spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri - 1 Yazdır E-posta
Ertuğrul Başaranoğlu, TÜBİTAK BİLGEM   
03.06.2013

Günümüzde kurumlara yönelik gerçekleştirilen siber saldırılar artış göstermektedir. Bu durum, gerçekleşebilecek muhtemel saldırılara karşı, kurumların sızma testlerine verdiği önemi arttırmıştır. Bu amaçla kurum personeli tarafından ve dış kaynaklı firmalar tarafından sızma testleri gerçekleştirilmektedir. Özel sektörde veya kamu sektöründe gerçekleştirilen bu testler sonucunda sızma testi raporları hazırlanmakta ve bu raporlara göre sistemler sıkılaştırılmaktadır.

İki bölüm halinde yayınlanacak olan bu yazıda, etki alanındaki saldırılarına ve dolaylı olarak sızma testlerine karşı alınması gereken temel önlemler üzerinde durulacaktır. İlk bölüm olan bu bölümde sızma testlerinin adımlarından ve sızma testlerine karşı aşağıda belirtilen 3 temel korunma yönteminden bahsedilecektir.

  • BIOS Yapılandırması

  •  Ağ Yapılandırması

  • Güncelleştirmelerin Gerçekleştirilmesi

İkinci bölümde de korunma yöntemlerine devam edilecektir. İkinci bölümde bahsedilecek korunma yöntemleri aşağıdaki gibidir.

  • İmaj Yapılandırması

  • Kritik Hesapların Kullanımı

  • Diğer Güvenlik Önlemleri

A) Etki Alanı Sızma Testi Adımları

Etki alanındaki sızma testlerinden ve etki alanına yönelik saldırılardan korunma yöntemlerine geçmeden önce sızma testlerinin temel olarak nasıl gerçekleştirildiğinin ele alınması gerekir. Böylece korunma işlemlerinin neye karşı yapıldığı daha iyi görülebilecektir. Bu başlıkta etki alanı sızma testlerinde gerçekleştirilen en temel adımlar ele alınacaktır. Kurum yapısına göre bazı ek işlemler yapılabildiği gibi en temel olarak bu adımlar gerçekleştirilmektedir.

Bir etki alanı sızma testi temel olarak 5 adımda gerçekleştirilir.

A. 1. Fiziksel Operasyon

Sızma testi gerçekleştirilirken etki alanındaki bir bilgisayar istenir ve bu bilgisayar başka bir işletim sistemi ile açılır. Yeni bir işletim sistemi ile açılan bilgisayardan, yerel yöneticilere ait parolalar alınır.

Yerel kullanıcıların parola özetleri alınırken SAM dosyası kullanılmaktadır. SAM dosyasından parola özetlerinin elde edilme işlemi aşağıda gösterilmiştir. Bunun yanında bilgisayarda yerel yönetici haklarına sahip olan veya gerekli izni olan bir kullanıcı hesabı ile benzer işlem bilgisayar kapatılmadan da yerel kullanıcı hesap bilgileri elde edilebilirdi.  

resim-1.jpg

Şekil - 1. Yerel Kullanıcı Hesap Bilgilerinin Elde Edilmesi

A. 2. Zafiyet Taraması

Etki alanının bulunduğu ağa giriş sağlandıktan sonra IP ve port taraması gerçekleştirilir. IP/Port taraması sonrasında elde edilen bilgisayarlar üzerinde zafiyet taraması gerçekleştirilir.

Örnek biz zafiyet taraması sonucu aşağıdaki gibidir. Sonuçlar, kullanılan zafiyet taraması uygulamasına göre değişiklik gösterse de açıklıklar risk seviyesine göre de belirtilmektedir. Yüksek seviyeli risk taşıyan açıklıklar üzerine gidilerek, açıklık sömürülür (exploit).

resim-2.jpg
 

Şekil - 2: Zafiyet Taraması Sonucu

Tarama sonucunda elde edilen zafiyetler kullanılarak bilgisayarlara giriş yapılır. Aşağıdaki ekran görüntüsünde zafiyet taraması sonucunda tespit edilen MS08-067 (http://technet.microsoft.com/en-us/security/bulletin/ms08-067) zafiyeti kullanılarak bilgisayarda oturum açılması görülmektedir.   

resim-3.jpg

Şekil - 3: MS08-067 Zafiyetinin Sömürülmesi

Bir bilgisayara giriş yapıldıktan sonra hak yükseltilerek yerel kullanıcıların bilgileri elde edilir ve önceki maddede belirtilenlere benzer olarak yerel kullanıcı hesap bilgileri elde edilebilir. Aşağıdaki ekran görüntüsünde sızılan bir bilgisayarda SYSTEM haklarına sahip olunduğu, bu haklar kullanılarak yerel kullanıcıların özetinin alınabildiği ve bilgisayarın kabuğuna düşülebildiği görülmektedir.

resim-4.jpg

Şekil - 4: Zafiyet Taraması Sonucunda Elde Edilen Bilgisayarda Gerçekleştirilen İşlemler

A. 3. Yayılma

Bir bilgisayardan yerel yöneticilerinin parolaları alındıktan sonra, aynı kullanıcı bilgilerini kullanan diğer bilgisayarlara giriş yapılmaya çalışılır. Aşağıdaki ekran görüntüsünde elde edilen yerel yönetici hesap bilgileri ile oturum açılabilecek bir bilgisayarın tespit edilmesi görülmektedir.  

resim-5.jpg

Şekil - 5: Aynı Yerel Yönetici Hesabını Kullanan Bilgisayarların Tespit Edilmesi

Böylece etki alanındaki bilgisayarlarda önce yönetici daha sonra da hak yükseltilerek sistem haklarına sahip olunur. Yayılma işlemi sırasında yönetimsel paylaşımlara bir takım uygulamalar gönderilerek, uygulamaların çalıştırılması sağlanmaktadır.  

resim-6.jpg

Şekil - 6: Tespit Edilen Bilgisayarlara Yönetimsel Paylaşımları Kullanarak Sızılması

A. 4. Bilgi Toplama

Etki alanındaki bir bilgisayara giriş yapıldıktan sonra, etki alanındaki kritik kullanıcılar (Domain Admins, Enterprise Admins gibi kullanıcılar) ve diğer bir takım bilgiler listelenir. Bu işlem eğer etki alanına sahip bir bilgisayar verilmişse, ilk adımda da gerçekleştirilebilirdi.  

resim-7.jpg

Şekil - 7: Etki Alanındaki Kritik Hesapların Tespit Edilmesi

A. 5. Araştırma

Giriş yapılan her oturumda açık olarak saklanmış parola bilgileri, önemli dosyalar, kritik kullanıcıların açık kalan oturumu veya bir prosesi aranır. Aşağıdaki ekran görüntüsünde SYSTEM haklarına sahip olunduktan sonra, etki alanında kritik bir kullanıcı hesabının prosesine sıçranmıştır.

resim-8.jpg

Şekil - 8: Sızılan Bilgisayarda Prosesi Olan Kritik Bir Kullanıcı Hesabının Haklarına Yükseltilme

Etki alanında kritik kullanıcı prosesine sıçrandığında, o prosesi çalıştıran kritik kullanıcının hakları elde edilebilir ve kritik kullanıcının hakları doğrultusunda operasyonlar gerçekleştirilebilir. Etki alanında elde edilen bilgiler ve kritik kullanıcıya ait erişim hakları kullanılarak kurumdaki diğer sistemlere sızılır veya standart bir etki alanı kullanıcı hesabı (testlerden önce verilen veya yeni oluşturulan normal bir kullanıcı hesabı) Domain Admins gibi etki alanında kritik olan bir gruba üye yapılır. Sızılan bilgisayarlarda etki alanına üye olan veya olmayan kritik sistemlerle (Veritabanları, Linux/UNIX sistemler, web sunucular, dosya sunucuları vs.) ilgili bilgiler araştırılır. Böylece kurum için kritik olan bilgilere erişilir.

B) Etki Alanı Sızma Testlerinden Korunma Yolları

Etki alanı sızma testleri için gerçekleştirilebilecek birçok operasyon vardır. Bu operasyonlar, sızma testleri sonucunda raporlarda belirtilmektedir. Gerçekleştirilebilecek en temel operasyonlar 6 başlık altında toplanabilir.

B.1. BIOS Yapılandırması

Etki alanı sızma testi adımlarındaki fiziksel operasyonun gerçekleştirilememesi için, yerel kullanıcı bilgilerinin SAM dosyasından alınamaması sağlanmalıdır. Yerel kullanıcıların bilgileri, çevrimiçi olarak yerel yönetici haklarıyla elde edilebileceği gibi çevrimdışı yollarla da bir işletim sistemi kullanılarak gerçekleştirilebilir. Bu amaçla, kullanıcılar yerel yönetici haklarına sahip olmamalı ve BIOS ayarları uygun şekilde yapılandırılmalıdır.

BIOS ayarlarının yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

i. Bilgisayarın BIOS ayarı yapılandırılmasında parola koruması eklenmelidir. Bu parolalar oldukça karmaşık ve her bilgisayar için farklı olması tavsiye edilmektedir. Bilgisayarın pili çıkarıldığında BIOS şifresinin sıfırlanmaması için özel donanımlar tercih edilmelidir. 

resim-9.jpg

Şekil - 9: BIOS Parolasının Oluşturulması 

ii. Bilgisayarın BIOS ayarı kontrol edilmeli ve öncelikle hard diskten başlatıldığından emin olunmalıdır.

iii. Bilgisayarlar çevrim dışı olarak açıldığında içerisindeki verilere erişilememesi için, Bitlocker gibi çözümler kullanılarak tam disk şifreleme gerçekleştirilmelidir. Böylece disk içerisindeki veriler okunamayacaktır.

iv. Yerel kullanıcıların bilgilerine erişilebilse bile, parolanın açık halinin elde edilememesi için hem LM özetlerinin kaydedilmemesi hem de parola oldukça karmaşık olarak belirlenmesi gerekmektedir. Ancak Windows işletim sistemindeki kimlik doğrulama mekanizmalarındaki zayıflıktan dolayı parolaların açık hali elde edilmeden de, parola özetleri kullanılarak diğer bilgisayarlara yayılma gerçekleşebilir. Bu sebeple, üst taraftaki operasyonlar gerçekleştirilerek, SAM dosyasına erişilememesi sağlanmalıdır.

B. 2. Ağ Yapılandırması

Etki alanı sızma testi adımlarındaki ağ taramalarının etkin olarak gerçekleştirilememesi için, ağ taraması sonucunda olabildiğince az bilginin açığa çıkarılması sağlanmalıdır.  Bu amaçla ağ ayarları sıkılaştırılmalı ve yapılandırılmalıdır.

Ağ ayarlarının yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir. 

i. Etki alanındaki bilgisayarlara erişimler ortamdaki aktif cihazlarla kontrol edilmelidir. Sadece gerekli olan IP veya IP bloklarından erişimler sağlanabilmelidir. Ayrıca port kontrolü de gerçekleştirilmelidir. Özellikle kritik konumdaki sunuculara olan ağ bağlantıları için erişimler kontrollü olarak verilmelidir. Ayrıca ortamda gerçekleştirilen tarama işlemlerinden haberdar olunabilmesi için anormal ağ trafiğinin tespiti ve önlenmesine yönelik gerekli çözümler kullanılmalıdır.

ii. Bilgisayarlarda gereksiz olan tüm servisler kapatılmalıdır. Böylece saldırı yüzeyi azaltılır. Servis güvenliği için servisi çalıştıran kullanıcılar kontrol edilmelidir, varsayılan dışında oluşturulan servis hesaplarının parolalarının karmaşık ve uzun olması sağlanmalı, kilitlenmeyecek şekilde ayarlanmalı, periyodik olarak değiştirilmelidir.

iii. Bilgisayarlar üzerinde yayılma işlemi gerçekleştirilirken, yönetimsel paylaşımlar kullanılmaktadır. Bu sebeple yönetimsel paylaşımların kapatılması gerekmektedir. Eğer etki alanındaki yönetimsel operasyonlar için yönetimsel paylaşımlar gerekli ise, sadece bu operasyonları gerçekleştirecek olan özel kullanıcılar için yönetimsel paylaşımlarda işlem gerçekleştirme hakkı verilmesi gerekmektedir. Bu amaçla aşağıda belirtilen anahtar değerleri 0 olarak ayarlanmalıdır.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareWks

 

iv. Bilgisayarlardaki TCP/IP güvenliğine önem verilmelidir. Bu amaçla internet seçeneklerinden ayarlar yapılabileceği gibi, kayıt defterinde de gerekli ayarlar gerçekleştirilmelidir.

B. 3. Güncelleştirmelerin Gerçekleştirilmesi

Etki alanı sızma testi adımlarındaki zafiyet taramalarının etkin olarak gerçekleştirilememesi için, zafiyet taraması sonucunda olabildiğince az bilginin açığa çıkarılması sağlanmalıdır.  Bu amaçla ağ ayarları uygun olarak yapılandırılmalı ve etki alanındaki bilgisayarlarda veya etki alanına erişebilen sistemlerde güncelleştirmeler gerçekleştirilmelidir.

Yama yönetimi için, en az aşağıdaki ayarların uygulanması gerekmektedir.

i. Güncellemeler konusundaki en önemli unsur kurum tarafında uygulanmak üzere bir yama yönetimi politikasının oluşturulması, adımlarının belirlenmesi, uygulanması ve sürekli olarak geliştirilmesidir.

ii. Etki alanında ve etki alanına erişimin sağlandığı sistemlerde periyodik olarak zafiyet taraması gerçekleştirilmelidir. Zafiyet taramasında mümkünse farklı araçların kullanılması tavsiye edilmektedir. Böylece bir araç tarafından tespit edilemeyen bazı zafiyetler diğer araçlarla tespit edilebilmektedir. Ayrıca kullanılan araçların da en güncel zafiyetleri barındırdığından emin olunmalı, güncelliği kontrol altında tutulmalıdır.

iii. Anti virüs, saldırı tespit ve önleme sistemleri, anormallik tespit sistemleri gibi etki alanı ortamında güvenliği sağlamakla görevleri sistemlerin güncel olması ve son imzalara sahip olması gerekmektedir.

iv. Tespit edilen zafiyetler kurumda uygulanan güncelleme yönetimi politikası kapsamında değerlendirilmelidir. Kritik zafiyetler, politika kapsamında belirlenen adımlardan geçtikten sonra, en kısa süre içerisinde merkezi olarak etki alanındaki bilgisayarlara dağıtılmalı ve yüklenmelidir. Güncelleştirmeleri almayan ve yüklenmeyen bilgisayarlar tespit edilmeli ve son güncelleştirmeleri alması sağlanmalıdır.

v. Saldırı yüzeyini azaltmak için bilgisayarlarda sadece gerekli programların bulunması ve bu programların sürüm kontrollerinin belli aralıklarla gerçekleştirilmesi gerekmektedir.

vi. En son güncelleştirmelerden ve zafiyetlerden haberdar olmak için kurumda kullanılan sistemlere ait güvenlik bültenlerine, bloglara, posta gruplarına üye olunması gerekmektedir.

C) Bölüm Sonu

Bu bölümde etki alanı saldırılarında ve dolaylı olarak da etki alanı sızma testlerinde gerçekleştirilen adımlar ve bu adımlara karşı alınması gereken önlemler üzerinde durulmuştur. Sonraki bölümde, alınması gerekilen önlemlere devam edilecektir.


Favori olarak ekle (2) | Görüntüleme sayısı: 49677

Yorumlar (2)
1. 22-07-2013 13:56
 
Merhaba, 
Yazı saldırıların nasıl gerçekleştirildiğini amaçlamamaktadır. Yazının asıl amacı, saldırılara karşı korunma yöntemlerini belirtmek olup, korunma yöntemlerinden bahsederken de, saldırıların temel olarak nasıl gerçekleştirilebileceği üzerinde durulmuştur. Ekran görüntüleri piyasada da sıkça kullanılan bir sızma testi yazılımına (Penetration Testing Software) aittir. Sızma testlerini gerçekleştiren güvenilir firmalarla iletişime geçilerek, bu testler yapılabilir.
 
Ertuğrul Başaranoğlu
2. 22-07-2013 11:37
 
Merhaba 
 
Makale için teşekkürler, fakat burada kullandığınız programlar nedir, sadece bilgi amaçlı mı yazıldı bu makale, bu testleri yapmak isteyenler nasıl yapabilir?
 
Yavuz Filizlibay

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB