Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ağ Protokollerine Yönelik Adli Bilişim Analizi

8,709 views

Published on

Ağ Protokollerine Yönelik Adli Bilişim Analizi
Örnek Eğitim Notu - 2014

Published in: Internet

Ağ Protokollerine Yönelik Adli Bilişim Analizi

  1. 1. @BGASecurity Ağ Protokollerine Yönelik Adli Bilişim Analizi Örnek Eğitim Notu - 2014 -
  2. 2. @BGASecurity BGA Bilgi Güvenliği A.Ş BGA Security Hakkında BGA | Hakkında Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir. Gerçekleştirdiği vizyoner danışmanlık projeleri ve nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır. ARGE EĞİTİM MSSP PENTEST SOME / SOC SECOPS
  3. 3. @BGASecurity Ağ Protokollerine Yönelik Adli Bilişim Analizi BÖLÜM İÇERİĞİ Ø TCP/IP 2. katmana yönelik adli bilişim analizi Ø MAC adreslerinin kanıt olma durumu Ø Kablosuz ağlarda MAC adresleri ve önemi Ø ARP saldırıları ve önlemleri Ø ArpON, Arpwatch yazılımları Ø IP katmanında adli bilişim analizi Ø Yerel ağlar ve Internet üzerinde IP adresleri Ø IP adresleri ve sahiplerinin bulunması Ø IP adreslerinin lokasyon bilgilerine ulaşma Ø Sahte IP adresleriyle iletişim Ø Sahte IP adreslerinin belirlenmesi ve engellenmesi Ø TCP ve UDP katmanlarında adli bilişim analizi Ø DNS protokolü üzerinde adli bilişim analizi Ø DNS protokolü ve çalışma mantığı Ø DNS hakkında bilgi toplama, dns sorguları Ø Dns tünelleme yöntemleriyle veri transferi Ø Socks proxyler ve dns sorguları Ø Dns flood saldırıları ve incelemesi Ø HTTP trafiği ve çalışma mantğı Ø HTTP komutları, istek ve cevapları BGA | Ağ Protokolleri Ø HTTPS trafiği inceleme Ø SSL, TLS incelemesi Ø SSL trafiğinde araya girme, veri okuma Ø SSL trafiği ve HTTP (HTTPS) Ø HTTPS trafiğinde araya girme Ø HTTP paketlerini ağda yakalama . Ø URL saklama teknikleri Ø Veri encoding ve decoding Ø HTTP oturum yönetimi ve cookie mantığı Ø Veritabanı ağ bağlantıları incelemesi Ø Ağ üzerinde Mysql iletişimi Ø Ağ üzerinde MsSQL iletişimi Ø Ağ üzerinde Oracle iletişimi Ø DHCP Ø DHCP’nin adli bilişim açısından önemi Ø Dhcp bilgisayara ait hangi bilgileri verir Ø Dhcp logları analizi Ø Dhcp kullanarak mitm saldırıları Ø Wireless da dhcp vs ne olabilirse
  4. 4. @BGASecurity OSI 2. Katman Adli Bilişim Analizi BGA | Ağ Protokolleri • Sadece yerel kablolu/kablosuz ağlar içindir. Ø DMZ, Hosting firmaları, kurum içi ağlar • Mac adresleri ve ARP/RARP bileşenlerine sahiptir. • Kablosuz ağlar için vazgeçilmez bileşendir
  5. 5. @BGASecurity MAC Adresi BGA | Ağ Protokolleri • Bilgisayardaki ağ kartının biricik numarası • Cep telefonlarındaki IMEI numarasına “benzer” • Layer 2 için iletişim adresleri • Yerel ağlarda iletişim MAC adresleri üzerinden gerçekleşir.. • 48 bitlik adreslerdir. • 1 byte=8bit • İlk üç byte üretilen firmayı gösterir. • Kolaylıkla değiştirilebilir. MAC= Media Access Control Firma Bilgisi
  6. 6. @BGASecurity Mac Adresi-II BGA | Ağ Protokolleri • MAC adresleri 16’lık tabanda yazılır ve “:” veya “–” işareti ile ayrılarak gösterilir. Ø 01-23-45-67-89-ab • Özel MAC adresleri Ø İlk bitleri 01 olan adr FF:FF:FF:FF:FF:FF adresi tüm cihazlara yayın yapmak (broadcast) için kullanılır. Ø Esler, Ethernet ve FDDI’de birçok cihaza yayın (multicast) amaçlı kullanılır.
  7. 7. @BGASecurity Adli Bilişim Açısından Mac Adresi BGA | Ağ Protokolleri • Mac adres spoofing yapılmamış bir saldırıda gerekli loglar tutulmuşsa; • Mac adresinden marka belirlenir • Marka ile iletişime geçilip nerede satıldığı belirlenir • En ücra köşede de olsa suçlu bulunabilir • Mac adresleri basittir ama Network Forensics çalışmalarında çok işe yarar.
  8. 8. @BGASecurity MAC Adresinden Üretici Bulma BGA | Ağ Protokolleri Sizin mac adresiniz hangi firmaya ait?
  9. 9. @BGASecurity MAC Adres Güvenilirliği BGA | Ağ Protokolleri • “MAC adresleri ağ kartına gömülü olarak gelir ve değiştirilemez” Ø MAC adresleri işletim sisteminden çıkarken özel bir yazılımla farklı gösterilebilir. Ø Ağdaki diğer sistemler sizin göstermek istediğiniz MAC adresini bilecektir. Ø Kısaca MAC adresleri yazılım kullanılarak değişik gösterilebilir. • MAC adresleri tek başına güvenilir delil olarak kabul edilmemelidir.
  10. 10. @BGASecurity BAŞLIK; SİBER SUÇ ANALİZİ ALT BAŞLIK; CYBER FORENSİCS HİZMETİ BGA | SOME Services • Bir sistem iletişime geçmek istediği sistemin MAC adresini bilmek zorundadır. Ø Yerel ağlarda, Ø Internete erişirken gateway’in MAC adresi üzerinden iletişim kurulur. • MAC adresi görüntüleme Ø Linux sistemlerde MAC adresi ifconfig komutuyla görülebilir. Ø Windows sistemlerde MAC adresi ipconfig komutuyla görülebilir. • Linux/Windows sistemlerde iletişimdeki bir sisteme ait MAC adresi “arp- an” veya “arp – a” komutuyla izlenebilir.
  11. 11. @BGASecurity MAC Adresi Değiştirme BGA | Ağ Protokolleri • MAC Spoofing olarak da adlandırılır • Linux/UNIX/windows sistemlerde MAC adresleri basit yazılımlar aracılığıyla değiştirilebilir. • Sistem yeniden başladığında MAC adresi eski haline dönecektir. Ø Ek yazılımlarla sistem yeniden açıldığında sahte MAC adresleri otomatik olarak aldırılabilir.
  12. 12. @BGASecurity Windows MAC Adresi Değiştirme BGA | Ağ Protokolleri • Windows sistemlerdeki ağ cihazlarının MAC adresleri Ø Ağ arabirimi özelliklerinden Ø Registry ayarlarından Ø Özel programlar aracılığıyla değiştirilebilir.
  13. 13. @BGASecurity Linux MAC Adresi Değiştirme BGA | SOME Services ifconfig eth0 down ifconfig eth0 hw ether 00:10:10:10:10:01 ifconfig eth0 up • İki farklı şekilde yapılabilir: Ø İfconfig Ø Yardımcı program aracılığıyla
  14. 14. @BGASecurity MAC Adres Çakışması BGA | Ağ Protokolleri • Bir ağda aynı mac adresine sahip iki sistem olursa Ø Normal bir durum değil, mac spoofing yapılıyor olabilir. Ø Trafiğin belirli bir oranı bir sisteme , belirli bir oranı diğer sisteme gider. • Örnek uygulama Ø Mac-changer
  15. 15. @BGASecurity MAC Adresi Değişimi Nasıl Yakalanır BGA | Ağ Protokolleri • Ortamda tüm trafiği izleyen bir sistem varsa • Bir IP adresi birden fazla MAC adresiyle göründüğü zaman • Veya bir IP adresi başka bir MAC adresiyle göründüğü zaman uyarı verebilir. • Switch CAM tablosu loglarından • IPS’lerin arp spoof yapanları yakalama yöntemi Snort arp spoof detection örneği
  16. 16. @BGASecurity MAC Adres Değişimi UYGULAMA BGA | Ağ Protokolleri • Önce normal ip-mac iletişimi sonradan arp cache poisoning/arp spoofing yapılıyor • Kullanılacak araçlar: § Wireshark § Arpspoof § arpwatch
  17. 17. @BGASecurity IPS & Arp Spoofing ÖRNEK OLAY BGA | Ağ Protokolleri • Firma: X telekom • Sorun:Değişken zamanlarda tüm internet trafiğinin kesilmesi § Sadece eski oturumların aktif olarak devam ediyor. • Yapı § RouteràIPSàFailoverFirewallàİç ağ+DMZ+3G § Failover Firewall Checkpoint, ortak IP farklı MAC kullanılıyor.
  18. 18. @BGASecurity Olay Çözümü BGA | Ağ Protokolleri • Internet erişiminin kesildiği anları kapsayan zamanlar için Firewall/IPS sistemlerinin loglarının incelenmesi § Başka sistemleri incelemeye gerek var mı? • Firewall üzerindeki loglardan bir anormallik çıkmaz § Sadece ilgili saatlerde Master firewall seitch etmiş gözüküyor! • IPS logları incelendiğinde Firewall’a ait IP-MAC ikilisi değiştiği için IPS kuralı devreye girerek Firewall IP adresini engellemiş. • Neden?
  19. 19. @BGASecurity ArpOn, ArpWatch Yazılımı BGA | Ağ Protokolleri • Ağa dahil olan makineleri bildirme • IP-MAC ikilisi değişen sistemleri bildirme özelliklerine sahiptir. • Tüm ağ trafiğigi görmezse • Işe yaramaz!
  20. 20. @BGASecurity Windows İçin ArpWatch Yazılımı BGA | Ağ Protokolleri • DecaffeinatID ( A Very Simple IDS / Log Watching App / ARPWatch For Windows) yazılımı • Ip-Mac ikilisi değişikliklerini yakalayarak uyarı verir.
  21. 21. @BGASecurity Linux Sistemlerde Arp Spoofing Yakalama BGA | Ağ Protokolleri • Linux/UNIX sistemlerin belleğine girmiş bir ARP kaydı değişirse aşağıdaki gibi bir uyarı verecektir. • Bu uyarıdan ağ üzerinden birşeylerin normal gitmediği sonucu çıkarılabilir. Ø Gateway(router) değiştiği için MAC adresi değişmiştir. Ø Birileri Arp spoofing yapıyordur.
  22. 22. @BGASecurity MAC Adresinden Yakalanan Hacker BGA | Ağ Protokolleri • Yer:Newyork havalimanı • Kurban yaşlı bir çift • Saldırgan 19 yaşında James … • Saldırgan MITM saldırısı yaparak kurbana ait kredi kartı bilgilerini çalmış ve işlem yapmıştır. • Bir ay sonra saldırgan Kazakistan’daki evinde olaydan suçlu bulunarak yakalanmıştır. • Nasıl?
  23. 23. @BGASecurity MAC Adersinden Yakalanan Hacker-II BGA | Ağ Protokolleri • Saldırgan MAC adresini değiştirmemiştir. • Wireless AP’nin loglarını inceleyen adli bilişim ekibi MITM saldırısına ait bir log satırı yakalamıştır. Ø Bir IP adresi birden fazla MAC adresinde gözükmüştür. Ø Arp-reply 192.168.1.1 at 0:22:33:44:55:66 • MAC adresinden üretici firmaya, ordan ülkeye, ülkeden laptopın kime satıldığına ulaşılmıştır.
  24. 24. @BGASecurity MAC Adresinden Çalınan Laptop Bulma BGA | Ağ Protokolleri • Internet üzerinde MAC adres bilgisi kullanılmaz • Yeni nesil sistemlere özel bir çip yerleştirerek GPRS üzerinden doğrudan veri aktarımı yaptırılarak yeri ve ip adresi belirlenebilir.
  25. 25. @BGASecurity Address Resolution Protocol(ARP) BGA | Ağ Protokolleri • Yerel ağlarda iki hostun birbiri ile anlaşabilmesi için kullanılan protokoldür.(RFC 826) • İki host birbiri ile iletişime geçmeden önce birbirlerinin IP adreslerini bilmek zorundadır. Ø IP adresini bilenlerin iletişime geçebilmesi için MAC adreslerini edinme zorunluluğu vardır. • TCP/IP İletişiminde en önemli(?) protokoldür • Ipv6 ‘da ARP yerine benzeri işlevi yerine getiren Neighbor Discovery Protocol (NDP) geliyor. • ARP iki işlemli bir süreçtir. Ø ARP Request Ø ARP Reply • Gratious ARP Paketleri
  26. 26. @BGASecurity ARP Başlık Bilgisi BGA | Ağ Protokolleri
  27. 27. @BGASecurity ARP Çalışma Mantığı BGA | Ağ Protokolleri
  28. 28. @BGASecurity ARP Paket Çeşitleri BGA | Ağ Protokolleri • 4 cesit ARP mesajı vardır • ARP request : IP Adresine ait donanım adresi (MAC adresi) sorgulamak için kullanılır. 10:09:20.356809 arp who-has 12.16.6.17 tell 12.16.6.185 ARP reply : Belirtilen Ip adresine uyan donanım adresini döndürür. 10:09:20.356809 arp reply 12.16.6.17 is-at 0:80:c8:f8:5c:73 RARP request: Belirli bir MAC adresi için IP adresi sorgulaması için kullanılır . RARP reply : Belirli MAC adresi için IP adresi cevabı döndürür. • Gratious ARP Paketleri
  29. 29. @BGASecurity ARP Request BGA | Ağ Protokolleri ARP REQUEST(Broadcast)
  30. 30. @BGASecurity ARP Request(Detay) BGA | Ağ Protokolleri
  31. 31. @BGASecurity ARP Reply BGA | Ağ Protokolleri ARP REPLY(Unicast)
  32. 32. @BGASecurity ARP Request-ARP Reply(Detay) BGA | Ağ Protokolleri ARP REPLY(Unicast)
  33. 33. @BGASecurity Kablosuz Ağlarda ARP BGA | Ağ Protokolleri • Kablosuz ağlarda istemcinin durumu Ø Managed Mod:Ağa bağlıdır, klasik L2 ortamı Ø Monitor mode: Ağa bağlı değildir, ilgili kanalı izler ve şifrelenmemiş verileri görür. • MAC adresi filtrelemesini aşma Ø Monitor modda trafik dinlenir. Ø Yetkili bir mac adresi öğrenilir ve o MAC adresi üzerine alınır. Ø Aynı MAC adresine sahip diğer istemcinin durumu? • Bağlı Kullanıcılara yanlış ARP kayıtları göndererek DOS’a maruz bırakma
  34. 34. @BGASecurity Ağ Katmanında Adli Bilişim Analizi BGA | Ağ Protokolleri • OSI 3. Katman • Ağ katmanı-> IP adresleri • IP adresleri network forensics konusunun en önemli bileşenidir. • Neden? Ø Internet üzerinde geçerli tek adres bilgisi ip adresidir.
  35. 35. @BGASecurity Internet Protocol BGA | Ağ Protokolleri • Internetin temel yapıtaşı • Güncel IP sürümü:v4 • Yakın gelecekteki IP sürümü:v6 Ø V5 Lab ortamında denendi. • Ağlar arası yönlendirme işlemini yapar. • Hata kontrol mekanizması yoktur. • Gönderici ve alıcı arasında bir kimlik doğrulama işlemi yoktur.
  36. 36. @BGASecurity TCP/IP Protokol Ailesi ve IP BGA | Ağ Protokolleri
  37. 37. @BGASecurity IP Başlık Bilgisi BGA | Ağ Protokolleri • Başlık+veri=Datagram • Min. Başlık bilgisi 20Byte
  38. 38. @BGASecurity IP Adresi BGA | Ağ Protokolleri • Layer 3 için adres bilgisi • Routing kavramının temeli • 32 bit Ø Unicast IP adresleri Ø Multicast IP adresleri Ø Broadcast IP adresleri
  39. 39. @BGASecurity IP Adresi-II BGA | Ağ Protokolleri • Internet servis sağlayıcılar tarafından atanır. Ø Kendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız! • Internette IP adresleri tektir(uniq) • NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip adresine sahip olmak gerekir.
  40. 40. @BGASecurity Yerel Ağ ve Internet IP Adresleri BGA | Ağ Protokolleri • Public, private ip adresleri olarak da sınıflandırılabilir. • Bazı IP adresleri özel amaçlı kullanım için ayırılmıştır. • Özel amaçlı IP adresleri routerlar üzerinden yönlendirilmediği için internette hedef olarak kullanılamaz. Ø Kaynak ip olarak kullanılabilir Ø Kaynak ip adresi 192.168.1.1 gibi Ø Bu ip adresi ile giden bir pakete cevap dönemez!
  41. 41. @BGASecurity IP Adres Sınıflandırması BGA | Ağ Protokolleri • A Sınıfı : 1-126.X.X.X • B Sınıfı :128-191.X.X.X • C Sınıfı :192-223.X.X.X • D Sınıfı:224.X.X.X-239.X.X.X • E sınıfı:240.X.X.X-254.X.X.X • Adres Sınıfından Bağımsız Yönlendirme (CIDR)
  42. 42. @BGASecurity Özel IP Adresleri BGA | Ağ Protokolleri Aşağıda ki üç Ip adres bloğu IANA tarafından yerel ağlarda kullanım amaçlı rezerve edilmiştir. • 10.0.0.0 - 10.255.255.255 (10/8 prefix) • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  43. 43. @BGASecurity Alt Ağ Maskesi BGA | Ağ Protokolleri • Ağdaki bir cihazın hangi ağa sahip olduğu nasıl anlaşılır? Ø Subnet mask (alt ağ maskesi) değeri kullanır. • IP adresi ile subnet mask değerini lojik AND işlemine tabii tutarak kendi Netvvork ID'sini bulur. • Böylece hedef sistemle aynı ağda olup olmadığını anlar. Ø Aynı ağda ise paketi doğrudan göndermek için ARP sorgusu yapar. Ø Farklı ağda ise yönlendirme tablosuna başvurur.
  44. 44. @BGASecurity Dinamik ve Statik IP Adresleri BGA | Ağ Protokolleri • ISP havuzdan verdiği IP adreslerine ait müşteri bilgisini tutmakla yükümlüdür. v 5651 sayılı kanun
  45. 45. @BGASecurity NAT Kavramı BGA | Ağ Protokolleri • Network Address Translation • Birden fazla sistemin tek bir IP adresini kullanarak internete çıkması Ø Ipv4 yetersizliği Ø Güvenlik • Network forensics çalışmalarında sıkıntı sebebi • Suçu işleyen IP adresi tek, arkada 100 kişi o ip adresini kullanıyor Ø Suçlu kim?
  46. 46. @BGASecurity NAT Çeşitleri BGA | Ağ Protokolleri • Her Firewall üreticisi NAT konusunu kendine göre yorumlayarak farklı isimlendirmelerde bulunmuştur. • Linux sistemler Ø DNAT, SNAT, MASQ • Netscreen Ø MIB, VIP, DIP … • Checkpoint Ø Hide nat, static nat …
  47. 47. @BGASecurity NAT Tablosu BGA | Ağ Protokolleri • Belirli zaman diliminde hangi iç IP adresinin hangi hedefe hangi port üzerinden bağlanmaya çalıştığının kaydının tutar. • NAT tablosu olmadan 5651 sayılı kanunun bazı maddeleri işe yaramaz.
  48. 48. @BGASecurity IP Adres Sahibinin Bulunması BGA | Ağ Protokolleri • IP adresleri kurumlara kiralanır • Whois sorgularıyla IP adresi sahiplerine ait çeşitli bilgiler elde edilebilir. Ø Sorumlu şahıs ismi, hangi firmaya ait olduğu, hangi ülkede, hangi il/bölgede olduğu vs. • Whois sorguları hem web üzerinden hem de Linux komut satırından gerçekleştirilebilir. • Whois sorgularında IP adresinin ait olduğu ağ bilgisi de gözükür.
  49. 49. @BGASecurity Web Üzerinden Whois Sorgusu BGA | Ağ Protokolleri
  50. 50. @BGASecurity Komut Satırı Whois Sorgusu BGA | Ağ Protokolleri
  51. 51. @BGASecurity ARP Başlık Bilgisi BGA | Ağ Protokolleri Internet üzerinde çeşitli firmalar şehir, bölge, ISP ve ülkelere göre IP Adreslerini sınıflandırmış ve bunu servis olarak sunmaktadır.
  52. 52. @BGASecurity Ülkelerin IP Blokları BGA | Ağ Protokolleri
  53. 53. @BGASecurity Ülke IP Blokları Ne İşe Yarar? BGA | Ağ Protokolleri • Yakın gelecekte siber savaşlarda ülke ip adresleri önem kazanacak Ø Estonya siber savaş örneğinde kullanıldı Ø Mavi Marmara olayında İsrail, Türkiye IP bloklarını engelledi. Ø Firewal/IPS ürünleri ülke bazında ip engelleme özelliğini eklemeye başladı. • IP adreslerinin spoof edilebiliyor olması bu korumayı amaçsız kılabilir.
  54. 54. @BGASecurity IP Dolaşımı BGA | Ağ Protokolleri • IP adresleri routerlar tarafından yönlendirilerek hedefe ulaştırılır. • IP paketini alan her router TTL değerini bir düşürerek bir sonraki routera iletir. • Traceroute komutuyla bir IP hedefine giderken ara geçitler belirlenebilir.
  55. 55. @BGASecurity Traceroute BGA | Ağ Protokolleri • Bazı durumlarda şirketler güvenlik amaçlı olarak trace paketlerine(ICMP/UDP) kapalı olurlar. • Birileri L3 seviyesinde trafiğinizi dinliyorsa trace çalışmalarında ortaya çıkabilir.
  56. 56. @BGASecurity Traceroute UYGULAMA BGA | Ağ Protokolleri • Traceroute aracının çalışma mantığının anlaşılması • Kullanılan araçlar: Ø Wireshark Ø Traceroute • Çıktılardaki ** lı satırlar ne anlama gelmektedir? • Traceroute çalışmayan ağlarda tcptraceroute çalıştırma
  57. 57. @BGASecurity Trace Çalışmalarından Saklanma BGA | Ağ Protokolleri • Ara cihazlar kendisini trace çalışmalarından saklayabilir. Ø ICMP paketleri(TTL expired) dönmeyerek Ø Gelen paketlerin TTL değerlerini tekrar düzenleyerek Ø Belirli TTL değerinden düşük paketleri DROP ederek. v Trace çalışmalarında TTL değerleri küçük olur.
  58. 58. @BGASecurity IP Spoofing BGA | Ağ Protokolleri • Ne anlama gelir? Ø Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme. Ø Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir. Ø Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması imkansızdır. • Proxy üzerinden ip değiştirme ip spoofing değildir Ø Ücretsiz proxy hizmetleri üzerinden paket gönderimi
  59. 59. @BGASecurity IP Spoofing BGA | Ağ Protokolleri • Ne anlama gelir? Ø Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme. Ø Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir. Ø Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması imkansızdır. • Proxy üzerinden ip değiştirme ip spoofing değildir Ø Ücretsiz proxy hizmetleri üzerinden paket gönderimi
  60. 60. @BGASecurity Hping IP Spoof Örneği BGA | Ağ Protokolleri # hping -S -p 80 -a www.microsoft.com www.linux.com HPING www.linux.com (bge0 140.211.167.55): S set, 40 headers + 0 data bytes ^C --- www.linux.com hping statistic --- 3 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms • Hping:TCP/IP paket üreteci Ø İstenilen türde paket üretmeye yarar. Ø Stateless paketler üretebilir(SMTP bağlantısı kuramaz, sadece SYN paketi vs gönderebilir) • Hping –a parametresi kullanılarak gönderilecek paketlerin istenilen bir IP adresinden çıkması sağlanabilir.
  61. 61. @BGASecurity IP Spoofing BGA | Ağ Protokolleri • UDP stateless bir protokol olduğu için UDP kullanan tüm sistemlerde IP spoofing yapılabilir. Ø Kontrolü geliştirici sağlamak zorunda • TCP statefull bir protokol olduğu için IP spoofing yapmak UDP kadar kolay değildir. Ø Teorik olarak mümkün, pratik olarak günümüzde mümkün değildir. Ø Nedeni ISN olarak adlandırılan sıra numaralarının tahmin zorluğu
  62. 62. @BGASecurity TCP’de ISN Kavramı BGA | Ağ Protokolleri
  63. 63. @BGASecurity ISN Tahmini BGA | Ağ Protokolleri • ISN=Initial Sequence Number • TCP için geçerli bir değerdir. • TCP iletişiminde IP spoofing yapılıp yapılamayacağını belirler. • SYN paketlerinde görülür. • SYN paketi gönderen sistem dönecek ACK paketinde ISN+1 değerini bekler. • Günümüz sistemlerinde tahmin edilemez şekilde random üretilir.
  64. 64. @BGASecurity ISN Tahmini-II BGA | Ağ Protokolleri • Hping –seqnum kullanılarak gerçekleştirilebilir • ISN tahmin edilebilir bir değerse +işaretiyle başlayan sütün sabitlenecektir.
  65. 65. @BGASecurity NAT Kullanılan Ortamlarda IP Spoofing BGA | Ağ Protokolleri • NAT yapan sistem spoof edilmiş tüm IP paketlerini Ø Tek bir IP Adresi olarak dışarı çıkarabilir Ø Doğrudan paketleri düşürebilir. • Türkiye’deki BotNet’lerin kolay belirlenmesinin en temel nedeni ADSL modemlerin default olarak NAT modunda çalışması ve DDoS saldırılarında kullanılacak sahte iplere izin vermemesi.
  66. 66. @BGASecurity Firewallarda IP Spoof Engelleme BGA | Ağ Protokolleri • Internetten gelecek paketlerde IP spoof kontrolü ve engellemesi yapılamaz! Ø Internetten her tür paket gelebilir Ø 192.168., 172.16, 10.’lu blok ve iç ağ bloklarında kullanılan ip blokları engellenebilir. • Sadece Firewallun koruduğu iç bacaklarda yapılabilir. • Temel mantık Ø Firewall arkasında olmayan bir IP adresinden gelen isteklerin drop edilmesi şeklindedir. Ø Çeşitleri vardır.
  67. 67. @BGASecurity URPF BGA | Ağ Protokolleri Ø Unicast Reverse Path Forwarding (URPF) Ø Spoof edilmiş ip adreslerine karşı koruma(standart)
  68. 68. @BGASecurity Internet Paketleri İçin IP Spoofing Kontrolü BGA | Ağ Protokolleri • TCP için: • Üçlü el sıkışmayı tamamlamayan sistemler gerçek IP adresi değildir. • UDP için: • Kesin bir yöntem yoktur. • Genellikle Ddos engelleme sistemleri ilk UDP paketini drop eder, aynı kaynaktan gelecek ikinci UDP paketini kabul eder. • Bunun temelinde yatan mantık spoof edilmişse paket aynı paket ikinci kez gelmeyecektir. • Gerçek bir sistemde paketin aynısı tekrar gönderilecektir.
  69. 69. @BGASecurity Alternatif IP Spoofing Kontrolü ANALİZ BGA | Ağ Protokolleri • Bazı IPS/Firewall sistemleri sahte ip adreslerini yakalamak için “Drop first, accept second” mantığı kullanır. • Klasik botnet uygulamaları için kullanılabilir bir çözüm olsa da, • Saldırgan geliştireceği bir araçla bu mantığı atlatabilir. Ø Netstress • Sahte ip adreslerinden ilk TCP/UDP paketini gönder Ø İki saniye bekle aynı iplerden tekrar TCP/UDP paketi gönder!
  70. 70. @BGASecurity IP Saklama Amaçlı Proxy Kullanımı BGA | Ağ Protokolleri • IP saklamanın iki yolundan biri proxy kullanımıdır. Ø Diğeri IP spoofing • Proxy sistemler aldıkları paketlerin ip adresleri ne olursa olsun gizleyerek hedefe kendi ip adreslerinden geliyormuş gibi gösterirler. • Zaman zaman medyada çeşitli ülkeler üzerinden işlenmiş gibi gösterilen suçların temelinde proxy kavramı yatmaktadır. Ø X videoları Kanada’dan yüklenmiş! Gibi.
  71. 71. @BGASecurity Proxy Üzerinden IP Saklama BGA | Ağ Protokolleri
  72. 72. @BGASecurity Proxy Çeşitleri BGA | Ağ Protokolleri • HTTP Proxy • SOCKS Proxy • Web Proxy • Anonim Proxy
  73. 73. @BGASecurity Ücretsiz Anonim Proxy Hizmetleri BGA | Ağ Protokolleri • Internet üzerinde hizmet veren binlerce ücretsiz anonim proxy hizmeti bulunmaktadır. • Bu hizmetlerden bazıları ülke bazında özelleştirilmiş hizmet sunmaktadır. Ø Proxy servisini kulanırken hangi ülkeden çıkış yapılacağı belirtilerek tüm trafiğin ilgili ülkeden çıkması ve sunucularda o ülkeden geliyormuş gibi gösterilmesi sağlanabilir.
  74. 74. @BGASecurity Proxylerde Ülke Seçimi BGA | Ağ Protokolleri Anonim proxylerde istenilen ülke seçildikten sonra yapılacak tüm bağlantılar sanki o ülkeden geliyormuş gibi loglanacaktır.
  75. 75. @BGASecurity Anonim Web Proxy Hizmetleri BGA | Ağ Protokolleri • Türkiye’de Youtube yasaklarıyla birlikte popüler oldu • Kolay kullanıma sahiptir • Herhangi bir browser ayarı gerektirmez • Cookie, Javascript engelleme özellikleri vardır.
  76. 76. @BGASecurity Proxy Üzerinden Port Tarama UYGULAMA BGA | Ağ Protokolleri • Amaç port taramalarında gerçek IP adresini gizleme Ø Sadece port taramaları için değil tüm saldırılar için gizleme yapılabilir. • Kullanılan araçlar Ø Tor Ø Tsocks Ø Wireshark Ø Tcpdump Ø nmap
  77. 77. @BGASecurity Proxy Desteği Verme BGA | Ağ Protokolleri • Bazı uygulamların proxy desteği yoktur. Ø Nmap, nessus vs • Bu tip uygulamalar için hazır geliştirilmiş sarmal proxy yazılımları bulunmaktadır. Ø Tsocks
  78. 78. @BGASecurity Tor Kullanıcılarını Belirleme BGA | Ağ Protokolleri • TOR exit node olarak belirtilen sistemler Tor uygulaması kaynak kodundan elde edilebilir. • Tor exit node ip adreslerini engelleyerek sistemlere Tor üzerinden bağlanılması engellenebilir. http://proxy.org/tor.shtml
  79. 79. @BGASecurity Proxy Arkasındaki Gerçek IP Bulma BGA | Ağ Protokolleri • Cookie: Ø Sunucuya daha önce bağlanmışsanız IP adresi ve cookie bilgisini saklamış olabilir. Ø Farklı bir IP adresinden bağlandığınızda Proxy kullandığınız konusunda bilgi verebilir. • Java Ø Java doğrudan interneti kullanacak şekilde yapılandırılmışsa girilen sayfadaki java uygulaması doğrudan bağlantı kurmaya çalışıp IP adresini gösterecektir. • DNS istekleri Ø DNS istekleri proxy üzerinden gitmeyebilir. Ø SSH tünelleme örneği
  80. 80. @BGASecurity Proxy Belirleme Sistemleri ve Web Proxyler BGA | Ağ Protokolleri • Proxy belirleme sistemleri vtunnel, Ktunnel gibi web proxyler üzerinden gerçekleştirilen bağlantıları yakalayamaz. • Bunun temel nedeni web proxylerin gerçek bir proxy özelliği göstermemesi. • Proxy tanımlama sistemleri genellikle HTTP başlıklarına eklenen X- eklentileriyle proxy kullanımını anlarlar.
  81. 81. @BGASecurity Browser Üzerinden Edinilebilecek Bilgiler BGA | Ağ Protokolleri
  82. 82. @BGASecurity OSI 4. Katman Adli Bilişim Analizi BGA | Ağ Protokolleri • TCP ve UDP protokollerinde adli bilişim analizi • L4 için en önemli bileşen port numaralarıdır.
  83. 83. @BGASecurity Port Kavramı BGA | Ağ Protokolleri Bilgisayar dünyasında farklı amaçla kullanılan iki port tanımı vardır. Ø Seri/Paralel Portlar:Bilgisayarlar ya da elektronik cihazlar arasındaki veri haberleşmesini sağlayan fiziksel portlar Ø TCP/IP Portları: Bilgisayarlar arası sanal iletişim için kullanılan kapılar
  84. 84. @BGASecurity Port Kullanımı BGA | Ağ Protokolleri • TCP/UDP üzerinden iletişim kuran iki sistem arasında iki adet port açılır Ø İstemci tarafında bir port Ø Sunucu tarafında bir port (LISTEN modu)
  85. 85. @BGASecurity Sık Kullanılan Portlar BGA | Ağ Protokolleri TCP Port Sayısı:65535 UDP Port Sayısı:65535
  86. 86. @BGASecurity Port Sınıflandırmaları BGA | Ağ Protokolleri • ICANN trafından Belirlenmiş standarta göre: v Well known ports ( 0-1023) v Registered Ports (1024-49152) v Dynamic Ports (49152-65535)
  87. 87. @BGASecurity UDP BGA | Ağ Protokolleri • User Datagram Protocol • TCP/IP protokol ailesinde IP ile Uygulama katmanı arasında yer alır. • Güvenilir olmayan fakat oldukça hızlı bir protokoldür.
  88. 88. @BGASecurity TCP/IP IP Protokol Ailesinde UDP BGA | Ağ Protokolleri
  89. 89. @BGASecurity UDP’ye Genel Bakış BGA | Ağ Protokolleri • Gönder ve UNUT! • Connectionless Ø Sıra numarası kavramı yok Ø Handshake yok Ø Onay mekanizması yok Ø Akış kontrolü yok. Ø Hata kurtarma mekanizması yok! • Zaman aşımı ve gelen cevaplara göre çalışır.
  90. 90. @BGASecurity Neden UDP? BGA | Ağ Protokolleri • UDP, bu kadar işlevsiz ise neden kullanılır? • Hızlıdır Ø İletişimin başlaması için handshake gerekmez Ø Onay paketleri yoktur. • Kaynak tüketimi daha azdır Ø Sıra numarası/Onay takibi yok • Gerekli tüm mekanizmalar protokolü kullanan uygulama tarafından kontrol edilir.
  91. 91. @BGASecurity UDP Kullanan Uygulamalar BGA | Ağ Protokolleri • DHCP • DNS sorguları/cevapları (+512 byte sınırlaması) • SNMP • HSRP • SQL • TFTP • NTP • RPC
  92. 92. @BGASecurity UDP Başlığı BGA | Ağ Protokolleri • Basit bir protokoldür. • 8 Byte başlık bilgisine sahiptir • Kaynak Port: (CB84)16 or 52100 • Hedef Port: (000D)16 or 13. • UDP Paket boyutu: 28 byte(001C)16 Ø Payload=28-8(başlık kısmı=20 Byte Hexedecimal UDP Başlığı
  93. 93. @BGASecurity UDP Başlığı BGA | Ağ Protokolleri • Source Port • Destination Port • Checksum: Hedefe ulaşan UDP paketinin sağlıklı ulaşıp ulaşmadığının kontrolü Ø Basit hash mantığı • UDP paket boyutu: Tüm baket boyut bilgisi(başlık+payload)
  94. 94. @BGASecurity UDP İşleyişi BGA | Ağ Protokolleri
  95. 95. @BGASecurity Netcat UDP Bağlantısı UYGULAMA BGA | Ağ Protokolleri • Amaç UDP’nin nasıl çalıştığını gösterme • Kullanılan araçlar Ø Wireshark Ø Netcat
  96. 96. @BGASecurity UDP Port Durumları UYGULAMA BGA | Ağ Protokolleri • Amaç UDP portlarına gönderilen paketlere dönen cevapların incelenmesi • Kullanılan araçlar Ø Wireshark Ø Hping
  97. 97. @BGASecurity UDP Oturumu BGA | Ağ Protokolleri • UDP stateless olduğuna göre Firewall, IPS nasıl state(oturum) tutar? Ø Zamana bağlı , ve port numaralarına bağlı • TCP’de sıra numarası-onay numarası vardır. UDP’de bu tip özellikler yoktur. • Bu sebeple UDP oturumu tam bir oturum olarak görülmez.
  98. 98. @BGASecurity UDP Port Tarama Analizi UYGULAMA BGA | Ağ Protokolleri • Ya icmp cevabı döner ya cevap dönmez ya da ilgili servis anormal paket cevabı döner. • Kullanılan araçlar Ø Wireshark Ø Nmap v -sU –p1-100 parametreleri
  99. 99. @BGASecurity UDP Flood Saldırısı BGA | Ağ Protokolleri • Amaç hedef sistemin oturum tablosunu şişirme Ø Kaynak IP:Random Spoof edilmiş Ø Kaynak Port: Random Ø Hedef IP: DNS Sunucusu Ø Hedef Port:53 Ø Gönderilecek paket 50.ooo pps • Hping –rand_source –p 53 –udp 192.168.2.1 - -flood
  100. 100. @BGASecurity TCP’ye Genel Bakış BGA | Ağ Protokolleri • Transport katmanı, taşıyıcısı IP • “Güvenilir” bir protokol. • Arkadaşı UDP’ye göre oldukça yavaş. • Çoğunluk protokol TCP kullanır. Ø Smtp, ftp, ssh, telnet, http, pop • TCP paketleri segment olarak adlandırılır
  101. 101. @BGASecurity TCP/IP’de TCP’nin Konumu BGA | Ağ Protokolleri
  102. 102. @BGASecurity TCP Başlığı BGA | Ağ Protokolleri TCP Paketi(segment) TCP Başlığı TCP Başlık bilgisi en az 20 en fazla 60 byte olabilir.
  103. 103. @BGASecurity TCP-UDP Farkını Görme UYGULAMA BGA | Ağ Protokolleri • TCP ve UDP farklarının gösterilmesi • Kullanılan araçlar: Ø Wireshark Ø Netcat • Netcat ile TCP kullanarak Veri Transferi • Netcat ile UDP kullanarak veri transferi • Sonuçlar Ø TCP kullanarak aktarımda kaç paket ? Ø UDP kullanarak aktarımda kaç paket?
  104. 104. @BGASecurity Initial Sequence Number (ISN) BGA | Ağ Protokolleri • 32-bitdir • 3’lü el sıkışmada ilk SYN paketinde ve ikinci SYN paketinde kullanılır Ø Bu değerin tahmin edilebilir olması TCP hijacking saldırılarına yol açabilir • Günümüz işletim sistemlerinde bu değer tahmin edilemeyecek* şekilde üretilir Ø Tahmin edilmesi güçleştirilmiş random değerler.
  105. 105. @BGASecurity ISN Tahmini BGA | Ağ Protokolleri • Hping –seqnum kullanılarak gerçekleştirilebilir • ISN tahmin edilebilir bir değerse +işaretiyle başlayan sütün sabitlenecektir.
  106. 106. @BGASecurity Port Numarası BGA | Ağ Protokolleri • Bağlantı noktalarıdır • 16 bit = 65536 (0-65535) • Her TCP paketi bir adet Kaynak port bir adet hedef porta sahiptir. • Kaynak portlar bağlantı esnasında rastgele seçilirler.
  107. 107. @BGASecurity TCP’de Bayrak Mekanizması BGA | Ağ Protokolleri • TCP oturumunun kaderini bayraklar belirler. • Oturumun başlaması Ø Oturumun kabul isteği Ø Onaylanma • Veri aktarımı • Oturumun kapatılması • Oturumun reddedilmesi
  108. 108. @BGASecurity TCP’de Bayraklar BGA | Ağ Protokolleri SYN ACK PUSH RST FIN URG • 6 çeşittir. • 6 bit
  109. 109. @BGASecurity İletişim Başlangıcı BGA | Ağ Protokolleri • Tüm iletişim Bayraklar aracılığı ile kontrol edilir. • Bağlantı Bağlatma=3 lü el sıkışma(3 way handshaking) SYN SYN+ACK ACK
  110. 110. @BGASecurity Data Aktarımı-Kontrol BGA | Ağ Protokolleri • Aktarılan her veri parçası için onay gerekir. • Onay ACK bayrakları ile gerçekleşir. • Data aktarımı PUSH bayrakları ile. TCP paket no 100 ve içerisinde 20 byte var Tamamdır 120’yi aldım, 121’den başla Bu TCP paketi 121 ve içerisinde 50 byte var
  111. 111. @BGASecurity Bağlantı Sonlandırma-Normal BGA | Ağ Protokolleri
  112. 112. @BGASecurity IP Spoofing BGA | Ağ Protokolleri RST RST bayraklı paket gönderilerek bağlantı aniden kapatılabilir.
  113. 113. @BGASecurity RFC’ye Göre TCP Port Durumları BGA | Ağ Protokolleri • Port açık ise Ø SYN gönderilen pakete SYN/ACK cevabı döner • Port Kapalı ise Ø SYN paketin karşılık RST bayraklı paket döner • Açık porta FIN/RST gönderilebilir? • Firewall vs olma durumuna göre değişebilir. • Port tarama programları TFC uyumlu çalışır.
  114. 114. @BGASecurity TCP State Diyagramı BGA | Ağ Protokolleri
  115. 115. @BGASecurity SynFlood Saldırıları BGA | Ağ Protokolleri SYN Flood saldırıları
  116. 116. @BGASecurity Syn Flood Saldırıları-II BGA | Ağ Protokolleri • Syn flood saldırılarında temel problem gelen her SYN paketi için belleke yer ayrılması • Bellek alanı kısıtlıdır • Gelen paketleri için ayrılan bellek alanı taşınca işletim sistemi cevap veremez hale gelecektir(network işlemlerine cevap veremez) • Bir SYN paketi boyutu? • 2Mb hatta sahip olan birinin yapacağı SYN flood etkisi? • SYN paketleri kaç saniye bekletilir bellekte(Aradaki firewall cihazlarda)
  117. 117. @BGASecurity SynFlood Denemesi BGA | Ağ Protokolleri Ø #hping –flood –p 80 –S www.microsoft.com Ø #hping –p 25 –S mx1.google.com –flood Ø #hping –flood –p 80 –rand-source –S www.google.com
  118. 118. @BGASecurity DHCP BGA | Ağ Protokolleri • Dynamic Host Configuration Protocol(RFC 2131) • DHCP ağdaki istemcilerin ağ ayarlarını otomatik almalarını sağlayan protokoldür. • Otomatik Ağ Ayarları; Ø IP Adresi Ø Alt Ağ maskesi Ø DNS sunucu Ø Varsayılan Ağ geçidi Ø Proxy adresi... • UDP Tabanlı “broadcast” çalışan Protokol • Hangi Portlardan Çalışır?
  119. 119. @BGASecurity DHCP Başlık Bilgisi BGA | Ağ Protokolleri
  120. 120. @BGASecurity DHCP Nasıl Çalışır? BGA | Ağ Protokolleri
  121. 121. @BGASecurity DHCP Portları BGA | Ağ Protokolleri
  122. 122. @BGASecurity DHCP Discover BGA | Ağ Protokolleri
  123. 123. @BGASecurity DHCP Offer BGA | Ağ Protokolleri
  124. 124. @BGASecurity DHCP Request BGA | Ağ Protokolleri
  125. 125. @BGASecurity DHCP ACK BGA | Ağ Protokolleri
  126. 126. @BGASecurity DHCP’nin Adli Bilişim Açısından Önemi BGA | Ağ Protokolleri • Yerel ve kablosuz ağlarda hangi kullanıcının hangi zaman aralığında hangi IP adresini kullandığı bilgisi DHCP üzerinden alınabilir. • Ek olarak DHCP istekleri sırasında istemcileri bilgisayar adlarını da DHCP sunucuya gönderirler.
  127. 127. @BGASecurity Alan Adı Alım Süreci BGA | Ağ Protokolleri • Alan adı çalışma mantığı Ø Alan adları kiralanır Ø Alınmak istenen alan adı boş ise registrar bir firmaya başvurularak talep gönderilir. Ø Gerekli ödeme işlemleri yapıldıktan sonra registrar firma ilgili alan adının DNS sunucularını alıcının isteğine göre değiştirir. • Alıcı DNS sunucusunda kayıtlar girerek alan adını dünya ile tanıştırır.
  128. 128. @BGASecurity Alan Adı Güvenliği BGA | Ağ Protokolleri • Alan adlarının güvenliği registrar firma kadar güvenlidir. • Alan adlarının güvenliği alıcının e-posta adresi kadar güvenlidir. Ø E-posta adresinize gönderilecek parola resetleme özelliğiyle hesabınıza girilebilir. • Alan adlarının güvenliği registrar firmanın işleyişi kadar güvenlidir. Ø Faks göndererek alan adının sahibinin değiştirilmesi!
  129. 129. @BGASecurity Alan Adı Sahibinin Bulunması BGA | Ağ Protokolleri • Bir alan adının kime ait olduğunun bulunması işlemi whois sorgularıyla gerçekleştirilebilir. Ø Çıktı olarak alıcı hangi bilgileri vermişse onlar gözükecektir.
  130. 130. @BGASecurity Domain Sahibi Gizleme BGA | Ağ Protokolleri • Sahib gizleme özellikleri • Sahibi gizlenen bir domainin sahibi nasıl bulunabilir? • www.guvenlikegitimleri.com örneği -> Nereden alınmış (Hangi registrar firmadan) Ø Parola unuttum seçeneği Ø Domainin sahibi olan mail adresi alınır ve Google’dan araştırılır • Eğer kullanılan mail adresi gmail, yahoo gibi generic ise sonuç çıkmayabilir.
  131. 131. @BGASecurity Whois History Özelliği BGA | Ağ Protokolleri
  132. 132. @BGASecurity Bir IP Adresinde Çalışan Diğer Alan Adları BGA | Ağ Protokolleri • Web sunucularda kullanılan sanal hosting özelliği sayesinde bir ip adresinde binlerce web sayfası barındırılabilir. • Benim sitemin barındıran IP adresi başka hangi sistemleri barındırmaktadır? Ø bing ip:91.93.119.80 Ø veya robtex... • Wikileaks sistemleri ile PKK sunucularının aynı IP adresinde çıkması?.
  133. 133. @BGASecurity IP Adresinden Alan Adı Bulma BGA | Ağ Protokolleri
  134. 134. @BGASecurity DNS(Domain Name System) BGA | Ağ Protokolleri • Internet dünyasında isim-ip çözümlemesi için kullanılır.(A ve PTR Kayıtları) • Dağıtık yapıdadır • E-postaların ulaşım adreslerini belirler.(MX kayıtları) • Internet’de en çok ihtiyaç duyulan protokol • Ipv6 ile vazgeçilmez olacak
  135. 135. @BGASecurity DNS Tarihçesi BGA | Ağ Protokolleri • 1970 Arpanet Ø SRI-NIC tarafından merkezi bir makinede Host.txt dosyası tutulurdu Ø Bu dosyanın yönetimi ve talep eden sistemlerin yoğunluğu artmaya başladıkca problemler çıktı • 1983 yılında Paul Mockapetris tarafından tasarlandı • İlk RFC numaraları1034, 1035
  136. 136. @BGASecurity DNS Başlık Bilgisi BGA | Ağ Protokolleri
  137. 137. @BGASecurity DNS Hiyerarşisi BGA | Ağ Protokolleri Root(.) org net edu com uk tr metuitukocaeliistanbulmardin ciscs huzeyfe
  138. 138. @BGASecurity TLD BGA | Ağ Protokolleri • Top Level Domains. • Web adresi...
  139. 139. @BGASecurity DNS:İsim->IP Çözümleme BGA | Ağ Protokolleri www.lifeoverip.net IP 91.93.119.80 DNS Sunucu DNS Sunucu www.lifeoverip.net IP Adresi Nedir? UDP Port 53
  140. 140. @BGASecurity DNS:IP->İsim Çözümleme BGA | Ağ Protokolleri 91.93.119.87 IP Adresine ait host adı nedir? 91.93.119.87 IP adresine ait host adı DNS Sunucu DNS Sunucu UDP Port 53
  141. 141. @BGASecurity DNS Ne Zaman TCP Kullanır? BGA | Ağ Protokolleri
  142. 142. @BGASecurity DNS ve TCP İlişkisi BGA | Ağ Protokolleri DNS cevapları 512 Byte’ı aşınca veya zone transferi işlemlerinde DNS TCP kullanır.
  143. 143. @BGASecurity İsim Çözme Sırası BGA | Ağ Protokolleri • Linux sistemler için Ø /etc/hosts Ø Dns sunucu /etc/resolv.conf • Windows Sistemler için Ø C:windowssystem32driversetchosts Ø DNS sunucusu
  144. 144. @BGASecurity Yerel DNS:Host Dosyası BGA | Ağ Protokolleri Desktop Phishing : http://www.milw0rm.com/video/watch.php?id=101 C:WindowsSystem32Driversetchosts
  145. 145. @BGASecurity DNS Nasıl Çalışır? DETAY BGA | Ağ Protokolleri
  146. 146. @BGASecurity Root DNS Sunucular BGA | Ağ Protokolleri
  147. 147. @BGASecurity DNS Sorgu Çeşitleri BGA | Ağ Protokolleri • Recursive Ø Detay açıklamalar, • Iteratif Ø Detay açıklamalar,
  148. 148. @BGASecurity Recursive & İteratif DNS Sorguları BGA | Ağ Protokolleri
  149. 149. @BGASecurity DNS Kayıt Tipleri BGA | Ağ Protokolleri Kayıt Tipi DNS sorgusunun amacını belirler. • A • MX • NS • TXT
  150. 150. @BGASecurity DNS Cache BGA | Ağ Protokolleri • DNS cevapları sorgulayan taraflar tarafından belirli süreliğine hatırlanmak üzere kaydedilir. • TTL değeri alan adının sahibi tarafından belirlenir. • TTL değerinin düşük o lması Ø Daha sık DNS sorgusu gerektirir Ø DNS sunucuyu yorar • TTL değerinin yüksek olması Ø Daha az DNS sorgusu gerektirir, dns sunucuyu fazla yormaz Ø IP adresine ulaşılamayan durumlarda veya ip değişikliği durumlarında sisteme erişim sağlanmaz. • Olumsuz cevaplar da kaydedilir Ø Olmayan domainlere yapılacak sorgulamalarda zaman kaybı olmasın diye • DDoS saldırılarında oldukça faydalı olabilir
  151. 151. @BGASecurity DNS Traceroute BGA | Ağ Protokolleri Amaç, DNS isteklerinin izlediği yolu takip etmektir.
  152. 152. @BGASecurity Zone Transfer BGA | Ağ Protokolleri • DNS sunuculardan zone transferi Ø İlgili domaine ait kayıtların topluca alınması • TCP Port 53’ün açık olması gerekir. • Nslookup Ø set type=any Ø server ns1.lifeoverip.net Ø ls –d lifeoverip.net • Dig Ø $dig @1.2.3.4 axfr huzeyfe.net
  153. 153. @BGASecurity Zonte Transfer Neden Tehlikelidir? BGA | Ağ Protokolleri • Şirkete ait özel domain/ip adreslerine ulaşım Ø Test amaçlı kurulmuş sistemler Ø Yönetim amaçlı kurulmuş sistemler v Ssh.banka.com.tr
  154. 154. @BGASecurity HTTP BGA | Ağ Protokolleri • HTTP(Hypertext Transfer Protocol, OSI modelinde uygulama katmanında yer alan iletişim protokolüdür. • TCP kullanır • Default port 80’dir • Stateless bir protokol • HTTP 1.0 ve 1.1 olmak üzere iki sürümü vardır
  155. 155. @BGASecurity HTTP Nasıl Çalışır BGA | Ağ Protokolleri • Http’nin istemci-sunucu mantığıyla çalışan basit bir yapısı vardır. • Önce TCP bağlantısı açılır. Ø kullanıcı istek(HTTP isteği) gönderir Ø sunucu da buna uygun cevap döner • TCP bağlantısı kapatılır. • İstemci tarafından gönderilen istekler birbirinden bağımsızdır ve normalde her HTTP isteği için bir TCP bağlantısı gerekir.
  156. 156. @BGASecurity HTTP Başlık Bilgisi BGA | Ağ Protokolleri • Oldukca geniş bir protokol başlık bilgisine sahiptir. • İstek-cevap mantığında çalıştığı için hem istek hem de cevaplar için ayrı başlık bilgisi kullanılır. • Başlık bilgisi detayları: Ø http://en.wikipedia.org/wiki/List_of_HTTP_header_fields
  157. 157. @BGASecurity HTTP İsteği BGA | Ağ Protokolleri GET /default.asp HTTP/1.0 Accept: image/gif, image/x-bitmap, image/jpeg, */* Accept-Language: en User-Agent: Mozilla/1.22 (compatible; MSIE 2.0; Windows 95) Connection: Keep-Alive If-Modified-Since: Sunday, 17-Apr-96 04:32:58 GMT Veri Kısmı Boş satır Method İstenen Dosya HTTP version Headers
  158. 158. @BGASecurity IP Spoofing BGA | Ağ Protokolleri HTTP/1.0 200 OK Date: Sun, 21 Apr 1996 02:20:42 GMT Server: Microsoft-Internet-Information-Server/5.0 Connection: keep-alive Content-Type: text/html Last-Modified: Thu, 18 Apr 1996 17:39:05 GMT Content-Length: 2543 <HTML> Some data... blah, blah, blah </HTML> HTTP version Durum Kodu Sonuç Başlık bilgileri
  159. 159. @BGASecurity HTTP Metodları BGA | Ağ Protokolleri POST DELETE HEAD TRACE OPTIONS GET CONNECT PUT
  160. 160. @BGASecurity HTTP GET BGA | Ağ Protokolleri • Hedef hakkında basit bilgileri toplama • GET kullanılarak yapılan istekler sunucu loglarında gözükecektir.
  161. 161. @BGASecurity HTTP POST BGA | Ağ Protokolleri • Sunucu loglarında gözükmez Ø Modsecurity gibi bileşenlerde görülebilir.
  162. 162. @BGASecurity Uygulama BGA | Ağ Protokolleri • GET ve POST isteklerinin loglarda ve network seviyesinde analiz edilmesi. • DVWA uygulaması üzerinden SQLi denemesi ve log analizi.
  163. 163. @BGASecurity 5651 Sayılı Kanun ve Post Detayları BGA | Ağ Protokolleri • 5651 sayılı kanunda web sunuculara gönderilen POST isteklerinin detayı istenmektedir. • Web sunucular POST isteklerinin detaylarını tutmazlar. Ø Çözüm? Ø Web sunucuların POST isteklerini tutacak şekilde yapılandırılması Ø Ara bir cihazın trafik içerisinde geçen POST isteklerini yakalayarak loglaması
  164. 164. @BGASecurity Referrer Değeri BGA | Ağ Protokolleri • Bir linke hangi linkten gelindiğini belirten HTTP başlığı • İstemci tarafından kontrol edilebildiği için güvensizdir, değiştirilebilir.
  165. 165. @BGASecurity URL Kısaltma Hizmetleri BGA | Ağ Protokolleri Güvenlik açısından sıkıntılı olabilir.
  166. 166. @BGASecurity Encoding/Decoding BGA | Ağ Protokolleri • Amaç genellikle gözden kaçırma ve ara güvenlik cihazlarını atlatma • URL encoding • Hex encoding • Base64 encoding • ...
  167. 167. @BGASecurity Encoding Çeşitleri BGA | Ağ Protokolleri
  168. 168. @BGASecurity Web Sunucu Logunda SQLi BGA | Ağ Protokolleri DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x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… DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b…
  169. 169. @BGASecurity Web Proxyler BGA | Ağ Protokolleri • Web uygulamaları testlerinin vazgeçilmez araçları, • Browser üzerinden yapılamayacak istekleri gerçekleştirmek veistemci tarafında yapılan güvenliği(javascript, hidden fields)atlatmak için kullanılır. • HTTP başlıklarına ait tüm değerler istenildiği gibi değiştirilebilir. • Paros, Burp Proxy, Web Scarab, Firefox HTTP Tamper
  170. 170. @BGASecurity Paros Web Proxy BGA | Ağ Protokolleri
  171. 171. @BGASecurity Firefox TamperData Eklentisi BGA | Ağ Protokolleri
  172. 172. @BGASecurity HTTP İçin Oturum Yönetimi BGA | Ağ Protokolleri • HTTP Stateless(durum bilgisi tutmayan)bir protokoldür. • Bir önceki istek ve bir sonraki istek bağımsızdır. • Her bir istek ; Ø Web sunucuya yeni bir bağlantı aç(HTTP/1.1 Request pipe.) Ø İlgili dokumani indir Ø Bağlantıyı kapa Ø Şeklindedir. • Oturum yönetimi için çeşitli Ø En sık kullanılanlar v Cookie’ler aracılığı ile oturum yönetme v Oturum bilgilerini url üzerinden aktarma
  173. 173. @BGASecurity Cookie Mantığı BGA | Ağ Protokolleri Browser Sunucu POST login.cgi username and pwd SunucuGET restricted.html Cookie: NAME=VALUE HTTP stateless bir protokoldür, cookiler state eklemek için kullanılır. HTTP Header: Set-cookie: NAME=VALUE ; domain = (who can read) ; expires = (when expires) ; secure = (only over SSL) Browser
  174. 174. @BGASecurity Cookie Kullanım Amaçları BGA | Ağ Protokolleri Ø Yetkilendirme Ø Kişiselleştirme Ø Takip
  175. 175. @BGASecurity IP Spoofing BGA | Ağ Protokolleri • Sunucudan istemciye Ø Set-Cookie: cookie-value • Her bir cookie’nin temel özellikleri Ø Yaşam süresi Ø Hangi domainleri kapsayacağı Ø Güvenli kanal tercih bağrağı(secure) • Cookie: S=gmail=SKhUnKrOL1qX2d3mZGuZIA:gmproxy=_RVSue6BlhlZhLCzT5ETpw:gmproxy_yj=9- FxZev2XnQ3jGidvLCIyw; GX=DQAAAGwAAAC3ULwe5H62Qa0kz-eWdh8x1HeC9-biHP2SL8qEPzXw1 vM5cwMeRKiY1onJMtdnL5SBn__GoGNWGaMVtEp8cPlFa9_zzTCAMb0HUXoWN9- IIKrivJ338GhSCybV5xdJHKwCs7So-ZBnXp9iVs; GMAIL_AT=xn3j30udnr5tnkswsosogrecwhekyu; GMAIL_STAT_9418=/S:v=2&a=i&ev=tl&t=1797&e=m%3D0%2Cr%3D47%2Cj%3D188%2Cjl%3D532%2Cs %3D547%2Ci%3D547&lo=1237620777656%2F1237620781546%2F1237620783343&r=1&rn=47; gmailchat=depo.bilgi@gmail.com/976887; jid=depo.bilgi@gmail.com/97
  176. 176. @BGASecurity HTTP Üzerinden IP Spoofing BGA | Ağ Protokolleri • Yapılamaz • Bazı yazılımlar kaynak ip adresini X-Forwarded-For başlığına bakarak kayıt altına alır. Ø Bu gibi durumlarda başka ip adreslerinden geliyormuş gibi HTTP istekleri gönderilebilir.
  177. 177. @BGASecurity Uygulama BGA | Ağ Protokolleri HTTP üzerinden X-Forwarded-For kullanarak IP sahteciliği
  178. 178. @BGASecurity HTTPS/SSL/TLS BGA | Ağ Protokolleri • Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir. • HTTPS=TLS+HTTP veya SSL+HTTP • Birbirleri yerine kullanılsada temelde farklı protokollerdir. • HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz.
  179. 179. @BGASecurity Ne Sağlar? BGA | Ağ Protokolleri • İki uç (İstemci ile sunucu) arasındaki veri iletişiminin gizliliğini sağlar. • İstemcinin sunucu kimliğini onaylamasını, • Sunucunun istemci kimliğini onaylamasını sağlar.
  180. 180. @BGASecurity Şifreleme Dezavantajları BGA | Ağ Protokolleri
  181. 181. @BGASecurity SSL BGA | Ağ Protokolleri • Secure Sockets Layer (SSL) • Temelleri Netscape firması tarafından 1994 yılında atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak kabul edildi. • Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir. • İlk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.
  182. 182. @BGASecurity SSL Tarihi BGA | Ağ Protokolleri • SSLv1 by Netscape (unreleased, 1994) • SSLv2 by Netscape (v2-draft,1994) • SSLv3 by Netscape (v3-draft, 1995) • TLSv1.0, IETF (RFC 2246, 1999) • TLSv1.1, IETF (RFC 4346, 2006) • TLSv1.2, IETF (RFC 5246, 2008) • Risks and differences explained at: http://www.yaksman.org/~lweith/ssl.pdf
  183. 183. @BGASecurity HTTPS BGA | Ağ Protokolleri • WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol Ø HTTP+TLS veya HTTP+SSL
  184. 184. @BGASecurity TLS BGA | Ağ Protokolleri • Transport Layer Security • IETF standartı • SSL üzerine bina edilmiş Ø SSL v3.1 • Güncel TLS sürümü Ø TLS 1.2 (SSL 3.3)
  185. 185. @BGASecurity SSL/TLS Adımları BGA | Ağ Protokolleri
  186. 186. @BGASecurity Şifreleme Algoritmaları BGA | Ağ Protokolleri • SSL/TLS detaylarını anlamak için şarttır. • Simetrik ve asimetrik olmak üzere iki çeşittir. • Simetrik anahtarlı şifreleme algoritmaları: Ø Veriyi şifrelemek ve şifreli veriden orjinal veriyi elde etmek için aynı anahtar kullanılır. • Anahtar değişim problemi vardır, ortak anahtar nasıl iki tarafa ulaştırılacak?
  187. 187. @BGASecurity Asimetrik(Açık Anahtarlı Şifreleme) Algoritmalar BGA | Ağ Protokolleri • Bu tip algoritmalarda veriyi şifrelemek ve çözmek için iki farklı anahtar kullanılır. Ø Veriyi şifrelemek için bir anahtar(public key), çözmek için diğer anahtar(private) kullanılır. • Benim public anahtarım kullanılarak şifrelenmiş bir veri ancak benim private anahtarım kullanılarak çözülebilir. • Bu sebeple asimetrik algoritmalarda açık anahtar(public key) dağıtılır, gizli anahtar(private key) saklanır.
  188. 188. @BGASecurity Sertifikalar BGA | Ağ Protokolleri • Sayısal imzaları kullanarak bir verinin gerçekten beklenen kişi tarafından gönderildiği ve iletim esnasında değişikliğe uğramadığını anlayabiliriz peki gönderilen verinin gerçekten beklediğimiz insana ulaştığından nasıl emin olabiliriz? Ø Açık anahtarını kullanarak verileri şifrelediğimiz kişi gerçekte düşündüğümü kişi midir? • Sertifika basitce kişi/kurumun açık anahtarının yetkili bir sertifika otoritesi tarafından imzalanmış halidir.
  189. 189. @BGASecurity Örnek Sertifika BGA | Ağ Protokolleri
  190. 190. @BGASecurity EV BGA | Ağ Protokolleri • Extended Validation Certificate • Klasik sertifika alımından daha zor şartlar • Sertifikayı alanın yasallığının sorgulanması • Pahalıdır
  191. 191. @BGASecurity Sertifika Otoritesi BGA | Ağ Protokolleri • Sertifika isteğinde bulunan şahıs/kurumların gerçekte belirttikleri kişiler/kurumlar olduklarını(bunun yanında belirtilen diğer hususları da) doğrulayan ve onaylayan kurumdur. Ø Verisign, Globalsign gibi.. • Her iki tarafta ortak güvenilen bir sertifika otoritesi tarafından imzalanmış sertifika kullanıyorsa birbirlerinin public keylerine güvenebilirler.
  192. 192. @BGASecurity Sertifika Oluşturma ve İmzalama BGA | Ağ Protokolleri
  193. 193. @BGASecurity Sertifika Otoritesi BGA | Ağ Protokolleri Browser’lar öntanımlı olarak kendilerinde tanımlı CA’ları kabul ederler.
  194. 194. @BGASecurity Sanal Host ve SSL BGA | Ağ Protokolleri • Neden name-based sanal host tanımlarında SSL kullanırken her host başına bir IP gerekiyor? • İsim tabanlı sanal host kavramı (name-based virtual hosting) bir IP üzerinden birden fazla hostu sunma amaçlı kullanılan bilindik bir yöntem. • Fakat bu yöntem eğer host edilen sunucularda SSL kullanılacaksa işe yaramaz • Neden?
  195. 195. @BGASecurity Sanal Host ve SSL-II BGA | Ağ Protokolleri • Bir IP uzerinden birden fazla host sunma Http isteklerinde taşınan Host başlığına bağlıdır. • Bir http isteği oluşturulduğunda host başlığı hedef IP adresindeki hangi hostu istediğini belirtir. • Web sunucuya gelen istek Apache(ya da baska bir web sunucu) tarafından yorumlanarak uygun site kullanıcıya gösterilir.
  196. 196. @BGASecurity Sanal Host ve SSL-III BGA | Ağ Protokolleri • SSL destekli bir web sunucuda bir hosta gelen HTTPS isteğinde Host headeri şifreli olarak geleceği için(OSI katmaninda SSL HTTP'den once, yani http istekleri sifrelenmis oldugu icin) web sunucu Host alanını okuyamaz ve o alan adına özel işlemler gerçekleştiremez. • Dolayısıyla istenilen siteyi gösteremez. Bu sebepten ötürü virtual host ile birlikte SSL kullanılmaz, bunun yerine Ip tabanlı sanal host kullanılmalıdır. • Ya da Ø TLS 1.1 (RFC4366) ile gelen client_hello_extension:server_name=cnn.com özelliği kullanılmalıdır .
  197. 197. @BGASecurity SSL Kullanımı ve Güvenlik BGA | Ağ Protokolleri • SSL sadece veri iletişimini şifreler istemci ya da sunucudaki güvenlik zaafiyeetlerini kapatmaya yetmez. • SSL trafiğinde araya girilebilir. • Eğer kullanıcı bilinçliyse bu sızma olayını rahatlıkla farkeder Ø Araya girme işlemi sonrası sahte SSL sertifikası üretileceği için browserlar uyarı verecektir.
  198. 198. @BGASecurity HTTPS Trafiğinde Araya Girme BGA | Ağ Protokolleri • SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir • Gerekli Şartlar: Ø İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır. Ø Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır. • Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir. • Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler.
  199. 199. @BGASecurity HTTPS MITM Uyarıları BGA | Ağ Protokolleri Firefox Internet Explorer 7
  200. 200. @BGASecurity Cain&Abel ile SSL MITM Uygulaması BGA | Ağ Protokolleri Çözümlenen SSL altındaki protokole(örnekte http) ait gizli bilgiler de sol tarafda gözükecektir.
  201. 201. @BGASecurity SSLStrip BGA | Ağ Protokolleri • HTTP ve HTTPS’in birlikte kullanıldığı ortamların riski • Sslstrip duyurusu:Blackhat 2009 konferansı • Amaç:http ve https’in birlikte kullanıldığı ortamlarda göz yanıltmasıyla https trafiğini http’e çevirip gizli bilgilerin alınması.
  202. 202. @BGASecurity HTTP->HTTPS Geçişleri BGA | Ağ Protokolleri
  203. 203. @BGASecurity SSLStrip Nasıl Çalışır BGA | Ağ Protokolleri http ve https barındıran sayfa HTTPS sunucu Sayfanın içindeki https ile başlayan satırları http olarak değiştir ve geri gönder. https sayfaya girip bilgileri alır Kullanıcıya http üzerinden sunar.
  204. 204. @BGASecurity Desteklenen SSL/TLS Seçenekleri BGA | Ağ Protokolleri
  205. 205. @BGASecurity BGA | Ağ Protokolleri HTTPS sitelere genellikle HTTP üzerinden ulaşılır <form method="post" action="https://onlineservices.wachovia.com/..." Desteklenen SSL/TLS Seçenekleri
  206. 206. @BGASecurity HTTP HTTPS Upgrade BGA | Ağ Protokolleri • Common use pattern: • browse site over HTTP; move to HTTPS for checkout • connect to bank over HTTP; move to HTTPS for login • Easy attack: prevent the upgrade (ssl_strip) [Moxie’08] • <a href=https://…>Þ<a href=http://…> • Location: https://... Þ Location: http://... (redirect) • <form action=https://… >Þ <form action=http://…> web server attacker SSLHTTP
  207. 207. @BGASecurity -Teşekkürler- bgasecurity.com | @bgasecurity

×