16-03-2017 Saat: 19:41
Kaçak giriş tespit ve engelleme sistemleri,sistem doğruluk sağlayıcıları,güvenlik duvarları ve honeypotlardan bahsedeceğim.
İçindekiler
# Kaçak Giriş Engelleme Sistemi [IPS]
# Kaçak Giriş Tespit Sistemi [IDS]
# Kaçak Girişi Nasıl Tespit Ediyorlar ?
# Kaçak Giriş Tespit Sistemi Türleri
# Sistem Doğruluk Sağlayıcısı [SIV]
# Kaçak Giriş Tespit Sistemlerini Aşmak
# Kaçak Giriş Tespit Sistemlerini Geçmekte Kullanılabilecek Araçlar
# Güvenlik Duvarı [Firewall]
# Güvenlik Duvarı Neler Yapabiliyor ?
# Güvenlik Duvarı Türleri
# Güvenlik Duvarının Belirlenmesi
# Güvenlik Duvarını Aşma
# Honeypotlar
Kaçak Giriş Engelleme Sistemi [IPS]
Kaçak giriş engelleme sistemi,ingilizcesi ile Intrusion Prevention System;
Kaçak girişleri kontrol eder ve birşeyler ters gittiğinde bunu engelleyebilen sistemlere denir.
Kaçak Giriş Tespit Sistemi [IDS]
Kaçak giriş tespit sistemleri,ingilizce tabiri ile Intrusion Detection System;
Network trafiğini kendi içinde bulunan kural yapısına göre inceleyerek saldırı ya da kötüye kullanımı tespit edebilen ve raporlayabilen yazılım / donanım dır.
Kaçak Girişi Nasıl Tespit Ediyorlar ?
İmza Tanıma
Network trafiğinin içerisinde saldırı imzası bulunması ile tespit edilmiş olur.
Anormallik Tespiti
TCP/IP paketlerindeki anormallikler kontrol edilerek tespit edilmiş olur.
Protokol Anormallik Tespiti
Kullanılan network protokollerini takip ederek standart dışı iletişimin tespiti ile olur.
Kaçak Giriş Tespit Sistemi Türleri
Network Tabanlı Kaçak Giriş Tespit Sistemi Türleri
Network’te çalışır,tüm sistemlere gelen ve giden paketleri inceleyerek analiz yapar.
Host Tabanlı Kaçak Giriş Tespit Sistemi Türleri
Herhangi bir istemci ya da sunucuya kurulur ve sisteme gelen saldırılardan haberdar olunmasını sağlar.
Kayıt Dosyalarını İzleme
Belirtilen sistemlerin kayıt kontrollerini yaparak olası saldırıları tespit ederler.
Dosya Doğruluk Kontrolü
Dosya ve sistemlerin önemli bölümlerini inceleyerek Trojan ya da zararlı yazılımların tespit edilmesi ve engellenmesi için kullanılırlar.Bu yazılımlar sistem doğruluk sağlayıcıları olarak adlandırılırlar.
Sistem Doğruluk Sağlayıcısı [SIV]
Sistem doğruluk sağlayıcısı,sistem dosyalarını olası zararlı yazılım tehditlerine karşı denetlemek amacı ile oluşturulmuştur.Aynı zamanda sistem kayıtlarını da inceleyerek sistemin tutarlılığının devam etmesini sağlamış olur.
Kaçak Giriş Tespit Sistemlerini Aşmak
Bir çok kaçak giriş tespit sisteminin imza tabanlı çalıştığını düşünürsek aynen antivirüslerde de olduğu gibi yapılan saldırının imzasının değiştirilmesi kaçak giriş tespit sisteminin saldırıyı algılayamamasına sebep olur.
Kaçak Giriş Tespit Sistemlerini Geçmekte Kullanılabilecek Araçlar
Saldırı imzalarını değiştirebilen bir kaç yazılım ismi paylaşalım sizlerle;
Admutate,
SideStep,
Mendax,
Stick,
Fragrouter
vs. vs.
Güvenlik Duvarı [Firewall]
Güvenlik duvarı özel networke gelen ya da giden yetkisiz iletişimi engellemek için oluşturulmuş yazılım veya donanımdır.Genelde ağ geçidi olarak konumladırılmış bu sistemler iki network’ün birbirine erişimini
istenilen şekilde güvenli olarak kurulmasını sağlarlar.Güvenlik duvarı networkümüze erişmek isteyen kötü amaçlı kişilerden korunmak için oluşturulmuştur.
Güvenlik Duvarı Neler Yapabiliyor ?
Güvenlik duvarı iki network arasında geçen trafiği izleyerek kendi üzerindeki kurallar ile uyumlu olup olmadığının kontrolünü yapar.
Networkler arası paketleri yönlendirir.Gelen ve giden trafiği inceleyerek kayıt altına alarak alarm tanımlanmasını sağlayarak her türlü network hareketlerinden haberdar olmamızı sağlar.
Güvenlik Duvarı Türleri
Paket Filtreleme [Packet Filtering]
Paket filtreleme güvenlik duvarları OSI modelinde network katmanında çalışırlar.Bu tür güvenlik duvarlarında filtreleme kaynak ile hedef IP
adresleri,paket türü ve port numaralarına göre yapılabilir.
Örneğin belirtilmiş bir IP adresine gelen ve giden paketler hakkında kural oluşturmamızı sağlar.
Uygulama Katmanı Güvenlik Duvarı [Application Layer Firewall]
OSI modelinin uygulama katmanında çalışan bu tür güvenlik duvarları kullanılan uygulamanın özelliklerine göre filtreleme yapabilirler.Bu tür güvenlik duvarlarında protokollerin içi incelenip filtreler uygulanması sağlanır.Örneğin http protokolü ile taşınan bir web sayfasındaki belirlenen bir kelimenin görüntülenmesi ile trafiğin sonlandırılması gibi.
Çoklu Katman Güvenlik Duvarı [Stateful Multilayer Inspection Firewall]
Yukarıda beilrtilen güvenlik duvarlarının tüm özelliklerini üstünde barındıran bu tür güvenlik duvarı OSI modelinin uygulama,oturum ve bağlantı katmanlarında çalışarak filtrelemeler yapmamıza olanak tanır.Çoklu katman güvenlik duvarları izin verilen port içinden geçen protokolün oturum durumu,protokol içindeki verilere ve IP adreslerine göre filtrelemeler belirleyebilir.
Güvenlik Duvarının Belirlenmesi
Attacker bir network’e girmek için eğer bir güvenlik duvarı ile karşılaşırlar ise güvenlik duvraının özelliklerini öğrenmeye ve hakkında bilgi toplamaya çalışacaklardır.Bu aşamada kullanılabilecek teknikler aşağıdadır;
# Port Tarama
# Firewalking
# Servis Bilgisi Alma [Banner Grabbing]
Port Tarama
Port tarama yazılımları ile güvenlik duvarı üzerindeki açık portlar ve bu portlar da çalışan servislerin bilgisini öğrenmek güvenlik duvarı hakkında detaylı bilgi sahibi olmamızı sağlayacak.Port tarama yazılımı olarak size Nmap’ı öneririm.
Firewalking
Firewalking güvenlik duvarının arkasındaki uzak networkten bilgi toplamak için kullanılan yöntemlerden biridir.Güvenlik duvarı üzerindeki kuralların test edilmesi amacı ile de kullanılabilir.3 adet sisteme ihtiyaç vardır 1.Firewalking yapan sistem,2.Güvenlik Duvarı,3.Güvenlik Duvarının arkasındaki hedef sistem.
# Traceroute: Güvenlik duvarını tespit etmede kullanılan en önemli yöntemlerden biri de sunucuya giden paketlerin takibini yapmaktır.
Traceroute bir noktadan diğer noktaya ulaşılırken TCP/IP paketlerinin geçiş yaptığı noktaların bulunmasını sağlamaktır.Bir sunucuya ulaşılırken paketlerin geçiş yolu tespit edilerek arada bulunan güvenlik duvarı ya da yönlendirici cihazlar kolayca tespit edilebilir.
Servis Bilgisi Almak [Banner Grabbing]
Açık olan portlarda çalışan servisler bağlantı talebi ulaştığında kendi bilgilerini istemciye gönderirler.Bu işlem arka planda uygulamalar arasındaki iletişimde kullanılır.Servis bilgisinin elde edilmesi aynı zamanda işletim sistemi tespitinde de çok kullanılan yöntemlerden biridir.Güvenlik duvarları üzerinde sevis bilgisinin tespit edilmesi ile gerek güvenlik duvarı gerekse arkasındki sistemler hakkında bilgi sahibi olunabilir.
Güvenlik Duvarını Aşma
Güvenlik duvarlarını geçme konusunda en fazla kullanılan yöntem içerdeki bir sisteme network yazılımı kurulmasıdır.Güvenlik duvarının genelde izin verdiği portlardan (53 Dns,80 Http, 443 Https) çalışabilen yazılımlar güvenlik duvarlarını kııtlamalara takılmadan geçebilirler.
Honeypotlar
Honeypot bilinçli olarak zayıf bırakılmış bir sistemdir.Amacı saldırıları tespit etmek ve kayıt altına almak olan bu sistem yeni bulunan saldırıları tespit etme amaçlı oluşturulmuştur.
Honeypotlar sayesinde yeni zayıflıklar tespit eden kötü amaçlı şahıslar ve kullandıkları yeni saldırı yöntemleri keşfedilmekte ve bu zayıflıklar kapatılmaktadır.
Honeypot’ların bir diğer kullanım sebebi de saldırganın yanlış hedefe yönlendirilmesi olarak adlandırılabilir.Saldırgan bir sisteme sızmaya çalıştığında sistemde bulunan gerçek sisteme göre daha zayıf gözüken honeypot sisteme saldırmayı öncelikle tercih edecektir.
Basit bir yapı olmasına rağmen topladığı bilgi çok önemlidir.Genelde Honeypotlar güvenlik duvarının önünde konumlandırılırlar tüm saldırılara karşı açık olarak bulundurulurlar.
Makalemizin sonuna geldik okuduğunuz için teşekkür ederim.
Bu makale Cyber-Warrior TIM için Bug Researchers adına hazırlanmıştır.
İçindekiler
# Kaçak Giriş Engelleme Sistemi [IPS]
# Kaçak Giriş Tespit Sistemi [IDS]
# Kaçak Girişi Nasıl Tespit Ediyorlar ?
# Kaçak Giriş Tespit Sistemi Türleri
# Sistem Doğruluk Sağlayıcısı [SIV]
# Kaçak Giriş Tespit Sistemlerini Aşmak
# Kaçak Giriş Tespit Sistemlerini Geçmekte Kullanılabilecek Araçlar
# Güvenlik Duvarı [Firewall]
# Güvenlik Duvarı Neler Yapabiliyor ?
# Güvenlik Duvarı Türleri
# Güvenlik Duvarının Belirlenmesi
# Güvenlik Duvarını Aşma
# Honeypotlar
Kaçak Giriş Engelleme Sistemi [IPS]
Kaçak giriş engelleme sistemi,ingilizcesi ile Intrusion Prevention System;
Kaçak girişleri kontrol eder ve birşeyler ters gittiğinde bunu engelleyebilen sistemlere denir.
Kaçak Giriş Tespit Sistemi [IDS]
Kaçak giriş tespit sistemleri,ingilizce tabiri ile Intrusion Detection System;
Network trafiğini kendi içinde bulunan kural yapısına göre inceleyerek saldırı ya da kötüye kullanımı tespit edebilen ve raporlayabilen yazılım / donanım dır.
Kaçak Girişi Nasıl Tespit Ediyorlar ?
İmza Tanıma
Network trafiğinin içerisinde saldırı imzası bulunması ile tespit edilmiş olur.
Anormallik Tespiti
TCP/IP paketlerindeki anormallikler kontrol edilerek tespit edilmiş olur.
Protokol Anormallik Tespiti
Kullanılan network protokollerini takip ederek standart dışı iletişimin tespiti ile olur.
Kaçak Giriş Tespit Sistemi Türleri
Network Tabanlı Kaçak Giriş Tespit Sistemi Türleri
Network’te çalışır,tüm sistemlere gelen ve giden paketleri inceleyerek analiz yapar.
Host Tabanlı Kaçak Giriş Tespit Sistemi Türleri
Herhangi bir istemci ya da sunucuya kurulur ve sisteme gelen saldırılardan haberdar olunmasını sağlar.
Kayıt Dosyalarını İzleme
Belirtilen sistemlerin kayıt kontrollerini yaparak olası saldırıları tespit ederler.
Dosya Doğruluk Kontrolü
Dosya ve sistemlerin önemli bölümlerini inceleyerek Trojan ya da zararlı yazılımların tespit edilmesi ve engellenmesi için kullanılırlar.Bu yazılımlar sistem doğruluk sağlayıcıları olarak adlandırılırlar.
Sistem Doğruluk Sağlayıcısı [SIV]
Sistem doğruluk sağlayıcısı,sistem dosyalarını olası zararlı yazılım tehditlerine karşı denetlemek amacı ile oluşturulmuştur.Aynı zamanda sistem kayıtlarını da inceleyerek sistemin tutarlılığının devam etmesini sağlamış olur.
Kaçak Giriş Tespit Sistemlerini Aşmak
Bir çok kaçak giriş tespit sisteminin imza tabanlı çalıştığını düşünürsek aynen antivirüslerde de olduğu gibi yapılan saldırının imzasının değiştirilmesi kaçak giriş tespit sisteminin saldırıyı algılayamamasına sebep olur.
Kaçak Giriş Tespit Sistemlerini Geçmekte Kullanılabilecek Araçlar
Saldırı imzalarını değiştirebilen bir kaç yazılım ismi paylaşalım sizlerle;
Admutate,
SideStep,
Mendax,
Stick,
Fragrouter
vs. vs.
Güvenlik Duvarı [Firewall]
Güvenlik duvarı özel networke gelen ya da giden yetkisiz iletişimi engellemek için oluşturulmuş yazılım veya donanımdır.Genelde ağ geçidi olarak konumladırılmış bu sistemler iki network’ün birbirine erişimini
istenilen şekilde güvenli olarak kurulmasını sağlarlar.Güvenlik duvarı networkümüze erişmek isteyen kötü amaçlı kişilerden korunmak için oluşturulmuştur.
Güvenlik Duvarı Neler Yapabiliyor ?
Güvenlik duvarı iki network arasında geçen trafiği izleyerek kendi üzerindeki kurallar ile uyumlu olup olmadığının kontrolünü yapar.
Networkler arası paketleri yönlendirir.Gelen ve giden trafiği inceleyerek kayıt altına alarak alarm tanımlanmasını sağlayarak her türlü network hareketlerinden haberdar olmamızı sağlar.
Güvenlik Duvarı Türleri
Paket Filtreleme [Packet Filtering]
Paket filtreleme güvenlik duvarları OSI modelinde network katmanında çalışırlar.Bu tür güvenlik duvarlarında filtreleme kaynak ile hedef IP
adresleri,paket türü ve port numaralarına göre yapılabilir.
Örneğin belirtilmiş bir IP adresine gelen ve giden paketler hakkında kural oluşturmamızı sağlar.
Uygulama Katmanı Güvenlik Duvarı [Application Layer Firewall]
OSI modelinin uygulama katmanında çalışan bu tür güvenlik duvarları kullanılan uygulamanın özelliklerine göre filtreleme yapabilirler.Bu tür güvenlik duvarlarında protokollerin içi incelenip filtreler uygulanması sağlanır.Örneğin http protokolü ile taşınan bir web sayfasındaki belirlenen bir kelimenin görüntülenmesi ile trafiğin sonlandırılması gibi.
Çoklu Katman Güvenlik Duvarı [Stateful Multilayer Inspection Firewall]
Yukarıda beilrtilen güvenlik duvarlarının tüm özelliklerini üstünde barındıran bu tür güvenlik duvarı OSI modelinin uygulama,oturum ve bağlantı katmanlarında çalışarak filtrelemeler yapmamıza olanak tanır.Çoklu katman güvenlik duvarları izin verilen port içinden geçen protokolün oturum durumu,protokol içindeki verilere ve IP adreslerine göre filtrelemeler belirleyebilir.
Güvenlik Duvarının Belirlenmesi
Attacker bir network’e girmek için eğer bir güvenlik duvarı ile karşılaşırlar ise güvenlik duvraının özelliklerini öğrenmeye ve hakkında bilgi toplamaya çalışacaklardır.Bu aşamada kullanılabilecek teknikler aşağıdadır;
# Port Tarama
# Firewalking
# Servis Bilgisi Alma [Banner Grabbing]
Port Tarama
Port tarama yazılımları ile güvenlik duvarı üzerindeki açık portlar ve bu portlar da çalışan servislerin bilgisini öğrenmek güvenlik duvarı hakkında detaylı bilgi sahibi olmamızı sağlayacak.Port tarama yazılımı olarak size Nmap’ı öneririm.
Firewalking
Firewalking güvenlik duvarının arkasındaki uzak networkten bilgi toplamak için kullanılan yöntemlerden biridir.Güvenlik duvarı üzerindeki kuralların test edilmesi amacı ile de kullanılabilir.3 adet sisteme ihtiyaç vardır 1.Firewalking yapan sistem,2.Güvenlik Duvarı,3.Güvenlik Duvarının arkasındaki hedef sistem.
# Traceroute: Güvenlik duvarını tespit etmede kullanılan en önemli yöntemlerden biri de sunucuya giden paketlerin takibini yapmaktır.
Traceroute bir noktadan diğer noktaya ulaşılırken TCP/IP paketlerinin geçiş yaptığı noktaların bulunmasını sağlamaktır.Bir sunucuya ulaşılırken paketlerin geçiş yolu tespit edilerek arada bulunan güvenlik duvarı ya da yönlendirici cihazlar kolayca tespit edilebilir.
Servis Bilgisi Almak [Banner Grabbing]
Açık olan portlarda çalışan servisler bağlantı talebi ulaştığında kendi bilgilerini istemciye gönderirler.Bu işlem arka planda uygulamalar arasındaki iletişimde kullanılır.Servis bilgisinin elde edilmesi aynı zamanda işletim sistemi tespitinde de çok kullanılan yöntemlerden biridir.Güvenlik duvarları üzerinde sevis bilgisinin tespit edilmesi ile gerek güvenlik duvarı gerekse arkasındki sistemler hakkında bilgi sahibi olunabilir.
Güvenlik Duvarını Aşma
Güvenlik duvarlarını geçme konusunda en fazla kullanılan yöntem içerdeki bir sisteme network yazılımı kurulmasıdır.Güvenlik duvarının genelde izin verdiği portlardan (53 Dns,80 Http, 443 Https) çalışabilen yazılımlar güvenlik duvarlarını kııtlamalara takılmadan geçebilirler.
Honeypotlar
Honeypot bilinçli olarak zayıf bırakılmış bir sistemdir.Amacı saldırıları tespit etmek ve kayıt altına almak olan bu sistem yeni bulunan saldırıları tespit etme amaçlı oluşturulmuştur.
Honeypotlar sayesinde yeni zayıflıklar tespit eden kötü amaçlı şahıslar ve kullandıkları yeni saldırı yöntemleri keşfedilmekte ve bu zayıflıklar kapatılmaktadır.
Honeypot’ların bir diğer kullanım sebebi de saldırganın yanlış hedefe yönlendirilmesi olarak adlandırılabilir.Saldırgan bir sisteme sızmaya çalıştığında sistemde bulunan gerçek sisteme göre daha zayıf gözüken honeypot sisteme saldırmayı öncelikle tercih edecektir.
Basit bir yapı olmasına rağmen topladığı bilgi çok önemlidir.Genelde Honeypotlar güvenlik duvarının önünde konumlandırılırlar tüm saldırılara karşı açık olarak bulundurulurlar.
Makalemizin sonuna geldik okuduğunuz için teşekkür ederim.
Bu makale Cyber-Warrior TIM için Bug Researchers adına hazırlanmıştır.