kısımda belirtilen zone aralığında çalıştığı görülmektedir. ve interface de uygulamanın Şekil-14 Kırmızı ok ile gösterilen yerde ise yapılan uygulama daha ayrıntılı bir şekilde gösterilmektedir.uygulamanın daha da ayrıntısını Network-Qos-Statics kısmına gelinerek görülebilir. Şekil-15
Şekil-16 Şekil-17
Şekil-18 En son şekil de görüldüğü üzere tanımlanmış olan Qos uygulaması istenilen şekilde hazırlanmış ve sağlıklı bir şekilde çalıştığı görülmektedir. Komut Satırı Ele Geçirilen Windows Bilgisayardan Kablosuz Ağ Şifrelerini Elde Etme Sızma testleri sırasında Windows komut satırı erişimi sağlanmış bir bilgisayar üzerinde kritik bilgi elde edilmeye çalışılır. Bu yazıda, kullanıcının kaydettiği kablosuz ağ profilleri ne ait kimlik bilgileri ele geçirilen Windows komut satırı üzerinden elde edilecektir.
Kullanıcılar kablosuz ağlara bağlanırken her defasında parola girmemek amacıyla, kablosuz ağ erişim bilgilerini işletim sistemi üzerinde kaydederler. Böylece hızlı bir şekilde kablosuz ağa erişim sağlayabilirler. Ancak bu durum kötüye kullanılabilir ve kayıtlı bu bilgiler ele geçirilebilir. Bu amaçla Windows un standart komutlarından olan netsh aracı kullanılabilir. >netsh >wlan? Mevcut profiller listelenir. >wlan >show profile
Bu profiller disk sistemi üzerinde C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\ <ArayuzId> dizini altında kayıtlıdır. Erişim bilgileri ele geçirilmek istenen profil adı seçilir ve incelenir. >show profie name= Modemim
Disk sistemi üzerinden ilgili dosya incelendiğinde profiller ile ilgili benzer bilgilere erişim sağlanabilmektedir. Ancak parolanın korumalı (protected) olduğu görülmektedir.
Parolanın açık halini kullanılabilir. elde edebilmek show profile name= Modemim key=clear için netsh aracı
Tek bir satırda parolayı elde etmek için aşağıdaki komut kullanılabilir. >netsh wlan show profile name= Modemim key=clear
Man In The Middle Attack Ve ARP Poisoning ARP POSINING ARP Poisoning, ARP zehirleme anlamına gelmektedir. ARP protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir. ARP (Adress Resolution Protokol), Layer 2 katmanının ana protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP
adresleri üzerinde değil, MAC adresleri üzerinden gerçekleştirilir. Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek zorundadır. Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer, Arp request ve Arp reply paketlerini kullanarak, IP si bilinen cihazın MAC adresini bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır. ARP Zehirlenmesi Çeşitleri ARP zehirlenmesi adı verilen saldırılar yerel ağlarda gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik açığını kullanarak, ARP tabloları üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde gerçekleştirilmektedir. 1. Hedef Bilgisayarın ARP tablosunu doldurarak 2. Ortadaki adam yöntemiyle 3. Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir 1.Hedef Bilgisayarın ARP tablosunu Doldurma Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir.
2.Ortadaki Adam Yöntemi (Man in the Middle) Bu yöntemde saldırgan, hedef bilgisayar kurban bilgisayarın ulaşmak istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining dışında pek çok saldırılarda da kullanılmaktadır. En fazla kullanılan saldırı çeşitlerindendir. 3. Hedef Gönderme Bilgisayarın Paketlerini Başkasına Burada da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP (İngilizce Hyper-Text Transfer Protocol, Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek istediği web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir. Bu makalede Arp Poosining saldırı çeşitlerinden ortadaki adam (mitm) saldırısı nasıl yapılır bir örnek verilerek anlatılacaktır. Senaryo da bir saldırgan kali makinası ve birde kurban başka bir kali makinası olacaktır. Aşağıdaki resimde saldırgan kali bilgisayarın ip si ve interface görünüyor.
Kurban kali ise aşağıdaki gibi olacaktır. 129 ip li kali saldırgan 131 ip li kali kurban makinasına arp spoof yapmaya başlayacak. Yukarıdaki resimlerde görüldüğü üzere ilk önce hangi portları dinleyeceğimizi belirtiyor sonrasında ise kurban bilgisayarın ip sini ve gw bilgilerini girip arp reply paketlerini göndermeye başlıyoruz. Aşağıdaki komut kurban makinanın internet trafiğini dinlemek için yazılan bir komuttur. Görüldüğü üzere belirtilen portlardan kurban dinlemeye başlanılır.
Buradan sonrasında kurban bilgisayarın internete girmesi beklenir. Eğer istenilirse aşağıdaki komutta olduğu gibi driftnet komutunu girilerek kurbanın girdiği internet sitelerinin ekran görüntülerini de kaydedebilir. Bu aşamadan sonra kurban bilgisayardaki kullanıcının internete erişimi beklenilir. Kurban bilgisayar mynet.com adresine girmiş bulunmakta bundan sonrasında ise bir önceki yazılan komuta dönüş yapılarak aradaki dinlenilen trafik incelemeye alınır.
Kurban kali (192.168.1.131) bilgisayarın mynet.com girmesiyle trafik akışı karşımıza gelmiş oldu. Burada kurban bilgisarın hangi browser i kullandığı, hangi işletim sistemi ve hangi url leri ziyaret ettiğine kadar bilgiye sahip olabilirsiniz. Driftnet komutu ile görüldüğü gibi kurbanın ziyaret etmiş olduğu sitelerin ekran görüntüleri alınmış oldu. Bura da ise hangi resimlerin kaydedildiği görülmektedir.