3. @BGASecurity
Ağ Protokollerine Yönelik Adli Bilişim Analizi
BÖLÜM İÇERİĞİ
Ø TCP/IP 2. katmana yönelik adli bilişim analizi
Ø MAC adreslerinin kanıt olma durumu
Ø Kablosuz ağlarda MAC adresleri ve önemi
Ø ARP saldırıları ve önlemleri
Ø ArpON, Arpwatch yazılımları
Ø IP katmanında adli bilişim analizi
Ø Yerel ağlar ve Internet üzerinde IP adresleri
Ø IP adresleri ve sahiplerinin bulunması
Ø IP adreslerinin lokasyon bilgilerine ulaşma
Ø Sahte IP adresleriyle iletişim
Ø Sahte IP adreslerinin belirlenmesi ve engellenmesi
Ø TCP ve UDP katmanlarında adli bilişim analizi
Ø DNS protokolü üzerinde adli bilişim analizi
Ø DNS protokolü ve çalışma mantığı
Ø DNS hakkında bilgi toplama, dns sorguları
Ø Dns tünelleme yöntemleriyle veri transferi
Ø Socks proxyler ve dns sorguları
Ø Dns flood saldırıları ve incelemesi
Ø HTTP trafiği ve çalışma mantğı
Ø HTTP komutları, istek ve cevapları
BGA | Ağ Protokolleri
Ø HTTPS trafiği inceleme
Ø SSL, TLS incelemesi
Ø SSL trafiğinde araya girme, veri okuma
Ø SSL trafiği ve HTTP (HTTPS)
Ø HTTPS trafiğinde araya girme
Ø HTTP paketlerini ağda yakalama .
Ø URL saklama teknikleri
Ø Veri encoding ve decoding
Ø HTTP oturum yönetimi ve cookie mantığı
Ø Veritabanı ağ bağlantıları incelemesi
Ø Ağ üzerinde Mysql iletişimi
Ø Ağ üzerinde MsSQL iletişimi
Ø Ağ üzerinde Oracle iletişimi
Ø DHCP
Ø DHCP’nin adli bilişim açısından önemi
Ø Dhcp bilgisayara ait hangi bilgileri verir
Ø Dhcp logları analizi
Ø Dhcp kullanarak mitm saldırıları
Ø Wireless da dhcp vs ne olabilirse
5. @BGASecurity
MAC Adresi BGA | Ağ Protokolleri
• Bilgisayardaki ağ kartının biricik numarası
• Cep telefonlarındaki IMEI numarasına “benzer”
• Layer 2 için iletişim adresleri
• Yerel ağlarda iletişim MAC adresleri üzerinden gerçekleşir..
• 48 bitlik adreslerdir.
• 1 byte=8bit
• İlk üç byte üretilen firmayı gösterir.
• Kolaylıkla değiştirilebilir.
MAC= Media Access Control
Firma Bilgisi
6. @BGASecurity
Mac Adresi-II BGA | Ağ Protokolleri
• MAC adresleri 16’lık tabanda yazılır ve “:” veya “–” işareti ile ayrılarak gösterilir.
Ø 01-23-45-67-89-ab
• Özel MAC adresleri
Ø İlk bitleri 01 olan adr FF:FF:FF:FF:FF:FF adresi tüm cihazlara yayın yapmak (broadcast) için
kullanılır.
Ø Esler, Ethernet ve FDDI’de birçok cihaza yayın (multicast) amaçlı kullanılır.
9. @BGASecurity
MAC Adres Güvenilirliği BGA | Ağ Protokolleri
• “MAC adresleri ağ kartına gömülü olarak gelir ve değiştirilemez”
Ø MAC adresleri işletim sisteminden çıkarken özel bir yazılımla farklı gösterilebilir.
Ø Ağdaki diğer sistemler sizin göstermek istediğiniz MAC adresini bilecektir.
Ø Kısaca MAC adresleri yazılım kullanılarak değişik gösterilebilir.
• MAC adresleri tek başına güvenilir delil olarak kabul edilmemelidir.
10. @BGASecurity
BAŞLIK; SİBER SUÇ ANALİZİ
ALT BAŞLIK; CYBER FORENSİCS HİZMETİ
BGA | SOME Services
• Bir sistem iletişime geçmek istediği sistemin MAC adresini bilmek zorundadır.
Ø Yerel ağlarda,
Ø Internete erişirken gateway’in MAC adresi üzerinden iletişim kurulur.
• MAC adresi görüntüleme
Ø Linux sistemlerde MAC adresi ifconfig komutuyla görülebilir.
Ø Windows sistemlerde MAC adresi ipconfig komutuyla görülebilir.
• Linux/Windows sistemlerde iletişimdeki bir sisteme ait MAC adresi “arp- an” veya “arp –
a” komutuyla izlenebilir.
11. @BGASecurity
MAC Adresi Değiştirme BGA | Ağ Protokolleri
• MAC Spoofing olarak da adlandırılır
• Linux/UNIX/windows sistemlerde MAC adresleri basit yazılımlar aracılığıyla değiştirilebilir.
• Sistem yeniden başladığında MAC adresi eski haline dönecektir.
Ø Ek yazılımlarla sistem yeniden açıldığında sahte MAC adresleri otomatik olarak aldırılabilir.
14. @BGASecurity
MAC Adres Çakışması BGA | Ağ Protokolleri
• Bir ağda aynı mac adresine sahip iki sistem olursa
Ø Normal bir durum değil, mac spoofing yapılıyor olabilir.
Ø Trafiğin belirli bir oranı bir sisteme , belirli bir oranı diğer sisteme gider.
• Örnek uygulama
Ø Mac-changer
15. @BGASecurity
MAC Adresi Değişimi Nasıl Yakalanır BGA | Ağ Protokolleri
• Ortamda tüm trafiği izleyen bir sistem varsa
• Bir IP adresi birden fazla MAC adresiyle göründüğü zaman
• Veya bir IP adresi başka bir MAC adresiyle göründüğü zaman uyarı verebilir.
• Switch CAM tablosu loglarından
• IPS’lerin arp spoof yapanları yakalama yöntemi
Snort arp spoof detection örneği
18. @BGASecurity
Olay Çözümü BGA | Ağ Protokolleri
• Internet erişiminin kesildiği anları kapsayan zamanlar için Firewall/IPS sistemlerinin loglarının incelenmesi
§ Başka sistemleri incelemeye gerek var mı?
• Firewall üzerindeki loglardan bir anormallik çıkmaz
§ Sadece ilgili saatlerde Master firewall seitch etmiş gözüküyor!
• IPS logları incelendiğinde Firewall’a ait IP-MAC ikilisi değiştiği için IPS kuralı devreye girerek Firewall IP
adresini engellemiş.
• Neden?
21. @BGASecurity
Linux Sistemlerde Arp Spoofing Yakalama BGA | Ağ Protokolleri
• Linux/UNIX sistemlerin belleğine girmiş bir ARP kaydı değişirse aşağıdaki gibi bir uyarı verecektir.
• Bu uyarıdan ağ üzerinden birşeylerin normal gitmediği sonucu çıkarılabilir.
Ø Gateway(router) değiştiği için MAC adresi değişmiştir.
Ø Birileri Arp spoofing yapıyordur.
22. @BGASecurity
MAC Adresinden Yakalanan Hacker BGA | Ağ Protokolleri
• Yer:Newyork havalimanı
• Kurban yaşlı bir çift
• Saldırgan 19 yaşında James …
• Saldırgan MITM saldırısı yaparak kurbana ait kredi kartı bilgilerini çalmış ve işlem yapmıştır.
• Bir ay sonra saldırgan Kazakistan’daki evinde olaydan suçlu bulunarak yakalanmıştır.
• Nasıl?
23. @BGASecurity
MAC Adersinden Yakalanan Hacker-II BGA | Ağ Protokolleri
• Saldırgan MAC adresini değiştirmemiştir.
• Wireless AP’nin loglarını inceleyen adli bilişim ekibi MITM saldırısına ait bir log satırı yakalamıştır.
Ø Bir IP adresi birden fazla MAC adresinde gözükmüştür.
Ø Arp-reply 192.168.1.1 at 0:22:33:44:55:66
• MAC adresinden üretici firmaya, ordan ülkeye, ülkeden laptopın kime satıldığına ulaşılmıştır.
25. @BGASecurity
Address Resolution Protocol(ARP) BGA | Ağ Protokolleri
• Yerel ağlarda iki hostun birbiri ile anlaşabilmesi için kullanılan protokoldür.(RFC 826)
• İki host birbiri ile iletişime geçmeden önce birbirlerinin IP adreslerini bilmek zorundadır.
Ø IP adresini bilenlerin iletişime geçebilmesi için MAC adreslerini edinme zorunluluğu vardır.
• TCP/IP İletişiminde en önemli(?) protokoldür
• Ipv6 ‘da ARP yerine benzeri işlevi yerine getiren Neighbor Discovery Protocol (NDP) geliyor.
• ARP iki işlemli bir süreçtir.
Ø ARP Request
Ø ARP Reply
• Gratious ARP Paketleri
28. @BGASecurity
ARP Paket Çeşitleri BGA | Ağ Protokolleri
• 4 cesit ARP mesajı vardır
• ARP request : IP Adresine ait donanım adresi (MAC adresi) sorgulamak için kullanılır.
10:09:20.356809 arp who-has 12.16.6.17 tell 12.16.6.185
ARP reply : Belirtilen Ip adresine uyan donanım adresini döndürür.
10:09:20.356809 arp reply 12.16.6.17 is-at 0:80:c8:f8:5c:73
RARP request: Belirli bir MAC adresi için IP adresi sorgulaması için kullanılır .
RARP reply : Belirli MAC adresi için IP adresi cevabı döndürür.
• Gratious ARP Paketleri
33. @BGASecurity
Kablosuz Ağlarda ARP BGA | Ağ Protokolleri
• Kablosuz ağlarda istemcinin durumu
Ø Managed Mod:Ağa bağlıdır, klasik L2 ortamı
Ø Monitor mode: Ağa bağlı değildir, ilgili kanalı izler ve şifrelenmemiş verileri görür.
• MAC adresi filtrelemesini aşma
Ø Monitor modda trafik dinlenir.
Ø Yetkili bir mac adresi öğrenilir ve o MAC adresi üzerine alınır.
Ø Aynı MAC adresine sahip diğer istemcinin durumu?
• Bağlı Kullanıcılara yanlış ARP kayıtları göndererek DOS’a maruz bırakma
35. @BGASecurity
Internet Protocol BGA | Ağ Protokolleri
• Internetin temel yapıtaşı
• Güncel IP sürümü:v4
• Yakın gelecekteki IP sürümü:v6
Ø V5 Lab ortamında denendi.
• Ağlar arası yönlendirme işlemini yapar.
• Hata kontrol mekanizması yoktur.
• Gönderici ve alıcı arasında bir kimlik doğrulama işlemi yoktur.
39. @BGASecurity
IP Adresi-II BGA | Ağ Protokolleri
• Internet servis sağlayıcılar tarafından atanır.
Ø Kendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız!
• Internette IP adresleri tektir(uniq)
• NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip adresine
sahip olmak gerekir.
40. @BGASecurity
Yerel Ağ ve Internet IP Adresleri BGA | Ağ Protokolleri
• Public, private ip adresleri olarak da sınıflandırılabilir.
• Bazı IP adresleri özel amaçlı kullanım için ayırılmıştır.
• Özel amaçlı IP adresleri routerlar üzerinden yönlendirilmediği için internette hedef olarak
kullanılamaz.
Ø Kaynak ip olarak kullanılabilir
Ø Kaynak ip adresi 192.168.1.1 gibi
Ø Bu ip adresi ile giden bir pakete cevap dönemez!
43. @BGASecurity
Alt Ağ Maskesi BGA | Ağ Protokolleri
• Ağdaki bir cihazın hangi ağa sahip olduğu nasıl anlaşılır?
Ø Subnet mask (alt ağ maskesi) değeri kullanır.
• IP adresi ile subnet mask değerini lojik AND işlemine tabii tutarak kendi Netvvork ID'sini bulur.
• Böylece hedef sistemle aynı ağda olup olmadığını anlar.
Ø Aynı ağda ise paketi doğrudan göndermek için ARP sorgusu yapar.
Ø Farklı ağda ise yönlendirme tablosuna başvurur.
45. @BGASecurity
NAT Kavramı BGA | Ağ Protokolleri
• Network Address Translation
• Birden fazla sistemin tek bir IP adresini kullanarak internete çıkması
Ø Ipv4 yetersizliği
Ø Güvenlik
• Network forensics çalışmalarında sıkıntı sebebi
• Suçu işleyen IP adresi tek, arkada 100 kişi o ip adresini kullanıyor
Ø Suçlu kim?
47. @BGASecurity
NAT Tablosu BGA | Ağ Protokolleri
• Belirli zaman diliminde hangi iç IP adresinin hangi hedefe hangi port üzerinden bağlanmaya çalıştığının
kaydının tutar.
• NAT tablosu olmadan 5651 sayılı kanunun bazı maddeleri işe yaramaz.
48. @BGASecurity
IP Adres Sahibinin Bulunması BGA | Ağ Protokolleri
• IP adresleri kurumlara kiralanır
• Whois sorgularıyla IP adresi sahiplerine ait çeşitli bilgiler elde edilebilir.
Ø Sorumlu şahıs ismi, hangi firmaya ait olduğu, hangi ülkede, hangi il/bölgede olduğu vs.
• Whois sorguları hem web üzerinden hem de Linux komut satırından gerçekleştirilebilir.
• Whois sorgularında IP adresinin ait olduğu ağ bilgisi de gözükür.
53. @BGASecurity
Ülke IP Blokları Ne İşe Yarar? BGA | Ağ Protokolleri
• Yakın gelecekte siber savaşlarda ülke ip adresleri önem kazanacak
Ø Estonya siber savaş örneğinde kullanıldı
Ø Mavi Marmara olayında İsrail, Türkiye IP bloklarını engelledi.
Ø Firewal/IPS ürünleri ülke bazında ip engelleme özelliğini eklemeye başladı.
• IP adreslerinin spoof edilebiliyor olması bu korumayı amaçsız kılabilir.
54. @BGASecurity
IP Dolaşımı BGA | Ağ Protokolleri
• IP adresleri routerlar tarafından yönlendirilerek hedefe ulaştırılır.
• IP paketini alan her router TTL değerini bir düşürerek bir sonraki routera iletir.
• Traceroute komutuyla bir IP hedefine giderken ara geçitler belirlenebilir.
55. @BGASecurity
Traceroute BGA | Ağ Protokolleri
• Bazı durumlarda şirketler güvenlik amaçlı olarak trace paketlerine(ICMP/UDP) kapalı olurlar.
• Birileri L3 seviyesinde trafiğinizi dinliyorsa trace çalışmalarında ortaya çıkabilir.
57. @BGASecurity
Trace Çalışmalarından Saklanma BGA | Ağ Protokolleri
• Ara cihazlar kendisini trace çalışmalarından saklayabilir.
Ø ICMP paketleri(TTL expired) dönmeyerek
Ø Gelen paketlerin TTL değerlerini tekrar düzenleyerek
Ø Belirli TTL değerinden düşük paketleri DROP ederek.
v Trace çalışmalarında TTL değerleri küçük olur.
58. @BGASecurity
IP Spoofing BGA | Ağ Protokolleri
• Ne anlama gelir?
Ø Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme.
Ø Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir.
Ø Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması
imkansızdır.
• Proxy üzerinden ip değiştirme ip spoofing değildir
Ø Ücretsiz proxy hizmetleri üzerinden paket gönderimi
59. @BGASecurity
IP Spoofing BGA | Ağ Protokolleri
• Ne anlama gelir?
Ø Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme.
Ø Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir.
Ø Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak
çalışması imkansızdır.
• Proxy üzerinden ip değiştirme ip spoofing değildir
Ø Ücretsiz proxy hizmetleri üzerinden paket gönderimi
60. @BGASecurity
Hping IP Spoof Örneği BGA | Ağ Protokolleri
# hping -S -p 80 -a www.microsoft.com www.linux.com
HPING www.linux.com (bge0 140.211.167.55): S set, 40 headers + 0 data bytes
^C
--- www.linux.com hping statistic ---
3 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
• Hping:TCP/IP paket üreteci
Ø İstenilen türde paket üretmeye yarar.
Ø Stateless paketler üretebilir(SMTP bağlantısı kuramaz, sadece SYN paketi vs gönderebilir)
• Hping –a parametresi kullanılarak gönderilecek paketlerin istenilen bir IP adresinden çıkması sağlanabilir.
61. @BGASecurity
IP Spoofing BGA | Ağ Protokolleri
• UDP stateless bir protokol olduğu için UDP kullanan tüm sistemlerde IP spoofing yapılabilir.
Ø Kontrolü geliştirici sağlamak zorunda
• TCP statefull bir protokol olduğu için IP spoofing yapmak UDP kadar kolay değildir.
Ø Teorik olarak mümkün, pratik olarak günümüzde mümkün değildir.
Ø Nedeni ISN olarak adlandırılan sıra numaralarının tahmin zorluğu
63. @BGASecurity
ISN Tahmini BGA | Ağ Protokolleri
• ISN=Initial Sequence Number
• TCP için geçerli bir değerdir.
• TCP iletişiminde IP spoofing yapılıp yapılamayacağını belirler.
• SYN paketlerinde görülür.
• SYN paketi gönderen sistem dönecek ACK paketinde ISN+1 değerini bekler.
• Günümüz sistemlerinde tahmin edilemez şekilde random üretilir.
65. @BGASecurity
NAT Kullanılan Ortamlarda IP Spoofing BGA | Ağ Protokolleri
• NAT yapan sistem spoof edilmiş tüm IP paketlerini
Ø Tek bir IP Adresi olarak dışarı çıkarabilir
Ø Doğrudan paketleri düşürebilir.
• Türkiye’deki BotNet’lerin kolay belirlenmesinin en temel nedeni ADSL modemlerin default olarak NAT
modunda çalışması ve DDoS saldırılarında kullanılacak sahte iplere izin vermemesi.
66. @BGASecurity
Firewallarda IP Spoof Engelleme BGA | Ağ Protokolleri
• Internetten gelecek paketlerde IP spoof kontrolü ve engellemesi yapılamaz!
Ø Internetten her tür paket gelebilir
Ø 192.168., 172.16, 10.’lu blok ve iç ağ bloklarında kullanılan ip blokları engellenebilir.
• Sadece Firewallun koruduğu iç bacaklarda yapılabilir.
• Temel mantık
Ø Firewall arkasında olmayan bir IP adresinden gelen isteklerin drop edilmesi şeklindedir.
Ø Çeşitleri vardır.
68. @BGASecurity
Internet Paketleri İçin IP Spoofing Kontrolü BGA | Ağ Protokolleri
• TCP için:
• Üçlü el sıkışmayı tamamlamayan sistemler gerçek IP adresi değildir.
• UDP için:
• Kesin bir yöntem yoktur.
• Genellikle Ddos engelleme sistemleri ilk UDP paketini drop eder, aynı kaynaktan gelecek ikinci UDP
paketini kabul eder.
• Bunun temelinde yatan mantık spoof edilmişse paket aynı paket ikinci kez gelmeyecektir.
• Gerçek bir sistemde paketin aynısı tekrar gönderilecektir.
70. @BGASecurity
IP Saklama Amaçlı Proxy Kullanımı BGA | Ağ Protokolleri
• IP saklamanın iki yolundan biri proxy kullanımıdır.
Ø Diğeri IP spoofing
• Proxy sistemler aldıkları paketlerin ip adresleri ne olursa olsun gizleyerek hedefe kendi ip
adreslerinden geliyormuş gibi gösterirler.
• Zaman zaman medyada çeşitli ülkeler üzerinden işlenmiş gibi gösterilen suçların temelinde proxy
kavramı yatmaktadır.
Ø X videoları Kanada’dan yüklenmiş! Gibi.
73. @BGASecurity
Ücretsiz Anonim Proxy Hizmetleri BGA | Ağ Protokolleri
• Internet üzerinde hizmet veren binlerce ücretsiz anonim proxy hizmeti bulunmaktadır.
• Bu hizmetlerden bazıları ülke bazında özelleştirilmiş hizmet sunmaktadır.
Ø Proxy servisini kulanırken hangi ülkeden çıkış yapılacağı belirtilerek tüm trafiğin ilgili ülkeden çıkması
ve sunucularda o ülkeden geliyormuş gibi gösterilmesi sağlanabilir.
79. @BGASecurity
Proxy Arkasındaki Gerçek IP Bulma BGA | Ağ Protokolleri
• Cookie:
Ø Sunucuya daha önce bağlanmışsanız IP adresi ve cookie bilgisini saklamış olabilir.
Ø Farklı bir IP adresinden bağlandığınızda Proxy kullandığınız konusunda bilgi verebilir.
• Java
Ø Java doğrudan interneti kullanacak şekilde yapılandırılmışsa girilen sayfadaki java uygulaması
doğrudan bağlantı kurmaya çalışıp IP adresini gösterecektir.
• DNS istekleri
Ø DNS istekleri proxy üzerinden gitmeyebilir.
Ø SSH tünelleme örneği
89. @BGASecurity
UDP’ye Genel Bakış BGA | Ağ Protokolleri
• Gönder ve UNUT!
• Connectionless
Ø Sıra numarası kavramı yok
Ø Handshake yok
Ø Onay mekanizması yok
Ø Akış kontrolü yok.
Ø Hata kurtarma mekanizması yok!
• Zaman aşımı ve gelen cevaplara göre çalışır.
97. @BGASecurity
UDP Oturumu BGA | Ağ Protokolleri
• UDP stateless olduğuna göre Firewall, IPS nasıl state(oturum) tutar?
Ø Zamana bağlı , ve port numaralarına bağlı
• TCP’de sıra numarası-onay numarası vardır. UDP’de bu tip özellikler yoktur.
• Bu sebeple UDP oturumu tam bir oturum olarak görülmez.
99. @BGASecurity
UDP Flood Saldırısı BGA | Ağ Protokolleri
• Amaç hedef sistemin oturum tablosunu şişirme
Ø Kaynak IP:Random Spoof edilmiş
Ø Kaynak Port: Random
Ø Hedef IP: DNS Sunucusu
Ø Hedef Port:53
Ø Gönderilecek paket 50.ooo pps
• Hping –rand_source –p 53 –udp 192.168.2.1 - -flood
104. @BGASecurity
Initial Sequence Number (ISN) BGA | Ağ Protokolleri
• 32-bitdir
• 3’lü el sıkışmada ilk SYN paketinde ve ikinci SYN paketinde kullanılır
Ø Bu değerin tahmin edilebilir olması TCP hijacking saldırılarına yol açabilir
• Günümüz işletim sistemlerinde bu değer tahmin edilemeyecek* şekilde üretilir
Ø Tahmin edilmesi güçleştirilmiş random değerler.
113. @BGASecurity
RFC’ye Göre TCP Port Durumları BGA | Ağ Protokolleri
• Port açık ise
Ø SYN gönderilen pakete SYN/ACK cevabı döner
• Port Kapalı ise
Ø SYN paketin karşılık RST bayraklı paket döner
• Açık porta FIN/RST gönderilebilir?
• Firewall vs olma durumuna göre değişebilir.
• Port tarama programları TFC uyumlu çalışır.
116. @BGASecurity
Syn Flood Saldırıları-II BGA | Ağ Protokolleri
• Syn flood saldırılarında temel problem gelen her SYN paketi için belleke yer ayrılması
• Bellek alanı kısıtlıdır
• Gelen paketleri için ayrılan bellek alanı taşınca işletim sistemi cevap veremez hale gelecektir(network
işlemlerine cevap veremez)
• Bir SYN paketi boyutu?
• 2Mb hatta sahip olan birinin yapacağı SYN flood etkisi?
• SYN paketleri kaç saniye bekletilir bellekte(Aradaki firewall cihazlarda)
118. @BGASecurity
DHCP BGA | Ağ Protokolleri
• Dynamic Host Configuration Protocol(RFC 2131)
• DHCP ağdaki istemcilerin ağ ayarlarını otomatik almalarını sağlayan protokoldür.
• Otomatik Ağ Ayarları;
Ø IP Adresi
Ø Alt Ağ maskesi
Ø DNS sunucu
Ø Varsayılan Ağ geçidi
Ø Proxy adresi...
• UDP Tabanlı “broadcast” çalışan Protokol
• Hangi Portlardan Çalışır?
126. @BGASecurity
DHCP’nin Adli Bilişim Açısından Önemi BGA | Ağ Protokolleri
• Yerel ve kablosuz ağlarda hangi kullanıcının hangi zaman aralığında hangi IP adresini
kullandığı bilgisi DHCP üzerinden alınabilir.
• Ek olarak DHCP istekleri sırasında istemcileri bilgisayar adlarını da DHCP sunucuya
gönderirler.
127. @BGASecurity
Alan Adı Alım Süreci BGA | Ağ Protokolleri
• Alan adı çalışma mantığı
Ø Alan adları kiralanır
Ø Alınmak istenen alan adı boş ise registrar bir firmaya başvurularak talep gönderilir.
Ø Gerekli ödeme işlemleri yapıldıktan sonra registrar firma ilgili alan adının DNS sunucularını alıcının
isteğine göre değiştirir.
• Alıcı DNS sunucusunda kayıtlar girerek alan adını dünya ile tanıştırır.
128. @BGASecurity
Alan Adı Güvenliği BGA | Ağ Protokolleri
• Alan adlarının güvenliği registrar firma kadar güvenlidir.
• Alan adlarının güvenliği alıcının e-posta adresi kadar güvenlidir.
Ø E-posta adresinize gönderilecek parola resetleme özelliğiyle hesabınıza girilebilir.
• Alan adlarının güvenliği registrar firmanın işleyişi kadar güvenlidir.
Ø Faks göndererek alan adının sahibinin değiştirilmesi!
130. @BGASecurity
Domain Sahibi Gizleme BGA | Ağ Protokolleri
• Sahib gizleme özellikleri
• Sahibi gizlenen bir domainin sahibi nasıl bulunabilir?
• www.guvenlikegitimleri.com örneği -> Nereden alınmış (Hangi registrar firmadan)
Ø Parola unuttum seçeneği
Ø Domainin sahibi olan mail adresi alınır ve Google’dan araştırılır
• Eğer kullanılan mail adresi gmail, yahoo gibi generic ise sonuç çıkmayabilir.
135. @BGASecurity
DNS Tarihçesi BGA | Ağ Protokolleri
• 1970 Arpanet
Ø SRI-NIC tarafından merkezi bir makinede Host.txt dosyası tutulurdu
Ø Bu dosyanın yönetimi ve talep eden sistemlerin yoğunluğu artmaya başladıkca problemler çıktı
• 1983 yılında Paul Mockapetris tarafından tasarlandı
• İlk RFC numaraları1034, 1035
150. @BGASecurity
DNS Cache BGA | Ağ Protokolleri
• DNS cevapları sorgulayan taraflar tarafından belirli süreliğine hatırlanmak üzere kaydedilir.
• TTL değeri alan adının sahibi tarafından belirlenir.
• TTL değerinin düşük o lması
Ø Daha sık DNS sorgusu gerektirir
Ø DNS sunucuyu yorar
• TTL değerinin yüksek olması
Ø Daha az DNS sorgusu gerektirir, dns sunucuyu fazla yormaz
Ø IP adresine ulaşılamayan durumlarda veya ip değişikliği durumlarında sisteme erişim sağlanmaz.
• Olumsuz cevaplar da kaydedilir
Ø Olmayan domainlere yapılacak sorgulamalarda zaman kaybı olmasın diye
• DDoS saldırılarında oldukça faydalı olabilir
155. @BGASecurity
HTTP Nasıl Çalışır BGA | Ağ Protokolleri
• Http’nin istemci-sunucu mantığıyla çalışan basit bir yapısı vardır.
• Önce TCP bağlantısı açılır.
Ø kullanıcı istek(HTTP isteği) gönderir
Ø sunucu da buna uygun cevap döner
• TCP bağlantısı kapatılır.
• İstemci tarafından gönderilen istekler birbirinden bağımsızdır ve normalde her HTTP isteği için bir TCP
bağlantısı gerekir.
163. @BGASecurity
5651 Sayılı Kanun ve Post Detayları BGA | Ağ Protokolleri
• 5651 sayılı kanunda web sunuculara gönderilen POST isteklerinin detayı istenmektedir.
• Web sunucular POST isteklerinin detaylarını tutmazlar.
Ø Çözüm?
Ø Web sunucuların POST isteklerini tutacak şekilde yapılandırılması
Ø Ara bir cihazın trafik içerisinde geçen POST isteklerini yakalayarak loglaması
175. @BGASecurity
IP Spoofing BGA | Ağ Protokolleri
• Sunucudan istemciye
Ø Set-Cookie: cookie-value
• Her bir cookie’nin temel özellikleri
Ø Yaşam süresi
Ø Hangi domainleri kapsayacağı
Ø Güvenli kanal tercih bağrağı(secure)
• Cookie: S=gmail=SKhUnKrOL1qX2d3mZGuZIA:gmproxy=_RVSue6BlhlZhLCzT5ETpw:gmproxy_yj=9-
FxZev2XnQ3jGidvLCIyw; GX=DQAAAGwAAAC3ULwe5H62Qa0kz-eWdh8x1HeC9-biHP2SL8qEPzXw1
vM5cwMeRKiY1onJMtdnL5SBn__GoGNWGaMVtEp8cPlFa9_zzTCAMb0HUXoWN9-
IIKrivJ338GhSCybV5xdJHKwCs7So-ZBnXp9iVs; GMAIL_AT=xn3j30udnr5tnkswsosogrecwhekyu;
GMAIL_STAT_9418=/S:v=2&a=i&ev=tl&t=1797&e=m%3D0%2Cr%3D47%2Cj%3D188%2Cjl%3D532%2Cs
%3D547%2Ci%3D547&lo=1237620777656%2F1237620781546%2F1237620783343&r=1&rn=47;
gmailchat=depo.bilgi@gmail.com/976887; jid=depo.bilgi@gmail.com/97
179. @BGASecurity
Ne Sağlar? BGA | Ağ Protokolleri
• İki uç (İstemci ile sunucu) arasındaki veri iletişiminin gizliliğini sağlar.
• İstemcinin sunucu kimliğini onaylamasını,
• Sunucunun istemci kimliğini onaylamasını sağlar.
181. @BGASecurity
SSL BGA | Ağ Protokolleri
• Secure Sockets Layer (SSL)
• Temelleri Netscape firması tarafından 1994 yılında atılan SSL aynı yılda ticari olarak piyasaya sürüldü
ve bir sonraki yıl IETF tarafından standart olarak kabul edildi.
• Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.
• İlk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP tabanlı tüm
servisleri şifreleme amaçlı kullanılmakta.
186. @BGASecurity
Şifreleme Algoritmaları BGA | Ağ Protokolleri
• SSL/TLS detaylarını anlamak için şarttır.
• Simetrik ve asimetrik olmak üzere iki çeşittir.
• Simetrik anahtarlı şifreleme algoritmaları:
Ø Veriyi şifrelemek ve şifreli veriden orjinal veriyi elde etmek için aynı anahtar kullanılır.
• Anahtar değişim problemi vardır, ortak anahtar nasıl iki tarafa ulaştırılacak?
187. @BGASecurity
Asimetrik(Açık Anahtarlı Şifreleme) Algoritmalar BGA | Ağ Protokolleri
• Bu tip algoritmalarda veriyi şifrelemek ve çözmek için iki farklı anahtar kullanılır.
Ø Veriyi şifrelemek için bir anahtar(public key), çözmek için diğer anahtar(private) kullanılır.
• Benim public anahtarım kullanılarak şifrelenmiş bir veri ancak benim private anahtarım kullanılarak
çözülebilir.
• Bu sebeple asimetrik algoritmalarda açık anahtar(public key) dağıtılır, gizli anahtar(private key)
saklanır.
188. @BGASecurity
Sertifikalar BGA | Ağ Protokolleri
• Sayısal imzaları kullanarak bir verinin gerçekten beklenen kişi tarafından gönderildiği ve iletim
esnasında değişikliğe uğramadığını anlayabiliriz peki gönderilen verinin gerçekten beklediğimiz
insana ulaştığından nasıl emin olabiliriz?
Ø Açık anahtarını kullanarak verileri şifrelediğimiz kişi gerçekte düşündüğümü kişi midir?
• Sertifika basitce kişi/kurumun açık anahtarının yetkili bir sertifika otoritesi tarafından imzalanmış
halidir.
191. @BGASecurity
Sertifika Otoritesi BGA | Ağ Protokolleri
• Sertifika isteğinde bulunan şahıs/kurumların gerçekte belirttikleri kişiler/kurumlar olduklarını(bunun
yanında belirtilen diğer hususları da) doğrulayan ve onaylayan kurumdur.
Ø Verisign, Globalsign gibi..
• Her iki tarafta ortak güvenilen bir sertifika otoritesi tarafından imzalanmış sertifika kullanıyorsa
birbirlerinin public keylerine güvenebilirler.
194. @BGASecurity
Sanal Host ve SSL BGA | Ağ Protokolleri
• Neden name-based sanal host tanımlarında SSL kullanırken her host başına bir IP gerekiyor?
• İsim tabanlı sanal host kavramı (name-based virtual hosting) bir IP üzerinden birden fazla hostu sunma
amaçlı kullanılan bilindik bir yöntem.
• Fakat bu yöntem eğer host edilen sunucularda SSL kullanılacaksa işe yaramaz
• Neden?
195. @BGASecurity
Sanal Host ve SSL-II BGA | Ağ Protokolleri
• Bir IP uzerinden birden fazla host sunma Http isteklerinde taşınan Host başlığına bağlıdır.
• Bir http isteği oluşturulduğunda host başlığı hedef IP adresindeki hangi hostu istediğini belirtir.
• Web sunucuya gelen istek Apache(ya da baska bir web sunucu) tarafından yorumlanarak uygun site
kullanıcıya gösterilir.
196. @BGASecurity
Sanal Host ve SSL-III BGA | Ağ Protokolleri
• SSL destekli bir web sunucuda bir hosta gelen HTTPS isteğinde Host headeri şifreli olarak geleceği
için(OSI katmaninda SSL HTTP'den once, yani http istekleri sifrelenmis oldugu icin) web sunucu Host
alanını okuyamaz ve o alan adına özel işlemler gerçekleştiremez.
• Dolayısıyla istenilen siteyi gösteremez. Bu sebepten ötürü virtual host ile birlikte SSL kullanılmaz,
bunun yerine Ip tabanlı sanal host kullanılmalıdır.
• Ya da
Ø TLS 1.1 (RFC4366) ile gelen client_hello_extension:server_name=cnn.com özelliği kullanılmalıdır .
206. @BGASecurity
HTTP HTTPS Upgrade BGA | Ağ Protokolleri
• Common use pattern:
• browse site over HTTP; move to HTTPS for checkout
• connect to bank over HTTP; move to HTTPS for login
• Easy attack: prevent the upgrade (ssl_strip) [Moxie’08]
• <a href=https://…>Þ<a href=http://…>
• Location: https://... Þ Location: http://... (redirect)
• <form action=https://… >Þ <form action=http://…>
web
server
attacker
SSLHTTP