Internet hacker’ları bir siteye dalgalar halinde GET istekleri veya diğer HTTP seviyesinde istekleri göndererek aşağı indirebilirler. HTTP Denial-of-Service (HTTP Dos) konunan Web sunucularınıza yönlendirilen böyle saldırıları önlemek için etkili bir yol sağlar. HTTP Dos özeliği ayrıca internet cloud ve Web sunucularınız arasında kalan Netscaler cihazının bir HTTP Dos atağı tarafından aşağı indirilmesini önler.
Internet hacker’ları bir siteye dalgalar halinde GET istekleri veya diğer HTTP seviyesinde istekleri göndererek aşağı indirebilirler. HTTP Denial-of-Service (HTTP Dos) konunan Web sunucularınıza yönlendirilen böyle saldırıları önlemek için etkili bir yol sağlar. HTTP Dos özeliği ayrıca internet cloud ve Web sunucularınız arasında kalan Netscaler cihazının bir HTTP Dos atağı tarafından aşağı indirilmesini önler.
GTU Bilgisayar Mühendisliği Bitirme Projesi-2 kapsamında hazırlamakta olduğum projenin ara değerlendirme raporudur. Projenin neleri içerdiği, başarı kriterleri ve konu hakkında bilgileri içermektedir.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
Presentation covers Embedded Linux systems basics including hardware, software and architectural concepts. Yocto, Raspberry Pi, Electronics Hardware, and Embedded Architecture.
GTU Bilgisayar Mühendisliği Bitirme Projesi-2 kapsamında hazırlamakta olduğum projenin ara değerlendirme raporudur. Projenin neleri içerdiği, başarı kriterleri ve konu hakkında bilgileri içermektedir.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
Presentation covers Embedded Linux systems basics including hardware, software and architectural concepts. Yocto, Raspberry Pi, Electronics Hardware, and Embedded Architecture.
Ransomware nedir? TBD Antalya Şubesi ve AOSB birlikte düzenledikleri "Sanayide Bilişim Buluşmaları" etkinliğinde sunumunu yaptığım Ransomware (Fidye Yazılım) Sunumudur.
Abstract
With the increased number of web applications, web security is be- coming more and more significant. Cross-Site Scripting vulnerability, abbreviated as XSS, is a common web vulnerability. Exploiting XSS vulnerabilities can cause hijacked user sessions, malicious code injec- tions into web applications, and critical information stealing. This article gives brief information about XSS, discusses its types, and de- signs a demo website to demonstrate attack processes of common XSS exploitation scenarios. The article also shows how to prevent XSS at- tacks with code illustrations.
Abstract
Insecure Direct Object References (IDOR) are a type of vulnerabil- ity that occurs when an application exposes direct object references, such as a file path or database key, to unauthorized users. This can allow attackers to bypass security controls and access sensitive infor- mation, such as user data or financial records, without proper authen- tication. IDOR vulnerabilities can arise due to a lack of proper access controls or when an application trusts user-supplied input without ad- equately validating it. In this article, we will provide examples of un- secure code that is vulnerable to IDOR attacks, and demonstrate how these vulnerabilities can be exploited. To prevent IDOR vulnerabili- ties, it is important to implement robust access controls and sanitize user input to ensure that only authorized users can access sensitive objects. Additionally, regularly testing and monitoring applications for IDOR vulnerabilities can help to identify and mitigate potential threats.
Abstract
In this article, we explore the path traversal attacks, also known as directory traversal attacks, and the potential harm they can cause to a system. We begin with an introduction to path traversal, explaining what it is and how attackers can exploit it to gain unauthorized access to files and directories. We then dive into the different techniques that can be used to exploit path traversal, including manipulating file paths and using encoding techniques. To prevent these attacks, we discuss several best practices, such as input validation and path normaliza- tion. Finally, we provide examples of more secure code and discuss how developers can implement these practices to strengthen their ap- plication’s defenses against path traversal attacks. Whether you’re a developer, a security professional, or just interested in learning more about cyber-security, this article provides valuable insights into one of the most common types of web application vulnerabilities.
A buffer overflow exploit is a security vulnerability that occurs when an application receives more data than expected, causing it to fill up memory space and even crash the program. Through this vulnerability, an attacker can run malicious code on the target application and take control of the system.
Buffer overflow exploits often stem from programming errors, incomplete input validation processes, or weaknesses in the data structures used in the program. These vulnerabilities allow attackers to gain control over an application.
Buffer overflow exploits pose a significant threat to cybersecurity and are often a key component of malware and cyber attacks. Therefore, software developers and system administrators should have knowledge of application security and design their applications properly to defend against these types of attacks.
As the number of web applications continues to grow, web security is becoming increasingly important. File inclusion attacks, specifically Remote File Inclusion (RFI) and Local File Inclusion (LFI), are se- rious threats to web security. Exploiting RFI and LFI vulnerabilities can lead to unauthorized access to sensitive information, exposing web- sites to additional risks, and full system compromise. We will provide a comprehensive overview of RFI and LFI, including an explanation of the attack types and potential risks. We also demonstrate the pro- cess of RFI and LFI exploitation scenarios. The paper concludes by providing insights on how to prevent RFI and LFI attacks with code illustrations and best practices for secure coding.
This Azure DevOps Security Guide, prepared for Secure Debug Limited, provides a comprehensive framework for ensuring a secure and compliant Azure DevOps environment. The guide covers various aspects of security, including access control, network security, code security, and continuous monitoring.
Key points addressed in this guide include:
1. Managing users and groups using Role-Based Access Control (RBAC) to define and enforce granular permissions.
2. Applying the principle of least privilege for granting permissions to minimize potential risks.
3. Regularly reviewing user accounts and disabling unnecessary accounts to reduce the attack surface.
4. Implementing strong authentication with Multi-Factor Authentication (MFA) to protect against unauthorized access.
5. Integrating centralized identity management using Single Sign-On (SSO) and Azure Active Directory.
6. Reducing authentication risks using risk-based policies and Azure AD Identity Protection integration.
7. Restricting access with IP-based network security groups and private networks.
8. Establishing secure communication with on-premises systems using VPN or
ExpressRoute.
9. Protecting and routing network traffic with Azure DDoS Protection and Azure Firewall.
10. Applying code review processes and utilizing static and dynamic code analysis tools
for vulnerability detection.
11. Establishing secure coding standards and ensuring dependency security.
12. Incorporating security controls and automated tests in Build and Release pipelines.
13. Securing agents with trusted agent pools and implementing Git branch policies and
pull request reviews for code security.
14. Storing credentials, certificates, and access keys securely in Azure Key Vault and
configuring access for Azure DevOps pipelines.
15. Monitoring changes using Azure DevOps audit logs for security, compliance, and
operational awareness.
16. Continuously tracking and improving security posture with Azure Policy and Azure
Security Center.
17. Conducting internal and external security audits and penetration tests for evaluation
and continuous improvement.
18. Regularly review and update the security configurations of your Azure DevOps
services, resources, and tools.
19. Implement secure baselines for your Azure resources and enforce them consistently
across your environment.
20. Use Azure Policy to define and enforce security configurations across your Azure
resources.
21. Continuously monitor configuration changes and assess their impact on your security
posture.
22. Implement a robust backup and recovery strategy for your critical data, including
source code, artifacts, and configuration data.
23. Use Azure Backup and Azure Site Recovery to protect your data and applications.
24. Regularly test your data recovery processes to ensure they are effective and up to
date.
25. Establish a disaster recovery plan to minimize downtime and data loss in case of a
security breach or system failure.
Insecure Direct Object References (IDOR) are a type of vulnerabil- ity that occurs when an application exposes direct object references, such as a file path or database key, to unauthorized users. This can allow attackers to bypass security controls and access sensitive infor- mation, such as user data or financial records, without proper authen- tication. IDOR vulnerabilities can arise due to a lack of proper access controls or when an application trusts user-supplied input without ad- equately validating it. In this article, we will provide examples of un- secure code that is vulnerable to IDOR attacks, and demonstrate how these vulnerabilities can be exploited. To prevent IDOR vulnerabili- ties, it is important to implement robust access controls and sanitize user input to ensure that only authorized users can access sensitive objects. Additionally, regularly testing and monitoring applications for IDOR vulnerabilities can help to identify and mitigate potential threats.
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...Okan YILDIZ
Smishing and vishing are phishing attacks that lure victims via SMS messages and voice calls. Both rely on the same emotional appeals employed in traditional phishing scams and are designed to drive you into urgent action. The difference is the delivery method.
“Cyberthieves can apply manipulation techniques to many forms of communication because the underlying principles remain constant,” explains security awareness leader Stu Sjouwerman, CEO of KnowBe4. “Lure victims with bait and then catch them with hooks.”
With the increased number of web applications, web security is be- coming more and more significant. Cross-Site Scripting vulnerability, abbreviated as XSS, is a common web vulnerability. Exploiting XSS vulnerabilities can cause hijacked user sessions, malicious code injec- tions into web applications, and critical information stealing. This article gives brief information about XSS, discusses its types, and de- signs a demo website to demonstrate attack processes of common XSS exploitation scenarios. The article also shows how to prevent XSS at- tacks with code illustrations.
OS Command Injection is a type of cyber attack that involves injecting mali- cious code into a legitimate system command. This allows the attacker to gain unauthorized access to sensitive information or to manipulate system functions. The attack is possible when an application does not properly validate user in- put, allowing the attacker to insert arbitrary commands that are executed by the operating system.
OS Command Injection attack can include data loss, system compromise, and loss of trust in the affected organization. In some cases, the attack can even lead to financial losses or legal repercussions.
This article discusses Command Injection attacks, what vulnerable appli- cations are and how to exploit the vulnerability, and finally, how to prevent attacks by writing safe codes.
VoIP (Voice over Internet Protocol).pdfOkan YILDIZ
VoIP (Voice over Internet Protocol) transmits voice and multimedia content over an internet connection. VoIP allows users to make voice calls from a computer, smartphone, other mobile devices, special VoIP phones and WebRTC-enabled browsers. VoIP is a valuable technology for consumers and businesses, as it typically includes additional features that can't be found on standard phone services. These features include call recording, custom caller ID, and voicemail to e-mail. It is also helpful to organizations as a way to unify communications.
The process works similarly to a regular phone, but VoIP uses an internet connection instead of a telephone company's wiring. VoIP is enabled by a group of technologies and methodologies to deliver voice communications over the internet, including enterprise local area networks or wide area networks.
A VoIP service will convert a user's voice from audio signals to digital data and then send that data through the internet. If another user calls from a regular phone number, the signal is converted back to a telephone signal before reaching that user.
VoIP can also route incoming and outgoing calls through existing telephone networks. However, some VoIP services may only work over a computer or VoIP phone.
1. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
DNS Güvenliği
ve
Tünelleme Tehdidi
Hazırlayan: Okan YILDIZ
2. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
İçindekiler
DNS Nedir ve Nasıl Çalışır?..................................................................................... 3
DNS Güvenliği.......................................................................................................... 3
Saldırganın Bakış Açısından DNS ........................................................................... 4
DNS Tehditleri....................................................................................................... 5
DNSSEC kurulu değil............................................................................................ 6
Cisco ve Lync kullanımı ........................................................................................ 8
DNS Tünelleme...................................................................................................... 10
DNS Tünellemede Kullanılan Araçlar..................................................................... 10
Iodine .................................................................................................................. 11
DNS güvenliği için öneriler ..................................................................................... 15
3. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
DNS Nedir ve Nasıl Çalışır?
Alan adı sistemi olan DNS (Domain Name System), isim sunucu ve
çözümleyicilerden oluşur, internete açılan kapılardır. İsim sunucular, host
isimlerine karşılık gelen ip adreslerinin ismini tutar. Çözümleyiciler ise
DNS istemciler olarak bilinir ve bu istemcilerde, DNS sunucu yada diğer
sunucuların bilgisini tutar.
Web siteleri, URL olarak adlandırılan kolay adres ve IP adresine sahiptir.
Kullanıcılar web sitelerini bulmak için URL'leri, bilgisayarlar ise IP
adreslerini kullanır. DNS URL'leri IP adreslerine dönüştürür (veya tam
tersi). Örneğin, web tarayıcınızdaki adres çubuğuna
http://www.alanadi.com yazarsanız, bilgisayarınız DNS sunucusuna bir
istek gönderir. DNS sunucusu URL'yi IP adresine dönüştürerek
bilgisayarınızın Microsoft web sunucusunu bulabilmesini sağlar.[1]
DNS sistemine ait bazı bileşenler aşağıda verilmiştir;
• A è Domain Name den IP adresine dönüşüm yapar.
• MXè Belli bir Domain’ e gelen e-postaların hangi makineye
dağıtılacağını bulur
• NSè Alan adınızın sorgulanmasında kullanılacak olan isim
sunucularıdır.
• PTRè Verilen ip adresinin, isim karşılığını bulur.
• HINFO è Bilgisayarın donanım ve işletim sistemi gibi bilgilerini
yazmak için kullanılır.
• TXTè Bilgi vermek amacı ile kullanılır.
DNS Güvenliği
DNS 30 yılı aşkın süreden bu yana gelişmeyi sürdüren ve internetin
çekirdek bileşenlerinden bir tanesidir. Bu sebeplerden dolayı saldırganlar
ve kötücül yazılım yayınlayanların hedeflerinden bir tanesidir. DNS
altyapsının çökmesi ya da saldırganlar tarafında kötüye kullanılması,
büyük ölçekli hizmetlerin kesilmesi ve ya DNS üzerinden dışarıya veri
sızdırma olaylarıyla sonuçlanabilir. Cisco'nun 2014 Yıllındaki
Güvenklik Raporuna göre inceleme yapılan ağların %96'sında çalınan
sunuculara doğru trafik akışı olduğu görüldü ve %92'sinde ise herhangi
bir içeriği bulunmayan sitelere doğru trafik olduğu tespit edildi. DNS
4. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
üzerinde gerçekleşen saldırılar arasında en yaygın olanları aşağıda
verilmiştir;
• DNS tünelleme
• DoS ve DDoS saldırıları
• Ön bellek zehirlenmesi
• DNS yeniden yönlendirme (MITM) saldırıları:
• İleri Seviye Tehditler (APT)
Saldırganın Bakış Açısından DNS
İnternet’i kullanılabilir hale getiren ve bir anlamda belkemiğini oluşturan
DNS (Domain Name Server – Alanadı Sunucuları) saldırganlar için de
önemli hedeflerdir.
Aşağıdaki ekran görüntüsünde görülebileceği gibi örnek olarak ele
aldığım yerlerden birisi web sayfasını basit port taramalarına karşı
korumaktadır. NMAP’in hiç bir parametre kullanılmadan yapılan
taramalarda kullandığı 1000 port filtreli durumda ve sadece internet
sayfasının hizmet verebilmesi için ihtiyaç duyduğu portlar görece açık.
Filmlerde gösterilenin aksine hackerlar kolay yolu ararlar, bu durumda bu
portları filtreleyen güvenlik cihazını atlatmaya uğraşmaktansa daha kolay
istismar edebilecekleri saldırı yüzeyleri arayacaklardır. Sistem yöneticisi
olarak kapatamadığımız 3 ana nokta, doğal alarak saldırganların başlıca
tercihleri olacaktır bunlar;
E-posta hizmeti: Sosyal mühendislik saldırıları için önemli vektörlerdir. E-
posta sunucularının doğru konfigüre edilmediği durumlarda ise
saldırganlar, kurum e-posta kaynaklarını kullanarak hem üçüncü
şahıslara saldırabilir (istenmeyen e-posta gönderimi ve oltalama
5. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
saldırıları), hem de kurumsal ağ, sistemler ve yapı hakkında bilgi elde
edebilirler.
Web sayfaları (web uygulamaları): Web sayfaları üzerindeki zafiyetleri
istismar eden saldırganlar kurum bilgilerini ele geçirebilir, itibar ve para
kaybına yol açabilir.
DNS Tehditleri
Saldırganlar DNS sunucularını kullanarak 4 temel saldırı türünü
gerçekleştirebilir.
Bilgi Toplama: Özünde bir saldırı olmasa da hedef hakkında bilgi
toplamak geçerli saldırıları belirlemek, planlamak ve yürütmek için
önemlidir. Saldırganlar hedefin dışarıya bakan ağını nasıl düzenlediği ve
yönettiğini DNS üzerinden bilgi toplayarak anlayabilir.
Hizmet dışı bırakma: Alanadı sunucusuna kapasitesinin çok üstünde
talep gönderen saldırganlar hedef DNS sunucusunun iş görmez hale
gelmesine neden olabilir.
Sahte kaynaktan talep gönderme: Yanlış ayarlanmış bir alanadı
sunucusu başka bir hedefe hizmet dışı bırakma saldırısı düzenlenmek
için kullanılabilir. Saldırganların hedef ağdan geliyor gibi düzenleyip
göndereceği paketlere cevap veren alanadı sunucusu istemeden
karşıdaki sunucuyu hizmet veremez hale getirebilir.
6. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Kayıt yönlendirme: Kurumdan çıkan DNS taleplerini kendi kontrolündeki
bir sunucuya yönlendiren saldırgan bu sayede kullanıcıları zararlı içerik
barındıran bir siteye veya sosyal mühendislik saldırılarına uygun olarak
hazırladığı başka bir siteye yönlendirebilir.
Yukarıda portlarını koruduğunuz bildiğimiz hedefin Alanadı Sunucusuna
saldırgan gözüyle bakacak olursak aşağıdaki bilgileri elde edebildiğimizi
görebiliriz.
DNSSEC kurulu değil
DNSSEC kullanılmadığı durumlarda saldırganlar DNS trafiğini yakalayıp
değiştirebilirler. Aşağıdaki 4 grafik DNSSEC kullanmayan bir sunucuya
yönelik düzenlenebilecek etkili bir saldırıyı özetlemektedir.
Adım 1: Kurban tarayıcının adres çubuğuna gitmekistediğimsite.com
yazar ve tarayıcı bu sitenin IP adresini tespit edebilmek için DNS
sunucusuna bir sorgu gönderir.
Adım 2: DNS sunucusu gerekli bilgilendirmeyi yaparak kurbanı gitmek
istediği siteye yönlendirir.
7. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Adım 3: DNSSEC olmamasından faydalanan saldırgan DNS sorgularına
müdahale eder.
Adım 4: Kurban gitmekistediğimsite.com adresini yazmasına rağmen
farkında olmadan saldırgan tarafından hazırlanmış siteye yönlendirilir.
8. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Cisco ve Lync kullanımı
Aşağıdaki ekran görüntüsünde görüldüğü gibi örnek olarak ele aldığım
şirket Cisco video konferans sistemi olduğunu tahmin ettiğim (vcse. İle
başlayan alandı ve 5060/5061 portlarını ipucu olarak değerlendirerek
yürüttüğüm bir tahmin) ve Microsoft LYNC’i haberleşme için kullanıyorlar.
İlginç altalanadları
Smtp., test. Vpn. Gibi saldırgan açısından ilgi çekici olabilecek bir kaç
altalanadının yanında hedefin kullandığı IP adresleri aralıkları hakkında
da bilgi sahibi olduk.
9. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
DNS güvenliği konusunda ülke olarak ne durumda olduğumuzu anlamak
için 21 Bakanlık DNS sunucuları üzerinde yaptığım çalışmada gördüğüm
şunlar oldu;
21 Bakanlık içerisinde;
• 20 tanesinde DNSSEC kullanılmadığını,
• 5 tanesinin DNS sunucusunun dışarıdan gelen isteklere cevap
verdiği için başka hedeflere karşı hizmet dışı bırakma saldırılarında
kullanılabileceğini,
• 3 tanesinde Microsoft Lync kullanıldığını,
• 8 tanesinin internet üzerinden telefon görüşmesi yaptığını sadece
DNS sorguları aracılığıyla tespit etmek mümkün olmuştur.
10. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
DNS Tünelleme
DNS tünelleme, DNS paketleri içerisinde herhangi bir TCP/UDP
paketinin taşıma işlemine verilen isimdir. Bu saldırılarda, saldırganın
amacı bir sunucunun DNS portu üzerinden çalıştırılıp, gerçek bir DNS
sunucu gözükmesini sağlayıp veri sızdırmaktır. Bu saldırılarda DNS
sunucu kendisinden sorgulanan bir DNS isteğine önce önbelleğini kontrol
ederek yanıt vermek ister eğer alan adı DNS önbelleğinde yoksa,
sorgulanan alan adından sorumlu DNS sunucuyu bulur ve ona sorar.
Sorgulanan alan adından yetkili DNS sunucu ilgili DNS kaydı için yanıt
verir ve DNS sunucu bu yanıtı istemciye iletir.
DNS tünellemeyi daha iyi anlamamız için, saldırın genel yapısı aşağıda
verilmiştir.
Özet olarak DNS tünelleme bir istemci tarafından üretilen DNS
paketlerinin sunucu tarafından işleme alınması ile oluşur. Sunucu DNS
portu üzerinden çalıştığı için gerçek bir DNS sunucusu gibi görür.
DNS Tünellemede Kullanılan Araçlar
DNS tünel araçları, DNS sorgu bölümündeki veriyi encode ederek
ISP'nin (daha doğrusu tünel sunucusunun sahibinin) DNS sunucusuna
iletir. Sunucu üzerindeki DNS portunda tünelleme sunucusu çalışır.
Aracın sunucu tarafı da, gelen isteği decode eder ve ilgili isteğe yanıtı
istemciye geri gönderir.
11. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Bu saldırılarda kullanılan araçlar aşağıda verilmiştir;
• OzymanDNS
• Dns2tcp
• Iodine
• Heyoka
• DNSChat
• NSTX
• DNScapy
• MagicTunnel, Element53, VPN-over-DNS (Android)
• VPN over DNS
Iodine
Iodine DNS tünellemede kullanılan en popüler araçların başında gelir.
Hem platform bağımsız olması hem de kolay kurulum ve kullanımı ile en
iyi DNS tünelleme yazılımı sayılabilir. Iodiline ile ipv4 üzerinden, DNS
sunucu aracılığıya tünelleme yapılabilmektedir. İstemci tarafında
çalıştırılıp, sunucuya erişim kontrolü sağlandıktan sonra yazılacak
yönlendirmelerle tüm trafik yeni kurulan tünel aracılığı ile yönetilebilir.
Aşağıda Iodine ile Ipv4 üzerinden veri dinlemeye örnek olması açısından
bir uygulama verilmiştir.
Aşağıda iodine hem sunucu hemde client tarafında çalıştırılmıştır.
Burada SIFRE yazan yer bağlantıya atatığımız şifre.
12. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
İodine üzerinden bağlantıları kurduktan sonra bağlantıyı test etmek için
netcat üzerinden “Gizli Veri” yolluyoruz.
13. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Wireshark ile yakaladığımız gizli veriyi barındıran paketi açıyoruz.
Yukarıdaki örnekte görüleceği üzere çok basit araçlarla herhangi bir
veriyi DNS sorgusu gibi kuruluş ağının dışına göndermek mümkündür.
Siber olaylara müdahale raporlarında rastladığımız “saldırganlar, tespit
edilmeden önce, kuruluş ağında ortalama 220 gün geçiriyorlar” gibi ilk
bakışta bize inanılmaz gelen rakamlara ulaşılmasını sağlayan bunun gibi
basit ve etkili teknikleri kullanmalarıdır.
DNS tünelleme, saldırıları engellemeye odaklı mimarilerin (firewall,
IPS/IDS, vs. “güvenlik” bileşenlerinin ön planda olduğu ağlarda) yetersiz
kaldığı pek çok senaryodan sadece bir tanesidir.
Son yıllarda karşılaşılan yüksek profilli saldırılardan çıkarttığımız derslere
bakarak saldırganların ağ ve sistemlerimize sızmalarını engellemenin
neredeyse imkansız olduğudur. Bu nedenle saldırganın kuruluş ağına
girdiği anda tespit edilmesi ve aşağıda “siber ölüm zinciri” olarak
özetlediğimiz genel saldırı anatomisini de düşünerek birden fazla
hamlesinin fark edilmesini sağlayacak yapıların kurulması gerekmektedir.
14. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
Yaşanan, neredeyse bütün, güvenlik ihlallerinde bu 7 adımın atıldığını ve
saldırganların başarılı bir sonuca ancak her adımda başarılı olmaları
halinde ulaşabildiklerini görüyoruz. Bu zincirin kurulabileceği senaryoların
ve saldırganların ulaşabileceği sonuçların (veri çalınması, sistemlerin
devre dışı kalması, vb.) iş süreçlerimize etkileriyle birlikte ortaya
konulması önemlidir.
Kuruluş ağı ve sistemleri için geçerli olabilecek senaryoları, iş süreçleri
için ortaya çıkabilecek tehditleri ve genel risk seviyesinin anlaşılması için
yapılabilecek çalışmalar arasında en kıymetlisi sızma testi olacaktır. Bu
testlerin sonucunda saldırganın kullanabileceği saldırı teknikleri ve
araçları arasında mevcut güvenlik tedbirlerimizin tespit edemedikleri
ve/veya siber güvenlik ve siber olaylara müdahale yönetimi
kapsamımızın ele almadıkları ortaya çıkartılır. Sızma testi çalışmaları
sonucunda başlatılan iyileştirme çalışmaları güvenlik hattımızın eksik
kalan noktalarının tamamlanmasını sağlar.
15. Sparta Bilişim – www.sparta.com.tr - Aralık 2015
DNS güvenliği için öneriler
Alanadı sunucunuzun güvenliğini sağlamak için kullanabileceğiniz tek bir
hap ne yazık ki yoktur. Bilgi güvenliğiyle ilgili diğer bütün konularda
olduğu gibi gizlilik, bütünlük ve erişilebilirlik başlıkları ayrı olarak
değerlendirilmelidir. Güvenlik seviyesini hızlıca arttırmanızı sağlayacak
bazı öneriler şunlar olabilir;
DNS sunucunuz sadece kurumunuza hizmet etmelidir ve DNS
sunucunuza sadece yetkisi olanlar erişebilmelidir.
DNS taleplerinin trafiğinin denetlenmesi gereklidir: Bu sayede hem
DNS’e gelebilecek saldırıları fark eder hem de saldırganların DNS tüneli
benzeri yöntemlerle kurum dışına veri kaçırdığını tespit edebilirsiniz.
DNS sunucularınız güncel tutulmalıdır: Diğer bütün sistemlerde olduğu
gibi DNS yazılımları için güvenlik güncellemeleri ve yamaları yayınlanır,
bunların zamanında kurulması çok önemlidir.
DNS sunucunuz üzerinde çalışan servisleri sınırlayın: DNS sunucunuz
üzerinde FTP, HTTP, SMTP gibi hizmetleri kaldırmakta fayda var.