2. @BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi
profesyonel çözümleri ile katkıda bulunmak
amacı ile 2008 yılında kurulan BGA Bilgi
Güvenliği A.Ş. stratejik siber güvenlik
danışmanlığı ve güvenlik eğitimleri konularında
büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri
ve nitelikli eğitimleri ile sektörde saygın bir yer
kazanan BGA Bilgi Güvenliği, kurulduğu günden
bugüne kadar alanında lider finans, enerji,
telekom ve kamu kuruluşları ile 1.000'den fazla
eğitim ve danışmanlık projelerine imza
atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
BGA | Hakkında
3. BGA | CEH
@BGASecurity
Beyaz Şapka Tanımı
Beyaz Şapkalı Hacker eğitimi siber dünyada hackerların kullandığı
yöntem ve araçları uygulamalı olarak anlatarak proaktif güvenlik
bilinci oluşturmayı hedefleyen bir eğitimdir.
Nam-ı diğer: “Siber Tehditler Ve Savunma Yöntemleri”
Ec-council CEH(Certified Ethical Hacker) eğitimi v8 ile tam uyumludur.
Eğitim Hakkında
4. BGA | CEH
@BGASecurity
Defensive security’den Offensive security anlayışına geçiş
Güvenlik=Sigorta şirketi benzetmesi
Güvenliğe harcanan paraların “her yıl boşa yatırılan paralar(!)”
olmadığını anlamak/göstermek
Ürün bağımsız, bilgi güvenliği konusunda belirli konularda yorum
yapabilecek hale gelmek.
Şirketlerin güvenlik departmanı çalışanlarının kariyer hedeflerini
yükseltmek.
Oyunda perde arkasına göz atmak
Amaç ve Hedefler
6. BGA | CEH
@BGASecurity
Eğitim sonrası BGA başarı sertifikası verilecektir
Bu konudaki uzmanlığınızı uluslararası geçerli sertifikalarla
belgelemek için 312-50 kodlu sertifika sınavına girebilirsiniz.
Sertifikasyon
7. BGA | CEH
@BGASecurity
C|EH sınavı kodu 312-50
Sınav ücreti:
Akredite eğitim kurumlarından (ATC) eğitimler alanlar için 500$
Diğerleri için 600$
BGA CEH v6-v7-v8 sınav başarı oranı: %99
C|EH sınavı hakkında detaylı bilgi için
http://www.bga.com.tr/calismalar/cehfaq.pdf
Ec – Council CEH Sınavı
8. BGA | CEH
@BGASecurity
Eğitim İçeriği-I
Linux sistem yönetimi ve güvenliği(Selfstudy)
TCP/IP Protokol Ailesi Zafiyet Analizi
Paket Analizi, Sniffing
Güvenlik Testlerinde Bilgi Toplama
TCP/IP İletişiminde Oturuma Müdahele
Güvenlik Duvarları(Firewall)
Saldırı Tespit ve Engelleme Sistemleri
Firewall, IDS/IPS ve İçerik Filtreleme Sistemlerini Atlatma
9. BGA | CEH
@BGASecurity
Eğitim İçeriği-II
Host/Ağ/Port Keşif Ve Tarama Araçları
Zaafiyet Tarama ve Bulma Sistemleri
Exploit Çeşitleri ve Metasploit Kullanımı
DOS/DDOS Saldırıları ve Korunma Yöntemleri
Kablosuz Ağlar Ve Güvenlik
Web Uygulama Güvenliği ve Hacking Yöntemleri
VPN ve Şifreleme Teknolojileri
Son Kullacıya Yönelik Saldırı Çeşitleri ve Yöntemleri
Güvenlik Amaçlı Kullanılan Firefox Eklentileri
10. BGA | CEH
@BGASecurity
Eğitimler
Uygulamalı TCP/IP Güvenliği
Web Application Pentest
Snort IPS
Backtrack Pentest
Beyaz Şapkalı Hacker(CEH)
Nessus Zaafiyet Tarama
Firewall/IPSTestleri
OpenBSD Packet Filter
DDOS Saldırıları ve Engelleme
Wireless Pentest
Açıkkod Güvenlik Sistemleri
BGA(Bilgi Güvenliği Akademisi) Farkı
•Konusunda Uzman Eğitmenler
•Türkçe Eğitim Notları
•Capture The Flag HackingYarışmaları
•BGA CVClub İş İmkanları
•Eğitim Uygulama Videoları
Bilgi Güvenliği AKADEMİSİ
11. BGA | CEH
@BGASecurity
Eğitim İşleyişi
Konu sayısı fazla (toplam 30 konu)
Uygulama imkanı kısıtlı
Uygulamalar için özel hazırlanmış videolar
Uygulama detaylarını hafta içi CTF oyunlarıyla tamamlama
Ders sunumları
15. BGA | CEH
@BGASecurity
Bölüm Amacı
Hackerların sistemlere saldırmadan önce internet üzerinden nasıl
bilgi edindikleri, bu bilgilerin nerelerde kullanıldığının anlaşılması.
Sistemli çalışan bir hacker herşeyden önce istihbarat toplama
işlemi/keşif)yapar.
16. BGA | CEH
@BGASecurity
Bölüm İçeriği
Bilginin Kavramı ve Önemi
Bilgi toplama Yöntemleri
Pasif Bilgi Toplama Yöntemleri
Aktif Bilgi Toplama Yöntemleri
Yeni nesil bilgi toplama aracı:Maltego
Çeşitli Protokoller ver servisler aracılığıyla bilgi toplama
yöntemleri
17. BGA | CEH
@BGASecurity
Güvenlik Testlerinde 9 Adım
Bilgi toplama
Ağ haritalama
Zayıflık tarama süreci
Penetrasyon(Sızma) süreci
Erişim elde etme ve hak yükseltme
Hak yükseltme
Detaylı araştırma
Erişimlerin korunması
Raporlama
18. BGA | CEH
@BGASecurity
Bilgi Nedir? – resim ekleme
Bilgi, kimi zaman bir mal üretmek için kimi zaman da üretilen
mala ait detayların, formüllerin saklanması için kullanılabilen
önemli verilerdir.
Kısaca “Değer ifade eden her veri bilgidir”.
Bilginin değeri zamana ve mekana bağlı olarak değişiklik
gösterebilir
19. BGA | CEH
@BGASecurity
Güvenlik Testlerinde Bilginin Önemi
• Bilgiye duyulan ihtiyaç
– Bir sisteme sızmayı planlayan hackerin yapacağı ilk iş düzenli bilgi toplama
ve değerlendirmedir.
• Bilgi toplama güvenlik testlerinin ilk adımıdır ve bir güvenlik
testinin başarılı olması için gereklidir.
• Bilgi toplama esnasında bu gerekli mi değil mi diye sorulmadan
alınabilecek tüm bilgiler toplanmalı.
• Toplanan bilgiler sonraki aşamalarda kullanılmak üzere
sınıflandırılmalıdır.
20. BGA | CEH
@BGASecurity
Bilgi Toplama Yöntemleri
Amaç hedef sistem hakkında olabildiğince çok bilgi toplamaktır.
Bilgi toplama;
Hedef sistemle doğrudan iletişime geçerek
Hedef sistemden bağımsız olmak üzere iki türdür.
Bilgi toplama yöntemleri
Pasif bilgi toplama
Aktif bilgi toplama
21. BGA | CEH
@BGASecurity
Pasif Bilgi Toplama
Hedef sistem ile doğrudan iletişime geçilmez, herhangi bir iz
bırakmadan internetin imkanları kullanılarak yapılır.
Mesela whois sorguları ile şirketin ip aralığı, sorumlu yöneticisi
bulunabilir.
DNS sorguları ile mail, ftp ve benzeri servislerin hangi ip
adreslerinde çalıştığı, ip adresleri ve işletim sistemi bilgilerini
hedefle herhangi bir iletişim kurmadan alınabilir.
Online servisler, mail grupları, bloglar, forumlar
22. BGA | CEH
@BGASecurity
Pasif Bilgi Toplama Çeşitleri
Hedef sisteme ait ip adresi bloklarının bulunması
Hedef sisteme ait alan adları ve alt alan adlarının bulunması
Hedef sisteme ait DNS kayıtlarının bulunması
Hedef sisteme ait e-posta adreslerinin bulunması
Hedef sistemde kullanılan istemci yazılımların(Browser, PDF
okuyucu, ofis programı vs) bulunması
Arama motorları
23. BGA | CEH
@BGASecurity
IP Adresleri Hakkında Bilgi Edinme
IP adresleri hakkında bilgi edinme neden önemlidir?
Bir kuruma ait birden fazla ip adresi vardır,
Firewall, Mail server, Web server, test server ...
Kuruma ait ip adresi bloku bir tane ip adresi sorgulanarak elde
edilebilir.
IP adresi bloku belirlendikten sonra bu ip bloku için ağ keşif
çalışmaları gerçekleştirilmelidir.
IP adreslerinde hizmet veren servisler bulunur
24. BGA | CEH
@BGASecurity
IP Adresleri Hakkında Bilgi Edinme
IP adres dağıtımı tüm dünyada tek bir merkezden kontrol edilir.
ICANN(Internet Corporation for Assigned Named and Numbers)
IP Adresleri RIR denilen kurumlar aracılığıyla dağıtılır
RIR(Regional Internet Registrars), bölgelere göre dağılmış 4 adet RIR vardır
25. BGA | CEH
@BGASecurity
IP Adresi Sorgulama
1. IP adresi sorgulanır.
2. IP adresi sahibi
firma bulunur
3. Firmaya ait IP bloğu
bulunur
4. IP bloğu taranır
5. IP bloğundaki ip
adreslerine ait
domainler belirlenir
Ne amaçla kullanılır?
26. BGA | CEH
@BGASecurity
Whois Proxy Kullanımı
whois servisi TCP/43 portundan çalışmaktadır ve çoğu sistemde
bu port dışarıya doğru açık değildir
Bu sebeple whois hizmetini genelde whois proxyler üzerinden
alırız.
Whois proxyler basit birer web sayfasıdır ve kullanıcıdan aldığı
sorgulamaları whois sunuculara göndererek sonucu kullanıcıya
gösterir.
www.who.is gibi...
27. BGA | CEH
@BGASecurity
IP Aralığı-Sahip Sorgulama(Whois)
• Bir IP adresinin veya ip aralığının kime/hangi firmaya ait olduğunu belirlemek için
whois komut satırı aracı kullanılabilir.
• Whois komut satırı aracı sistemde yüklü değilse aşağıdaki komutlarla kurulabilir.
#apt-get install whois
28. BGA | CEH
@BGASecurity
ARIN Üzerinden IP Sorgulama
• IP Adreslerini sorgulayabileceğimiz sorgu merkezleri bölgeseldir.
– Ripe üzerinde Afrika’ya ait ip adresleri sorgulanamaz
• Eğer bir IP adresinin hangi bölgede olduğunu bilinmiyorsa ilk
olarak ARIN üzerinden sorgulama yaparak hangi whois
sunucularda barındığını öğrenilebilir.
• ARIN üzerinden yapılacak IP adresi sorgulamaları eğer ARIN’in
kontrolünde değilse ilgili RIR’e yönlendirme yapacaktır.
30. BGA | CEH
@BGASecurity
Alan Adları Hakkında Bilgi Edinme
Tüm dünyadaki domain(alan adları) dağıtımı tek bir merkezden kontrol edilir.
ICANN(Internet Corporation for Assigned Named and Numbers)
Domain isimleri : Özel şirketler aracılığı ile
Godaddy.com, name.com, Turkticaret.net, IHS Telekom , Sadecehosting
...
31. BGA | CEH
@BGASecurity
Domain Sorgulama
Bir domainin(alan adı) hakkında bilgi almak için kullanılır.
Domain isimleri özel şirketler aracılığıyla satılır.
Godaddy, name.com, netsol
Yetkili firmalar alt firmaları yetkilendirebilir
Domainler kiralanır, satılmaz.
Domain sorgulama sistemleri üzerinden domain
hakkında(whois) ve domain çalma(!)amaçlı bilgi edinilebilir.
Kaybolan hesap bilgilerini resetleme yöntemleri vs
33. BGA | CEH
@BGASecurity
Hacking Amaçlı Whois Kullanımı
Whois kullanarak edinilecek bilgiler bir web sayfasının
hacklenmesindeki ilk adımdır (DNS hijacking yöntemi)
Domain hangi firmadan alınmış?
Domain alınırken hangi e-posta adresi kullanılmış?
DNS kayıtları nerde tutuluyor?
Adres bilgileri, telefon numarası vs nedir?
34. BGA | CEH
@BGASecurity
Whois Sorgularından Bilgi Saklama
Bazı firmalar whois
sorgularında çıkan bilgiler
için proxy hizmeti sunarlar.
Proxy hizmeti kullanıldığında
tek gözüken bilgi alan adının
hangi registrar’dan alındığı
bilgisidir.
35. BGA | CEH
@BGASecurity
Domain Kiralama Firmaları ve Güvenlik
Domain yönetim panellerinde çıkabilecek güvenlik zaafiyetleri
Doğrudan kişilere ilgili alan adıyla ilgili tüm kontrolleri verir.
Domain kiralama firmalarında çalışan sistem yöneticilerinin
güvenliği
Domain kiralama firmalarının alan adı kiralama prosedürleri
Uzaktan faks çekerek alan adı nasıl başkası üzerine alınabilir?
36. BGA | CEH
@BGASecurity
Domaini Başkaları Üzerine Alabilir mi?
Name.com
Godaddy.com
Türkiye’de durum: Nüfuz cüzdanı fotokopisi yeterli...
37. BGA | CEH
@BGASecurity
DNS Hijacking Örnekleri
Suriye Elektronik Ordusu (SEA) registrar firmalarını kullanarak
Facebook, Twitter ve NYT gibi firmaların sitelerini hackledi.
Nasıl hacklendiler?
38. BGA | CEH
@BGASecurity
Domain Transferi İle Yapılabilecekler
Kişi/kuruma ait şifrelenmemiş tüm e-postaların okunması
MX kaydı yönlendirmesi ile
Kurumların çoğu network integrity check servisi kullanmazlar
Kurum web sitesini ziyaret edenlere yönelik phishing saldırısı
yapılabilir
Defacement = Web sitesinin farklı bir yerde host edilen
saldırgana ait siteye yönlendirilmesi.
Kuruma ait VPN hesaplarının ele geçirilmesi
39. BGA | CEH
@BGASecurity
Domaine Ait E-postaların Bulunması
Oltalama ( Phishing) ve son kullanıcı sosyal mühendislik saldırılarında en
önemli bilgilerden biri e-posta adresleridir.
Internet üzerinden bir domaine ait e-posta adresleri toplanabilir:
Google ve benzeri arama motorlarını kullanarak
LinkedIN gibi sosyal ağları kullanarak
Uygulama
40. BGA | CEH
@BGASecurity
Bir IP Adresindeki Domainlerin Keşfi
Ne işe yarar?
Bir ip adresi üzerinden birden fazla web sayfası host ediliyor olabilir
(Virtual Host)
Aynı IP üzerinde host edilen sayfalardan birinde çıkacak bir açıklık tüm
sunucuyu etkileyecektir (gerekli önlemler alınmamışsa)
IP’den domain nasıl bulunur?
Ters DNS kayıtlarıyla
Passive DNS replication yöntemiyle
Arama motorlarıyla (bing)
Robtex.com gibi servislerle
41. BGA | CEH
@BGASecurity
Ters DNS Kaydı ile Domain Keşfi
#dig –x
C:test>nslookup –q=ptr 91.93.119.80
Çok geçerli bir yöntem değildir.
42. BGA | CEH
@BGASecurity
Bing Arama Motoru Domain Keşfi
Bir IP Adresi üzerinde host edilen web sayfalarının bulmaya yarar
Bing ne yapıyor?
44. BGA | CEH
@BGASecurity
Robtex-Aynı IP Aralığındaki Domainler
Hosting firması
yeterli önlem
almamışsa aynı
subnetdeki IP
adresleri
arasında MITM
saldırıları
yapılabilir.
Saldırganın aynı
subnette olması
tüm subnetteki
sistemleri
hacklemesini
sağlayabilir.
45. BGA | CEH
@BGASecurity
Fierce Örnek Uygulama
Subdomain tespiti için kullanılabilir
Fierce –dns bga.com.tr
Reverse DNS sorgulama ile paylaşımlı sunucular bulunabilir.
Fierce –range 85.95.238.1-254 –dnserver ns1.test.com
Zone transfer açıklığı mevcut ise zone kaydını alınabilir.
46. BGA | CEH
@BGASecurity
Web Sayfalarının Geçmişini İnceleme
Bir web sitesinin geçmişe yönelik arşivini içerir.
Telefon numarası veya eskiden sitede barındırılan hassas bir bilgiyi edinmek için
kullanılabilir.
47. BGA | CEH
@BGASecurity
Netcraft Kullanarak Bilgi Toplama
Netcraft, web üzerinden pasif bilgi toplama araçlarından biridir.
Hedef sisteme ait işletim sistemi bilgisi, uptime bilgisi ve web
sunucusunda çalışan çeşitli modüllerin bilgisinin alınabileceği
bir altyapı sunar.
48. BGA | CEH
@BGASecurity
Netcraft ile Bilgi Toplama -Örnek
Sorgulanan sisteme ait geçmiş
bilgiler(hangi işletim sistemi vs)
de yer almaktadır.
FreeBSD çalışan bir sunucunun
Linux’a geçiş aşamasını belgeliyor.
X tarihine kadar FreeBSD
üzerinde çalışırken Y tarihinden
sonra Linux sistem üzerinde
çalışmaya başlamıştır
49. BGA | CEH
@BGASecurity
E-posta Listelerinden Bilgi Toplama
Örnek-2
Örnek-1
Hedef sistemde çalışanların üye olduğu forumlar, e-posta listeleri taranarak çeşitli bilgiler edinilebilir
51. BGA | CEH
@BGASecurity
HTML Yorum Satırlarından Bilgi İfşası
Web sayfalarının kaynak kodları incelenerek sayfa içerisinde yazılımcılar tarafından
unutulmuş gizli bilgiler(user/pass vs= bulunabilir
52. BGA | CEH
@BGASecurity
Sosyal Mühendislik Saldırıları Web2.0
Ne işe yarar?
Başkalarına ait
hesap alıp sosyal
mühendislik
yöntemleri
yapmaya..
53. BGA | CEH
@BGASecurity
Bilgi Toplama Aracı - Arama Motorları
Arama motorları ve benzeri bilgi toplama sitelerinden hedef firmalara, kişilere
ait çok detay bilgiler elde edilebilir.
Bu bilgilerin büyük bir kısmı geçerliliğini korumasa da parola profili, hesap
bilgileri gibi değiştirilemeyecek bilgiler bu kaynaklardan elde edilebilir.
Örnek bilgi toplama siteleri:
Shodanhq.com
Pastebin.com
google.com
Bing
Pipl.com
Tineye.com
54. BGA | CEH
@BGASecurity
Pipl.com Aracılığı ile Şahıs Arama
Pipl.com kişi arama için en ideal sonuçları bulan bir arama motorudur
Bölgesel olarak kişi arama imkanı sunar
55. BGA | CEH
@BGASecurity
TinyEye & Google Image
Bir resimin hangi kaynaktan alındığını ya da size ait bir resimin başka hangi
sitelerde kullanıldığını tespit etmek için kullanılabilecek arama motorlarıdır.
56. BGA | CEH
@BGASecurity
Shodan Arama Motoru
Değişik bir arama motoru: Shodanhq.com
Tamamen güvenlik testleri yapanlara yönelik geliştirilmiş bir sistem
mantığıyla çalışır
Internete açık sistemlerde default bırakılmış parolaları bulma gibi...
Türkiye’de hizmet veren Zimbra mail sunucu listesi
SHODAN, filtreler kullanarak çeşitli bilgisayar tabanlı sistemleri (desktop,
switch, router, servers vb.) bulmayı sağlayan bir arama motorudur.
60. BGA | CEH
@BGASecurity
Shodan Arama Kriterleri
Arama Kriteri Anlamı
Net: 1.2.3.4/24 Sadece belirtilen ip bloğu için arama yapar
Country Sadece ilgili ülke ip blokları için arama yapar
Port: 3389 İlgili porta denk düşen sonuçları getirir
• Arama kriterlerinin yanında
Shodan kullanıcıları
tarafından denenmiş ve sonuç
alınmış çeşitli arama
kelimeleri (etiketleri de
mevcuttur)
• Sisteme kayıtlı hesabı olan
tüm kullanıcılar bu arama
etiketlerini görebilir ve
kullanabilir.
61. BGA | CEH
@BGASecurity
Pastebin
İnternet üzerinden copy-paste mantığı üzerine kurulu site.
Genellikle anonim paylaşımlar amaçlı kullanılır.
Hacklenen veritabanı bilgileri ve benzeri hassas veriler genellikle bu site
üzerinden duyurulur.
Pastebin alert adlı program belirli kelimelere göre düzenli olarak siteyi takip
ederek uyarı verebilir.
Türkiye’den yasaklıdır (01.04.2015 )
62. BGA | CEH
@BGASecurity
Google Aracılığıyla Bilgi Toplama
• Google üzerinden “gelişmiş” arama yapmak için çeşitli teknikler
bulunmaktadır.
• Bu tekniklere GoogleHacking adı verilir.
– Bu teknikler çeşitli özel kelimelerden oluşur ve genelde akılda kalmaz
• Efektif arama yapabilmek için bu kelimeleri ezberlemek yerine
– Bu özel kelimeleri barındıran çeşitli programlar kullanılabilir
• Bu programlardan en kullanışlı olanı GoolagScanner’dir.
• Alternatif olarak Google Hacking terimini bize kazandıran GHD
(google hacking database) kullanılabilir
63. BGA | CEH
@BGASecurity
Google Arama İpuçları
Site:www.google.com
Sadece google.com için arama yapar
Allintitle:Security admin
Title’inda security ve admin geçenleri arar
İnurl:test deneme
url’de test geri kalan kısımlarda deneme içeren sonuçlar
Allinurl:google test
Url de google ve test içeren sonuçlar
65. BGA | CEH
@BGASecurity
Google Hacking Database Yeni Sürüm
http://www.exploit-db.com/google-dorks/
• Google üzerinden güvenlik amaçlı yapılabilecek aramaların düzenlenmiş hali.
• Exploit-db sitesinde yayınlanan web açıklıklarında da Google Dork ismi ile
geçebilmektedir.
• Günlük olarak güncellenmektedir.
69. BGA | CEH
@BGASecurity
Google üzerinden özel aramalar - II
SiteDigger uygulaması ile otomatize olarak istenilen bilgiler
google üzerinden bulunabilir.
71. BGA | CEH
@BGASecurity
Online Pasif Bilgi Toplama Siteleri
Internet üzerinden aktif bilgi toplamak için kullanılan
yöntemleri kullanıcı ip adresi yerine kendi ip adresinden
gerçekleştirir
Linux komut satırına aşina olmayanlar için birebirdir.
Ücretsiz ve hızlıdırlar
Clez.net
Serversniff
Hackertarget.com
72. BGA | CEH
@BGASecurity
Online Bilgi Toplama Araçları
Linux komutu satırı kullanma imkanı olmadığı durumlarda online olarak bilgi
toplama işlemi gerçekleştiren web siteleri kullanılabilir.
ÖrnekWeb Siteleri
Pentest-tools
Hackertarget
73. BGA | CEH
@BGASecurity
Web Sunucu Versiyon Bilgisi Tespiti
Nmap, netcraft.com,nikto.pl ile hedef
sistemdeki web sunucu yazılımı tespit edilebilir.
74. BGA | CEH
@BGASecurity
Web Sunucu Versiyon Bilgisi Testpiti-II
Nikto ile hedef sunucu üzerinde kullanılan çeşitli
bilgiler elde edilebilir.(CMS yazılımı, web sunucu
yazılımı, IP adresi , kullnılan pluginler v.s)
perl nikto.pl -host http://www.bga.com.tr/ -port 80
75. BGA | CEH
@BGASecurity
Zone Transfer açıklığı
Genelde 1’den fazla DNS name server(NS) olduğu ortamlarda zone transfer
işlemine izin verilmektedir. Fakat yapılması gereken yalnızca 2.cil DNS server
IP adresine erişim vermek. Burada düşülen hata public olarak genele açık
bırakılması.
Dig ile zone transfer açıklığının bulunması
dig axfr @ns12.zoneedit.com zonetransfer.me
Nslookup ile zone transfer tespiti
Nslookup , set type=ns , zonetransfer.me , ls –d zonetransfer.me
76. BGA | CEH
@BGASecurity
Alt Dizinlerin Keşfedilmesi
Dirb ve dirbuster ile bir uygulamaya ait alt dizinler kaba
kuvvet yöntemi ile tespit edilebilir.
dirb http://www.facebook.com/ -w wordlists/common.txt
77. BGA | CEH
@BGASecurity
Aktif Bilgi Toplama -- resim
Hedef sistemle iletişime geçilir
Çıktı olarak “pasif bilgi toplamadan” çok daha fazla işe yarar veri
sunar
Hedef sistemde iz bırakıldığı için dikkatli kullanılmalıdır.
Firewall/IDS logları, Web sunucu logları vs.
78. BGA | CEH
@BGASecurity
Ağ Haritasının Çıkartılması
Amaç: Hedef sisteme ulaşımda aracı olan network/güvenlik
sistemlerinin bulunması
Router cihazların bulunması
Firewall sistemlerin bulunması
IPS/WAF sistemlerinin bulunması
Açık sistemlerin bulunması
Açık Port/servislerin bulunması
SMTP GW gibi sistemlerin bulunması
79. BGA | CEH
@BGASecurity
Ağ Üzerinden Yol Haritası
Traceroute IP başlığındaki TTL(Time To Live) alanını kullanır. Amaç Hedef
sisteme giden yolları öğrenmektir ve bunun için TTL değerini 1 den başlatarak
her seferinde bir arttırır.
TTL değerini 1 olarak alan host paketi çöpe atarak geriye TTL Expired cevabı
döner. Trace çeken bilgisayarda bu şekilde önündeki yolun tarifini çıkarır.
81. BGA | CEH
@BGASecurity
Ağ Haritası için Traceroute
Traceroute UDP/ICMP protokolü ile çalışır.
Engellendiği yerlerde * işareti ile sonuç dönmez.
Traceroute www.example.com
8 195.50.126.105 (195.50.126.105) 53.944 ms
195.50.122.137 (195.50.122.137) 53.730 ms 53.702 ms
9 * * *
10 * * *
11 * * *
12 *
82. BGA | CEH
@BGASecurity
Ağ haritası için tcptraceroute
Hedefin istenilen bir portuna TCP paketleri gönderilerek trace
işlemi gerçekleştirilir.
Açık bir TCP portuna denendiğinde hedefe ulaşmadaki başarı
traceroute göre çok yüksektir.
FW v.b bazı layer3 routing yapan cihazları göstermeyebilir.
tcptraceroute www.bga.com.tr 80
83. BGA | CEH
@BGASecurity
Ağ haritası için alternatif trace
Kurulan bir tcp oturumu içerisinden trace atılarak hedef sistem
önündeki L3 cihazlar bulunur.
Sonuçları en garanti olan yöntemdir.
Yerel ağa ait IP adresleride görülebilir.
Intrace/0trace kullanılabilir.
intrace -h www.tivibu.com.tr 80 ardınan telnet ile ilgili porta
bağlantı kurulur.
85. BGA | CEH
@BGASecurity
Ağ Üzerinde Açık/Aktif Sistemler
Nmap kullanarak açık sistemler hızlıca bulunabilir.
Nmap açık sistemleri nasıl bulur?
Ping, Tcp-ping
86. BGA | CEH
@BGASecurity
Güvenlik Duvarı Keşif Çalışmaları
TCP RFC’e göre bir porta SYN bayraklı paket gönderildiğinde
ACK-SYN döner
RST döner
Cevap dönmezse?
Herhangi üç porta gönderilecek TCP paketleriyle Firewall var/yok
anlaşılabilir
Çeşitli TCP portlara yönelik tcptraceroute çalışmaları
#nmap firewall_ip adresi
87. BGA | CEH
@BGASecurity
IPS Keşif Çalışması
Bilinen tüm IPS’lerde default olarak gelen imzalar denenerek aktif bir IPS var
mı yok mu anlaşılabilir
%99 açık olan ve IPS’i tetikleyecek imzalar
Cmd.exe
../../
/etc/passwd
HTTP isteklerinde bu değerler gönderilerek dönen cevap incelenir
Klasik 404 vs gibi HTTP cevabı dönüyorsa IPS yok(ya da imzalar aktif değil)
Connection RST veya Timeout alınıyorsa IPS Vardır.
IPS yokken ne cevap döner, varken ne cevap döner
88. BGA | CEH
@BGASecurity
DDoS Engelleme Sistemi Keşif Çalışması
DDoS engelleme sistemleri iki şekilde çalışır
Aktif olanlar
Belirli bir değerin üzerinde trafik gördükten sonra aktif olanlar.
Doğrudan aktif olanları keşfetmek kolaydır
Syn cookie
Rate limiting özelliklerinin testi
Amaç rate limiting özelliğinin varlığını anlama
Hping –S –p 80 –flood 1.2.3.4
Hping –udp –p 53 –flood 1.2.3.4
İlgili portlara erişim sağlanamıyorsa muhtemelen bir ddos engelleme
sistemi sizi karantinaya almıştır.
89. BGA | CEH
@BGASecurity
SpamGw-Antivirüs Keşif Çalışmaları
Hedef sisteme metasploit ile üretilecek özel –zararlı
kod barındıran- exe, pdf’lerin gönderilmesi.
Metasploit kullanarak zip, pdf, docx, xls gibi zararlı kod
barındıracak ikili dosyalar üretilebilir.
Hedef sisteme gönderilecek e-postaya dönecek
cevapların başlık bilgilerinin incelenerek hangi AV
sisteminin kullanıldığı bilgisinin belirlenmesi.
90. BGA | CEH
@BGASecurity
WAF Keşif Çalışması
WAF= Web Application firewall = Web uygulamalarına spesifik
saldırıları engellemek için geliştirilmiş ...
Genellikle WAF sistemleri yük dengeleme(Load Balancer) ile
birleşik gelir.
F5, Citrix Netscaler gibi.
WAF Keşif için temelde iki yöntem kullanılır
Wafw00f gibi bir yazılımla
Web sitesine yönelik Xss, Sqli denemeleri
91. BGA | CEH
@BGASecurity
WAF’ı Tetikleyecek Payload Kullanımı
Hedef sistem önünde aktif çalışan WAF sistemi varsa aşağıdaki
gibi istekleri engellemesi ve farklı bir URL’e yönlendirmesi
beklenmektedir.
<script>alert(‘BGA’)</script>, php?id=1’
UNION+ALL+SELECT+1,2,3,LOAD_VERSION -- -
93. BGA | CEH
@BGASecurity
DNS Protokolü kullanarak Bilgi Toplama
DNS Protokolü internetin temel yapıtaşıdır. Genel olarak
www hizmetlerinde ve e-posta servislerinde kritik rol oynar.
Düzgün yapılandırılmamış bir DNS sunucu dışarıya oldukça
fazla bilgi verebilir
DNS SORGUTİPLERİ
94. BGA | CEH
@BGASecurity
Dns Sorgulamaları
DNS istek-cevap mantığıyla çalışan bir servistir.
DNS üzerinden bilgi toplamak için çeşitli araçlar
kullanılabilir
Nslookup
Linux, UNIX ve Windows sistemler için standart dns sorgulama
aracı
Dig
Gelecekte nslookup’ın yerini alacak DNS sorgulama aracı.
Nslookup’a göre gelişmiş özelliklere sahiptir.
99. BGA | CEH
@BGASecurity
DNS Sunucu Tipi Belirleme
DNS sunucular temelde ikiye ayrılır:
Genele açık dns sunucu
Yetkili dns sunucusu
Herkese açık DNS sunucular(public dns) kendisine gelen tüm
istekleri cevaplamaya çalışan türde bir dns sunucu tipidir.
Yetkili DNS sunucu: Sadece kendi alan adlarına gelen isteklere
cevap veren sunucu tipi.
100. BGA | CEH
@BGASecurity
Genele Açık DNS Sunucu Belirleme
Bir sunucunun genele açık
hizmet(recursive DNS
çözücü) verip vermediğini
anlamanın en kolay yolu o DNS
sunucusu üzerinden google.com,
yahoo.com gibi o DNS sunucuda
tutulmayan alan adlarını
sorgulamaktır.
101. BGA | CEH
@BGASecurity
Bir Ağda Genele Açık DNS’lerin Bulunması
Bir IP aralığındaki tüm public DNS sunucuları bulmak için Nmap
(Nmap Scripting Engine) kullanılabilir.
102. BGA | CEH
@BGASecurity
Alt Alan Adı Keşif Çalışması
Alt domain kavramı
www2.bga.com.tr
forum.bga.com.tr
Bir alan adına ait alt alan adları iki türlü bulunabilir:
Arama motorları aracılığı ile
Bruteforce yöntemi ile (Deneme yanılma)
Ek olarak DNS sunucu üzerinde gerekli ayarlar yapılmamışsa
“Zone Transfer” yöntemli kullanılarak da elde edilebilir.
103. BGA | CEH
@BGASecurity
Google Kullanarak Alt Alan Adı Keşfi
Site:bga.com.tr
-www
-blog
-forum
Herhangi bir
yerden link
verilmemiş alt alan
adları Arama
Motoru kullanılarak
bulunamaz.
104. BGA | CEH
@BGASecurity
Altdomainleri Bulma-II
Subdomainer aracı arama motorlarının
cache’ine girmiş altdomainleri bulur.
http://www.edge-
security.com/subdomainer.php
105. BGA | CEH
@BGASecurity
Brute Force Yöntemiyle Alt Domain Keşfi
Deneme yanılma yöntemi ile bir listeden okutarak alan adları tespit
edilebilir.
Bu amaçla kullanılan birden fazla araç vardır.
Eğitimlerde sızma testlerinde fierce.pl aracı tercih edilmektedir.
Fierce.pl –dns bgabank.com
107. BGA | CEH
@BGASecurity
Zone Transferi Yöntemiyle Alt Domain Keşfi
Bir domaine ait tüm bilgiler kayıtlı olduğu DNS sunucuda tutulur
DNS sunucuda zonelarda tutulur
DNS zone transferi ile bir domaine ait tüm bilgiler(DNS kayıtları) elde edilir
Zone transferi ile elde edilen bilgiler eksiksizdir
Nslookup, dig, host gibi dns sorgulama araçları dns zone transferi de
gerçekleştirebilir
DNS zone transferi TCP/53 üzerinden gerçekleştirilir
109. BGA | CEH
@BGASecurity
Dig / Host Araçları Kullanarak Zone Transferi
$host –l bgabank.com ns1.bgabank.com
Komutu kullanarak host aracı ile de zone transferi kontrolü yapılabilir.
Bir ip aralığında zone transferi kontrolü yapmak için nmap NSE dns-zone-
transfer.nse scripti kullanılabilir.
110. BGA | CEH
@BGASecurity
DNS Sorgularını İzlemek (DNStrace)
• Bir alan adına ait DNS
sorgularının hangi DNS
sunucuları takip ederek hedef
ulaştığını belirlemek için dns
trace uygulaması kullanılabilir.
• Dns trace root dns’lerden
başlayarak en son delege edilmiş
DNS sunucuya kadar UDP
üzerinden taşınarak gider.
• Dig +trace www.bga.com.tr
111. BGA | CEH
@BGASecurity
SMTP Üzerinden Bilgi Toplama
Hedef sistemin üzerinde bir SMTP sunucu çalıştığı
varsayılarak yapılır.
Hedef e-posta sistemi üzerinde olmadığı bilinen bir
kullanıcıya mail atılır ve sistemin bu mail karşılık olarak
hata dönmesi beklenir.
Hedef sistem hata dönerse(bounce maili) dönen mailin
başlıkları incelenerek çeşitli bilgiler edinilebilir
Zaman bilgisi
Mail sunucu yazılım bilgileri
İç ağ yapısı
112. BGA | CEH
@BGASecurity
SMTP Üzerinden Ağ Haritası Çıkarma
Hedef sistemin e-posta sunucusuna bir e-posta gönderilir (olmayan bir adrese)
Gelecek cevap(bounce özelliği açıksa) çalışan smtp sunucu hakkında ve smtp
sunucusuna kadar olan network haritasını verecektir.
113. BGA | CEH
@BGASecurity
E-posta’lardan Bilgi Toplama
E-posta başlık bilgileri bilgi toplamada yoğun kullanılan bir tekniktir.
Bir e-posta incelenerek;
Hedef sistemin network haritası
Hedef sistemde kullanılan smtp yazılım bilgileri
Şirket virus/spam politikaları
E-posta programı bilgileri
Gibi bilgiler elde edilebilir
115. BGA | CEH
@BGASecurity
Received Başlık Bilgisi
R
e
c
e
i
v
e
d
y
ö
n
ü
Received-by bir e-postanın
hedefine ulaşmak için
uğradığı SMTP sunucuların
listesini tutar.
Böylece –özellikle
saklanmamışsa- mail
gönderenin ip adresi, şirket iç
ip yapısı belirlenebilir.
117. BGA | CEH
@BGASecurity
Banner Yakalama
Çalışan servis hakkında detaylı bilgi almanın en basit yolu o porta telnet/nc
ile bağlanarak uygun komutu vermektir
120. BGA | CEH
@BGASecurity
SNMP Üzerinden Bilgi Toplama
• SNMP Nedir?
– SNMP, ağ cihazlarında yönetimsel bilgi alışverişinin sağlanması için
oluşturulmuş bir uygulama katmanı protokolüdür.
• SNMP ile neler yapılabilir
• Eğer public key bilinirse hedef sisteme ait “tüm” bilgiler
alınabilir
• Eğer private key biliniyorsa ve hedef sistem üzerinde write
hakkı varsa hedef sistem üzerinde “her şey“ yapılabilir
• SNMP Tehlikeli bir protokoldür.
122. BGA | CEH
@BGASecurity
Snmpenum ile Bilgi Toplama
# perl snmpenum.pl 192.168.2.20 public windows.txt
----------------------------------------
INSTALLED SOFTWARE
hMailServer 4.4.3-B285
USERS
----------------------------------------
honal
Krbtgt
SYSTEM INFO
----------------------------------------
Hardware: x86 Family 16 Model 2 Stepping 3 AT/AT COMPATIBLE - Software: Windows Version 5.2 (Build 3790 Uniprocessor Free)
----------------------------------------
SHARES
----------------------------------------
SYSVOL
NETLOGON
programlar
C:WINDOWSSYSVOLsysvol
C:WINDOWSSYSVOLsysvolhome-labs.lifeoverip.netSCRIPTS
123. BGA | CEH
@BGASecurity
Nessus SNMP Scanner
Nessus zafiyet tarama aracı
kullanarak SNMP açık sistemler
tespit edilebilir.
SNMP açık ve ön tanımlı snmp
community bilgilerini kullanan
sistemlerden her tür bilgi (SNMP
MİB’lerinden tanımlı)
alınabilmektedir.
124. BGA | CEH
@BGASecurity
Disk Üzerinden Bilgi Toplama
• Backup, archive, yedek, *arsiv* gibi dosya isimleri, içerikleri
• Masaüstünde, My Documents klasolerindeki *.txt uzantılı dosyalar
• RDP için kullanılan dosyalar(Motto worm)
• Unix sistemler için. *.sh uzantılı dosyalar, *.conf uzantılı dosyalar detaylıca
incelenmeli
• Yaşanmış örnek: Firewall’u ele geçirme operasyonu!
• Linux sistemde grep komutu kullanarak tüm altdizinlerdeki dosyalar
içeriğinde önemli kelimeler arattırılabilir
• Grep –i parola –R /home/huzeyfe/onemli
125. BGA | CEH
@BGASecurity
Memory’den Bilgi Toplama
İşletim sistemleri çoğu erişim bilgisini bellek üzerinde tutar.
Fiziksel bellek dump edilerek bu bilgiler elde edilebilir.
Bellek dökümü almak ve dökümü alınan belleğin analizi için farklı araçlar
kullanılmaktadır.
Volatility
https://code.google.com/p/volatility/
Memory Analizi Memory Dump
Process Hacker
128. BGA | CEH
@BGASecurity
FOCA Kullanarak MetaData Analizi
FOCA, Internet üzerinden hedef kuruma/siteye ait belgelerdeki metadataların
ayrıştırılması ve kategorilendirilmesi amaçlı kullanılanWindows tabanlı bir yazılımdır.
129. BGA | CEH
@BGASecurity
Yeni Nesil Bilgi Toplama Aracı:Maltego
Açık kaynak istihbarat toplama yazılımıdır.
Ticari bir yazılım olup ücretsiz versiyonu kısıtlı özelliklerle
kullanıma açıktır (Kayıt olarak)
Internet üzerinden gerçekleştirilebilecek tüm bilgi toplama
yöntem ve adımlarının tek bir merkezden yapılması ve bulunan
veriler arasındaki ilişkinin kurulmasını sağlama özelliğine
sahiptir.
133. BGA | CEH
@BGASecurity
Bölüm Amacı
Hedef sistemler hakkında ağ üzerinden edinilebilecek
bilgileri toplama.
Aktif bilgi toplama çeşididir.
134. BGA | CEH
@BGASecurity
Konu İçeriği
Taramanın/Keşif Tanımı
Amaçları
Çeşitleri
Tarama/Keşif Teknikleri
Tarama/Keşif Araçları
İşletim Sistemi Belirleme
Taramaya karşı Önlem Alma
135. BGA | CEH
@BGASecurity
Ağ Keşfi Neden Önemlidir?
Aktif cihazların tespiti
Çalışan servislerin belirlenmesi
Cihazlar üzerindeki işletim sistemlerinin belirlenmesi
Ağ haritasının çıkarılması
Router-Firewall-IPS-WAF-Host ...
136. BGA | CEH
@BGASecurity
Host/Port Tarama
Tarama Sonucunda
aşağıdakiler tespit
edilebilir:
Aktif IP adresleri
Aktif servisler
İşletim sistemleri
Genel ağ haritasi
▪ Firewall, router vs
Host/Port Tarama
Çeşitleri :
Host/Ag Tarama
Port tarama
Versiyon belirleme
İşletim sistemi belirleme
Zayıflık tarama
Profesyonel bir saldırgan/sızma testi uzmanının ilk yapacağı işlerden biri hedef sisteme
yönelik detaylı port tarama çalışmasıdır.
137. BGA | CEH
@BGASecurity
Tarama Çeşitleri
Host/ağ tarama
Belli bir host ya da networkün ip seviyesinden taranması
Port tarama
Belirli bir IP/Ag icin çalışan servislerin belirlenmesi
Ağ haritalama
Ağda bulunan aktif cihazların ve konfigurasyonlarının (FW
kuralları ) belirlenmesi
İşletim sistemi belirleme
Zayıflık tarama
Aktif bulunan cihazların güvenlik açısından uzaktan
incelenmesi
138. BGA | CEH
@BGASecurity
Aktif Sistemlerin Belirlenmesi (Ping)
Port tarama programları basit bir mantıkla çalışır ve öncelikle
sistemin aktif/ayakta olmasını bekler.
Ayakta olmayan bir sistem için gereksiz yere (tcp:65534 adet port
bulunmaktadır) paket gönderilmez.
Nmap ve benzeri tarama programları hedef sistemlerin ayakta olup
olmadığını aşağıdaki yöntemlerle tespit edebilir.
ICMP Tarama(klasik ping aracı ile)
TCP Ping Kavramı
UDP Ping Kavramı
ARP Ping
TCP/UDP ping kavramları RFC’de olmayıp sonradan türetilmiştir.
139. BGA | CEH
@BGASecurity
Aktif Sistemlerin Belirlenmesi:ARP Scan
Sadece yerel ağlar için geçerli bir tarama türüdür.
Yerel ağda bir makinenin diğerine ulaşabilmesi için ARP sorgusuna cevap
alabilmesi gerekir.
Nmap hedef sistem için arp sorgusu gönderir
Cevap olumlu ise
sistemin ayakta olduğunu
Cevap olumsuz ise
sistemin down durumda
olduğunu belirler
140. BGA | CEH
@BGASecurity
Aktif Sistemlerin Belirlenmesi-ICMP
Sistemlerin ICMP paketlerini kabul ettiği düşünülerek yapılır
ICMP echo-request, reply paketlerine dayanır.
Ping aracı kullanılabilir
Daha hızlı taramalar için fping, nmap vs
Günümüzde geçerliliği yoktur, çoğu firma internet üzerinden
ping isteklerine cevap vermemektedir.
Yereğ taramalarında işe yarayabilir (hedef sistemler üzerinde
güvenlik duvarı yoksa)
141. BGA | CEH
@BGASecurity
Ping Sweep
Belirlenen bir ağa paralel ICMP paketleri gönderilmesi ve bunların
döndüğü cevaba göre aktif sistemlerin belirlenmesi.
Sistem ayaktaysa kendine gelen echo-request paketlerine echo-
reply ile cevap verir.
En hızlı aktif sistem belirleme yöntemlerinden biridir.
Hedef sistemler ICMP isteklerine cevap vermiyorsa TCP ping
üzerinden de benzeri tarama gerçekleştirilebilir.
Nmap –sP komutu kullanarak gerçekleştirilebilir.
142. BGA | CEH
@BGASecurity
Port Tarama Mantığı
Port Kavramı: TCP/IP ağlarda bağlantı noktası amaçlı kullanılır. Her bir
bilgisayarda ip adresi başına 65535 tane UDP, 65535 tane TCP port bulunur.
ICMP için port kavramı söz konusu değildir, port yerine Type ve Code değerleri
bulunmaktadır.
TCP Portları
UDP Portları
ICMP/IP için port tarama(?)
Port Tarama Mantığı RFC’de yazılı olan kurallara göre işler ve yazılımcılar
buradaki mantığı port tarama programlarına işlerler.
Örnek: RFC’e göre açık porta SYN isteği geldiğinde ACK-SYN döner
UDP için
144. BGA | CEH
@BGASecurity
Netcat Port Tarama
Nc –z ip port aralığı
Nmap veya benzeri bir port tarama yazılımı olmadığı
durumlarda kullanılabilir.
146. BGA | CEH
@BGASecurity
Yerel Ağ Keşif Çalışmaları- Nmap
Bir pentesterin çantasındaki en temel araçlardan. Olmazsa olmaz.
Port tarayıcıdan çok ötesi (NSE)
Vulnerability scanner
Güvenlik sistemlerini atlatma
Farklı TCP paketleri ile eylemler gerçekleştirme
Zenmap grafik arayüzü
Son sürümünü bulunduğunuz dizine indirmek için(--username
foobar);
svn co https://svn.nmap.org/nmap
148. BGA | CEH
@BGASecurity
Nmap - Hedef Port Belirleme
Nmap default taramalarda 1000 (well known) adet port tarar.
-F parametresi ile hızlı taramam gerçekleştirir (en populer 100 portu tarar )
Nmap –n –v 192.168.1.10 –p 80,22,1433
Nmap –n –v 192.168.1.10 –p 1-65535 (-p-)
Nmap default olarak tarıyacağı portları random seçer –r parametresi ile sırayla
port taraması sağlanabilir.
Nmap –n –v 192.168.1.10 --top-ports 100
149. BGA | CEH
@BGASecurity
Nmap – Yardımcı parametreler
-d : Debug mod açar
-v : Detayları gösterir
-n : Reverse IP address lookups devre dışı bırakır
--open: yalnız açık portlar görüntülenir.
--reason: open/closed/filtered durumlarının sebebini verir.
--traceroute: hedef network haritası çıkarmak için kullanılabilir.
-A : -O -sV -sC ve --traceroute tümünü yapar
150. BGA | CEH
@BGASecurity
Nmap – Sistemlerin Up/down tespiti
-Pn veya –PN ile hedef sistemin ayakta olup olmadığına bakma
-PB Default probe(443/SYN,80/ACK,ICMP)
-PS21,22,23,25 sadece bu tcp portlarına bakarak up olup
olmadığına karar verebiliriz.
-PA21,80 sadece bu portlara ACK TCP paketleri ile belirler
-PE ile sadece ICMP echo request ile up/down belirleme
-PP (ICMP timestamp request) ile up/down belirleme
-PM (ICMP netmask request) ile up/down belirleme
151. BGA | CEH
@BGASecurity
Nmap PING Mantığı
Bildiğimiz PING ICMP echo request gönderilir ICMP echo reply
dönmesi beklenir.
Nmap’de makinanın ayakta olup olmadığının belirlenmesi için
yapılan PING default olarak önce Icmp echo request gönderilir,
sonra 443 portuna SYN paketi gönderilir, daha sonra 80 portuna
ACK paketi gönderilir.
Bunlardan herhangi birinin cevabı ile sistemin ayakta veya
erişilemez olduğunu belirler.
152. BGA | CEH
@BGASecurity
ICMP Echo paketi ile Ping(-PE)
Nmap –PE 6.6.6.0/24 şeklinde yapılan tarama ile
hedef sisteme ICMP echo request gönderilir.
Dönen cevap ICMP echo response dönerse hedef
sistem ayaktadır.
153. BGA | CEH
@BGASecurity
TCP ACK Paketi ile Ping(-PA)
TCP ACK paketi gönderilir
RST dönerse sistem ayaktadır.
Cevap dönmez ise hedef sistem down olarak belirlenir.
nmap –PA21,22,23 -sP 6.6.6.0/24 şeklinde
kullanılabilir.
154. BGA | CEH
@BGASecurity
TCP SYN Ping (-PS)
Hedef sisteme TCP SYN paketi gönderir. Dönen cevap SYN+ACK
ise sistem up, RST ise sistem down olduğunu belirler.
Nmap –PS 6.6.6.6 şeklinde bir kullanımda 80 portuna default
SYN paketi gönderilir
Aşağıdaki gibi istenilen bir portada SYN paketi gönderilerek
ayakta olup olmadığı belirlenebilir.
nmap –sP –PS 21,22,8080 7.7.7.0/24
155. BGA | CEH
@BGASecurity
Nmap – Scan türleri
-sP : her hangi bir port tarama yapmadan up/down sistemleri listele
-sS: Syn scan (default nmap taraması)
-sT: Connect scan
-sF: FIN scan
-sA: ACK scan
-sU: UDP scan
-sV: Versiyon scan
-sL: List scan – Host listesi oluşturur tarama yapmaz.
-O,-A: OS detection
157. BGA | CEH
@BGASecurity
Nmap Scan türleri - Connect Scan (-sT)
3’lü el sıkışma gerçekleştirilir.
Açık portlar;
Kapalı portlar;
158. BGA | CEH
@BGASecurity
Nmap Scan türleri - UDP Scan (-sU)
UDP paketine , ICMP port unreachable dönerse port kapalı
UDP paketine cevap gelmez ise closed|filtered
UDP paketine UDP paketi ile cevap dönülürse open denilebilir.
nmap –n –v –sU –p 1-65535 –sV 5.5.5.0/24 gibi bir tarama ile
tüm UDP portlar taranabilir.
Sağlıklı sonuç almak için –sV ile kullanmakta fayda var.
160. BGA | CEH
@BGASecurity
Nmap – Hassas Tarama Seçenekleri
--min-hostgroup 100 : Paralel taranacak min host miktarı
--max-hostgroup 200: Paralel taranacak max host miktarı
--min-rate 5000 : Saniyede gönderilecek min paket sayısı
--max-rate 5000 :Saniyede gönderilecek max paket sayısı
-T0(paranoid), -T1(sneaky), -T2(polite), -T3(normal), -
T4(aggresive), T5(insane)
161. BGA | CEH
@BGASecurity
Nmap – Güvenlik Sistemleri Atlatma
-T0,-T1
-D 5.5.5.5,6.6.6.6,7.7.7.7 : (Decoy) Tarama yapılan IP’yi
şaşırtmaca ile gizler
-f : paketleri parçalayarak hedefe gönderir
--data-length 1200, --mtu 32: Data boyutlarından ve MTU
değerinden yakalayan IPS’ler için;
-g 53 : Source port spoof edilmiş olur.
--max-rate 1 --min-rate 1 : saniyede bir paket gondererek
162. BGA | CEH
@BGASecurity
Nmap – Output seçenekleri
-oN filename: (Nmap) Default nmap çıktı formatı
-oG: filename:(Grepable) Grep edilebilir format
-oX filename: (XML) Çıktılar XML formatında
kaydedilir.
-oA filename: Bu isimde yukarıdaki 3 formatta ayrı
ayrı birer çıktı sağlar.
163. BGA | CEH
@BGASecurity
SYN Proxy Kullanılan Sistemler
Tüm SYN paketlerine SYN+ACK dönerler
SYN paketi gönderilerek dönen cevaptaki TTL değeri ve TCP
bağlantısı gerçekleştirilerek dönen cevaptaki TTL değerleri
farklılık gösterirse SYN proxy/syncookie kullanılan sistem var
diyebiliriz.
Hping –S –p 80 –c 1 bga.com.tr
telnet bga.com.tr 80(HEAD / HTTP/1.1)
Nmap ile –sV komutu ile gerçekten açık portlar bulunabilir.
165. BGA | CEH
@BGASecurity
Nmap ders arası soru?
SORU: 1000 kadar ağ cihazının bulunduğu bir ağda
birden fazla özel (private) IP bloğunda A,B ve C
class’larından 70 adet alt ağ bulunmaktadır. Bütün bu alt
ağlarda 80 ve 8080 portları açık makinaları en hızlı
şekilde bulup XML formatında bir dosyaya yazmak için
kullanılabilecek nmap komutu nedir?
166. BGA | CEH
@BGASecurity
Top 10 Portun Taranması
Taramalarda bu özelliği kullanmak için
–top-ports 10 ya da –top-ports 1000 parametreleri kullanılabilir.
167. BGA | CEH
@BGASecurity
Nmap ile TCP Port Taramaları
TCP port taramaları TCP başlığında bulunan bayrak
bilgilerine(Control Flags/Communication Flags) göre yapılır.
Güvenilir sonuç verir
Hedef sistemin
İşletim sistemi
Uptime süresi
TCP Seq numara tahmin durumu
Bilgileri tcp taramalarda elde edilebilir...
169. BGA | CEH
@BGASecurity
TCP Oturum Kurulumu/Bitirimi
• TCP’de UDP’den farklı olarak
tüm aşamalar bayraklar
vasıtası ile gerçekleştirilir ve bu
bayrakların sıralaması hayati
öneme sahiptir.
• Hiçbir zamanTCP oturumu
SYN harici bir bayrakla
başlayamaz.
• Oturum sonlandırılırken
FINISH bayraklı paketler
kullanılır.
• ACK bayrağı her pakette
olabilir.
170. BGA | CEH
@BGASecurity
TCP SYN Scan(-sS)
Hedef sisteme SYN bayraklı TCP paketi gönderilir
ve cevap beklenir.
Cevap için üç seçenek vardır:
SYN/ACK Portun açık olduğunu belirtir.
Nmap bu cevabı aldıktan sonar RST ile bağlantıyı sonlandırır
(RST paketini Nmap değil ,OS gönderir)
RST Hedef sistem RST cevabı döndürürse portun kapalı
olduğuna karar verilir.
Cevap Gelmeme Durumu : Bu durumda Hedef sistemin
önünde bir güvenlik duvarı vardır ve paketleri DROP/DENY
edecek şekilde ayarlanmıştır yani kapalı port için RST cevabı
göndermez. Filtered durumu.
171. BGA | CEH
@BGASecurity
Tarama Detaylarını İzleme
Nmap port tarama yaparken tcpdump ile gelen-giden paketler
incelenerek taramaya ait detay bilgi edinilebilir(--packet_trace seçeneği)
Tarama neden uzun sürüyor?
Neden istediğim sonuçları bulamıyor
Arada başka router/firewall mu paketleri engelliyor?
...
172. BGA | CEH
@BGASecurity
TCP Connect Scan(-sT)
Bu tarama tipi klasik TCP oturumu kurmaya çalışır
İşletim sistemi metodları kullanılarak yapılan bu tarama tipi için herhangi bir ek
hak gerekmez
Sistem üzerindeki her kullanıcı bu tarama tipini kullanabilir.
Bu tarama tipinin dezavantajı çoğu güvenlik sistemi tarafından loglanmasıdır.
173. BGA | CEH
@BGASecurity
TCP FIN Scan(-sF)
Hedef sisteme FIN bayraklı TCP
paketleri gönderilerek;
Kapalı portları için RST bayraklı paket
beklenir.
Açık olan portlar bu tarama tipine
cevap dönmez
174. BGA | CEH
@BGASecurity
TCP Null Scan(-sN)
Hedef TCP portuna herhangi bir bayrak set
edilmemiş TCP paketleri gönderilir.
Yine kapalı portlar için RST bayraklı TCP paketi beklenir.
Açık portlar için herhangi bir cevap dönmemesi beklenir.
175. BGA | CEH
@BGASecurity
XMAS Scan(-sX)
XMAS tarama tipi hedef sisteme FIN, URG ve PUSH bayrakları
set edilmiş TCP paketleri gönderilir:
Kapalı portlar için RST
Açık portlar için cevap dönülmez
176. BGA | CEH
@BGASecurity
Nmap ile UDP Port Taramaları
UDP’de TCP benzeri hata kontrolü yoktur.
Hata kontrolü alt protokol ICMP tarafından gerçekleştirilir.
UDP port taramalarında başlık bilgilerindeki port alanı kullanılır
NMAP udp taramaları genellikle sağlıklı sonuçlar üretmez, bunun temel
nedeni UDP protokolünün doğasıdır.
177. BGA | CEH
@BGASecurity
Nmap ile UDP Port Taramaları-II
Nmap de UDP taramaları için –sU parametresi kullanılır.
UDP tarama türü TCP’ye göre biraz daha basit ama daha az
güvenilirdir.
UDP Taramalarda Versiyon taraması yapılmazsa sonuçlar
güvenilir olmayacaktır.
Taranacak UDP portlara uygun protokol bilgisi içeren veri koyulması
gerekir
#nmap –sU –sV şeklinde tarama yapılmalıdır
178. BGA | CEH
@BGASecurity
Nmap ile UDP Port Taramaları-III
RFC’ye göre
Kapalı Portlar için: (ICMP Port Unreachable paketi)
Açık Portlar için:
Cevap dönülmez
Ya da ilgili porta istek yapan
uygulamaya cevap dönülür
(DNS istek ve Cevapları)
179. BGA | CEH
@BGASecurity
UDP Taramalarında Sıkıntı
Tarama yapılan host’un göndereceği ICMP mesajları filtrelenmiş ise
bazı tarama programları o UDP portunu açık olarak gösterecektir.
Nmap cevap dönmeyen icmp mesajlarından o portun açık ya da filtrelenmiş
olduğunu söyler.
181. BGA | CEH
@BGASecurity
Uygulama Versiyon Tespiti
Klasik port taramalarda amaç portun durumunu öğrenme
Port 80 Open|Closed
Versiyon belirlemede amaç: ilgili port üzerinde çalışan uygulamayı belirleme
Port 80
▪ HTTP
▪ Apache
1.3.27 version
Daha sağlıklı sonuçlar almak için kullanılır
UDP taramalar için vazgeçilmez
Nmap versiyon belirleme konusunda en iyi araçlardan.
184. BGA | CEH
@BGASecurity
İşletim Sistemi Belirleme-Nmap
Hedef sisteme çeşitli paketler göndererek
sonuçlarını bir veritabanı ile karşılaştırılır
Sağlıklı sonuç için bir açık bir kapalı port gerekir.
185. BGA | CEH
@BGASecurity
İşletim Sistemi Belirleyememe
Nmap bir açık bir kapalı port bulamazsa işletim sistemini sağlıklı olarak
belirleyemez.
İşletim sistemini belirleyemediği durumlarda genellikle tarama yapan
sistemin bilgilerini ekrana basar.
Bazı durumlarda da benzeri işletim sistemleri arasında tahmini durumu
ekrana basar.
186. BGA | CEH
@BGASecurity
Tarama Opsiyonlarını Birleştirme
Tarama seçeneklerini unutanlar için ideal tarama tipi
Kullanımı: nmap –A hedef_ip_adresi
-A= -sV –sC –O --traceroute
Nmap scan report for www.lifeoverip.net (178.18.195.170)
Host is up (0.056s latency).
rDNS record for 178.18.195.170: www.siberguvenlik.org
Not shown: 993 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.2
25/tcp open smtp Postfix smtpd
|_smtp-commands: server1.bga.com.tr, PIPELINING, SIZE 10240000,VRFY, ETRN, STARTTLS,AUTH PLAIN
LOGIN, AUTH=PLAIN LOGIN, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
| ssl-cert: Subject: commonName=server1.bga.com.tr
| Not valid before: 2012-09-13T17:44:15+00:00
|_Not valid after: 2022-09-11T17:44:15+00:00
|_ssl-date: 2014-05-04T11:12:55+00:00; -17s from local time.
80/tcp open http Apache httpd 2.2.20 ((Ubuntu))
|_http-generator:WordPress 3.9
|_http-methods: No Allow or Public header in OPTIONS response (status code 200)
|_http-title: bilgi gxC3xBCvenlixC4x9Fi, bilixC5x9Fim gxC3xBCvenlixC4x9Fi, ethical hacking, beya...
443/tcp open ssh OpenSSH 5.8p1 Debian 7ubuntu1 (Ubuntu Linux; protocol 2.0)
187. BGA | CEH
@BGASecurity
İleri Düzey Tarama Seçenekleri
Nmap tarama yaparken çeşitli IDS/IPS atlatma teknikleri kullanabilir.
Tarama Hızlandırma
Decoy Scanning
Tuzak sistemler aracılığıyla tarama
Proxy üzerinden tarama
Tor networkü üzerinden
Idle Scanning
Spoofed gerçek ip adresi ile tarama
188. BGA | CEH
@BGASecurity
Tarama Hızını Ayarlama
Nmap parametreleri ile oynayarak taramaların daha
kısa sürede sonlanmasını sağlanabilir.
Bu konuda dikkat edilmesi gereken husus kısalan her süre
sonuçların daha az sağlıklı çıkmasına neden olabilir.
Genellikle nmap –T 4 hız ve sonuçların sağlıklı olması
açısından en uygun seçenek olarak tavsiye edilir.
-T<0-5>: Set timing template (higher is faster)
189. BGA | CEH
@BGASecurity
IDLE Scanning
Her IP Paketi tanıtıcı bir numaraya sahiptir
İşletim sistemleri her paket gönderiminde bu numarayı bir arttırır
193. BGA | CEH
@BGASecurity
Proxy Üzerinden Port Tarama
Internet üzerinden yapılan taramalarda gizlenmek için en ideal
yöntem proxy kullanımıdır.
Böylece tarama yapılan sistemde IPS vs varsa loglara sizin değil
Proxy’nin IP adresi düşer.
TOR gibi açık ve geniş proxyler bu imkanı sağlar
Nmap’in içinde proxy desteği yoktur
Proxy sarmal yazılımları kullanarak Nmap’e proxy desteği
eklenebilir.
Tsocks uygulaması bu amaçla kullanılabilir
#root@bgasec:~# env|grep -i LD LD_PRELOAD=/usr/lib/libtsocks.so
194. BGA | CEH
@BGASecurity
Proxy Üzerinden Yapılabilecek Taramalar
Normal bir baglanti
Araya Proxy girdikten sonraki baglanti durumu
TCP 3 way handshake islemi proxy tarafından tamamlanır
Proxy üzerinden SYN tarama, UDP tarama vs yapılamaz.
Sadece TCP connect ve Versiyon belirleme taraması yapılır.
Istemci:3050—-SYN————->google.com:80
Istemci:3050<—-SYN/ACK——–google.com>80
Istemci:3050——ACK———–>google.com:80
veTCP baglanti kanali kurulmustur artik ilgili protokole ait komutlar calistirilabilir.
Istemci——GET / HTTP/1/1 ——>google.com:80 ….
Istemci:3050—-SYN————->Proxy_IP:8080
Istemci<—-SYN/ACK——–Proxy_IP:8080
Istemci:3050——ACK———–>Proxy_IP:8080
IstemciI======Proxy_IP——>CONNECT mail.google.com:25 HTTP/1.1 —–
>mail.google.com:25
195. BGA | CEH
@BGASecurity
Tor Networkü Üzerinden Nmap Kullanımı - I
Apt-get install tor
Apt-get install proxychanins
Tor çalıştırılır (root@kali:~# tor) Prosess %100 oluncaya kadar beklenir
root@kali:~# proxychains nmap 85.95.238.172 -n --open -p 443 –sT
(-sT kullanılmalı)
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:9050-<><>-85.95.238.172:443-<><>-OK
(tcpdump ile gidilen ip görülebilir.)
Nmap scan report for 85.95.238.172
PORT STATE SERVICE
443/tcp open https
196. BGA | CEH
@BGASecurity
TOR Network’ü Üzerinden Port Tarama II
Normal Port Tarama için kullanılan komut+parametre
# nmap -P0 -n -sV vpn.lifeoverip.net -p 80
Tsocks +Nmap ve TOR uzerinden yapılan tarama için
kullanılan komut+parametre
#tsocks nmap -P0 -n -sV vpn.lifeoverip.net -p 80
TOR üzerinden tarama yapabilmek için lokal sistemin TOR
networküne bağlı olması gerekir.
Hedef sistem logları incelenirse her iki taramada farklı
farklı IP Adresleri gözükecektir.
197. BGA | CEH
@BGASecurity
Tuzak Sistemler Aracılığıyla Tarama
Nmap ile hedef sisteme yönelik tarama yaparken isteklerin farklı farklı IP
adreslerinden geliyormuş gibi gözükmesi sağlanabilir.
Bunun için nmap Decoy Scanning (-D) özelliği sunar
Amaç:Saldırı
Tespit
Sistemlerini
şaşırtmak ve port
tarama yapan IP
adresini
gizlemek.
198. BGA | CEH
@BGASecurity
Tarama Sonuçlarının Sebebi(--reason)
UDPTaraması için Sonuç Değerleri
TCPTaraması için Sonuç Değerleri
199. BGA | CEH
@BGASecurity
Nmap ile Traceroute
Nmap bir port üzerinde TCP ya da UDP protokolünü kullanarak traceroute
yapabilir.
Klasik traceroute programları UDP ve ICMP kullanır.
UDP kullananlarda hedef port numarası değiştirme seçeneği yoktur ve
genellikle traceroute tarafından kullanılan yüksek numaralı UDP portları
kapalıdır
Nmap ile hem UDP hem de TCP üzerinden trace çıktısı alınabilir
Nmap traceroute özelliği istenilen UDP, TCP portuna seçilerek yapılabilir
200. BGA | CEH
@BGASecurity
Nmap Taramalarını Karşılaştırma
Aynı hedefe yapılan iki taramanın sonuçlarını karşılaştırmak için kullanılır.
Host sayısı yüksek ağlarda envanter çalışması amaçlı kullanılabilir.
201. BGA | CEH
@BGASecurity
Zayıflık Tarama Aracı Olarak Nmap
NSE(Nmap Script Engine) desteğiyle birlikte Nmap port taramanın ötesinde
çeşitli güvenlik zayıflıklarını tarayabilir hale geldi.
NSE çeşitli LUA scriptlerinden oluşur ve isteyen herkes tarafından
geliştirilebilir.
NSE ile ilgili Nmap parametreleri
SCRIPT SCAN:
-sC: equivalent to –script=safe,intrusive
–script=<Lua scripts>: <Lua scripts> is a comma separated list of
directories, script-files or script-categories
–script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
–script-trace: Show all data sent and received
–script-updatedb: Update the script database.
203. BGA | CEH
@BGASecurity
Nmap NSE - robots.txt
nmap -n -v --open 80 85.95.238.0/24 -p 80 --script http-robots.txt
Nmap scan report for 85.95.238.23
Host is up (0.12s latency).
PORT STATE SERVICE
80/tcp open http
| http-robots.txt: 16 disallowed entries
| /joomla/administrator/ /administrator/ /cache/ /cli/
| /components/ /images/ /includes/ /installation/ /language/
|_/libraries/ /logs/ /media/ /modules/ /plugins/ /templates/ /tmp/
204. BGA | CEH
@BGASecurity
Nmap NSE - Zone Transfer
nmap -p53 --script dns-zone-transfer --script-args
dnszonetransfer.domain=zonetransfer.me nsztm1.digi.ninja –
PN
DNS sunucular üzerinde zone transfer açıklığı mevcut ise tüm
dns kayıtlarını listeleyecektir.
testing.zonetransfer.me. CNAME www.zonetransfer.me.
vpn.zonetransfer.me. A 174.36.59.154
www.zonetransfer.me. A 217.147.180.162
205. BGA | CEH
@BGASecurity
Nmap NSE - Rastgele Tarama(Anonftp)
Nmap ile rastgele 21 portu açık 1000 sistem tarayıp
bunlardan anonymous ftp açık olan sistemleri bulma
nmap -n -v -iR 1000 -PN --open -p 21 --script ftp-anon
Nmap scan report for 119.226.53.125
Host is up (0.23s latency).
PORT STATE SERVICE
21/tcp open ftp
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
206. BGA | CEH
@BGASecurity
NSE ve Versiyon Tarama
NSE kullanırken –sV parametresini kullanmak sonuçların daha güvenilir o lmasını
sağlar
Farklı bir portta çalışan uygulamayı ancak versiyon belirleme yaparak ortaya çıkarabiliriz.
99.Portta çalışan
SSH
99.Portta Çalışan
SSH
207. BGA | CEH
@BGASecurity
Örnek NSE Kullanımları
Anonim ftp destekleyen sistemlerin bulunması
Hedef sistemin SSLV2 desteklediğini öğrenmek
208. BGA | CEH
@BGASecurity
Nmap NSE ile DNS Cache Poisoning Testi
DNS cache poisoning açıklığını test etmek için hedef sistemde iki
değer kontrol edilir:
Birincisi dns sorgulamalarında kaynak portun değiştirilmesi.
İkincisi DNS sorgularındaki TXID değerinin yeteri kadar random/rastgele
olmasının kontrolü.
Kaynak port rastgeleliği testi
nmap -P0 -sU -p 53 –script dns-random-srcport 100.100.100.2 –vv
Txid üretecinin tahmin edilebilirlik testi
nmap -P0 -sU -p 53 –script dns-random-txid 100.100.100.2 –vv
Her iki testi de tek bir Nmap taraması ile gerçekleştirmek için scriptler arasına “, ”
koyulması yeterli olacaktır.
210. BGA | CEH
@BGASecurity
Tarama Sonuçlarının Raporlanması
Tarama çıktılarının dosyaya yazdırılması
Raporlama ÇeşitleriXML, HTML
Kolay parse edilebilir formatta çıktı üretme
Veritabanına aktarmak için nmap2Mysql scripti kullanılabilir.
211. BGA | CEH
@BGASecurity
Nmap Grafik Arabirim Kullanımı
Nmap komut satırı düşünülerek yazılmış bir uygulamadır.
Ara ara grafik arabirimi denemeleri yapılmış fakat genel kullanıma sahip
bir arabirim üzerinde anlaşılamadı.
Nmap yazarı ve komuniti tarafından onay gören ilk deneme:Umit
Google SOC Projesi
Nmap 4.5 ile birlikte
Zenmap olarak isim değiştirdi.
212. BGA | CEH
@BGASecurity
Nmap Grafik Arabirimi:Zenmap
Nmap 4.5 sürümü ile birlikte artık resmi bir Grafik arabirimine
sahip olmuştur.
Komut satırından kullanılan tüm özellikler ve daha fazlası Zenmap ile birlikte
gelmektedir.
213. BGA | CEH
@BGASecurity
Port Taramaları ve IDS Sistemleri
Eğer IDS/IPS sistemi düzgün yapılandırıldıysa port taramalarını kolaylıkla
yakalayacaktır.
Hping ile Port Tarama
Tarama Esnasında Snort(IDS)’e düşen Loglar
214. BGA | CEH
@BGASecurity
Syncookie ve Port Tarama-I
Syncookie=Syn flood ddos saldırılarını engelleme amaçlı geliştirilmiş
teknoloji.
Synproxy=synflood ddos saldırılarını engelleme amaçlı geliştirilmiş,
syncookie benzeri fakat daha esnek bir teknoloji.
Syncookie arkasında koruma altına aldığı sistemlerdeki portların durumuna
bakmaksızın gelen her SYN paketi için SYN/ACK cevabı döner.
Synproxy ile sadece belirli sistemlerin belirli portlarına synproxy özelliği
eklenebilir.
215. BGA | CEH
@BGASecurity
Syncookie ve Port Tarama-II
Bu tip sistemlere yapılacak taramalarda tüm portlar açık gözükecektir.
Bu şekilde korunmuş
sistemlere yönelik başarılı
TCP taramaları
gerçekleştirmek için 3’lü el
sıkışmayı tamamlayan ve
sonrasında ek paketler
gönderen tarama tiplerini
denemek gerekir. –sV gibi.
216. BGA | CEH
@BGASecurity
Syncookie ve Port Tarama-III
Versiyon belirleme taraması yapılırsa açık olan portlar
rahatlıkla belirlenebilir.
#nmap -sV
217. BGA | CEH
@BGASecurity
Nmap ile Performans Testleri
Ağ ve güvenlik cihazlarının paket işleme kapasitesini test etme
Pps=packet per second
Fragmented paketleri geçirme
Badchecksum paketleri geçirme
Nmap ile tarama yaparken saniyede şu kadar paket gönder diyebiliriz
Bu özellik rate-limiting(saniyede belirli sayıdan fazla pakjet gönderen iplerin
bloklanması)yapan sistemleri atlatma için de kullanılabilir
--min-rate, --max-rate
218. BGA | CEH
@BGASecurity
Nmap –min-rate, --max-rate
Saniyede 30.000 paket
65535 portu taraması
toplamda 2.7 saniye
Sürmekte.
220. BGA | CEH
@BGASecurity
Bölüm İçeriği
Genel Tanımlar & Kavramlar
CVE, CVSS, Tehdit, Risk
Güvenlik Zafiyeti Kavramı
Güvenlik Açıklık Çeşitleri
Zayıflık Tarama Araçları
Nessus Zayıflık Tarama Aracı
Genel Nessus Kullanımı
Nessus Alternatifi Güvenlik Tarama Araçları
222. BGA | CEH
@BGASecurity
Tanımlar
Zafiyet: Varlıkların sahip olduğu ve istismar edilmesi durumunda güvenlik
önlemlerinin aşılmasına neden olan eksiklikler
Tehdit:Organizasyonu olumsuz etkileyebilecek olan insan yapımı veya
doğal olaylar
İstismar: Zaafiyetlerin kullanılarak sistemlerin ele geçirilmesi
223. BGA | CEH
@BGASecurity
Zaafiyet Kavramı
Programlama hatası
Örnek:Solaris telnet Vulnerability
Donanım hatası
Intel mimarisindeki buglar
Eksik/yanlış yapılandırma
JBOSS jmx-console açıklığı
Güncel olmayan Yazılımlar
Microsoft Windows 2003 MS08-967
224. BGA | CEH
@BGASecurity
Güvenlik Açıklıklarının Takibi
Güvenlik açıklıklarını düzenli olarak takip etmek için çeşit e-
posta listeleri ve siteler bulunmaktadır.
Bugtraq, Full Disclosure e-posta listeleri
Exploit-db.com, securityfocus.com
225. BGA | CEH
@BGASecurity
Zaafiyetleri Takip Etme:CVE
CVE Kavramı - Common Vulnerabilities and Exposures
Güvenlik zaafiyetleri için ortak veritabanı oluşturma
Bir CVE şunları içerir;
CVE ID
Standart bir isim
Özet açıklama
Referanslar
Neleri içermez
Risk bilgisi
İyileştirme çalışması
Diğer teknik bilgiler
http://cve.mitre.org/
226. BGA | CEH
@BGASecurity
CVE Kullanmanın Faydaları
Aynı güvenlik açıklığı farklı firmalar tarafından farklı şekillerde
isimlendirilebilir. CVE kullanarak farklı isimlerdeki zafiyetlerin
gerçekte ne olduğu herkes tarafından anlaşılır.
CVE-ID:20146547 ABC X Remote Code Execution
CVE-ID::20146547 ABC Arbitrary Code Execution Denial of service
Farklı ürünler arasında bilgi paylaşımının kolaylaştırır
IPS
Vulnerability Scanner
Pentest araçları
227. BGA | CEH
@BGASecurity
Zafiyet Risk Seviyesi - CVSS
Genel Açık Derecelendirme Sistemi (CVSS, Common Vulnerability Scoring System)
Güvenlik açıklarının önem ve önceliklerinin belirlenmesi açısından risk seviyelerinin
belirlenebilmesinde kullanılabilecek açık bir standarttır.
Birbirleri ile uyumsuz, farklı seviye belirleme sistemlerinin yerine kullanılması
amaçlanmıştır.
CERT, Mitre, Cisco, Symantec, Microsoft, Qualys gibi güvenlik organizasyonları ve
üreticiler tarafından kullanılmaktadır.
228. BGA | CEH
@BGASecurity
CVSS Risk Seviyeleri
CVSS'in kullanımıyla, son kullanıcıya da bir güvenlik açığının önem ve risk seviyesinin
sunulması amaçlanmaktadır.
Risk seviyeleri üç ayrı kategori olarak hesaplanmaktadır.
Temel Risk Seviyesi (Base Metric Scoring),
Geçici Risk Seviyesi (Temporal Metric Scoring),
Yapısal Risk Seviyesi (Environmental Score Metrics)
Temel risk seviyesi, güvenlik açığına özgü, zaman içerisinde veya yapıya göre
değişmeyen, temel risk seviyesidir.
Geçici risk seviyesi, güvenlik açığının zaman içerisinde değişebilecek risk seviyesidir.
Yapısal risk seviyesi ise, güvenlik açığının organizasyon/firma yapısına olan etkisidir.
Yapısal risk seviyesinin her organizasyon/firma için tekrardan hesaplanması gerekmektedir.
230. BGA | CEH
@BGASecurity
Güvenlik Testleri Gereksinimi
Internet ve bilgisayarların kullanımının artması
Internete bağlı her sistem tehlike altındadır
Korumasız olarak internete bağlanan bir sistemin max yaşama süresi 3 dakika
ile 17 dakika arasında.
Bilinçlenmenin artması
Şirket yöneticilerinin veri güvenliğine önem vermesi
Standartlar
PCI, HIPAA, SOX vs gibi standartların güvenlik testlerini zorunlu kılması
231. BGA | CEH
@BGASecurity
Zayıflık/Zaafiyet Değerlendirme Testleri
Güvenlik zaafiyetlerinin manuel yapılması
Otomatize etme ihtiyacı
50000 tekil güvenlik açığı
Her yıl 10.000 adet zafiyet yayınlanmaktadır
Otomatize güvenlik tarama sistemleri
Belirtilen imzalarla sistemlerde zayıflık arama işlemini otomatize etme
İlk araç ’95 yılında Security Administrator Tool for Analyzing Networks
(SATAN) adı ile çıktı
Ardından açık kaynak kodlu olarak Nessus yazılımı geliştirilmiştir.
Daha sonradan kaynak kodu kapatılmış ve ticari çözüm haline getirilmiştir.
232. BGA | CEH
@BGASecurity
Güvenlik Test Çeşitleri
Network Güvenliği Testleri
En temel güvenlik birimi.
İşletim Sistemi Güvenliği
Veritabanı Güvenliği
Web Uygulama Güvenliği
En popüler güvenlik alanı
Toplamı birden Bilgi Güvenliği kavramını oluşturuyor.
234. BGA | CEH
@BGASecurity
ISS Internet Security Scanner
IBM Tarafından satın alınan ISS Firmasının güvenlik tarayıcısı
ISS Proventia ürünü ile entegre çalışması ve IPS alarmlarının doğruluğunu kontrol
etmede faydalı.
Güncel zayıflık veri tabanı
Xforce ekibi: bulunan çoğu açığın kaşifi
236. BGA | CEH
@BGASecurity
Rapid7 Nexpose
Rapid7 firması tarafından geliştirilen ağ tabanlı zafiyet tespit yazılımı
Metasploit ile entegre çalışabilmektedir.
Community Edition (32 makineyi ücretsiz tarama)
Kurumsal firmalara yönelik
Yönetim arabirimi ve raporlama
Ticketing sistemi
237. BGA | CEH
@BGASecurity
Mcafee Foundstone
Mcafee tarafından
geliştirilen (eski
Foundstone) güvenlik
tarama yazılımı
Mcafee ürünleri ile
entegre çalışmasından
dolayı tercih edilir.
240. BGA | CEH
@BGASecurity
Online Tarama Araçları
Web üzerinden güvenlik taraması yapan siteler
Ticari olanlar
Vuln. Scanner ürünlerinin web sürümleri
Ücretsiz olanlar
Wordpress, Joomla gibi popüler portal sitelerindeki açıklıkları bulmaya yönelik.
242. BGA | CEH
@BGASecurity
Nessus Gelişimi
1998 Yılında Renaud Deraison tarafından geliştirilmeye başlanmış
Açık kaynak kodlu, kolay kullanımlı Zaafiyet tarama aracı.
3.x, 4.x sürümleri açık kaynak kodlu değil
2.x sürümü açık kaynak kod lisanslı
3.x, 4.x sürümlerini kullanım
ticari amaç olmaksızın ücretsiz.(HomeFeed User)
Ticari amaçlar için yıllık 1250$(ProfessionalFeed User)
Tenable Network Security Firması tarafından geliştiriliyor.
Nessus yerine artık açık kaynak kodlu olarak OpenVAS
kullanılabilmektedir.
243. BGA | CEH
@BGASecurity
Temel Özellikler
Ücretsiz Kullanım Hakkı
Güncel zayıflık veritabanı (Günlük)
Uzak ve yerel sistem güvenlik tarama özelliği
Gelişmiş Plugin desteği
~30000
Plugin geliştirmek için ayrı bir programlama dili(NASL) Nessus Attack
Scripting Language)
SSL tabanlı servisleri tarama özelliği (https, smtps, imaps etc)
Komut satırından kullanım olanağı
Compliance(Uyumluluk)Testleri için ek kontroller
PCI, HIPAA,
244. BGA | CEH
@BGASecurity
Güvenlik Tarama Çeşitleri
Güvenlik Taramaları temelde iki türdür
Uzaktan (Ag uzerinden)yapılan testler
Yerel sistem üzerinden yapılan testler
Güvenlik tarama araçları ağ üzerinde hedef olarak belirtilen sistemlere
tcp/ip protokolü kullanarak tarama yapar.
Bu işlemlerde hedef sisteme ait dışarı açık servislerdeki güvenlik
zaafiyetleri belirlenebilir.
Herkese açık olmayan ya da servis mantığında çalışmayan yazılımların
açıklıkları uzaktan bulunamaz.
Internet Explorer yamasının eksikliği vs
Yerel sistem açıklıkları o sisteme yetkili bir hesapla bağlanılarak yapılabilir.
245. BGA | CEH
@BGASecurity
Çalışma Yapısı
Nessus , istemci sunucu mimarisine uygun çalışır.
Sunucu tarafında tarama işlemini yapan çekirdek program web arabirimi ile
istemci tarafından yönetilir.
Sunucu Unix/Linux veya Windows platformlar üzerinde olabilir, yönetim için
herhangi bir browser için sunucuya bağlantı kurulabilir.
246. BGA | CEH
@BGASecurity
Nessus KB: Knowledge Base Mantığı
Tarama esnasında yapılan bilgi paylaşımı
Nessus hedef sisteme ait tarama profilinde tüm açıklıklar aktif
durumsa olsa bile teker teker tüm zafiyetleri deneme yapmaz.
Zaman kaybı
Performans problemleri
False positive oranının artması gibi sebeplerden
Örnek:
Port 80 açık mı?
▪ Evet:
▪ Apache 2.3 yüklümü?
Evet:
X.Y.Z açıklıkları var mı?
247. BGA | CEH
@BGASecurity
Nessus Lisans Modeli
Eğer Nessus’u ticari amacli kullaniyorsanuz mutlaka lisans almanız
gerekir.
“Home Feed” ve “Professional Feed” olarak adlandırılır
“Home Feed” 16 sisteme kadar tarama izni verir
“A ‘HomeFeed’ is available for free to home users, but can not be used
professionally.”
Note that: You are not eligible to subscribe to the HomeFeed Subscription if You are a corporation, a governmental entity or any other form of
organization. You may not subscribe to the HomeFeed Subscription to use the Plugins on a computer owned by your employer or otherwise use
the Plugins for the benefit of or to perform any services for any corporation, governmental entity or any other form of organization. If you
intend to use the Plugin Feed commercially, you need to obtain a ProfessionalFeed
http://nessus.org/plugins/?view=register-info Adresinden lisanslama
ile ilgili detay bilgi alınabilir.
248. BGA | CEH
@BGASecurity
Nessus Kurulumu
Farklı Sistemler için farklı kurulum adımları
Windows sistemler için kurulum “Next Next Next”
Linux sistemler için kurulum
RPM tabanlı dağıtımlar
Debian tabanlı dağıtımlar
FreeBSD için özel paketler bulunur.
Diğer dağıtımlar için internetten arama yapılabilir.
Taramalarda kullanılacak pluginleri indirmek için sisteme kayıtlı bir kullanıcı hesabına
sahip olunması gerekir.
Bu hesap aynı siteden geçerli bir mail adresi ile halledilebilir. @yopmail.com gibi
249. BGA | CEH
@BGASecurity
Windows Sistemlere Nessus Kurulumu
Windows mimarisine uygun
kurulum dosyası indirilip,
kurulum yönergeleri takip
edilerek kurulum
yapılabilinir.
250. BGA | CEH
@BGASecurity
Aktivasyon İşlemleri
Nessus ücretsiz bir yazılım olmasına rağmen güncellemeleri alabilmek için kayıtlı kullanıcı
olmak gerekir.
Kayıt olduktan sonra e-posta aracılığı ile gönderilen kod kullanılarak aktivasyon işlemi
gerçekleştirilir.
Kayıt ücretsizdir.
Kayıt için @yopmail.com uzantılı e-posta adresleri kullanılabilir.
251. BGA | CEH
@BGASecurity
Nessus Aktivasyon İşlemleri
Gelen e-posta adresindeki kod bir sonraki adımda çıkan ekranda girilmelidir.
Internet bağlantısı olduğu varsayılır
252. BGA | CEH
@BGASecurity
Linux için Aktivasyon İşlemleri
Aşağıdaki komut çalıştırılarak aktivasyon yapılabilir.
/opt/nessus/bin/nessus-fetch --register 2732-0E77-284E-
19F3-8CEF
253. BGA | CEH
@BGASecurity
Kullanıcı İşlemleri ve Servis Başlatma
Kullanıcılar ve rol kavramı
Kullanıcı ekleme komutu
/opt/nessus/sbin/nessus-adduser
Nessus’u baslatmak için
/etc/init.d/nessusd start
254. BGA | CEH
@BGASecurity
Nessus Kullanımı
Linux veya Windows sistemlere kurulum yapıldıkdan sonra herhangi bir browser
ile https://ip_adresi:8834 adresi çağrılır ve daha önce açılan hesap bilgileri ile
sisteme giriş yapılır.
256. BGA | CEH
@BGASecurity
Nessus ile Tarama Adımları
Nessus servisi başlatılır
Nessus Pluginleri Güncellenir
Browser ile Web Arabirimine Bağlanılır
Tarama politikası belirlenir
Ek ayarlar yapılır
Credentials scan , port tarama ayarlari, log vs
Taranacak Hedef Seçilir
Tarama başlatılır
Rapor alınır
257. BGA | CEH
@BGASecurity
Plugin Veritabanı Güncelleme-Online
Güncel olmayan pluginlerle yapılacak taramalar
eksik sonuçlar verecektir.
Windows
plugin
download
Linux plugin
update
258. BGA | CEH
@BGASecurity
Plugin Veritabanı Güncelleme-Offline
Nessus makinenin internet erişimi olmadığı durumlarda kullanılır.
http://plugins.nessus.org/offline.php
259. BGA | CEH
@BGASecurity
Plugin Veritabanı Güncelleme-Offline
Indirilen dosya C:Program FilesTenableNessusnessusplugins dizinine açılır ve
dizindeki dosyaların üzerine yazılır.
Yazma işlemi bittikten sonra
C:Program FilesTenableNessus dizinideki build.exe çalıştırılır. İşlem
tamamlandıktan sonra güncel pluginler kullanıma hazır hale gelmiştir.
260. BGA | CEH
@BGASecurity
Tarama Politikaları
Ön tanımlı 4 farklı politika bulunmaktadır.
External Network Scan
Internal Network Scan
Prepare for PCI DSS Audits
Web App Tests
Yeni sürümlerde farklı politikalar gelmektedir.
261. BGA | CEH
@BGASecurity
Yeni Politika Tanımlama
Politika seçimi genel ayarlar
Port tarama
metodları
Performans
değerleri
Tarama
seçenekleri
262. BGA | CEH
@BGASecurity
Yerel Sistem Taraması için Hesap Belirtimi
Nessus Windows/Linux/UNIX sistemlere uzaktan belirli yöntemleri
kullanarak bağlanıp sistemdeki yerel açıklıkları tespit edebilir. Eğer tarama
politikasında bu özellik kullanılacaksa “Credentials” sekmesinden bu bilgiler
girilmelidir.
Yerel sistem kontrollerinin yapılabilmesi için kullanıcının admin/root
yetkilerine sahip olması beklenir.
Uzaktan yapılan taramalar için kimlik doğrulama gerekmemektedir.
263. BGA | CEH
@BGASecurity
Yerel Sistem Taraması için Hesap Belirtimi
Linux/UNIX
sistemlerin SSH
aracılığı ile
taranması
264. BGA | CEH
@BGASecurity
Yerel Sistem Taraması için Hesap Belirtimi
Windows sistemlerin
SMB aracılığı ile
taranması
265. BGA | CEH
@BGASecurity
Politika için Plugin Seçimi
Nessus için plugin kavramı test edilecek güvenlik açıklarıdır.
Her bir plugin biricik numara ile belirtilir, +revizyon ID
Kategorilendirilmiş
Pluginler bağımlı olabilir
Arama Kolaylığı
266. BGA | CEH
@BGASecurity
Politika için Gelişmiş Ayarlar
Hedef sistem taranırken bazı kriterlere göre ek tercihler yapmak gerekebilir;
Servis tespiti
Database erişim bilgileri
Web uygulaması için kullanılacak ayarlar
HTTP Cookie
HTTP Login bilgileri
268. BGA | CEH
@BGASecurity
Tarama Öncesi Hedef Sistemi Yoklama
• Hedef sistemi ARP üzerinden yokla
• Hedef sistemiTCP ping, ICMP ping aracılığı ile yokla
• Hedef sistemi yoklamadan doğrudan tarama yap.
• Tüm ayarlar bittikten sonra Save ile politika kaydedilir.
269. BGA | CEH
@BGASecurity
Raporlama
Güvenlik taramalarında en önemli adımlardan
Güvenlik tarama cihazından beklenen farklı formatlarda, okunabilir,
anlaşılır ve sağlıklı raporlar üretebilmesidir.
Nessus xml ve html raporlar üretebilir
“Tarama Esnasında çıkan
açıklıklar Report sekmesinde
anlık olarak izlenebilir.”
270. BGA | CEH
@BGASecurity
Raporlama
Rapor tarama yapılan ip adreslerini, açık portları ve bulduğu zayıflıkları
kritiklik seviyesine göre kategorize ederek sunar.
Taranan IP adresleri
ve Açıklıkları
271. BGA | CEH
@BGASecurity
Raporları İnceleme
Nessus bulunan zayıflığın detayını, exploit edilebilirliğini ve
varsa çözüm önerilerini raporlar
272. BGA | CEH
@BGASecurity
Raporları İnceleme
“Filter” özelliği kullanılarak raporda gelişmiş bir arama yapılabilir.
Servis, host, port, açıklık seviyesi Plugin ID vb.
273. BGA | CEH
@BGASecurity
Raporları Dışa Aktarma
Tarama bittikten sonra oluşan raporlar html ve xml olarak
dışa aktarılabilir. Bunun için Export özelliği kullanılır.
280. BGA | CEH
@BGASecurity
Komut Satırından Nessus Kullanımı
Nessus Grafik arabirimden kullanılabileceği gibi çeşitli
amaçlar için komut satırından da kullanılabilir.
Bu amaç için nessuscmd komutu kullanılır.
Hem Linux hem de Windows için aynı komut kullanılır.
Komut satırından yapılacak tarama türleri
Host Keşfi
Port Taramaları
Zaafiyet tarama
Yerel güvenlik açıklıklarının taranması(user/pass/sertifika ister)
281. BGA | CEH
@BGASecurity
NessusCmd ile Port Tarama
Nessuscmd, Nmap benzeri bir port tarama listesi kullanır fakat
tarama seçenekleri Nmap’inki kadar detaylı ve esnek değildir.
Port tarama seçenekleri
282. BGA | CEH
@BGASecurity
Nessuscmd ile Açıklık Tarama
Nessus’da tüm açıklıklar bir id ile belirtilir.
Microsoft MS08-067 açıklığı için kullanılacak Nessus plugin’inin id’si #34477
Bu açıklığı nessuscmd ile test etmek için
#nessuscmd -i 34477 hedef_ip adresi
Esneklikler;
Aynı hedefe birden fazla açıklık test edilebilir.
Birden fazla sistem aynı açıklık için test edilebilir
Yerel sistem açıklıkları test edilebilir.
Tüm seçenekler için: nessuscmd -h
283. BGA | CEH
@BGASecurity
Nessuscmd ile paylaşımları bulma
root@home-labs:~# /opt/nessus/bin/nessuscmd -U -p 139,445 -V -i 10396 192.168.2.
0/24
Starting nessuscmd 3.2.1
Scanning '192.168.2.0/24'...
+ Host 192.168.2.1 is up
+ Host 192.168.2.25 is up
+ Results found on 192.168.2.26 :
- Port netbios-ssn (139/tcp) is open
- Port microsoft-ds (445/tcp) is open
+ Results found on 192.168.2.200 :
- Port netbios-ssn (139/tcp) is open
- Port microsoft-ds (445/tcp) is open
[!] Plugin ID 10396
284. BGA | CEH
@BGASecurity
Yerel sistem hesabıyla tarama
Nessus Linux, UNIX, Windows, Ağ cihazları ve sık kullanılan veritabanı sistemlere
uzaktan hesap bilgilerini kullanarak bağlanabilir ve yerel güvenlik taraması
gerçekleştirebilir.
Yerel güvenlik taramaları genellikle yama eksiklikleri, standartlara uyumluluk testleri
amaçlı gerçekleştirilmektedir.
Windows için AD hesabı sağlanırsa tüm AD üzerindeki eksik yamaları ve AD
politikalarının güvenlik standartlarına ne kadar uyumlu olduğu raporunu çıkartabilir.
Yapılandırma denetimi sadece “Professional Feed” lisansına sahip olanlara açıktır.
Diğer yerel tarama (yama eksiklikleri) tüm lisans modellerinde aktif olarak
gelmektedir.
287. BGA | CEH
@BGASecurity
Web Uygulama Güvenlik Testleri
Web güvenlik testlerinde Nessus
Nessus network scanning aracıdır?
Generic pluginler kullanılarak detaylı web uygulama testleri yapılabilir
Bu işe özelleştirilmiş yazılımlara göre dezavantajları çoktur
▪ Hız, false positive, kullanım kolaylığı vs
289. BGA | CEH
@BGASecurity
Web Mirroring
Sistemi tarama öncesi dosya ve dizinerin keşfi amaçlı gerçekleştirilen adım.Web
zafiyeti tarama programlarındakiCrawling aşamasına denk düşer
291. BGA | CEH
@BGASecurity
Taramalarda Sorun Giderme
Her yazılımda olduğu gibi Nessus’da ara sıra problem çıkarır.
Problemli bulmak için log dosyasının izlenmesi yeterli olur.
Nessusd.log
Scan.log
292. BGA | CEH
@BGASecurity
Nasl ile Plugin Yazımı
NASL Nedir?
Nessus Attack Scripting Language
Yeni çıkan bir açıklığı Nessus’un anlayacağı biçime getirme
294. BGA | CEH
@BGASecurity
Güvenlik Testlerinde Nikto Kullanımı
Nikto bir Web uygulama güvenliği tarayıcısıdır
Komut satırından çalışır ve http/https üzerinden ilgili sistemdeki açıklıkları bulmaya çalışır.
Nikto statik bir güvenlik tarayıcısıdır ve taradığı açıklıkları bir veritabanından okur
Veritabanı ne kadar güncel ise tarama sonucu o kadar sağlıklı çıkacaktır.
Günümüzde etkin kullanımı yoktur.