İstanbul Şehir Üniversitesi - Kablosuz Ağlara Yapılan Saldırılar - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Hüseyin Uçan
Siber Güvenlik nedir, kavramlar, siber uzay, siber savaş, siber saldırı türleri, saldırılardan korunma yolları vb. birçok konuyu anlatan ayrıntılı bir sunumdur. Faydalı olacağını umuyorum.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
RECOVERY: Olay sonrası sistemleri düzeltmekAlper Başaran
Siber saldırıların sayısında görülen artış ve saldırganların beceri düzeyinde gözlemlenen iyileşme sonucunda kuruluşların bir siber güvenlik ihlali yaşama ihtimalleri artmaktadır.
Saldırıyı önlemeye odaklanan siber güvenlik yaklaşımının pek çok kuruluş için yetersiz kaldığını gözlemlediğimiz yüzlerce olay yaşandı ve yaşanmaya devam ediyor. Günümüz şartlarında bir kuruluşun siber güvenlik ihlali yaşaması halinde yapacaklarını bilmesi ve olay sonrası durumunu/sistemlerini düzeltmek için izleyeceği bir metodolojiye sahip olması çok önemlidir.
Bu webinarımızda yaşanması muhtemel bir siber güvenlik olayı sonrasında yapılması gerekenleri ve izlenmesi gereken yolu ele alacağız.
Webinarın amacı
Kuruluş bünyesinde, ağır veya hafif etkili, yaşanacak bir güvenlik ihlali sonrasında izlenebilecek bir yol haritası paylaşmak.
Kimler katılmalı
BT Birim çalışanları ve yöneticileri, risk birimi yöneticileri, SOME (Siber Olaylara Müdahale Ekibi) üyeleri
Dökümanın Genişletilmiş Hali : https://drive.google.com/file/d/0ByE2shCr5pUQblJNanctQ29HT3c/view
Network Pentest'e Giriş Dökümanı | Ahmet Gürel
www.gurelahmet.com
İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiEPICROUTERS
Bilge Adam Bilgi Teknolojileri Akademisi - Beşiktaş Şube'sinde Sn. Neslihan Türkeri'nin katkıları ile 22.04.2012 tarihinde gerçekleştirilen Ethical Hacking ve Sızma Yöntemleri konu başlıklı eğitime ait etkinlik fotoğrafları ve etkinlik sunumu.
07.12.2013 tarihinde Siber Güvenlik Derneği tarafından gerçekleştirilen Siber Güvenlik Buluşmaları 7. oturum, 1. kısımda anlatılan konularun sunum dosyası
2. Hakkımda
• Siber Güvenlik
• Savunma: IDS, IPS, FW, WAF,DLP,SIEM,RMS, PKI, Anti Malware,
Anti Ddos vb..
• Saldırı: Pentesting, Ddos
• 12 sene Siber Güvenlik saha tecrübesi
• 2,5 sene Telekom operatöründe Anti Ddos proje koordinatörü
• CIP Alert: Kritik altyapı programında Araştırmacı
3. Program
• 10:00: CIP Alert ve Tanışma
• 10:15: TCP/IP ve Ddos.
• 11:00: Ara
• 11:15: Ddos atak çeşitleri
• 12:00: Öğlen Arası
-------------------------------
• 13:15: Ddos’tan Korunma Yöntemleri
• 14:00: Ara
• 14:15: Anti-Ddos Kurulum Senaryoları
• 15:00: Ara
• 15:15: Ddos Test uygulamaları ve Lab örnekleri
• 16:00: Bitiş
4. Bitcoin
• Bitcoin tüccar firmalarından bir tanesine gelen Ddos saldırısı
• Ddos ile şantaj yapıldı
• 10gbps
• İlk talep 1 bitcoin
• İkinci talep 2 bitcoin
• ….
• Son teklif ½ bitcoin
5. Rutgers
• Rutger Universitesi
• 3-4 yıldır belli aralarla gelen Ddos saldırıları sonucunda
ödevlerde gecikmeler, online sınıf aktivitelerin yapılamaması
gibi aksaklıklar öğrenimi ciddi derecede sekteye uğrattı
• Universite yönetimi bir siber güvenlik firmasına 3 milyon dolar
ödeyerek sorunu çözmeye çalıştı
• Harcamalara rağmen ddos saldırısı ve etkileri devam etmekte
ve okulun kayıt ücretleri artmış durumda.
• Sonuç: Rutger itibarının düşmesi ve kayıt ücretlerinin artması.
• +Mutsuz öğrenciler de cabası
6. ODTU ve Banka saldırıları
• Türk kritik altyapısı. Nic.tr
• 10 gün sürekli saldırı
• İlk gün yaşanan sıkıntı
• Toparlanma
• Banka saldırıları
• Sonuç: Her ne kadar çok yansıtılmasa da,
7. BBC
• 602 gbps- REKOR DDOS
• Chargen yansıtma ve yükseltme saldırısı
• AWS zafiyeti
• AWS bulut sunucuların saldırıda kullanılması
• Saldırı boyunca sitede sıkıntı devam etti
• Akamai CDN çaresi.
8. Ukrayna
• 23 Aralık 2015
• Elektrik kesintisi
• Black Energy 3 zararlısı
• Trafodaki devre kesiciler uzaktan harekete geçirildi
• 800.000 kişi elektriksiz kaldı
• Saldırganlar aynı anda şikayetlerin ulaşmaması için santralin
telefon santraline Ddos saldırısı düzenlediler.
12. BOTNET’ler
• Botnet herders tarafıdan kontrol edilirler.
• Kontrol yolu: Mirc, http(s), şimdilerde Tor
• Aşılama yontemleri: Wordpress, Joomla vb., eski windows
sistemler en kolay hedeftir.
Ama şimdilerde datacenter olması ozellikle tercih ediliyor (surekli
bağlantı, kapasiteli donanım, yedeklilik ve sıçrama potansiyeli)
21. IP Spoofing üzerine
• Ip Spoofing – Sahte Kaynak IP
Gönderilen paketleri gönderim aşamasında değiştirerek , farklı
kaynak IP ‘leri yerleştirme.
Çözüm alternatifleri:
• uRPF- Unicast reverse path forwarding.
Paketin kaynak IP’si router’da FIB tablosu ile kıyaslanır, aynı
rotada degilse paket düşürülür.
• Yetkilendirme (Kim O diye sorma)
• First packet drop ‘Atak anında ilk paketin düşürülmesi ,
sonrakilere izin verilmesi’ kullanımı
27. Syn flood ve Önleme
Attacker
ServerSyn
Syn
Syn
Syn
• En yaygın DDOS atağı
• Yetkilendirme ve WL. (Syn cookie ve syn proxy)
• Syn reflection faktörü
• Gerçek IP’den Syn flood geldiğinde: TCP ratio
mekanizması
42. DNS-devam
• Dns Cache poisoning atağı
• Dns reflection atağı
• Dns sorgu/cevap atakları
43. DNS sorgu/cevap atakları
SP DNS
1. abc.google.com IP’si nedir?
2. abc.google.com IP’si nedir?
Saldırgan
3. IP= XXX.XXX.XXX =news.google.com
DNS Reply Flood
Saldırgan
44. DNS cache poison
SP DNS
1. abc.google.com IP’si nedir?
2. abc.google.com IP’si nedir?
Saldırgan
3. abc.google.com= x.x.x.x
DNS Reply
Saldırgan
• Cache DNS sunuculardaki domain’e ait
IP bilgisi sahtesi ile değiştirilmeye
çalışılır.
• Saldırgan sorgu numarasını doğru
tahmin edebilmelidir.
DNS Reply
45. DNS reflection
Open DNS
resolvers
1. isc.org IP’si nedir?
2. isc.org IP’si nedir?
Saldırgan
DNS Reply
• Saldırgan , kurbanın IP adresini kaynak IP
olarak kullanır ve sorguyu bilinen tüm
recursive dns sunucularına gönderir.
• Sorgu isteğini alan binlerce resolver,
cevabı kurbana döner ve kurban DDOS
olur.
DNS Reply
DNS
authority
Kurban
46. DNS Atakları
• Sonuç: DNS atakları en kapsamlı , en az çabayla en çok sonuç
elde edilebilen-kendini çoğaltabilen önemli ataklardır.
Günümüzde yaygın olarak kullanılmakta ve ilerde devam
edeceği anlaşılmaktadır.
• DNS hem uygulama seviyesi zaafiyetleri hem de staless
protokol olan udp uzerinden hizmet verdigi icin DDOS
ataklarına karşı zayıflıkları fazladır.
47. DNS atakları engelleme yöntemleri
• Session kontrolu (Çift yönlü trafikte): Anti - Reply flood
• DNS proxy, caching
• Tcp Yetkilendirme
• İlk paket düşürme
• Domain adı limitleme
• Trafik limitleme
48. Etkili bir Anti-DDOS yöntemi:
Parmakizi
• Paketin header veya payload incelenerek parmakizi tesbiti
yapılabilir.
49. Ddos Özet
• Saldırıyı yapmak çok kolay
• Yakalanmak neredeyse imkansız
• Etkisi oldukça büyük
• Saldırı yöntemleri oldukça geniş
• Her uygulama ve servisin ayrı Ddos açıklıkları mevcut.
• ...ve saldırı araçları bedava.
51. Özellikler
• Neden IPS değil, sadece Anti-DDOS
• İmza veritabanı işe yaramaz
• IPS ile aynı seviyede koruma mantıklı değil. Trafiğin yoğunluğu üst
ağlarda korumayı gerekli kılmaktadır. -Clean pipe- (Sapı samanı
ayırma)
• Trafik öğrenme ve ddos algılama gereksinimi
52. Anti Ddos Fonksiyonlar
• Flood saldırılarına karşı koruma
• Sahte IP’lere karşı koruma
• Temiz ve kirli trafiği ayırma
• Arkadaki sunucuları rahatlatma (Savunma ve trafik limitleme)
• Trafiği kesinlikle geciktirmeme
• Layer 3-7 katmanlı koruma
• Ipv4 ve Ipv6
• Tcp, udp, icmp ve diğer tüm mesaj protokollerini tanıma
• Uygulama tanıma özelliği
• Botnet algılama
• IP Reputation yöntemi
55. ISP Ağı
MPLS / Internet
Trafik çoğaltma ile temizleme modu
(Statik)
Ddos Temizleme
Merkezi
Yönetim trafiği
Trafik ve saldırı logu
Yönetim
Kirli Trafik
Trafik çoğaltma ile temizleme (Statik)
Temiz Trafik
56. Örnek trafik toplama yoluyla temizleme
Netflow trafiği
Operatör Ağı
Internet/MPLS
Örnek trafik toplama yoluyla temizleme
Netflow Tesbit Merkezi
Ddos Temizleme
Merkezi
Yönetim
Temiz trafik
Yönetim trafiği
Trafik ve atak logu
Kirli trafik
57. Page57
Page 57
ISP Ağı
AS
Trafik Çoğaltma-Temizleme Modu
(Dinamik)
Atak Tesbit Sistemi
Temizleme Merkezi
Yönetim Merkezi
Trafik Çoğaltma ve Temizleme (Dinamik)
Temiz trafik
Yönetim trafiği
Kirli trafik
Çoğaltılmış trafik
Trafik ve atak logu
58. Page58
Page 58
Yük dengeli temizleme
Müşteri Ağı
Trust zoneDMZ
Web
Mail
… OA
FirewallFirewall
Anti Ddos
Yönetim
Inline
Switch Switch
Temiz trafik
Yönetim trafiği
Kirli trafik
Çoğaltılmış trafik
Trafik ve atak logu
59. Page59
Page 59
MPLS
Anti-DDoS Süreç Akışı
Temizleme Merkezi
Yönetim Merkezi
Ddos trafiği
geldiğinde
koruma
altındaki ağ
sorun
yaşayacaktır
2 Anormallik tesbiti
Atak durumu tesbit edildiginde
Ddos Yönetim Merkezi’ne
iletilir.
Trafik yönlendirme politikası
Temizleme merkezine iletilirBGP Anonsu ile
trafik yönü
değiştirilir
Temizleme
istatistikleri
Yönetim
merkezine
iletilir.
BGP
Tesbit Merkezi
Servis Alan Müşteri
Temizlenmiş trafik .
Mirrored/Optically Split Traffic
Management Traffic
Cleaning Logs
Traffic Logs
Capture Packets
Pre-Cleaning Traffic
Post-Cleaning Traffic
Trafik Çoğaltma-Temizleme Modu (Dinamik)
60. Netflow vs. DPI
• Trafik örnekleme (Sampling
ratio)
• 2 farklı sisteme hakim olma,
aradaki senkronizasyon
• Farklı sistem alarmları
• Sistemlerin birbirini
tanımaması
• Severity, recovery bilgilerinin
aktarılması gereksinimi(Birçok
yerden flow alma zorunluluğu)
• Eşik değerlerin iyi belirlenmesi
• Cihaz Maliyeti
• İşleme-CPU maliyeti
• Birden fazla müşterilerin aynı
koruma sistemlerine dahil
olma durumu
Netflow (Layer 3-4) DPI (Layer 1-7)
61. Inline vs. Offline koruma
• Session detection özelliği
• Derin Paket analizi vs. Netflow verisi ile yetinme
• Trafik aktarma kapasitesi (Offline da yüksek)
• Diğer müşteriler ve/veya atak almayan diğer hedef IP
adreslerinin etkilenmesi (Offline’da sözkonusu değil)
• Atak algılamada gecikme
• Atak önlemede gecikme
• Single point of failure
• Yedeklilik gereksinimi (Inline)
• BGP anonsları ile tüm şebekeyi olumsuz etkileyebilirsiniz
62. Layer 2 vs. Layer 3
konumlandırma
• Anti DDOS açısından bir fark bulunmuyor.
• Cihaza IP verme gereksinimi :BGP ve Netflow ile haberleşme
zorunluluğundan dolayı.
• Routing ozellikleri kullanılmayacaksa Layer 2.
• Genelde offline’da layer 3, ,inline’da layer 2 tercih edilir.