Hosting Ortamlarında Açık Kaynak Yazılımlar Kullanılarak Saldırı Tespiti ve Analizi

Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 E-‐Crime Turkey -‐ 2012

HosAng Ortamlarında Açık Kaynak Yazılımlar Kullanarak

Saldırı TespiA ve Analizi

Huzeyfe ÖNAL BGA Bilgi Güvenliği / Linux AKADEMİ

[email protected]

Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014

Huzeyfe ÖNAL •  Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA •  Penetra=on Tester •  Eğitmen

– Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ

•  Öğre=m Görevlisi Bilgi / Bahçeşehir Üniversitesi


Ajanda •  Siber dünya ve siber saldırılarda güncel durum •  Hos=ng firmalarını hedef alan siber saldırılar •  Savunma amaçlı kullanılabilecek açık kaynak güvenlik sistemleri


Siber Saldırı Sebepleri

•  Hacking – Kişisel tatmin ve eğlence için – Para için – Can sıkınVsı – Şantaj amaçlı – Kıskançlık ve aşırı kontrol sebebiyle – Bilgi ve sır çalmak maksadıyla – Poli=k gerekçelerle – Psikolojik harp aracı olarak kullanım maksatlı

4


Gelir Kapısı Olarak Siber Saldırılar •  Türkiye’den örnek:

– 600 firma – Firma başına 1500, 2000$ – Toplam gelir 900.000$ – Gider = 0+zaman – Yakalanma riski

•  Yok denecek kadar az…


Sık Gerçekleş=rilen Saldırı Tipleri •  Web Tabanlı Uygulamalara Yönelik Saldırılar

– Genellikle eski, unutulmuş sistemleri hedef alır

•  Parola Tahmini & Brute force Saldırıları – Login formu olan her uygulama ve network servisleri için

•  Son kullanıcılara yönelik saldırılar – Oltalama, sosyal mühendislik denemeleri, zararlı yazılım

•  DoS/DDoS Saldırıları – Yeni nesil amplifica=on saldırıları

•  APT Saldırıları – Hedef Odaklı Karmaşık Saldırılar


Saldırgan Bakış Açısı •  Tespit enği güvenlik zafiyetlerini tekil olarak düşünmez

•  Elde edilen her bilgi kırınVsı büyük hedefe götürecek bir parçadır

•  Hedefi büyüktür, azla ye=nmez J


Hacker ve Güvenlik Uzmanı Farkları •  Güvenlik uzmanları prosedürel hareket enği için hackerlara göre bir adım geriden gelir.

•  Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevk=r.

•  Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır!

•  Hackerların mesaisi , sayısı ve mo=vasyonu farklıdır... –  Siber dünyada gece gündüz kavramları yoktur

–  7/24 mesai yaparlar!


Açık Kaynak Bilgi Toplama Yöntemleri •  Tüm saldırganlar taraqndan sık tercih edilen bir yöntemdir.

•  İşini iyi bilen bir hacker herşeyden önce sağlam bir bilgi toplama adımı ile başlar

•  Google, Bing, Shodanhq gibi arama motorları, sosyal medya, botnet araçları ve pastebin gibi kaynaklar

•  Sadece açık kaynaklar kullanılarak ele geçirilebilecek ak=f sistem sayısı > 100.000

•  Google Hacking Database (GHDB) Kullanımı


Günlük Açıklık Takibi


Saldırı için Bilgi Kaynakları


Web Uygulama Güvenlik Zafiyetleri •  Genellikle iki =p web uygulaması kullanılmaktadır:

– Firma için özel olarak geliş=rilen kodları içeren uygulama – Hazır bir CMS/Blog/portal yazılımı kullanımı


Örnek Web Açıklığı:>SQL Injec=on •  En tehlikeli web açıklıklarının başında gelir •  Veritabanı bağlanVsı yapılan alanlarda kullanıcıdan alınan girdinin yeteri kadar kontrolden geçirilmeden veritabanına gönderilmesi sonucu oluşur.

•  SQLi kullanarak ; – Veritabanı bilgileri elde edilebilir, –  İşle=m sistemi ele geçirilebilir, – Dosya okuma, dosya yükleme gerçekleş=rilebilir, – …

•  Tespit ve otoma=ze etmek için birçok araç vardır – Sqlmap


Bilinen CMS Yazılımlarında Çıkan Açıklar


Parola Tahmin Saldırısı Adımları •  Telnet, |p, ssh ve benzeri protokoller için sık kullanılan kullanıcı adı ve parola denemeleri gerçekleş=rilir.

•  Amaç hedef odaklı bir saldırıdan ziyade sürümden kazanmakVr.

•  Tamamen otoma=ze edilebildiği için saldırganın fazla zamanını almaz – Fail2ban vs gibi yazilimlar kullanarak bu =p saldırılar büyük oranda engellenebilir.


Yöne=m Paneli Zafiyetleri


DoS / DDoS Saldırıları •  Günümüz dünyasının en ciddi tehditlerinden biri DDoS saldırılarıdır. – AbarV mı gerçek mi?

•  DDoS saldırılarında amaç hedef sistemin ulaşılamaz hale ge=rilmesidir – “Ya benimsin ya kara toprağın” misali…

•  Diğer saldırı =plerine göre gerçekleş=rmesi çok kolay korunması bir o oranda zordur.

•  Günlük 50-‐100$ vererek Türkiye’de devre dışı bırakılamayacak web sitesi yok denecek kadar azdır.


DDoS Saldırıları Neden Ar�? •  Temel Sebep : Güvenlik sistemlerinin artması hacking saldırılarının başarı oranını düşürmektedir.

•  Amaç medyaya siber saldırı konusunda haber yapVrmak olunca en etkili saldırı yöntemi DDoS olmaktadır.

•  Sadece Türkiye’de değil tüm dünyada ddos saldırıları ciddi oranlarda artmışVr.

•  Bazı saldırıların arkasında DDoS engelleme hizmet sağlayıcıları ve ürün geliş=ricileri bulunabilmektedir.


15 Yaşında Bir Tehdit…


ISP’nin DDoS’a Cevabı


Hos=ng Ortamlarında Güvenliği Sağlama •  Çok sayıda sistem olması nedeniyle klasik güvenlik önlemleri hos=ng ortamları için uygulanabilir değil –  1 site ile 100000 siteyi korumak/izlemek…

•  Proak=f güvenlik şart –  Con=nuous Security Monitoring –  Con=nuous Security Scan

•  Koruma ve savunma amaçlı kullanılacak sistemlerin olabildiğince merkezileş=rilmesi gerekir.

•  Müşterileri olabildiğince birbirinden yalıtmak ortaya çıkacak problemleri baştan çözmek için ilk adım olmalı –  Linux/BSD Jail kullanımı


İşle=m Sistemi ve Uygulamaları Tarama •  Ağ servisleri ve işle=m sistemi güvenlik taramaları

– OpenVAS – Nmap NSE

•  Web Açıklıklarını Tarama – Netsparker – W3Af


DDoS Saldırıları için Güvenlik Duvarı •  DDoS saldırılarında temelde iki problem vardır:

– Saldıranın bant genişliğinin sizin sahip olduğunuz bant genişliğinden fazla olması

– Ağ altyapınızda kullanılan sistemlerin bant genişliği haricinde kapasite (eş zamanlı istek sayısı limi= v.s) problemi olmaktadır.

•  İyi bir donanım üzerinde ayarları iyi yapılmış açık kaynak Packet Filter (+/pfsense) kullanarak gelebilecek ddos saldırılarının birçoğu engellenebilir.

•  Saldırıların büyük çoğunluğu bant genişliği taşırma şeklinde gerçekleşmez.


OpenBSD Packet Filter •  *BSD dünyasının standart güvenlik duvarı yazılımı •  Piyasadaki tüm =cari-‐açık kod güvenlik duvarlarının teknik kabiliyetlerinin üzerindedir – 1000Mb hat %13 CPU kullanımı (1.000.000 session)

•  Kullanımı iptables’a göre oldukça esnek ve kolaydır –  İngilizce yazar gibi kural yazma kolaylığı – Pass in on $ext_if proto tcp from 1.1.1.1 to 1.1.1.2 port 80


Packet Filter Firewall Özellikleri •  IP başına session başına limit koyma özelliği •  SYN Proxy özelliği

– TCP authen=ca=on özelliği •  HA(Yüksek bulunurluk) özelliği •  Anormal paketleri (port tarama, işle=m sistemi saptama, traceroute vs) engelleme özelliği

•  Birden fazla ISP arasında yük dengeleme özelliği •  Ülkeye göre kural yazma esnekliği


State Tablosu Belirleme •  Toplamda kaç adet session(durum) tutulacağını belirler – Fiziksel ram miktarıyla doğru oranVlıdır – set limit states 10500000

•  Kaç adet kaynak IP adresine ait bilgi tutulacağını belirler – set limit src-‐nodes 5000000


Syn Flood Engelleme •  Packet Filter syn flood engelleme yöntemlerinden syn cookie değil syn proxy’i kullanır

•  Syn proxy sesssion tu�uğu için sistemdeki fiziksel ram miktarı önemlidir

pass in log(all) on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy

state


HTTP GET/POST Flood Engelleme •  HTTP GET/POST flood saldırılarında IP spoofing yapılamaz

•  Saldırının başarılı olması için binlerce IP adresinden onlarca HTTP GET pake= gönderilmelidir

•  OpenBSD PF kullanarak bir IP adresinden eş zamanlı veya belirli süree gelebilecek paket sayısını kısıtlayabiliriz – Rate limi=ng özelliği

•  Belirli seviyenin üzerinde paket gönderenler engellenir!


Packet Filter HTTP Flood Engelleme

pass in log(all) quick on $ext_if proto tcp\ to $web_server port {80 443} flags S/SA\

synproxy state (max-‐src-‐conn 400, max-‐src-‐conn-‐rate 90/3, overload <ddos_host> flush global)


Rate Limi=ng •  IP başına max bağlanV sayısını 100 ile limitle •  IP başına saniyede gönderilecek paket sayısını 10 ile limitle •  Bu kurallara uymayan IP adreslerini ddos tablosuna ekle •  Bu kural taraqndan oluşturulan state tablosunu boşalt!

table <ddos> persistblock in quick from <ddos>pass in on $ext_if proto tcp to $web_server \ port 80 flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 50/5, overload <ddos> flush)


TCP Authen=ca=on •  Rate limi=ng uygulamalarının en önemli problemi IP spoofingdir

•  Akıllı bir saldırgan rate limi=ng yapan bir sistemi spoof edilmiş IP adresleriyle kandırarak

•  İstediği IP adreslerini engelletebilir –  Root dns sunucular, Türkiye IP blokları vs

•  OpenBSD PF TCP bağlanVları için rate limi=ng yapmadan önce IP adresinin gerçek olup olmadığını belirler!

•  IP adresi gerçek değilse syn proxy’den geri döner •  IP adresi gerçekse rate limi=ng özellikleri devreye alınır


Grey Lis=ng Özelliği •  SPAM engelleme için kullanılan bir özellik=r

– Genellikle SMTP için kullanılır

•  Amaç spam gönderen ve normal kullanıcıları ayırt etmek=r – Spam gönderenler bir kere maili gönderir mail sunucudan dönecek cevaba bakmaz

– Normal smtp bağlanVlarında smtp bağlanVsı kurulur mail gönderilir eğer bir hata dönerse sunucudan belirli müddet sonra tekrar gönderilir!

•  Spamleri ek bir sisteme ih=yaç duymadan %70 oranında engelleyebilmektedir.


Packet Filter GrayLis=ng

ext_if="fxp0"table <spamd-white> persistrdr pass on $ext_if proto tcp from !<spamd-white> to port smtp -> 127.0.0.1 port spamd

pf=YES spamd_flags="-‐v -‐G 5:4:864" spamd_grey=YES


Ülkelere Göre IP Adresi Engelleme •  Özellikle spoof edilmeiş IP kullanılan saldırılarda trafik yoğun olarak bir ülkeden geliyorsa o ülkeye ait ip blokları tümden engellenebilir! – Ek olarak ilgili ülkeden gelen ziyaretcilere farklı bir sayfa gösterilebilir...


Packet Filter Ülkeye Göre Bloklama

table <Turkiye> persist file "/etc/TR" table <israil> persist file "/etc/Israil" table <Cin> persist file "/etc/china" table <Rusya> persist file "/etc/Rusya" table <Usa> persist file "/etc/Usa" table <India> persist file "/etc/India"

[root@seclabs ~]# more /etc/china 19.203.239.24/29 46.116.0.0/15 46.120.0.0/15 62.0.0.0/17 62.0.128.0/19 62.0.176.0/18 62.0.240.0/20 62.56.252.0/22 62.90.0.0/17 62.90.128.0/18 62.90.192.0/19 62.90.224.0/20 62.90.240.0/21 62.90.248.0/22 62.90.253.0/23

block in quick log on $ext_if from <china>


“IP Spoofing” Engelleme •  ISP’lerin mutlaka alması gereken önlemlerden •  Amaç: İç ağdan dışarı spoof edilmiş IP adreslerinin çıkmasını engellemek

•  Standart olarak URPF kullanılır – Başka güvenlik duvarlarında an=spoof adıyla da bilinir.

block in quick from urpf-failed label uRPF


Host Tabanlı Anormallik/Saldırı Tespi= •  OSSEC, işle=m sistemlerindeki log dosyalarını düzenli olarak kontrol ederek veritabanındaki 700’e yakın saldırı imzasının kontrolünden geçirir.

•  Aynı zamanda sistem üzerindeki dosya/dizin değişiklikleri, anormal login ak=vitelerini de raporlar.


OSSEC Çalışma Mimarisi


Ağ Tabanlı “Merkezi” Saldırı Tespit ve Engelleme


Snort: Açık Kod Atak Engelleme Sistemi •  Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır.

•  Açık Kaynak Kodlu, Özgür Lisansa Sahip •  ’98 yılında hobi amaçlı başlangıç •  Günümüzde: akademik, askeri, =cari kullanım alanları •  Linux/UNIX/Windows •  Stateful Packet Tracking •  Hedef tabanlı IDS özelliği •  Ipv6 desteği •  Firewall’lara komut gönderimi •  Esnek kural dili


Snort Kullanım Alanları •  Snort çeşitli kullanım alanlarına sahip=r

– Sniffer, trafik dinleme/analizi amaçlı – NIDS (Ağ Tabanlı Saldırı Tespit Sistemi)mod – NIPS(Ağ Tabanlı Saldırı Engelleme) mod – Anormallik Tespit Sistemi – DDOS Engelleme Sistemi – NFA(Network Forensic Analys) Aracı – DLP(Veri Sızma Kontrolü)

•  Bir nevi oyun hamuru gibi teknik bilginize göre istenen özelliklerin eklenebileceği bir altyapı sunar.


Snort NIDS Mod İnceleme

Snort IDS modda nasıl çalışır? • Paketleri nerden alır? • Hani süreçlerden geçirir? • Nasıl bir çıkV verir?


NIPS Mod Yerleşim Planı

• Inline yerleşim şart! • Cihaz L2(bridge mod) veya L3 çalışabilir. • En sağlıklı çözüm


Snort Performans •  Snort tek işlemci kullanabildiği için 2-‐3 Gbps trafik üzerinde ciddi trafik kayiplarina sebep olur.

•  Klasik libpcap yerine PF_RING kütüphanesi kullanılarak performans %30-‐40 oranında ar�rılabilir.

•  10 Gbps altyapılarda Snort yerine Surricata kullanılabilir – Birden fazla işlemci kullanabilir – Snort kurallarını destekler

•  Arka planda üre=len alarm ve loglar için veritabanı yerine daha esnek altyapılar kullanılmalı.


Gerçek İş Ortamlarında Snort Kullanımı •  Türkiye’den örnekler…


Problem Çözümü ve Güvenlik Amaçlı Loglama


İle=şim Bilgileri

• www.lifeoverip.net • Blog.bga.com.tr Blog

• @bgasecurity • @huzeyfeonal • @linuxakademi

Twi�er

• [email protected] İle=şim

Technology

Hosting Ortamlarında Açık Kaynak Yazılımlar Kullanılarak Saldırı Tespiti ve Analizi