15. @BGASecurity
BGA | TCP IPSwitch
• HUB+Bridge+cesitli yenilikler...
• L2, MAC adres tabanlı çalışma yapısına sahiptir.
• Her porta ait MAC adresi kayıtları tutulur.
• Herhangi iki porttaki iletişim anahtarlama yöntemi ile konuşturulur.
• Her port bir collision domaindir.
• Temel iletim yöntemleri:
• Cut-through: Gelen frameden sadece dest mac bilgisi alinarak hedefe iletilir. Hizli
• Store-and-forward: Tüm frame beklenir ve sonra gönderilir.(Integrity verification)
• Güvenilir.
• Performans ve güvenlik açısından switch
42. @BGASecurity
BGA | TCP IPMAC Adres Çakışması
• Bir ağda aynı mac adresine sahip iki sistem olursa
Ø Normal bir durum değil, mac spoofing yapılıyor olabilir.
Ø Trafiğin belirli bir oranı bir sisteme , belirli bir oranı diğer sisteme gider
44. @BGASecurity
BGA | TCP IPIP Adresi-II
• Internet servis sağlayıcılar tarafından atanır
ØKendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız!
• Internette IP adresleri tektir(uniq)
• NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip adresine sahip olmak
gerekir.
124. @BGASecurity
BGA | TCP IPTrafik Çıktılarını Anonimleştirme
• Trafik dosyaları hangi özel bilgileri içerebilir?
Ø-IP adresleri
Ø-MAC adresleri ve buradan da kullanılan donanımların türleri(Intel, Vmware, Cisco, Juniper vs)
Ø-Paketin veri kısmında kaydedilmiş diğer veriler
• Özel bilgi içerek tüm bileşenler rastgele verilerle değiştirilerek trafik kayıtlarının
anonimleştirilmesi sağlanabilir
• Trafik anonimleştirme için çeşitli araçlar vardır
ØBunlardan en esnek ve kolay kullanıma sahip olanı tcprewrite
125. @BGASecurity
BGA | TCP IPTcprewrite ile Trafik Anonimleştirme
root@seclabs:~# tcpdump -n -r kayit1.pcap
02:45:05.597166 IP 192.168.56.101.22 > 192.168.56.1.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 132 win 64675
02:45:07.204945 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 192.168.56.1.3199 > 192.168.56.101.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 192.168.56.101.22 > 192.168.56.1.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 184 win 64623
02:45:08.704682 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
Tcprewrite kullanarak hedef ve kaynak IP adreslerinin rastgele değişmesini sağlayalım.
root@seclabs:~# tcpdump -n -r kayit_random.pcap
02:45:05.597166 IP 214.92.41.183.22 > 214.92.41.191.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 132 win 64675
02:45:07.204945 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 214.92.41.191.3199 > 214.92.41.183.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 214.92.41.183.22 > 214.92.41.191.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 184 win 64623
175. @BGASecurity
BGA | TCP IPNgrep ile Ne Yapılabilir?
• Ağ içerisinde geçen özel bir kelime arattırılabilir
• IDS’lere imza yazmak için kullanılabilir
• Protokol anormallikleri yakalanabilir
Ø Http portu üzerinden kullanılan SSH bağlantılarını ngrep ile keşfedebilirsiniz
Ø Port/protokol tünelleme programlarını ortamda hiçbir IPS, Firewall vs ye ihtiyaç duymadan Ngrep ile yakalanabilir.
• Ağda şifresiz protokolleri kullananların gizli biglileri yakalanabilir.
179. @BGASecurity
BGA | TCP IPNgrep Kısıtlamaları
• Ngrep ve şifreli protokoller
Ø Ngrep normalde şifreli protokolleri inceleyemez.
Ø Inceleyebilmesi için şifreli protokollerin bir şekilde deşifre edilmesi gerekir
• Parçalanmış Paketler ve Ngrep
Ø Doğası gereği Ngrep her gelen paketi ayrı değerlendirir ve parçalanmış paketleri anlamaz ve yazacağınız
düzenli ifadeler fragmented paketlerde işe yaramaz.
• Yüksek trafik
Ø Ngrep yüksek bantgenişliğne sahip ağlarda paket kaybına sebep olabilir ve yakalama işlemlerini sağlıklı
gerçekleştiremez.
199. @BGASecurity
BGA | TCP IPPost Exploitation|ARP Cache Poisoning
• ARP cahce poisoning yerel ağ saldırısı olarak gözükse de genellikle birçok saldırıda ara bileşen olarak kullanılır
• Saldırgan web zaafiyetini kullanarak DMZ’de bir makineyi ele geçirir
• Diğer makinelere atlamak için kullanacağı en kolay yol ARP spoofing, cache poisoning yöntemini kullanmaktır
ØArp spoofing yaparak: ftp, telnet, http, RDP parolalarını ele geçirebilir.
Øİstediği DMZ makinesini internet üzerinden hacklenmiş gösterebilir(Metasploit.com örneği)
227. @BGASecurity
BGA | TCP IPARP Saldırılarına Karşı Korunma
• Statik ARP kayıtları
Øİşletim sistemine erişmek istediği kaynaklar için(genellikle gateway) sabit MAC adresi tanımı yapılması
ØSabit MAC adresi tanımı sonrası sisteme gelecek arp-reply paketleri sistemdeki ARP cache’I ile oynama
yapamaz.
ØTek yönlü olduğu için gerçek bir koruma sağlamaz
• Kullanılan Switch üzerinde koruma yöntemlerinin aktif edilmesi
ØPort security ?
241. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-III
Shimomura (S) trusted (T)
Mitnick (M)
• Finger @S
• showmount –e
•S makinesinde SYN paketleri
gönderilir...
• SYN flood T
•S’e T’den geliyormuş gibi SYN
paketleri gönder
•S’e ISN tahmininden sonra ACK
paketleri gönderilir
• Ortalık sessizken gerçekleştirildi
•Güvenilir IP listesi öğrenildi
• ISN değerleri tahmin edildi
• T Flood saldırısıyla oyalanmaya
başlandı
• S T ile iletişime geçtiğini düşünecektir
X
SYN
SYN|ACK
ACK
242. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-IV
Shimomura (S) Trusted (T)
Mitnick
•Finger @S
• showmount –e
•S makinesinde SYN paketleri
gönderilir...
• SYN flood T
•S’e T’den geliyormuş gibi SYN
paketleri gönder
•S’e ISN tahmininden sonra ACK
paketleri gönderilir
• “echo + + > ~/.rhosts” komutu
gönder
•Ortalık sessizken gerçekleştirildi
•Güvenilir IP listesi öğrenildi
• ISN değerleri tahmin edildi
• T Flood saldırısıyla oyalanmaya
başlandı
• S T ile iletişime geçtiğini düşünecektir
•Herkese her yerden Rlogin erişimi ver
X
++ > rhosts
247. @BGASecurity
BGA | TCP IPÜcretsiz Anonim Proxy Hizmetleri
• Internet üzerinde hizmet veren binlerce ücretsiz anonim proxy hizmeti bulunmaktadır
• Bu hizmetlerden bazıları ülke bazında özelleştirilmiş hizmet sunmaktadır.
ØProxy servisini kulanırken hangi ülkeden çıkış yapılacağı belirtilerek tüm trafiğin ilgili ülkeden çıkması ve sunucularda
o ülkeden geliyormuş gibi gösterilmesi sağlanabilir
248. @BGASecurity
BGA | TCP IPIp Fragmentation
• MTU (Maximum Transfer Unit): Bir ağa girişteki maksimum kapasiteyi belirtir. Mesela Ethernet ağları için MTU değeri
1500 Byte'dır.
• Ethernet ağına giren bir paketin boyutu maksimum 1500 byte olabilir .
• Fragmentation (parçalama) bir IP datagramının ağlar arasında dolaşırken kendi boyutundan daha düşük kapasitede bir
ağa/ağ geçidine geldiğinde yaşadığı durumdur, yani parçalanma, bölünmedir.
• IP parçalamada sadece veri kısmı parçalanır, protokol kısmı değil
270. @BGASecurity
BGA | TCP IPICMP Kullanım Alanları
• Ping
• Traceroute
• Dynamic route table update
• Path MTU Discovery
• Servis Reddi(UDP için)
• Çeşitli flood saldırıları
• Açık/Kapali UDP Portları Belirleme
• İşletim sistemi belirleme
• Routing tablosu değiştirerek MITM saldırısı
İyi Niyetli Kullanım Kötü Niyetli Kullanım
308. @BGASecurity
BGA | TCP IPRFC’ye Göre UDP Port durumları
• RFC nedir? Neden Önemlidir?
• Port tarama programları ve RFC ilişkisi
• Port açık ise
Ø Porta gönderilen boş UDP paketlerine cevap dönülmez
Ø Porta gönderilen dolu paketlere(dolu=ilgili portta çalışan uygulamaya özgün veri)
• Port Kapalı ise
Ø ICMP Dest. Port unreac. Mesajı paketi dönülür
• Paket gönderilen sistem önünde firewall vs olma durumuna göre cevapler değişebilir.
Ø Port kapalıdır fakat Firewall’dan icmp paketleri engellenmiştir. Bu durumda kapalı udp portuna gönderilen isteklere herhangi bir
cevap dönülmez.