12 Nisan 2021 Pazartesi
Cowrie Honeypot Kullanarak SSH Sunucularına Gelen Saldırı Trendi Analizi
6 Nisan 2021 Salı
802.1x Nedir? Nasıl Çalışmaktadır?
802.1x Nedir?
Cihazlar, Local Area Network (LAN) veya Wide Local Area Network (WLAN) noktalarına bağlanmak için kimlik doğrulama mekanizmaları kullanmaktadırlar. IEEE 802.1X, Port-Based Network Access Control (PNAC) için IEEE Standartları tarafından belirlenmiş olan ve korunmuş bir kimlik doğrulama sağlayan güvenli network erişimi standardıdır.
Bir 802.1x ağını, ev ağından büyük ölçüde ayıran bir yol vardır. Bu da kimlik doğrulama sunucusu dediğimiz RADIUS sunucusudur. RADIUS Sunucusu kullanıcının kimlik bilgilerini kontrol ederek, organizasyon içinde bu kimlik bilgileriyle aktif bir kişinin olup olmadığına dair kontrol sağlamaktadır. Kullanıcı, RADIS sunucusu tarafından onaylanırsa, network kurallarına göre ve kimlik bilgilerine tanınan izinlere göre kullanıcıya erişim sağlanmaktadır.
802.1x Nasıl Çalışmaktadır?
802.1x, kurum ağına erişmek isteyenler için port açarak, organizasyondaki kullanıcıları doğrulamakta ve networke erişmeleri için yetki vermek üzerine kurulmuş bir network kimlik doğrulama protokolüdür. Kullanıcıların kimlikleri, organizasyon tarafından belirlenen sertifikalarla veya kullanıcılara ait bilgilerle tespit edilmekte, RADIUS sunucusu tarafından onaylanmaktadır. RADIUS sunucusu kimlik doğrulama için gerekli olan iletişimi kuruma ait dizinlerden yapmaktadır. Bu iletişim genel olarak LDAP veya SAML protokolleri üzerinden olmaktadır.
802.1x EAP Güvenliği Nedir?
Extensible Authentication Protocol (EAP), kullanıcıların güvenli bir şekilde kimlik doğrulama gerçekleştirmeleri için tasarlanmış bir protokoldür. Networke ait kimlik doğrulama sunucusu ile kullanıcı arasında iletilen kullanıcıya ait kimlik bilgilerini kriptolojik olarak şifrelemektedir. 802.1x standart olarak iletişimini EAP kullanarak gerçekleştirmekte ve bunu hem kablolu erişimlerde hem de kablosuz (LAN) erişimlerde kullanmaktadır. EAP oluşturduğu şifreli tünel sayesinde dışarıdan yapılacak olan bir dinleme veya araya girme saldırılarına karşı önlem almaktadır. EAP protokolü kullanıcılara ait bilgiler(kullanıcı adı – parola) ile (EAP-TTLS/PAP ve PEAP-MSCHAPv2) veya dijital bir sertifika yolu ile (EAP-TLS) kimlik doğrulaması işlemini güvenlik altına almaktadır.
WPA-2 Enterprise Protokolleri | Şifreleme Seviyesi | Kimlik Doğrulama Hızları | Dizin Desteği | Kullanıcı Deneyimi |
EAP-TLS | Public-Private Anahtar Şifrelemesi | Hızlı – 12 adım | SAML/LDAP/MFA Sunuculari | İyi |
PEAP-MSCHAPV2 | Şifrelenmiş Kimlik Bilgileri | Orta – 22 adım | Active Directory | Kabul Edilebilir |
EAP-TTLS/PAP | Kimlik Bilgileri Şifrelenmez | Yavaş – 25 adım | Non-AD LDAP Sunucuları | Kötü |
802.1x Neden Kullanılmaktadır?
802.1x güvenli network erişimi için kullanılmaktadır. Eğer kurum hassas ve önemli veriler barındırmaktaysa, bu bilgilerin güvenli bir metot ile taşınması gerekmektedir. 802.1x kullanıldığı zaman cihazlar güvenli bir şekilde erişim noktaları (kurumsal router’lar) ile haberleşebilmektedir. Geçmişe de bakıldığı zaman 802.1x şirketler, üniversiteler ve hastaneler gibi büyük organizasyonlar tarafından kullanıldığı görülmüştür; fakat günümüzde siber güvenlik tehditlerinin artmasıyla beraber küçük işletmeler hızlıca 802.1x konusuna adapte olmaktadırlar.
802.1x sıklıkla WPA2-Enterprise olarak karşımıza çıkmaktadır. WPA2-Enterprise, Pre-Shared Key kullanan ve genel olarak evlerimizde hizmet veren WPA2-Personal ile karıştırılmamalıdır. WPA2-Personal, önemli ve hassas veriler ile işlem gören organizasyonlar için etkili bir protokol değildir ve büyük siber güvenlik riski oluşturmaktadır.
802.1x ve Wi-Fi Farkları
802.1x ve Wi-fi için neredeyse aynı şey denilebilir. IEEE 802.1x standardı ilk olarak Kablolu Ethernet networkleri için dizayn edilmiştir. Wi-fi standart olarak 802.11x olarak belirlenmiştir ve orijinal standardın değiştirilmiş versiyonudur.
Çoğu güvenlik ve network profesyoneli, kablolu ve kablosuz ağlar için 802.1x terimini kullanmaktadır ve bu WPA-2 Enterprise için de geçerlidir.
Kablolu 802.1x Nedir?
Kablosuz ağlarda olduğu gibi, kablolu ağlarda da kimlik doğrulama için benzer bir süreç işlemektedir. Kablolu ağlarda kullanıcı güvenli ağa kendi cihazı üzerinden bağlanmalı ve kullanıcı kendini doğrulamak için imzalı bir dijital sertifika veya kimlik bilgileri kullanmalıdır.
Kablolu 802.1x’in kablosuz ile arasındaki en büyük fark güvenli bağlantının sağlandığı switch’in 802.1x doğrulaması desteği ve Ethernet desteği olması gereğidir. Kablolu bağlantının sağlandığı cihaz ile RADIUS sunucusu,birlikte uyumlu çalışabilmesi sayesinde kullanıcılar doğrulanabilmektedir.
802.1x Güvenliği Nasıl Sağlamaktadır?
802.1x doğru olarak kullanıldığı zaman network kimlik doğrulama güvenliği için altın değerinde bir standarttır. Man-in-the-middle saldırıları ve Evil Twin (Şeytan İkiz) Proxy saldırılarını engelleyerek iletişim sırasında yollanan verilerin çalınmasını önlemektedir. Pre-Shared Key kullanan WPA2-Personal protokolünden kat kat daha güvenlidir.
Ancak, 802.1x’in bu kadar güvenli olması dışında bu standardın güvenliği iki faktöre dayanmaktadır. Faktörler arasındaki ilk değişken 802.1x için gerekli olan konfigürasyondur. Konfigürasyon ayarları bilgi teknolojileri konusundaki uzman bilir kişilere bırakılmalı, son kullanıcı bu ayarlar üzerinde herhangi bir değişiklik yapmamalıdır.
İkinci değişken, kurumun sertifika tabanlı veya kimlik bilgisi tabanlı doğrulama metotlarından birini kullanmasıdır. Sertifika tabanlı EAP-TLS kuruma ait verilerin çalınma riskini en aza indirmekte ve güvenliği yüksek derecede korumaktadır. Kimlik bilgileri ile olan doğrulama noktasında kullanıcıların kimlik bilgileri çalınırsa güvenlik riske atılmaktadır. Sertifika tabanlı doğrulama metodu ile kullanıcıların cihazları üzerinde doğru konfigürasyon ile ağ katılmalarını zorlamaktadır. Bu da güvenliği sağlamaktadır.
802.1x Kriptolojisi
802.1X WPA, genel olarak evdeki Wi-Fi gibi kişisel ağlar için kullanılmaktadır. RC4 tabanlı TKIP (Temperal Key Integrity Protocol) şifrelemesini kullanmaktadır. WPA2’ den daha az güvenlidir fakat genel olarak ev için kullanışlıdır.
802.1X WPA2, TKIP ile uyumlu çalışabilmektedir, fakat genel olarak AES(Advanced Encryption Standart) kullanmaktadır. AES şu anda en güvenli standarttır. Network kurulurken uygulanması daha zor ve maliyetlidir ancak güvenliğin önemli olduğu işletmelerde kullanılmaktadır.
802.1x’in Bileşenleri
802.1x’in çalışabilmesi için gerekli olan birkaç bileşen vardır. Gerçekçi olmak gerekirse, eğer erişim noktanız ve yedek veya kullanmadığınız bir sunucu varsa, güvenli ağ için gerekli olan donanım bileşenlerini elinizin altında bulundurmaktasınız. Bazen sunucuya bile ihtiyacınız olmamaktadır. Bazı erişim noktaları 802.1x için gerekli olan yazılımı yüklü olarak içerisinde taşımaktadır.
Profesyonel olarak çözüm getirerek ürün satın alsanız da veya evde kendinizde yapsanız da, 802.1x’in kalitesi ve güvenilirliği meydana getirilen dizayn tarafından sağlanmaktadır.
İstemciler/Cihazlar
802.1x’in kimlik doğrulamasında yer almak için 802.1x için uyumlu olacak bir cihazınız olmalıdır. Switch veya ağı kontrol eden cihaz için başlatılacak olan EAP işleminde yer almak için ve kullanıcı bilgilerini 802.1x ile uyumlu paylaşabilmek için istemcilerin uyumlu olması gereklidir. Eğer kullanıcıya ait uyumlu değil ise EAP istekleri switch veya ağı kontrol eden cihaz tarafından görmezden gelinmekte, kimlik doğrulama işlemi gerçekleşememektedir.
Günümüzde üretilen cihazların büyük çoğunluğu içinde 802.1x desteği bulunmaktadır. 802.1x için istisna olan cihazlar oyun konsolları, yazıcılar gibi başka cihazlardır. Genelleme yapacak olursak , bu cihazlar ağınızdaki cihazların %10’undan azına denk gelmektedir ve istisna olarak düşünülmektedir.
Switch/Erişim Noktaları/Kontrol Cihazları
802.1x işlemleri için switch’ler ve kontrol cihazları önemli rol oynamaktadır. İstemci, kimlik doğrulamasını sağlayana kadar networke erişemeyecektir. İstemci ile switch arasındaki iletişim 802.1x için değiş tokuş olarak söylenebilmektedir.
İstemci, ağa bağlanmak istediği zaman switch/kontrol cihazı EAPOl-Start paketi ile istemci ve kendisi arasındaki oluşan değiş tokuşu başlatır. İstemcinin bu pakete cevabı, switch/kontrol cihazı tarafından yapılan güvenlik konfigürasyonuna göre RADIUS sunucusuna yönlendirilir. Kimlik doğrulaması tamamlandığında switch/kontrol cihazı RADIUS sunucusundan Access_Accept paketine göre switch/kontrol cihazına kullanıcının erişim seviyesine göre yetki vererek ağa erişimini sağlamaktadır.
Kimlik doğrulamanın sonucu olarak RADIUS sunucusu Access_Accept paketi yollar. Bu paketin içinde switch/kontrol cihazının kullanıcıyı ağa nasıl bağlayacağı üzerine bazı önemli özellikler bulunabilmektedir. Bu paket içindeki özellikler ile kullanıcının hangi vlan’a ait olduğu ve hangi haklara sahip olduğu belirlenmektedir.
RADIUS Sunucusu
RADIUS sunucusu, ağın bodyguard’ı olarak davranmaktadır. Kullanıcı ağa bağlanmak ister, RADIUS kimliklerini doğrular ve kullanıcılara belli bir poliçeye göre yetki verir. Kullanıcı, sertifika tarafından kaydedildiğinde veya kimlik bilgileri doğrulandığında, yetkisi tanımlanarak ağa erişimi sağlanmaktadır. Kullanıcı ne zaman bağlanmak isterse, RADIUS her seferinde sertifikayı veya kimlik bilgilerini doğrulayarak, istenmeyen kişilerin networke erişmelerini önlemektedir.
RADIUS için en önemli güvenlik mekanizması, sunucu sertifika doğrulamasıdır. RADIUS sunucusu, sunucunun sertifikasını kontrol ederek, kullanıcının sahip olduğu cihaza göre ayarlanan konfigürasyon ile beraber ağa erişimi garantilenmektedir. Eğer kullanıcının sahip olduğu cihazın sertifikası, RADIUS’taki ile eşleşmezse veya kimlik bilgileri RADIUS’taki ile eşleşmezse, RADIUS kullanıcıya cevap olarak bilgileri geri dönmez. Bu sayede kullanıcıları Evil Twin (Şeytan İkiz) Proxy saldırısına karşı korumuş olur.
802.1x Neden RADIUS Sunucusuna İhtiyaç Duyar?
802.1x, RADIUS sunucusuna ihtiyaç duyar; çünkü kullanıcılara ait bilgilerin doğrulanması gerekmektedir. Kimlik doğrulama işlemi de RADIUS sunucusunda gerçekleşmektedir. RADIUS sunucusu dizinleri kontrol ederek yetkili kullanıcının yetkilerini ve izinlerini onaylar, bu bilgileri kullanıcıya iletmek üzere switch/kontrol cihazına yollar. RADIUS sunucusu olmadan da kimlik doğrulama işlemi gerçekleşebilmektedir. Bu işlem switch/kontrol cihazı gibi noktalarda gerçekleşebilir fakat güçlü bir erişim noktası tahsil edilmelidir.
Kullanıcı Bilgileri/Dizinler
Kullanıcı bilgileri olarak bahsedilmekte olan bilgiler, kullanıcı adı(username) ve paroladır(password). Çoğu durumda bu bilgilerin bulunduğu noktalar Active Directory veya LDAP sunucularıdır. Herhangi bir RADIUS sunucusu, kullanıcı bilgilerini doğrulamak adına Active Directory veya LDAP sunucularına bağlanabilmektedir. LDAP kullanıldığı zaman birkaç uyarı gerektiren durum olmaktadır. Özellikle şifre hash’lerinin LDAP sunucusunda nasıl tutulduğuna dair uyarılar önemlidir. Eğer şifreniz temiz metin(cleartext) veya NTLM hash’i olarak LDAP sunucusunda saklanmıyorsa, EAP metodunu dikkatli bir şekilde seçmeniz gerekmektedir. Çünkü EAP metodu ile LDAP arasında uyum farklılığı olabilmektedir. Bu sorun RADIUS sunucusundan değil, şifre hash’lerini saklayan sunucu tarafından çıkmaktadır.
Güçlü bir WPA2-Enterprise ağı için ek olarak ayar yapmak gerekmektedir. PKI(Private Key Infrastructure) veya CA(Certificate Authority) gibi sertifikalara sorunsuz bir şekilde kullanıcılara dağıtılmalıdır. Daha önce de bahsedildiği gibi kullanıcılara, kullanıcı adı ve şifre vererek de 802.1x gerçekleştirilebilmektedir. Fakat sertifika ile doğrulama en güvenli yoldur. Son zamanlarda, çoğu kurum EAP-PEAP metodundan EAP-TLS metoduna geçmektedir. Bağlantı hızı ve güvenliğin fark edilebilir bir şekilde artması önemli bir faktördür. Tercihinizi değiştirmek istediğiniz zaman herhangi bir altyapı değişikliğine veya yeni bir cihaz almanıza gerek yoktur. Güncellemelerle bu sorunu giderebilmektesiniz.
802.1X Kimlik Doğrulaması Nasıl Çalışmaktadır?
Kimlik doğrulama sürecinde 4 aşama vardır: İlk Adım(Initilization), Başlatma(Initation), Anlaşma(Negotiaton), Kimlik Doğrulama(Authentication)
Aşağıdaki adımlarda switch, kontrol cihazı ve erişim noktaları gibi network cihazlarından, kimlik doğrulayıcı(authenticator) olarak bahsedilecektir.
İlk Adım(Initialization)
İlk adım, yeni bir cihazın switch veya kontrol cihazına bağlanmak istemesiyle başlamaktadır. 802.1x protokolünde kimlik doğrulayıcı(authenticator) cihazları kendisine gelen istekleri sadece 802.1x isteklerini kabul edecek şekilde ayarlamaktadır ve üzerindeki portları ona göre ayarlamaktadır. 802.1x haricindeki tüm istekler düşürülmektedir.
Başlatma(Initiation)
Kimlik doğrulayıcı(authenticator), bağlanmak isteyen cihaza EAP-isteği atmaktadır. Daha sonra gelen EAP-cevabını, RADIUS sunucusuna erişim paketi olarak iletmektedir. RADIUS sunucusuna gönderilen bu pakette bağlanmak isteyen cihazın bilgileri bulunmaktadır.
Anlaşma(Negotiaton)
Kimlik doğrulayıcı(authenticator), kendisine gelen isteği RADIUS sunucusuna, cihazın bilgileri ve hangi EAP metodunu kullanmak istediği bilgileriyle iletmektedir. RADIUS sunucusu bağlanmak isteyen cihazdan gelen paketi değerlendikten sonra kimlik doğrulayıcısına(authenticator) cevabını yollar ve kimlik doğrulayıcı(authenticator) gelen paketi bağlanmak isteyen cihaza yönlendirmektedir.
Kimlik Doğrulama(Authentication)
Bağlanmak isteyen cihazda EAP metodu belirlendikten sonra ve gelen bilgileri RADIUS sunucusu onayladıktan sonra, RADIUS sunucusu cihaza gerekli olan konfigürasyon bilgilerini iletmektedir. Süreç tamamlandıktan sonra, kimlik doğrulayıcı(authenticator) üzerindeki port “yetkili” olarak ayarlanacak ve 802.1x işlemi tamamlanmış olacaktır.
Ek Olarak
RADIUS Hesapları
802.1x kullanarak bağlantı sağlamış cihazlardan oturum sırasında kendi bünyesinde cihazlar hakkında bilgi kayıt edebilmektedir. Bu bilgiler, cihazın MAC adresi ve port rakamı olabilmektedir. Bir dahaki bağlantıda RADIUS bu bilgileri tanıyarak kullanıcıya cevap mesajı döner ve bağlantıyı başlatabilmektedir.
VLAN
VLAN, LAN noktalarını bölümleyerek sistemi yönetilmesini ve güvenliği iyi yönde etkileyen bir network konfigürasyon metodudur.
Basitçe, VLAN’lar ağınızı belli kurallar çerçevesinde segmentlere ayırarak ağınızı organize etmenizde fayda sağlamaktadır. Örnek olarak Çalışanların ve Misafirlerin bağlandığı VLAN’lar birbirinden ayrılarak güvenli ağ elde edilmektedir. Bu sayede VLAN’lar arasında olan kötü olaylar birbirini etkilemeyecektir.
Dijital sertifikalar, RADIUS doğrulamasını kullanarak belli rol ve izinlere göre belli VLAN’lere atanabilmektedir. Örnek olarak “it.company.com” ile “satis.company.com” noktasını birbirinden ayırarak kullanıcılara farklı rol atayabilmektesiniz.
MAC Kimlik Doğrulaması
Mac kimlik doğrulaması, cihazların network’e MAC adreslerini kullanarak bağlanmasına yarayan basit bir güvenlik önlemidir. Yaratılan MAC adresi listesine göre cihazların ağa erişimleri denetlenmektedir.
Maalesef ki, MAC adreslerinin taklit edilmesi zor değildir, bu yüzden de MAC kimlik doğrulaması kurum seviyelerinde genel olarak tercih edilmemektedir.
MAC RADIUS
MAC RADIUS, kimlik doğrulama olarak sertifika veya kullanıcı bilgileri yerine cihazın MAC adresini kullanmaktadır.
MAC Bypass
MAC Bypass’ın genel olarak yapılabildiği yerler 802.1x’i varsayılan olarak desteklemeyen cihazlardır. Bu cihazlar yazıcı, oyun konsolu ve benzeri gibi cihazlardır. RADIUS sisteminde bu cihazlar kullanılacaksa, zafiyetli olduğu için farklı VLAN içine alınmalıdır.
21 Aralık 2020 Pazartesi
KABLOSUZ AĞLARDA GÜVENLİK AÇIKLIKLARI
Bu makalede, kablosuz ağlara ne tür saldırılar gelebileceğine değinilecektir. Saldırı çeşitleri hakkında daha fazla bilgi edinmek için CWNA Official Study Guide 4th Edition kitabına göz gezdirebilirsiniz.
Sahte Wireless Cihazları:
Sahte Wireless cihazları veya erişim noktası, network yöneticilerinin bilgisi dahilinde olmayan kablosuz ağ cihazının yetkisiz bir şekilde ağa dahil olmasıdır. Potansiyel saldırganlara kapı açarak ağa dahil olmalarını sağlamaktadır.
Eğer saldırganların ağa direkt olarak erişimi var ise, bu tarz cihazlar ağa zararlı yazılımlarla dahil olabilmektedir. Çalışanlar tarafından fark edilmeyerek kalıcı etkiler bırakabilmektedir. Çözüm Önerisi:
Kurum bünyesindeki ağ cihazlarına ait güvenlik denetimi arttırılarak sahte wireless cihazlarının ağa dahil olması önlenmelidir.
Noktadan Noktaya Saldırılar:
Aynı erişim noktasına bağlı cihazların birbiri tarafından zafiyetlerin sömürülmesi ve saldırıya uğramasıyla gerçekleşmektedir.
Çoğu sağlayıcı “Client Isolation” opsiyonunu kullanarak, aynı erişim noktasına bağlı cihazların birbiri ile haberleşmesini engelleyerek, bu saldırı çeşidini ortadan kaldırmaktadırlar. Çözüm Önerisi:
Wireless cihazlarına ait noktadan noktaya bağlantıları noktasında ağın güvenliği için haberleşmenin güvenli kanallar üzerinden yapılması önerilmektedir.
Kulak Misafiri Saldırısı (Eavesdropping):
Bu tür saldırılar, cihazların birbiri ile haberleşirken kablosuz ağ trafiğinin dinlenmesi ile ortaya çıkan saldırılardır. İki tür saldırı çeşidi bulunmaktadır.
İlk olarak, sıradan bir kulak misafirliğinde ya da başka bir deyişle WLAN keşfedilmesi, aktif olarak kablosuz ağ erişim noktalarının taranmasıdır.
İkinci olarak, zararlı kulak misafirliğinde illegal olarak davranılmaktadır. Bu saldırı türünde erişim noktası ile kullanıcı arasındaki veri transferi dinlenilmeye çalışılmaktadır. Bu nedenle, ağınızı şifrelemek gereklidir. Çünkü şifrelenmemiş herhangi bir noktayı saldırgan dinleyebilmektedir. Çözüm Önerisi:
Eavesdropping saldırılarına karşı alınması gereken çözüm haberleşmenin şifreli kanallar üzerinden gerçekleştirilmesidir.
Parola Kırma Saldırıları:
Bu saldırılarda, saldırgan kablosuz ağının parolasını kırmaya çalışmaktadır. WEP standardı kullanan ağlar bu saldırılar için daha uygun bir nokta oluşturmaktadır. Kolayca, beş dakikalık bir süre zarfında kırılabilmektedirler. WPA2- WPA3 gibi daha güvenli bir şifreleme standardı kullanılması ağınız için daha güvenli bir nokta oluşturmaktadır. Çözüm Önerisi:
Parola kırma saldırılarına karşı alınması gereken en büyük önlem kablosuz ağ cihazının WEP modundan çıkarılmasıdır. WPA2 – WPA3 gibi güçlü protokolleri kullanılması bu tarz saldırılar için önem taşımaktadır.
Kimlik Doğrulama Saldırıları:
WPA ve WPA2 standardı kullanılan ağlarda, kablosuz ağ ve istemci arasındaki kimlik doğrulama çerçevesi yakalanarak offline olarak sözlük saldırısı ile gerçekleştirilen bir saldırı türüdür.
WPA ve WPA2 ağları için kaba-kuvvet saldırıları yapılarak ağınızın parolası elde edilmeye çalışılmaktadır. Ağınızın daha güvenli olması için uzun karakterli, sembolü bulunan ve tanıdık olmayan parolalar kullanılması bu noktada önem taşımaktadır. Çözüm Önerisi:
Kimlik doğrulama saldırılarına karşı alınması gereken önlem şifrenizin fazla ve çeşitli sayıda karakter içermesidir.
MAC Sahtekarlığı:
Ağ içinde MAC adresi değiştirilerek başka bir kullanıcı gibi davranılması üzerinden gidilen bir saldırı çeşididir. Saldırıyı gerçekleştirmek oldukça basittir; çünkü, güvenlik ve MAC adreslerinin kontrolü için kullanılan MAC filtreleme işlemi basitçe atlatılabilmektedir.
Güvenlik noktasında mimari olarak bir güvenlik şekli ele alınmalı ve diğer güvenlik araçları ile güçlendirilme sağlanmalıdır. Çözüm Önerisi:
Ağdaki son noktalarda(Endpoint) tehdit önleyici(Threat Protection) yazılımlar kullanılarak Mac sahteciliğinin önüne geçilebilmektedir.
Yönetim Paneli Sömürülmesi:
Bu tür saldırılarda, saldırgan kablosuz ağ ile bağlantı kurduktan sonra web ara yüzü veya konsol erişim noktası üzerinden ağ cihazına erişip sömürmesi ile oluşmaktadır.
Varsayılan erişim bilgileri internette bulunmaktadır, bu tür saldırıları önlemek için varsayılan kimlik bilgilerini değiştirmek zaruridir. Çözüm Önerisi:
Yönetim panellerinin sömürülmesinin önüne geçilmesi noktasında, varsayılan kimlik bilgilerinin değiştirilmesi ve ağ cihazlarını güncellenmelidir.
Wireless Gaspı (Wireless Hijacking):
Saldırgan, kablosuz ağ noktasının ID’si (adı) ile aynı olacak şekilde bir erişim noktası açmaktadır. Açtığı erişim noktasını yayınlayarak kullanıcıları kendi erişim noktasına çekmektedir. Saldırının farklı bir türü Evil Twin metodu olarak da geçmektedir.
Erişim noktasını yayınladıktan sonra saldırgan bekleyerek kurbanlarının ağa dahil olmasını beklemektedir. Kullanıcılar ağa bağlandıktan sonra noktadan noktaya saldırısında olduğu gibi kurbanların ağ trafiğini dinlemektedir. Çözüm Önerisi:
Wireless Hijacking saldırılarının önüne geçilmesi için Access point cihazının bağlantı kurduğu cihazlarla arasında güçlü ve şifrelenmiş bir session ID kullanması gerekmektedir.
Servis Dışı Bırakma Saldırısı:
DoS saldırısı olarak da adından çokça bahsettiren DoS saldırısı farklı katmanlarda gerçekleşebilmektedir.
Katman 1 noktasında Jamming saldırıları gerçekleştirilerek, kullanıcıların erişim noktalarına bağlanamaması için bozucu sinyaller yollanmaktadır.
Katman 2 noktasında farklı çeşitte saldırılar bulunmaktadır. Saldırgan erişim noktasına Flood saldırıları yaparak devre dışı bırakabilmektedir. Çözüm Önerisi:
Genellikle mesh topolojilerinde karşılaşılan bu saldırı türünde ağdaki cihazların yönlendirme algoritmalarını bu tür saldırılara karşı konfigüre edilmesi önerilmektedir.
Sosyal Mühendislik:
Popüler olarak bilinenlerin yanı sıra en başarılı saldırganlar bile kablosuz ağ saldırılarını yazılımlar veya araçlar ile değil, sosyal mühendislik ile gerçekleştirmektedirler.
İnsanlar manipüle edilerek bilgi toplanılmaktadır. Bu tür saldırıların önüne geçilmesi için insanların veya çalışanları güvenlik prosedürleri noktasında eğitilmesi gerekmekte ve düzenli olarak parola değişikliği üzerinde durulması gerekmektedir. Çözüm Önerisi:
Kurum çalışanlarına belirli periyotlarda farkındalık eğitimleri verilmelidir. Kurum çalışanlarına verilecek bu eğitimlerde olası risklerden bahsedilmelidir.
28 Eylül 2020 Pazartesi
Günümüzün Mesleği; Sosyal Mühendislik
Kübra Eskalan - Sızma Testi Uzmanı
Günümüzün Mesleği; Sosyal Mühendislik
Sosyal mühendislik, sistemlerdeki insan
faktörünü kullanıp etkileşim sağlayarak gizli kalması gereken bilgilerin ortaya
çıkarılması eylemidir. Bir nevi insanları manipüle etme tekniğidir.
Siber saldırganlar sosyal
mühendislik saldırılarını oldukça fazla kullanmaktadır. Çünkü genellikle
bir kişinin güvenini kazanıp parolasını veya kişisel bilgisini vermesi için
kandırmak, parolanın kırılması veya kişisel bilginin ele geçirilmesinden daha
kolaydır. Burada çoğu sistem için insan faktörü en tehlikeli açık olma
niteliğindedir. Sosyal mühendislik saldırılarında başarı durumunu en çok
etkileyen faktör ise saldırganın manipüle etme yeteneğidir. Çünkü başarılı
manipüleler ile kurbandan istenen eylemler yerine getirilmektedir. İkna edebilmek,
istenilen doğrultuda kişiye evet dedirtme sanatıdır.
Sosyal mühendislik saldırıları internet üzerinden ya da fiziki etkileşimler ile gerçekleşebilmektedir. Bunun için insanların eylemlerinin ne üzerine kurulu olduğu hakkında araştırma yaparak manipüle safhası için büyük yol kat edilebilir. Günümüz teknoloji çağında ise insanların zaaflarını bulma konusunda sıkıntı yaşandığı söylenemez. Bu yüzden sosyal mühendislik firmalar için en tehlikeli saldırı yöntemlerinden biridir. Çünkü firmalar sistemlerinde teknik bir açık bulunmadan da bu saldırıya maruz kalabilmektedirler. Bu yönüyle geleneksel saldırılardan oldukça farklıdır. Kime ne koşullarda güvenmemiz gerektiğini bilmemiz gerekmektedir. Kendi firmanız için alabildiğiniz tüm fiziki önlemleri almışsınızdır. Fakat kapıda tamirci olduğunu ve içeri girmesi gerektiğini söyleyen bir kişinin sözlerinin doğruluğunun kontrol edilmeden içeri alınmasına izin verilmiştir. O halde bu durumun beraberinde getireceği risklerden sizi fiziksel önlemleriniz korumamakta olduğunu geçte olsa fark edeceksinizdir.
Sosyal Mühendislik Saldırılarından Korunmak
Artık birçok siber saldırının doğrudan veya dolaylı yoldan sosyal
mühendislik içerdiğini söyleyebiliriz. Bu tehditten kendimizi korumak için
hem bireysel hem kurumsal olarak birtakım güvenlik politikalarını yaşam
tarzımız haline getirmek zorunda olduğumuzu farkına varmalıyız. Bu saldırıya
karşı kendimizi eğitim ile koruyabiliriz. Herkes bu konuda eğitimli ve bilinçli
olursa güvenlik de artacaktır. Kendi bildiklerimiz ile etrafımızdakilerde farkındalık yaratırsak toplum olarak güvenlik konusunda amacımıza ulaşmış oluruz.
Bu politikalar için öncelikle kuruluşun olası bir sosyal mühendislik saldırısı durumunda ne yapacağını ve ne sonuçlar doğuracağını tecrübe edebilmek için sızma testleri gerçekleştirilmelidir. Bu şekilde test sonrası verilecek rapor ile harekete geçilmesi gerekmektedir. Olası riskler belirlendikten sonra ise personel eğitimleri düzenlenmeli ve bilinçlenme sağlanmalıdır. Aşağıda sosyal mühendislik ve olası herhangi bir siber saldırıya karşı almanız gereken genel kurallar verilmiştir.
- Kişinin kendi ve çalışanlarında siber güvenliğe dair öz farkındalık oluşturulmalıdır.
- Kişiler önemli bir sonuç doğurabilecek konularda karar vermeden önce yavaşlayıp düşünme alışkanlığı edinmelidir. Çünkü saldırganların istediği düşünmeden acele hareket etme eylemidir.
- Öğrenmeye ilham verecek çalışma ortamı oluşturularak çalışanlara siber güvenlik konusunda eğitimler verilmeli ve teşvik edilmelidir.
- E-posta spam filtreleri yüksek derecede tutulmalıdır. Bu şekilde sosyal mühendislik için yollanan e-postalar spam kutusuna düşerek bir nevi engellenmektedir.
- Kişisel bilgilerimizi isteyen bir mesajın yanıtlanması istenirse kesinlikle yanıtlanmamalıdır. Ayrıca güvenilir olmayan kaynaktan gelen e-postalara kesinlikle tıklanmamalıdır.
- Kişide sosyal mecra güvenliği algısı oluşturulmalıdır. Çünkü sosyal mecra en çok bilgi paylaşıp en savunmasız olduğumuz yerdir.
- Kişisel bilgilerimizin adlarını (anne-baba, evcil hayvan, ilkokul vb.) paylaşmaktan kaçınılmalıdır.
- Kişiler gerçek e-posta ile sahtesi arasındaki farkı anlayabilmek için bilinçlendirilmelidir. Örneğin e-postayı gönderenin e-posta adresi, tarafından gönderdiğini iddia ettiği firmanın alan adı ile uyuşmuyorsa bu e-posta sahtedir. Veya e-posta sizlere gereksiz bir şekilde bir ödül vadediyorsa (dikkat çekici bir hediye olabilir) tuzağa düşürülmek isteniyor olabilirsiniz.
- Hesaplarımızın çalınma ihtimaline karşı bir katman daha güvenlik almak için olabilecek tüm hesaplarda çok faktörlü kimlik doğrulama kullanılmalıdır. Ve kesinlikle tüm hesaplarımızın parolaları birbirinden farklı ve karmaşık olmalıdır.
- Cihazlarınızdaki güvenlik duvarı, anti virüs yazılımları güncel tutulmalıdır.
- Sahte olduğu anlaşılan bir e-postaya cevap bile verilmemesi gerekmektedir. Bu şekilde gerçek olmadığınızı düşünerek size başka yollarla da ulaşmak için çabalamazlar.
- Hiçbir cihazı halka açık alanlarda şifresiz, tedbirsiz bırakılmaması gerekmektedir. Mutlaka kitlenmeli ve güvence altına alınmalıdır.
- İnternet üzerinden kurulan arkadaşlıklarda verilen bilgilere ve manipüle edilmemeye dikkat edilmelidir.
Sosyal mühendislik saldırılarında oldukça fazla manipüle etme teknikleri
bulunmaktadır. Bireysel ve kurumsal kullanıcılar açısından sosyal
mühendislik saldırıları oldukça tehlikeli olduğu için en azından herkes sosyal
mühendislik saldırı türlerini okuyarak nerelerden kandırılabilecekleri
hakkında fikir sahibi olmaları gerekmektedir.
Aşağıda bu saldırı türlerinden en çok karşılaşılanlarına örnekler verilmiştir.
1. Yemleme (Baiting)
Baiting, hem fiziksel hem sanal bir saldırı türüdür. Saldırganlar kurbanı bir ürünün cazibesiyle mantıklarını devre dışı bırakıp güvensiz bir eylem yapmaya iterler. Örneğin bir kafede kurbana yakın bir konuma üzerinde “Şifrelerim” yazan fakat içinde kötü amaçlı bir yazılım yerleştirdiğimiz CD bırakmak gibi. Bu şekilde CD’yi bilgisayarına takan kurban için iş işten geçmiş olur.
2. Oltalama (Phishing)
Phishing saldırılarında, saldırganlar genellikle kurbanın aşina olduğu güvenilir bir kaynaktan (Google, Instagram, Youtube vb.) iletişim sağlıyormuş gibi davranarak gerçekliği taklit ederler. Bu saldırı türü çoğunlukla e-posta ile gerçekleşmekte olup genellikle kurbandan finansal, kişisel ve oturum bilgilerini paylaşması üzerine kuruludur. Her zaman kullandığınız ve güvendiğiniz bir sosyal mecranın orijinal ismine çok benzer bir alan adı ile sizlere e-posta atarak oturum bilgilerinizi ele geçirmesi phishing saldırılarına bir örnektir.
3. Korkutma (Scareware)
Scareware saldırı türünde, saldırganların asıl amacı hayali tehlikeler ile kurbanı korkutup bu korku hissinden yararlanarak aslında yapmaması gereken şeyleri yapmasını sağlamaktır. Örneğin bir kurban cihazında virüs olduğuna inandırılırsa belli bir miktar ödeme yaparak bu virüsün kaldırılabileceğine de inandırılabilir bu şekilde ödeme bilgileri ele geçirilebilir veyahut bilgisayarına bu virüsten kurtulması için kuracağı anti virüs görünümlü bir program yerine kötücül bir yazılım yüklenebilir.
4. Sahne Senaryo Uydurmak (Pretexting)
Pretexting, kurban üzerinde gözlem yapıp sahte senaryolar oluşturarak iletişim kurmak üzerine kurulu bir saldırı türüdür. Çoğunlukla telefon üzerinden ya da birebir iletişim ile gerçekleştirilir. Saldırgan kurban hakkında bilgi topladıktan sonra bu bilgilere uygun bir senaryo oluşturur ve kurbanla iletişimde kalarak güven duygusu oluşturulur. En sonunda bu güven duygusu üzerine kurulmuş ilişkide öğrenilmek istenen bilgiler kurbandan alınmış olur.
5. Hedefli Oltalama (Spear Phishing)
Spear phishing saldırı türünde saldırganlar hedef odaklı çalışmaktadırlar. Burada hedef bir kişi olabilmekte ya da bir kurumun tüm çalışanları da olabilmektedir. Saldırgan bu saldırıda kurbanları hakkında bilgi (genellikle sosyal medyadan) toplamaktadır. Yeterli bilgiye ulaştıktan sonra kurban için tanıdık, güvenilir gözükecek bir e-posta atılmaktadır. Ve bu yollarla kişisel bilgiler ele geçirilmektedir. Spear phishing saldırıları oldukça fazla kullanılan ve başarı oranı yüksek bir saldırı çeşididir.
6. Yakın Takip (Tailgating)
Tailgating, güvenli ve halka açık olmayan bir alana erişebilmek için yapılan fiziksel bir saldırı türüdür. Bu saldırılar genellikle firmanın bir çalışanı taklit edilerek ve olabildiğince rahat olup o ortama aitmiş hissiyatı yaratılarak yapılmaktadır. Örneğin sunucu odasına girmeye çalışan bir saldırgan, elleri dolu bir şekilde oranın çalışanıymış gibi davranıp odaya giren yetkili birinin hemen arkasından yürüyebilir. Kapıyı açıp içeri girmeye çalışan yetkili kişiye, kartını masada unuttuğunu söyleyip hemen ardından odaya girerek ise gerçekte yapmak istediğine ulaşabilmektedir. Bu yüzden kurumlarda yetki gerektiren odalara girilirken mutlaka kimlik olması yükümlülüğü konusunda çalışanlar uyarılmalıdır.
7. Kimliğe Bürünme (Impersonating)
Impersonating saldırılarında saldırgan kurbandan bilgi alabilmek için, kurbanın tanıdığı veya kurbandan herhangi bir talepte bulunabilecek yetkili bir kişi gibi davranmaktadır. Burada saldırganın taklit ettiği kişi firmanın yetkili bir yöneticisi, polis gibi kişiler olabilmektedir. Bu şekilde kurban denileni yapma eğilimini göstermeye bir nevi zorlanır.
8. Quid Pro Quo
Quid pro quo saldırı türünde saldırganlar, bir şey karşılığında bir şey
sunarlar. Bu saldırıda saldırgan erişim izni karşılığında kurbana bir hizmet
teklif eder. Mesela bir deney yaptığını söyleyerek oturum bilgileri
karşılığında bir hediye çeki teklif eder. Sadece firmalar için değil günlük
hayatımızda da karşımıza oldukça fazla çıkan bir saldırı türüdür fakat fark edilmesi
diğer türlere göre daha yüksektir.
23 Eylül 2020 Çarşamba
Çerezler Gerçekten Ne Kadar Tehlikeli ?
SameSite Cookie’den bahsetmeden önce daha iyi anlaşılması için HTTP protokolü ve cookie’nin ne olduğundan kısaca bahsedebiliriz. HTTP protokolü, web üzerindeki uygulamalar ile iletişim kurmamızı sağlayan protokoldür ve çalışma mantığı basittir. HTTP protokolü stateless (durum bilgisini tutmayan) bir protokoldür bu yüzden de bazı işlemler yaparken: örneğin, bir siteye giriş işlemi gerçekleştirdikten sonra sayfayı yenilediğimizde web sitesi bizi tanımayacaktır. Bunu önlemek içinde cookie’ler geliştirilmiştir. Bir sitede gezinirken giden isteğin header kısmında “Set-Cookie” olarak tanımlanan bu parametre siteye ulaşmaya çalışıldığında karşı tarafa gönderilir ve bu sayede site tarafından tanınmış oluruz.
Tarayıcılara eklenen SameSite Cookie özelliği de cookie’lerin 3. taraflardan kaynaklanan istekler ile bizim domainimiz dışındaki başka bir domaine ait istekler ile gönderilip gönderilmeyeceğini belirlemek için kullanılmaktadır.
SameSite Cookie özelliği strict, lax ve none olmak üzere 3 şekilde set edilebilmektedir;
• Strict: SameSite Cookie özelliğinin strict olarak tanımlanması, farklı bir site üzerinden yapılan istekte cookie’lerin gönderilmeyeceğini belirtmektedir.
• None: SameSite Cookie none olarak tanımlanırsa, tüm bağlantılar tarafından cookie’lerin gönderileceği anlamına gelmektedir.
• Lax: SameSite Cookie’nin lax olarak tanımlanmasında ise diğer sayfalar yani 3.taraflar tarafından yapılan GET isteklerinde cookie’ler gönderilmektedir fakat kritik istekler olan POST, PUT, DELETE gibi kritik isteklerde cookie gönderilmesine izin verilmemektedir.
Daha iyi açıklamak için şöyle bir örnek verebiliriz. deneme.com/index.html adında bir sayfa oluşturulup, içeriğine <img src=google.com/samesite.png> şeklinde bir resim tag’i eklenilsin. Bu siteye URL üzerinden deneme.com/index.html yazarak gidilirse ve SameSite Cookie none olarak tanımlanmışsa cookie’ye istek gönderilecektir. Cookie, lax veya strict olarak tanımlanmış ise cookie iletimi olmayacaktır. Fakat URL kısmına google.com/samesite.png yazılırsa bu sefer lax olarak set edilen cookie de gönderilecektir. Bunun sebebi ise img tag’i GET isteği yollamaktadır fakat bu GET isteği URL üzerinde bir değişiklik yaratmadığı için cookie gönderilmektedir.
Bu kısımda görüldüğü gibi SameSite Cookie’yi strict olarak tanımlanırsa hiçbir zaman cookie gönderilmeyecektir ve cookie iletimi güvenli olacaktır. Fakat bu da bazı sorunları beraberinde getirmektedir.
Header üzerinde örnek bir cookie tanımı yapılması;
“Set-Cookie: aspCookie=deneme; SameSite=Lax;”
Header üzerinde yukarıdaki şekilde SameSite Cookie tanımlanabilmektedir.
SameSite Cookie’nin çıkmasının sebebi CSRF’in (Cross Site Request Forgery, siteler arası istek sahteciliği) önüne geçmektedir. Örnek olarak; satınal.com tarzında bir siteye giriş yapıldığında, giriş yapan kullanıcıya bir cookie tanımlanmaktadır. Sonrasında bu kullanıcı farklı bir sekmede zararlı.com’a giriş yaparken bu site satınal.com üzerinden yeni parola tanımlama işlemi için istek atabilmektedir. SameSite Cookie özelliği ise burada devreye girmektedir. Yapılan istek için cookie gönderilmeyeceğinden parola değiştirme işlemi de gerçekleşmeyecektir.
Peki neden tüm SameSite Cookieler strict ile set edilmemektedir? Aslında bu noktada bankalar gibi önemli veri saklayan ve diğer siteler ile iletişim kurma gereksinimi olmayan yerlerde strict kullanılabilmektedir. Fakat Twitter gibi bir site strict ile set edildiğinde bazı problemler ortaya çıkmaktadır. Örneğin bir kullanıcı blog.btyon.com.tr üzerinden okuduğu bir yazıyı çok beğenip bunu Twitter üzerinden paylaşmak isteyebilmektedir. Fakat kullanıcı bu yazıyı paylaş butonuna bastığı zaman tekrardan Twitter’a giriş yapması gerekir. Bu durumun önüne geçmek adına SameSite Cookie lax olarak tanımlanmaktadır. Bu durum bir siteye Twitter ile giriş yapılmak istendiğinde de geçerlidir.
Kısaca SameSite Cookie sayesinde CSRF zafiyeti olabildiğince az seviyeye indirilmekte ve cookie’ler güvenli bir şekilde gönderilmektedir.