CCNA Gün 41 - Security Fundamentals - Networkous

Bu Yazıda CIA Triad, Vulnerability, Exploit, Threat, Mitigation, Yaygın Saldırılar (DDoS, Spoofing Attack, Reflection / Amplification Attack, Man-in-the-Middle Attack, Reconnaissance Attack, Malware (Virus, Worm, Trojan Horse), Social Engineering Attack, Password-Related Attack),  Password / Multi-Factor Authentication (MFA), AAA (Authentication, Authorization, Accounting) ve Güvenlik Programları Hakkında Bilgi Edineceğiz.

Temel Güvenlik Kavramları

CIA Triad, Güvenliğin Temelini oluşturur.

Gizlilik (Confidentiality)

• Yalnızca Yetkili Kullanıcıların Verilere Erişebilmesi Gerektiği Anlamına Gelir.

• Bazı Veriler Herkese Açıktır, Örneğin Şirketin Web Sitesinde Yer Alan Bilgilere Herkes Erişilebilir. 

• Ancak Bazı Veriler Gizlidir ve Yalnızca Belirli Kişiler Erişebilmelidir.

Bütünlük (Integrity)

• Verilerin Yetkisiz Kullanıcılar Tarafından Değiştirilmemesi Gerektiği Anlamına Gelir.

• Veriler Doğru ve Özgün olmalı, Bir Saldırgan Tarafından Değiştirilmemelidir.

Kullanılabilirlik (Availability)

• Kurumsal Ağ ve Sistemlerin Çalışır Durumda olması ve Yetkili Kullanıcılar Tarafından Erişilebilir olması Gerektiği Anlamına Gelir.

• Personel, Görevlerini Yerine Getirmek için İhtiyaç Duyduğu İç Kaynaklara Erişebilmeli ve Şirketin Web Sitesi Çalışır Durumda, Müşterilerin Kullanımına Açık olmalıdır.

Vulnerability, Exploit, Threat, Mitigation

Vulnerability

• Vulnerability, Bir Sistemin CIA'sını Tehlikeye Atabilecek Herhangi Bir Güvenlik Açığıdır.

• Güvenlik Açığı, Kendi Başına Bir Sorun Değildir. Örneğin Bir Evin Pencereleri Vulnerability, Potansiyel Bir Zayıflık, Güvenlik Açığıdır. Ancak Penceresiz Ev Düşünülemez.

Exploit

• Exploit, Güvenlik Açığından Yararlanmak için Kullanılabilecek Bir Şeydir.

• Exploit olarak Kullanılabilecek Bir şey Kendi Başına Bir Sorun Değildir. Bir Taş, Pencerenin Potansiyel Zayıflığından Yararlanabilir ve Bir Eve Girmek için Kullanılabilir. Ancak Taşlar Kendi Başlarına Sorun Değildir.

Threat

• Threat, Exploit Kullanarak Güvenlik Açığından Yararlanmaktır.

• Pencere ve Taş Benzetmesini Kullanırsak Threat, Bir Hırsızın Pencereyi Kırarak Evinize Girmek için Taş Kullanmak İstemesidir.

• Sisteminizdeki Bir Güvenlik Açığından Yararlanan Bir Hacker = Threat.

Mitigation

• Mitigation, Tehditlere (Threat) Karşı Koruma Sağlayabilecek Bir şeydir.

• Çeşitli Türlerde Mitigation Teknikleri Vardır ve Bunlar Savunulan Tehdite (Threat) Bağlıdır.

• Mitigation Teknikleri, Güvenlik Açığından Yararlanılabilecek Her Yerde Uygulanmalıdır: Client Cihazları, Server, Switch, Router, Firewall, vb.

• Mitigation Teknikleri, Yetkisiz Kişilerin Cihazlara Fiziksel olarak Erişmesini Engellemek gibi Şeyleri de İçerir.

Hiçbir Sistem Tam olarak Güvenli Değildir. Sistemler Daha Güvenli veya Daha Az Güvenli olabilir, Ancak Güvenlik Konusunda Hiçbir Garanti Yoktur.

Yaygın Saldırılar

• Bu Saldırılar Bir Kurumun Sistemlerinin ve Bilgilerinin CIA'sını Tehlikeye Atmak için Güvenlik Açıklarından Yararlanan Tehditler (Threat) Tarafından Gerçekleştirilir.

• Yaygın Saldırı Türleri:

• DoS (Denial-of-Service) Attack
• Spoofing Attack
• Reflection / Amplification Attack
• Man-in-the-Middle Attack
• Reconnaissance Attack
• Malware
• Social Engineering Attack
• Password-Related Attack
• …

DoS (Denial-of-Service)

DoS Saldırıları Bir Sistemin Kullanılabilirliğini (Availability) Tehdit Eder. Örnek Bir DoS Saldırısına Göz Atalım.

TCP SYN Flood

• TCP Three-Way Handshake: SYN | SYN-ACK | ACK

• Saldırgan, Hedefe Sürekli SYN Mesajı Gönderir.

• Hedef, Aldığı Her SYN Mesajına Yanıt olarak Bir SYN-ACK Mesajı Gönderir.

• Saldırgan Hiçbir Zaman TCP Three-Way Handshake'in Son ACK Mesajı ile Yanıt Vermez.

• Tamamlanmayan Bağlantılar Hedefin TCP Bağlantı Tablosunu Doldurur.

• Tamamlanmayan Bağlantılar Belirli Bir Süre Sonra Zaman Aşımına Uğrayacak ve Tablodan Kaldırılacaktır.

• Ancak Saldırgan TCP Bağlantı Tablosunu Doldurmak için SYN Mesajları Göndermeye Devam Eder.

• En Sonunda Hedef Artık Normal TCP Bağlantısı Yapamaz. Çünkü Maksimum TCP Bağlantı Sayısına Ulaşmıştır.

• Örnek

• Hedef, Saldırganın Gönderdiği Her SYN Mesajı için TCP Bağlantı Tablosuna Bir Girdi Koyar ve SYN-ACK Mesajı Gönderir, Ardından ACK Mesajının Bağlantıyı Tamamlamasını Bekler. Ama ACK Mesajı Asla Gelmez.
• Saldırgan SYN Mesajları Göndermeye ve Hedef SYN-ACK Mesajları ile Yanıt Vermeye Devam Eder.
• Ardından Hedefin TCP Bağlantı Tablosu Dolar ve DoS (Denial-of-Service) Amacına Ulaşmış olur.
• Bu Arada Yukarı Resimdeki SYN-ACK Mesaj Oklarını Saldırgana Ulaşmadan Önce Kestiğime Dikkat Edin. Bunun Nedeni Saldırganın Muhtemelen Sahte IP Adres Kullanmasıdır, Bu Nedenle SYN-ACK Mesajları onlara Geri Dönmez.

TCP SYN Flood gibi Bir DoS Saldırısı Genellikle Tek Bir Saldırgan Tarafından Yapılmaz.

• ❗DDoS (Distributed Denial-of-Service) Saldırısında Saldırgan Birden Fazla Bilgisayara Malware Bulaştırır ve Tüm Bilgisayarları, TCP SYN Flood gibi Bir DoS Saldırısı Başlatmak için Kullanır. Bu Virüslü Bilgisayar Grubuna Botnet Denir.

• Yukarı Resimdeki Örnekte Saldırgan Ayrı Saldırılar ile Bilgisayarlara Malware Bulaştırıyor. Ardından Bu Bilgisayar Grubu (Botnet) Hep birlikte Hedefe TCP SYN Mesajları Gönderir, Böylece Hedef Server Artık Normal TCP Bağlantı İsteklerine Yanıt Veremez.

Spoofing Attack

Spoofing Attack, Kendi İçinde Birçok Saldırı Türüne Sahiptir, Tek Bir Saldırı Türü Değildir.

Spoofing Saldırılarında Genellikle Sahte Kaynak IP / MAC Adresleri (Fake Source IP / MAC Addresses) Kullanılır. Örnek Bir Spoofing Saldırısı Görelim.

DHCP Exhaustion Attack (DHCP Starvation Attack)

• Saldırgan, Sahte Kaynak MAC Adresler Kullanarak DHCP Discover Mesajlarını Ağa Sürekli Gönderir.

• DHCP Discover Mesajları DHCP Server'ın DHCP Havuzunun (DHCP Pool) Dolmasına Neden olur. Bu Durum Diğer Cihazlar için DoS ile Sonuçlanır, IP Adresi Alamazlar.

• Örnek

• Yukarıdaki Resimde Saldırgan, Sahte Kaynak MAC Adresler ile Ağa DHCP Discover Mesajları Gönderiyor. DHCP Server, Her Bir DHCP Discover Mesajına DHCP Offer Mesajı ile Yanıt Verecek ve Bir IP Adres Sunarken Bu Adresi Diğer Cihazlara Atamayacaktır.

• Dolayısıyla Ağdaki PC'ler IP Adres Almak için DHCP Discover Mesajı Gönderirse DHCP Havuzu Dolu olduğundan DHCP Server onlara IP Adres Veremez.

DHCP Exhaustion, Hem DoS Hem de Spoofing Saldırısıdır ((Sahte Kaynak MAC Adresler Kullanılıyor).

TCP-SYN Flood, Hem DoS Hem de Spoofing Saldırısıdır (Sahte Kaynak IP Adresler Kullanılıyor).

Reflection / Amplification Attack

Reflection Attack

• Saldırgan, Saldırmak İstediği Hedefin IP Adresini Kullanarak Reflektöre (Yansıtıcı - Reflector) Trafik Gönderir. Reflektör (Örnek: DNS Server), Yanıtı Hedefin IP Adresine Gönderir.

• Hedefe Gönderilen Trafik Miktarı Yeterince Büyükse Bu Saldırı DoS ile Sonuçlanabilir.

Amplification Attack

• Saldırgan Tarafından Yansıtıcıya Gönderilen Trafik Miktarı Küçük olmasına Rağmen Yansıtıcıdan Hedefe Büyük Miktarda Trafik Gönderilmesi Tetiklendiğinde Reflection Attack, Amplification Attack olur.

• Örnek

• Saldırganın IP Adresi 1.2.3.4'dür, Ancak 8.8.8.8 (DNS Server) IP Adresine Sahip Yansıtıcıya Mesaj Göndermek için 5.6.7.8 Kaynak IP Adresini Kullanır.
• 5.6.7.8, Saldırı Yapılmak İstenen Hedefin IP Adresidir. Saldırganın Mesajı, Yansıtıcının Hedefe Büyük Miktarda Trafik Göndermesine Neden olur ve Bu Durum DoS ile Sonuçlanır.
• Amplification Attack için Kullanılabilecek DNS ve NTP Güvenlik Açıkları Vardır. Daha Fazla Bilgi için Cloudflare Makalelerine Göz Atabilirsiniz.
• https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
• https://www.cloudflare.com/learning/ddos/ntp-amplification-ddos-attack/

Man-in-the-Middle Attack

Saldırgan, İletişimi Gizlice Dinlemek veya Trafiği Hedefe Ulaşmadan Önce Değiştirmek için Kaynak ile Hedef Arasına Kendini Yerleştirir. Örnek Bir Man-in-the-Middle Saldırısı Görelim.

ARP Spoofing (ARP Poisoning)

Topoloji

PC1, Server ile İletişim Kurmak İstiyor. Bu Nedenle Server'ın MAC Adresini Öğrenmek için ARP Request Mesajı Gönderiyor.

ARP Request Mesajları Broadcast olduğundan Switch Frame'i Aldığı Port Dışında Tüm Portlarından İletecektir, Böylece Hem SRV1 Hem de Saldırgan Frame'i Alır.

SRV1, PC1'e MAC Adresini Söylemek için ARP Reply Mesajı Gönderir.

Saldırı Burada. Saldırgan Kısa Bir Süre Bekler ve Gerçek ARP Reply Mesajından Sonra PC1'e Başka Bir ARP Reply Mesajı Gönderir. Peki Bunun Etkisi Nedir?

Saldırganın ARP Reply Mesajı En Son Gelirse PC1'in ARP Tablosundaki Gerçek ARP Girişinin Üzerine Yazılacaktır.

PC1'in ARP Tablosundaki 10.0.0.1 IP Adresi, SRV1'in MAC Adresi ile Değil, Saldırganın MAC Adresi ile Eşleşecektir. PC1, SRV1'e Trafik Göndermeye Çalıştığında Trafik Saldırgana İletilecektir.

Saldırgan Mesajları İnceleyebilir, İçeriklerini okuyabilir ve Ardından Bunları SRV1'e İletebilir. 

Yetkisiz Bir Kullanıcı olan Saldırgan PC1 ve SRV1 Arasındaki İletişime Erişimi olduğu için Gizlilik (Confidentiality) Tehlikeye Girer. Bütünlük (Integrity) de Tehlikeye Atılıyor, Çünkü Saldırgan Trafik Hedefe Ulaşmadan Önce Verileri de Değiştirebilir.

Reconnaissance Attack

Reconnaissance Attack, Bir Saldırı Gerçekleştirmek Amacıyla Hedef Hakkında Bilgi Toplamak için Kullanılır.

Bu Bilgiler Genellikle Kamuya Açık Bilgilerdir. Bilgiler Gizli olmadığından Aslında Bir Saldırı Sayılmaz. Örneğin Bir Sitenin IP Adresini Öğrenmek için nslookup Komutunu Kullanabilirsiniz.

Public IP Adresleri Kullanarak Açık Portları Tarayabilir ve Güvenlik Açıklarını Araştırabilirsiniz. Ayrıca E-Posta, Telefon Numarası, Fiziksel Adres gibi Bilgileri Öğrenmek için WHOIS Sorgusu da Yapabilirsiniz. Bu Web Sitesinde WHOIS Sorgusu Gerçekleştirebilirsiniz: https://lookup.icann.org/lookup

İletişim Bilgileri Öğrenildikten Sonra Yakında İnceleyeceğimiz Sosyal Mühendislik (Social Engineering) Saldırılarından Bazıları Hedefi Tehdit Etmek için Kullanılabilir.

Malware

Malware (Malicious Software), Bir Bilgisayara Bulaşabilecek Çeşitli Zararlı Programları İfade Eder.

Virus

• Virus, Host Program Adı Verilen Diğer Yazılımlara Bulaşan Kötü Amaçlı Yazılımlardır. Virus, Yazılım Kullanıcılar Tarafından Paylaşıldıkça veya Kötü Amaçlı Web Sitelerinden İndirildikçe Yayılır. Genellikle Hedef Bilgisayardaki Dosyaları Bozar veya Değiştirirler.

Worm

• Worm, Host Program Gerektirmez. Bağımsız Kötü Amaçlı Yazılımlardır ve Kullanıcı Etkileşimi olmadan Kendi Başlarına Yayılabilirler. Worm, Cihazdan Cihaza Yayıldığından Ağı Tıkayabilir. Ek olarak Worm, Payload İçeriyorsa (Worm İçinde Başka Kötü Amaçlı Kodlar Varsa), Hedef Cihazlara Ek Zarar Verebilir.

Trojan Horse

• Trojan Horse, Meşru Yazılım Kılığına Girmiş Zararlı Yazılımlardır. E-Posta Eklerini Açma veya İnternet'ten Bir Dosya İndirme gibi Kullanıcı Etkileşimi Yoluyla Yayılırlar.

Malware, Hedef Cihazın CIA'sını Tehdit Etmek için Çeşitli Güvenlik Açıklarından Yararlanır. Virus, Worm, Trojan Horse Dışında da Malware Türleri Mevcuttur.

Social Engineering Attack

Social Engineering Saldırıları, Bir Sistemin En Savunmasız Kısmını Hedefler - İnsanları! Router / Switch / Firewall / Server / PC gibi Cihazlarda Ne Kadar Çok Güvenlik Özelliği Yapılandırırsanız Yapılandırın, İnsanlar Her Zaman İstismar Edilebilecek Bir Güvenlik Açığıdır.

Social Engineering Saldırıları, Hedefin Gizli Bilgileri Ortaya Çıkarmasını veya Saldırganın Hedefe Yapmasını Söylediği Bazı Eylemleri Gerçekleştirmesini Sağlamak için Psikolojik Manipülasyon İçerir.

Phishing 

• Alışveriş Sitesi, Banka gibi Yasal Bir Kurumdan Geliyormuş gibi Görünen Sahte E-Postalardır.

• Bu E-Postalar, Yasal gibi Görünen Bir Web Sitesine Bağlantılar İçerir. Örneğin Sahte Web Sitesi, Bankanızın Web Sitesinin Gerçek Giriş Sayfası ile Aynı Görünebilir. Kullanıcıya Sahte Web Sitesinde Oturum Açması Söylenir, Böylece Oturum Açma Bilgileri Saldırgan Tarafından Ele Geçirilmiş olur.

• Örnek

Amazon Hesabının Şüpheli Bir Giriş Nedeniyle Kilitlendiğini Söylüyor ve Altta Hedefin Hesap Bilgilerini Doğrulamasını İsteyen Bir Bağlantı Var. Hedef Bu Bağlantıya Tıklar ve Giriş Bilgilerini Girerse Saldırgan Artık Amazon Hesabını Ele Geçirmiş olur.

Spear Phishing

• Phishing gibi Rastgele Şekilde Birilerine Gönderilen Toplu E-Postalar Değil, Belirli Hedefe Yöneliktir. Örneğin Bir Şirketin Çalışanlarına Yönelik olabilir.

Whaling

• Yüksek Profilli Bireyleri Hedefleyen Phishing Türüdür (Örnek: Şirket Başkanı).

Vishing (Voice Phishing)

• Telefon Üzerinden Gerçekleştirilen Phishing Türüdür.

• Saldırgan, Hedefin Bankasından veya Şirketteki Başka Bir Departmandanmış gibi Davranabilir.

• Örnek: Merhaba Ben IT Departmanından Mustafa. Şirket Politikası Nedeniyle Şifrenizi Sıfırlamamız Gerekiyor, Şu Anda Kullanmakta olduğunuz Şifreyi Bana Söyler Misiniz, Ben de Sizin için Sıfırlayayım?

Smishing (SMS Phishing)

• SMS Kullanılarak Gerçekleştirilen Phishing Türüdür.

Watering Hole

• Bu Saldırı Türü, Hedefin Sık Sık Ziyaret Ettiği Siteler Üzerinden Taviz Vermesini Amaçlar. Hedefin Güvendiği Bir Web Sitesine Kötü Amaçlı Bir Bağlantı Yerleştirilirse Tıklamaktan Çekinmeyebilir. 

• Dolayısıyla Bu Saldırı, Kullanıcının Sık Ziyaret Ettiği Web Sitesine olan Güveninden Yararlanır, Bağlantıya Tıklamaya İki Kez Düşünmezler.

Tailgating

• Bu Saldırı Türü, Yetkili Bir Kişi Belirli Bir Kuruma veya Bölgeye Girerken Arkasından Yürüyerek Kısıtlı Alanlara Girmeyi İçerir.

• Saldırgan, İçeriye Girmek Amacıyla Yetkili olduğuna İnandırmak için Sahte Kimlik ve Kıyafet Kullanabilir.

Password-Related Attacks

Çoğu Sistem, Kullanıcıların Kimliğini Doğrulamak için Kullanıcı Adı / Parola (Username / Password) Kullanır.

Kullanıcı Adı (Username), Genellikle Basit ve Tahmin Edilmesi Kolaydır. Örneğin Kullanıcının E-Posta Adresi olabilir. Bu Nedenle Gerekli Güvenliği Sağlamak için Parolanın (Password) Gücü ve Gizliliğine Güvenilir.

Saldırganlar, Bir Kullanıcının Şifresini Birden Fazla Yöntem ile Öğrenebilir.

Tahmin

Bir Şifreyi Başarılı Bir Şekilde Tahmin Etmek Son Derece Nadir olmalı, Ancak Bu Bir Olasılık.

Dictionary Attack

Saldırgan, Hedefin Şifresini Bulmak için Sözlük (Dictionary) veya Words / Passwords List Kullanabilir. Doğru Şifreyi Bulmayı Umarak Her Birini Dener.

Brute Force Attack

Bir Program, Hedefin Parolasını Bulmak için Olası Her Harf, Sayı ve Özel Karakter Kombinasyonunu Dener. Bu Çok Güçlü Bir Donanım Gerektirir ve Eğer Parola Yeterince Güçlüyse Başarılı olma Şansı Düşüktür, Çünkü Çok Zaman Alır.

Parolayı Brute Force Saldırısı ile Bulunamayacak Kadar Güçlü Yapan Nedir?

Güçlü Parolalar Şunları İçermelidir:

• EN AZ 8 Karakter (Tercihen Daha Fazla).

• BÜYÜK HARF ve Küçük Harflerin Karışımı.

• Harf ve Rakam Karışımı.

• Bir veya Daha Fazla Özel Karakter (#, @, !, ? gibi).

• Parola Belirli Aralıklarla Değiştirilmesi.

Çoğu Kurum, Çalışanlarına Bu Tür Kuralları Uygular, Ancak Kendi Kişisel Şifrelerinizi oluştururken de Bu gibi Kurallara Uymanız Önerilir.

Yaygın Saldırılar Özet

Multi-Factor Authenticaton (MFA)

Parola Ne Kadar Güçlü ve Güvenli olursa olsun, Yine de Bir Saldırganın Eline Geçme Olasılığı Vardır. Bu Nedenle Multi-Factor Authentication (MFA) Giderek Daha Yaygın Hale Geliyor.

Multi-Factor Authenticaton, Kimliğinizi Kanıtlamak için Yalnızca Bir Kullanıcı Adı / Paroladan (Username / Password) Daha Fazlasını Sağlar.

Genellikle Aşağıdakilerden İkisinin Sağlanmasını İçerir, Bu Durumda Buna Two Factor Authentication Denir.

Bildiğin Bir Şey (Something You Know)

• Kullanıcı Adı / Parola Kombinasyonu, PIN, vb.

Sahip Olduğun Bir şey (Something You Have)

• Telefonunuzda Görünen Bir Bildirime Basmak, QR Kod Okuyucu (Badge Scanner), vb.

• Örnek

Something You Are

• Yüz Taraması, Parmak İzi Taraması, Retina Taraması gibi Biyometrik Bilgiler.

Multi-Factor Authenticaton, Güvenliği Büyük Ölçüde Artırır. Saldırgan Hedefin Parolasını Öğrense Bile (Something You Know) Hedefin Hesabına Giriş Yapamaz.

Dijital Sertifika (Digital Certificate)

Web Sitesinin Yasal olduğunu Doğrulamak için Kullanılır.

Örneğin Web Sitesi olan Bir Kurum, Sertifika Oluşturacak ve İmzalayacak CA'ya (Certificate Authority) Bir CSR (Certificate Signing Request) Gönderir.

Bir Web Sitesine Eriştiğinizde Modern Web Tarayıcıları Web Sitesinin Güvenli olduğunu ve Geçerli Bir Sertifikaya Sahip olduğunu Belirtmek için Kilit Simgesi Görüntüler.

Gördüğünüz gibi Web Sitemin Geçerli Bir Sertifikası Var ve Üzerine Tıklarsanız Sertifikayı İnceleyebilirsiniz. Erişmekte Olduğunuz Web Sitesinin Gerçekten networkous.com olduğunu, networkous.com gibi Davranan Sahte Bir Web Sitesi olmadığını Bu Şekilde Bilebilirsiniz.

Controlling and Monitoring Users with AAA

AAA Açılımı: Authentication, Authorization, Accounting.

AAA, Ağdaki Kullanıcıları Kontrol Etmek ve İzlemek için Kullanılan Bir Yapıdır (Framework).

Authentication, Kullanıcının Kimliğini Doğrulama İşlemidir. Örnek: Oturum Açmak.

Authorization, Kullanıcıya Uygun Erişim İzinlerinin Verilmesi İşlemidir. Örnek: Kullanıcıya Bazı Dosyalara / Hizmetlere Erişim İzni Vermek, Diğer Dosyalara / Hizmetlere Erişimi Kısıtlamak.

Accounting, Kullanıcının Faaliyetlerini Kaydetme İşlemidir. Örnek: Bir Kullanıcının Oturum Açması, Bir Dosyada Değişiklik Yapması, Oturumu Kapatması gibi İşlemlerinin Kaydedilmesi.

Kurumlar, AAA Hizmeti Sağlamak için Genellikle Bir AAA Sunucusu Kullanır.

• ISE (Identity Services Engine), Cisco'nun AAA Sunucusudur.

AAA Sunucuları Genellikle Aşağıdaki İki AAA Protokolünü Destekler:

• RADIUS: Endüstri Standardı Protokoldür. UDP Port 1812 / 1813 Kullanır.

• TACACS+: Cisco'nun Tescilli Protokolüdür. TCP Port 49 Kullanır.

Security Program Elements

Güvenlik Programı (Security Program), Bir Kurumun Güvenlik Politikalarını ve Prosedürlerini İçerir.

User Awareness Program

• Çalışanları Olası Güvenlik Tehditleri ve Risklerinden Haberdar Etmek için Tasarlanmıştır.

• Tüm Çalışanlar Siber Güvenlik Uzmanı Değildir. HR (Human Resources) Departmanında Çalışan Biri Muhtemelen Şirketin Karşı Karşıya olduğu Siber Tehditlerin Farkında Değildir.  User Awareness Program, Bu Çalışanları Bilinçlendirmeye Yardımcı olacaktır.

• Örneğin Bir Şirket, Çalışanların Bir Bağlantıya Tıklamasını ve Kimlik Bilgileriyle Oturum Açmasını Sağlamak için Phishing E-Postaları Gönderebilir. E-Postalar Zararsız olsa da Sahte E-Postalar ile Kandırılan Çalışanlar, Bunun Bir User Awareness Programının Parçası olduğu Konusunda ve Phishing E-Postalarına Karşı Daha Dikkatli olmaları Gerektiği Konusunda Bilgilendirileceklerdir.

User Training Program

• User Awareness Programından Daha Resmidir. Örneğin Kullanıcıları Kurumsal Güvenlik Politikaları, Güçlü Parolaların Nasıl oluşturulacağı ve Olası Tehditlerden Nasıl Kaçınılacağı Konusunda Eğiten Oturumlar.

• User Training Program, Çalışanlar Şirkete İlk Girdiğinde ve Ayrıca Yıl İçinde Düzenli Aralıklarla Yapılmalıdır.

Physical Access Control

• Yalnızca Yetkili Kullanıcıların Bilgi İşlem Odası veya Data Center gibi Korunan Alanlara Girmesine İzin Vererek Donanımın ve Verilerin Saldırganlardan Korunmasını Amaçlar.

• Yalnızca Kurum Dışındaki Kişilerin Bu Alanlara Erişmesini Engellemek Yeterli Değildir. Şirket İçinde Bile Bu Alanlara Erişim, Erişim İhtiyacı olanlar ile Sınırlı olmalıdır.

• Multifactor Kilitler, Kısıtlı Alanlara Erişimi Koruyabilir.

• Örneğin Kullanıcının Bir Rozeti (Something You Have) Kaydırmasını ve Parmak İzini (Something You Are) Taramasını Gerektiren Bir Kapı.
• Rozet İzinleri Kolayca Değiştirilebilir. Örneğin Bir Çalışan Şirketten Ayrıldığında İzinler Kaldırılabilir. Bu, Kimin Nereye Girmeye Yetkili olduğuna Dair Katı / Merkezi Bir Kontrole İzin Verir.

Quizs

Cevaplar (Sırası ile):

• d
• a
• c, d
• c
• d (a, c -> Authorization -  b -> Authentication)

ANKI

DHCP Exhaustion Attack (DHCP Starvation Attack) LAB

Topoloji

Bu Saldırıda Saldırgan Sürekli DHCP Discover Mesajı Gönderir ve Ardından DHCP Server Yanıt olarak DHCP Offer Mesajları Gönderir ve Sunduğu IP Adresler Rezerv Edilir. Böylece Saldırgan DHCP Havuzundaki (DHCP Pool) Tüm IP Adreslerini Kullanır ve Ağdaki Diğer Hostlar IP Adres Alamaz.

PC1'i Ağa Bağlayacağım ve DHCP Üzerinden Bir Adres Alıp Alamayacağını Göreceğiz.

Bu Ağda R1, DHCP Server'dır. Saldırgan Kali Linux Çalıştıran Bir PC Kullanıyor.

DHCP Exhaustion Saldırısı için Yersinia Programını Kullanacağız.

Öncelikle DHCP Ayarlarına Bir Göz Atalım.

R1# show run | section dhcp

R1# show ip dhcp pool

Gördüğünüz gibi POOL1'de 254 Kullanılabilir Adres Var. Excluded Adres Yapılandırmadım.

R1'in Kendi IP Adresi olan 192.168.1.1, Başka Bir Host'a Atanamaz. Bu Nedenle 253 adet Kullanılabilir Adres Vardır.

Lease addresses: 0

R1# show ip dhcp binding

Kali Linux Terminal:

• root@kali:-# yersinia -G

Bu Komut, Yersinia Programının Grafiksel Kullanıcı Arayüzünü (GUI) Açar.

Saldırıyı Başlatmak Launch Attack Butonuna Tıkladım.

Açılan Pencereden DHCP Sekmesini Seçtim ve Gördüğünüz gibi Yapabileceğimiz Birkaç DHCP Saldırısı Var. Bu Durumda 'sending DISCOVER packet' Seçtim. OK Butonuna Tıklayıp Saldırıyı Başlattım.

Sağ Tarafta Gönderilen DHCP Discover Mesajlarını Görebilirsiniz. Sol Tarafta, DHCP Paket Sayısının Hızla Arttığını Görebilirsiniz.

Programa Durmasını Söylemedikçe DHCP Discover Mesajları Göndermeye Devam Edecektir. Öyleyse R1'de Neler olduğunu Görelim.

Leased addresses: 253

Toplam 254 Adresten 253'ü Kiralanmış ve Dediğim gibi Bir Adres R1'in Kendisi Tarafından Kullanılıyor, Yani Bu DHCP Havuzunun Dolduğu Anlamına Geliyor.

Yukarıdaki Resimde show ip dhcp binding Komut Çıktısının Tamamını Göstermedim, Fakat IP address Sütunu 192.168.1.254 IP Adresine Kadar Devam Ediyor.

192.168.1.2 - 192.168.254 Aralığındaki Tüm IP Adresler Alınmış. Ayrıca Her Bir IP Adresin Benzersiz (Unique) MAC Adrese Sahip olduğuna Dikkat Edin. Bunun Nedeni Saldırganın Her Bir DHCP Discover Mesajı için Sahte Kaynak MAC Adres (Fake Source MAC Address) Kullanmasıdır (Spoofing Attack). Bu Nedenle R1, Mesajların Her Birinin Farklı Bir Hosttan Geldiğini Düşünür.

Bakalım PC1'i Ağa Bağladığımızda IP Adres Alabilecek mi? Ağa Bağlamadan Önce PC1'deki Ayarları Kontrol Edelim.

PC1 Ağa Bağlı olmadığı için 'Media disconnected' Durumunu Görebiliriz.

DHCP'nin Etkin olduğunu Görebiliriz; DHCP Enabled: Yes

PC1'i SW1'e Bağladığımda DHCP Üzerinden IP Adres Almaya Çalışacaktır. Çalışıp Çalışmadığını Görelim.

PC1'i Tekrar Kontrol Edelim.

DHCP Enabled: Yes

PC1, Otomatik olarak Yapılandırılan IPv6 Link-Local Adrese Sahiptir.

Bunun Altında Bir IPv4 Adres Görüyoruz. Peki DHCP İşe Yaradı mı? Aslında Hayır Yaramadı.

Autoconfiguration IPv4 Address: 169.254.105.134 -> PC1 Bu Adresi Otomatik olarak Yapılandırdı.

169.254.0.0/16 Aralığı, IPv4 Link-Local Adresler için Kullanılır ve APIPA (Automatic Private IP Addressing) olarak da Bilinir.

PC1, DHCP Server R1'den Normal Bir IPv4 Adres Alamadı. Bu Nedenle Ağdaki Diğer Cihazlar ile İletişim Kuramaz. Örneğin R1'e Ping Atmaya Çalışalım.

Ping Başarısız oldu. ipconfig /renew Komutunu Kullandım ve PC1 Bir kez daha DHCP Üzerinden IPv4 Adres Almaya Çalışacak, Ancak Bir kez daha Alamayacaktır.

Saldırganın SW1 ile olan Bağlantısını Sileceğim. Sonra R1'e Gidip DHCP Havuzunu clear ip dhcp binding * Komutu ile Temizleyeceğim.

Şimdi PC1'de Bir kez daha ipconfig /renew Komutu ile DHCP Server'dan IP Adres Almaya Çalışalım.

Gördüğünüz gibi PC1, 192.168.1.229 IP Adresini Aldı. PC1 Artık Ağdaki Diğer Cihazlar ile İletişim Kurabilir. Ayrıca İnternete de Bağlanabilir.

Okuduğunuz için teşekkürler.