Checkpoint Üzerinde Port Taramalarına Karşı Önlemler-1

 

Merhaba arkadaşlar,

 

Bu hafta sizlere hacker, lamer, pentester veya güvenlik uzmanlarının (bu isim size kalmış) saldıracakları veya koruyacakları sistemlerde footprinting (pasif bilgi toplama) işleminden sonra aktif bilgi toplamaya çalıştıkları yöntem olan port taramaları  ve bunlara karşı checkpoint firewall üzerinde alınması gereken önlemlerden bahsedeceğim. Aslında çok karmaşık bir konfigürasyon  yapmamıza gerek yok. Amacımız  bildiklerimizi kaleme almak ve sektöre yeni başlayan arkadaşlara birazcık yol göstermek olsun.  Makalemin içeriği kısaca ;

  • Port tarama tanımı,
  • Port tarama yöntemleri ve basit tool’lar,
  • Stateful firewall,
  • Checkpoint Stateful inspection

Port tarama (Port scanning) nedir; Kısaca,  Bir saldırganın TCP/IP mimarisini kullanarak networkünüzden agresif bir şekilde bilgi topladığı yöntemdir.   Port taraması sayesinde yetkisiz kişiler networkünüzde,  canlı hostları, hostlar üzerinde çalışan servisleri, açık portları, işletim sistemlerini ve IP adresi mimarinizi çıkartabilirler. Bu bilgileri toplayan saldırgan, sisteminize bu açık portlardan saldırabilir veya öğrendiği işletim sistemlerinin zaafiyetlerini kullanarak sisteminize sızabilir(Senaryo genişletilebilir).  Hatta o kadar çok kullanılan bir yöntemdir ki  metrix’de trinity bile bu yöntemi kullanmıştır 🙂

 

 

 

 

 

 

 

 

 

1

 

 

Port taraması yapılırken arka tarafta network üzerinde nasıl işlemler oluyor bilmenize gerek yok fakat bir işi hakkı ile yapmak istiyorsanız OSI katmanlarını, TCP/IP paket yapısını, Tree-Way Handshake mantığını iyi kavramanızda fayda var.

 

Port tarama yöntemleri;

ICMP (Ping)Scanning :  Saldırganın networkünüzdeki host’a ICMP Echo Request yolladığı ve karşılığında ICMP Echo Reply beklediği yarım  tarama yöntemidir. Yarım tarama dememdeki maksat, saldırgan burada sadece host’un up-down olduğunu kontrol ediyor o kadar.  İnternette araştırdığınız zaman ping sweep diye bir kavram göreceksiniz bu da hedef network’e toplu ICMP request yollandığı tarama yöntemidir.

 

2

 

 

 

Makalemde her tarama yöntemi için tek tek ekran görüntüsü alıp gereksiz uzunluğa ulaştırmak istemiyorum. Onun yerine sonunda birkaç örnek ve koruma alındıktan sonraki ekran çıktılarını paylaşacağım.

 

 

 

Three-Way Handshake

TCP/IP tabanlı sistemlerde iki nokta arasında haberleşme başlamadan önce bu üç yollu haberleşmenin gerçekleşmesi gerekiyor.  Basit olarak bir bağlantının sağlanması için Kaynak adres hedef adrese SYN paketi yolluyor ve hedef adreste SYN paketi içindeki hedef port açıksa SYN + ACK paketi yolluyor. SYN + ACK paketini alan kaynak adresimiz ACK paketi ile cevap vererek bağlantının sağlandığı belirtiyor.

3

 

 

 

 

TWH da bağlantı sağlansa da TCP paket yapısında bazı flag’lar (Bayrak) vardır. Bunları da incelememizde fayda var çünkü tarama esnasında bu bayraklardan faydalanıcaz.

SYN:  TWH’i başlatmak için kullanılır

URG (Urgent Pointer):  Veri paketini öncelikli olarak işleme alınmasını sağlar

ACK (Acknowlegment): Paketin başarılı bir şekilde hedefe ulaştığını belirtir.

PSH(PSH):  URG gibi paket içinde öncelik belirlese de arasındaki tek fark data transefirinin başında veya sonunda kullanılır

RST(RESET): hedef ile bağlantı kurulamadığı zaman SYN+ACK paketi yerine gelen cevaptır.

FIN(Finish):  İletişim sonlandığı zaman gönderilen flag’dır

 

Bu kadar bilgilendirmeden sonra artık tarama işlemlerine başlayalım.

Port tarama işlemine geçmeden önce bunun için kullanabileceğiniz bazı tool’lar;

Nmap, Hping2/3, zenmap, netscan bunlarının yanı sıra daha birçok tool var fakat ençok kullanılan hangisi diye sorarsanız nmap listenin başında gelir.  Bu makalem tutarsa birdahakinde bu tool’lar ile detaylı işlemler yapmadan bahsedeceğim J

 

TCP Connect / Full Open Scan

Hedef host ile TWH kurduğu tarama yöntemidir. Saldırgan hedefe bağlantı soketleri açar ve  randow 1000 adet porta SYN paketi yollanır. Hedeften SYN+ACK paketi gelirse portun açık olduğunu anlar ve  ACK+RST yollayarak bağlantıyı keser. Port açık değilse hedef bilgisayar RST paketi yollar. Böylece saldırgan portun kapalı olduğunu anlar.

Bu taramanın dez avantajı hem yavaş olması hem de hedef sistemde kolayca farkedilmesidir.

 

sT_scan

 

 

Görüldüğü üzere “nmap –sT –v hedef_ip” komutu ile full open tarama yapabiliyoruz.

 

4sT_Check

Checkpoint tracker tarafında log çıktısını görebiliyoruz ve port taramalarına karşı şuan bir önlem almadığımız için saldırgana istediği bilgiyi temin ediyoruz J

 

Stealth Scan (Half Open Scan)

Bu tarama yöntemi ençok kullanılan tarama yöntemidir. Saldırgan, hedef sisteme sadece tek bir frame ile SYN paketi  yollar ve  hedef sistemdem SYN+ACK paketi gelirse portun açık olduğunu, RST  paketi gelirse portun kapalı olduğunu tespit eder.  Hedef sistem ile oturumu tam açmadığı için Half open Scan de denir.

Avantajı ise hem daha hızlı bir sonuç elde edersiniz hem de hedef sistemde loglanması Full scan’e göre daha zordur.

wireshark

 

Bu ekranda da wireshark ile hedef adreste saldırgana ait SYN paketlerini görebiliyoruz.

 

ACK, FIN, NULL, XMAS (-sA, -sF, -sN, -sX)

Günümüzde birçok basit firewall dediğimiz veya stateful inspection yapan advance firewall’lar SYN taramalarına karşı önlem almış bulunmakta, bu yüzden de farklı tarama yöntemleri  kullanılarak firewall sistemleri bypass edilmeye çalışılmaktadır. ACK,  FIN, NULL, XMAS taramalarda saldırgan hedef adrese farklı flag’ler ile paket gönderiyor  ve hedef makina windows ise kendi başlattığı bir session değilse saldırgana  cevap vermiyor (no response) fakat bu da portun açık olabileceğini gösteriyor. Port kapalı ise de direk olarak RST paketi yolluyor.  Burada ACK scan’in tek farkı saldırgan hedef adrese random ack/sequence numaraları ile paket üreterek yollar.

Evet kısaca port taraması nedir, nasıl kullanılır ve kısmen de çeşitlerine baktık. Bu alanı çok daha genişletebiliriz ve port taramalarını daha da detaylı açıklayabiliriz fakat bizim makalemizin konusu bu olmadığı için burada bu aşamayı tamamlıyoruz. Makalemizin diğer kısmında  Checkpoint üzerinde port taramalarına karşı alınacak önlemlere geçeceğim.

 

Bu makalemizin 2.aşamasında alınacak önlemlere geçeceğim.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*