Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Btrisk Pentest (Sızma Testi) Metodu

1,044 views

Published on

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri Pentest (Sızma Testi) Metodu

Published in: Business

Btrisk Pentest (Sızma Testi) Metodu

  1. 1. BTRisk Pentest Metodu “Güvenli ve sürekli hizmet için”
  2. 2. blog.btrisk.com @btrisk /btrisktv /btrisk 1 I. Ağ Güvenliği Denetim Metodumuz i. Ağ Güvenliği Denetim Yaklaşım Özeti  Ağ güvenlik denetim yaklaşımımız, analitik olarak ardı ardına gerçekleştirilen her bir aktivitenin bir sonrakine girdi üretmesi biçiminde takip eden sayfalarda ifade edilmiştir.  Bununla birlikte denetim çalışmasının ileri adımlarında yer alan bir aktivite gerçekleştirilirken ek bilgiler elde edilebilecek veya yeni birbilgiye ihtiyaçduyulabilecektir. Bu durumda denetlenen alanın güvenlikaçısındankritikliği de gözönünde bulundurularak önceki adımlara dönüp aktivitenin yeni bilgi ışığında veya yeni bilgi ihtiyacını sağlamaya yönelik olarak tekrarı söz konusu olabilecektir.  Kullanılacak parola sözlük ve kaba kuvvet saldırıları çalışma için ayrılmış zaman bütçesi göz önüne alınarak zamanlanacaktır. Bu saldırıların sahipolunanzamanaralığında başarılamamasızafiyeti hafifletici bir durum olmayıp bu bulgular raporda yer alacaktır.  Hizmet kesintisi saldırıları gerçeklenmeyecektir.  Özellikle saldırı kodlarının denenmesi sırasında risk yönetim prosedürüne uygun biçimde kurum personeli ile koordinasyon halinde bulunulacaktır.
  3. 3. blog.btrisk.com @btrisk /btrisktv /btrisk 2 ii. Ağ Güvenliği Denetim Yaklaşım Detayı Kurum ve Kurum’a Ait İnternet Servisleri Hakkında Bilgi Toplama:  Kurumaait internet servisleri, teknik personel iletişim bilgileri, kurumun BT ürün ve hizmet sağlayıcıları, kurum tarafından kullanılanteknolojik altyapı (işletim sistemi, web sunucusu, vb. bazında) ve yazılımlar hakkında saldırı için fayda sağlayabilecek verilerin aşağıdaki araç ve yöntemlerle toplanmasını içerir:  Arama Motorları (link verilerinden faydalanılarak web sunucularının ve web uygulamarının tespiti, hassas kurumsal dosyaların,(wardialing çalışması kapsam içindeyse bu çalışmaya baz teşkil edecek) kuruma ait telefon numaraları bilgilerinin, ve yukarıda da sayılan diğer verilerin toplanması için)  Netcraft(kurumalanıiçinde yeralanwebsunucularının,bunların model ve versiyonlarının, kurum alan adlarına benzer alan adlarının tespiti, wayback machine aracı ile web sitelerinin eski görüntülerinin tespiti için)  Whois(IP,AlanAdı) Veritabanları (kuruma ait IP adres aralığının, teknikpersonelbilgilerinin, destek alınan ISP bilgilerinin tespiti için)  BGP Sorgulama (internet çıkış bilgilerinin ve komşu otonom sistemlerin belirlenmesi için)
  4. 4. blog.btrisk.com @btrisk /btrisktv /btrisk 3  DNS Sorgulama (ad kaba kuvvet saldırıları ve alan transferi yöntemleri ile sunucu tespiti, IP adres bloğunda bulunan IP’ler için tersine sorgulamayla sunucu isimleri ve işlevleri hakkında bilgi toplamak için)  WebSunucuları(tümiçeriğinindirilmesi, içeriğin içindeki yorum satırlarının ve içerikteki güvenlik açısından hassas bilgilerinin incelenmesi için)  SMTP Mesajı (mevcut olmayan bir e-posta adresine e-posta gönderilmesi suretiyle geri dönen mesajın başlık bilgilerinden faydalanarak kurum ağ mimarisi hakkında bilgi edinmek için)  Diğer Halka Açık Bilgiler (kurum fiziksel yerleşimleri, grup şirketleri ve diğer ağ bağlantıları hakkında bilgi toplamak için)  Yukarıdaki aktiviteler Bidiblah gibi bir araç veya doğrudan ilgili bilgiyi sağlayan internet servisi kullanılarak gerçekleştirilebilecektir. Sunucu ve Servis Tarama  Genel bilgi toplamaadımındaelde edilen verilerden yola çıkarak ve kurumun sahip olduğu IP adres aralığındaki canlı sistem ve servisleri tespit etmek amacıyla protokol ve servis taramalarını içerir:  IP protokol tarama  ICMP tarama (Type 8, 13, 15 ve 17 ICMP paket türleri kullanılarak)  TCP port tarama (TCP connect bağlantısı yöntemiyle tarama IP yasaklaması doğurmuyorsa tam güvence için connect bağlantı yöntemiyle)  UDP port tarama (tarama zamanını çok fazlaartırdığından sadece bilinenportlariçin ve UDP servisi barındırdığından şüphelenilen sunuculara odaklanılarak)  Eğer mevcutsa web proxy ve ftp sunuculara yönelik proxy sıçrama taraması  Bu adımın çıktıları işletim sistemi ve ağ servisleri üretici ve versiyon belirleme çalışmasına esas oluşturacaktır. Ağ Haritasının Çıkarılması  Kurum ağının derinliği, DMZ ve iç ağ bölümleri, filtreleme kurallarınınanlaşılmasıiçingerçekleştirilen aşağıdaki aktiviteleri içerir:  Yönlendirme bilgisi toplama (Traceroute, hping2 gibi araçlarla)
  5. 5. blog.btrisk.com @btrisk /btrisktv /btrisk 4  Filtreleme kurallarının testi (Firewalk ile) İşletim Sistemi Tespiti (Enumeration)  İşletimsistemi versiyonununyüksekihtimalle tespitedilmesi için protokol ve port taramalarından elde edilen verilerin yanı sıra aşağıdaki aktif yöntem ve araçlarla gerçekleştirilen aktiviteleri içerir: o Farklı işletim sistemlerinin farklı başlık bilgilerine sahip paketlere verdikleri farklılıklardan yola çıkarak her bir işletimsistemi içinaşağıdaki özelliklerinaktif yöntemlerle incelenmesi (fingerprinting):  IP protokol özelliklerinin  ICMP protokol özellikleri  TCP protokol özellikleri o Dinleyen port numaralarından yola çıkarak kabaca işletim sistemi ailesi ve versiyonunun tespiti o Her birservisiçin“banner”metinlerininincelenmesi (bu metinlerkesinolarakgüvenilememekle birlikte versiyon tespiti için önemli bilgi verebilmekte, bazı durumlarda sistem yöneticisi tarafından değiştirilse bile belli başlık alanları veya gönderilen isteklere karşı ürettikleri yanıt özellikleri nedeniyle işletimsistemi veya servis tespitine olanak sağlayabilmektedirler) o Servis davranış özellikleri ve uygulama seviyesinde isteklere verilen yanıtlardaki farklılıklar Ağ Servisleri ve Sistem Kullanıcılarının Tespiti (Enumeration)  Servis versiyonu ve sistem kullanıcılarının tespiti için aşağıdaki genel ve servise ve işletim sistemine özel aktivitelerin gerçekleştirilmesini içerir: Servis ve servis versiyonu belirleme için genel aktiviteler o Banner metinlerinden yola çıkarak tahmin o Bilinen port numaralarından yola çıkarak tahmin o AMAP(veyaNMAP’inservisbelirleme özelliği) ile servis versiyon tahmini (application fingerprinting) o Özellikle versiyon ve kullanıcı kodlarının belirlenmesine imkantanıyabilecekaşağıdaki genel ve işletim sistemine özel servislerinincelenmesi (Not: Sıralanan Windows ve Unix işletimsistemlerine özgü servis isimleri çalışmanın detayı hakkında fikir vermek içindir. Bu işletim
  6. 6. blog.btrisk.com @btrisk /btrisktv /btrisk 5 sistemlerinin dışındaki sistemler için kendilerine has servisler incelenecektir): Genel Servisler o SNMP (UDP 161) o SMTP (TCP 25) o POP-3 (TCP 110) o IMAP (TCP 143) o TFTP (TCP/UDP 69) o FTP (TCP 21) o Telnet (TCP 23) o HTTP/HTTPS (TCP 80/ TCP 443) o SSL o IPSec (ISAKMP – UDP 500) o SSH (TCP 22) o VNC (TCP 5800 / 5900) Unix Servisleri o Unix RPC (TCP/UDP 111, 32771) o NFS (RPC programı 100003) o R-Services (exec – TCP 512, login – TCP 513, shell – TCP 514) o NTP (UDP 123) o X Windows Server (TCP 6000-6063) Unix Kullanıcı Tespitine Yardımcı Servisler o Finger (TCP/UDP 79) o Rwho (UDP 513) ve Rusers (RPC programı 100002) o NIS (RPC programı 100004) o Auth (TCP 113) (identd servisi) Windows Servisleri o NetBIOS Name Service UDP 137) o SMB (NetBIOS Session Service: TCP 139 veya SMB over TCP – CIFS: TCP/UDP 445) o LDAP ve Active Directory Global Catalog (TCP 389 / TCP 3268) o MSRPC (TCP/UDP 135) o NTP (UDP 123) o Terminal Services (TCP 3389)
  7. 7. blog.btrisk.com @btrisk /btrisktv /btrisk 6 Kullanıcı Parola Tespit Saldırılarının Gerçekleştirilmesi (Kısıtlı Zaman İçin)  Aşağıdaki yöntemlerle tespit edilmiş olan kullanıcı kodlarına yönelik kısıtlı süre için sözlük (dictionary) ve kaba kuvvet saldırıları yöntemleriile parolatespitve yetkisizerişimtestlerinin gerçekleştirilmesi: o Tespitedilenservislerdenkullanıcı kodu sızdırma yoluyla belirlenen kullanıcı kodları o Genel bilgi toplamaadımındaelde edilenkullanıcıkodları o Tespit edilen servislerin kurulumunda öntanımlı olarak bulunan kullanıcı kodları o Kurum bilgilerinden yola çıkarak tahmin edilebilen kullanıcı kodları o Yaygın olarak kullanılan kullanıcı kodları (bilgi, admin, user, helpdesk gibi)  Kullanılan parola sözlükleri kuruma özgü ve kurumla ilgili bilgi toplama adımında elde edilen veriler de kullanılarak oluşturulacaktır. Saldırı için kullanılacak araç veya geliştirilecek betikler söz konusu servise yönelik ve bu servisin iletişim kurduğu protokole uygun olarak belirlenecektir. Tespit Edilen Servis Versiyonlarına Yönelik Açıklık Tespiti ve Açıklığın Test Edilmesi  Versiyonu belirlenen servisler için herkese açık açıklık veritabanları taranacaktır. Söz konusu açıklık için yayınlanmış bir POC (proof of concept) saldırı kodu bulunuyorsa bu kod derlenerek söz konusu açıklığın gerçekten bulunup bulunmadığı test edilecektir.  Özellikle açıklığın saldırı koduyla denenmesi risk yönetim prosedürümüz gereği kurumtemsilcisiyle koordinasyon halinde gerçekleştirilecektir.  Hizmetkesintisine yönelik saldırı kodları denenmeyecek, açıklık veritabanlarından söz konusu versiyonla ilgili raporlanmış olan hizmet kesintisi açıklıkları sadece olası açıklık olarak raporlanacaktır.
  8. 8. blog.btrisk.com @btrisk /btrisktv /btrisk 7 Genel Ağ Güvenliği Değerlendirmesi  Ağ güvenliğideğerlendirmesi sadece yetkisizerişimzafiyetleri ve hafıza taşma, “format string”, “integer overflow”, “race condition” gibi uygulama açıklıkları yönünden değil aşağıdaki açılardan da gerçekleştirilecektir: o Filtreleme kurallarının yeterliliği o Parola politikalarının yeterliliği o Kaba kuvvet saldırılarına karşı kullanılan yöntemlerin etkinliği(CAPTCHA kullanımı, 3 başarısız deneme sonrası belli bir süre kullanıcı hesabının kilitlenmesi gibi) o İnternet’e açık servislerin nitelikleri ve gereklilikleri (örneğin veritabanı servisinin doğrudan internet gibi tehlikeli ağbölümlerine açılmasının neden olacağı riskin değerlendirilmesi gibi) o Kullanılan protokollerin güvenlik açısından yeterliliği (örneğine-postaveyafinansal işlemsağlayanservislerde kriptolama kullanılmaması gibi) o Kullanılan servislerin kullandığı kriptolama ve özet algoritmalarının yeterliliği o Servislerin hatalı işlemler, hatalı kullanıcı tanılama denemelerine karşı verdiği hata mesajlarının kritik veya saldırganın işini kolaylaştırıcı bilgi barındırmaması o Servislerin gereğinden fazla bilgiyi banner’larında veya yanıt olarak dışarı sızdırmaması

×