SlideShare a Scribd company logo

DNS Güvenliği

O
Okan YILDIZ

DNS güvenliği ve DNS tünelleme saldırıları hakkında hazırlanmış kısabir bilgilendirme notu

Technology
1 of 16
Download to read offline
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Güvenliği ve Tünelleme Tehdidi Hazırlayan: Okan YILDIZ
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 İçindekiler DNS Nedir ve Nasıl Çalışır?..................................................................................... 3   DNS Güvenliği.......................................................................................................... 3   Saldırganın Bakış Açısından DNS ........................................................................... 4   DNS Tehditleri....................................................................................................... 5   DNSSEC kurulu değil............................................................................................ 6   Cisco ve Lync kullanımı ........................................................................................ 8   DNS Tünelleme...................................................................................................... 10   DNS Tünellemede Kullanılan Araçlar..................................................................... 10   Iodine .................................................................................................................. 11   DNS güvenliği için öneriler ..................................................................................... 15  
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Nedir ve Nasıl Çalışır? Alan adı sistemi olan DNS (Domain Name System), isim sunucu ve çözümleyicilerden oluşur, internete açılan kapılardır. İsim sunucular, host isimlerine karşılık gelen ip adreslerinin ismini tutar. Çözümleyiciler ise DNS istemciler olarak bilinir ve bu istemcilerde, DNS sunucu yada diğer sunucuların bilgisini tutar. Web siteleri, URL olarak adlandırılan kolay adres ve IP adresine sahiptir. Kullanıcılar web sitelerini bulmak için URL'leri, bilgisayarlar ise IP adreslerini kullanır. DNS URL'leri IP adreslerine dönüştürür (veya tam tersi). Örneğin, web tarayıcınızdaki adres çubuğuna http://www.alanadi.com yazarsanız, bilgisayarınız DNS sunucusuna bir istek gönderir. DNS sunucusu URL'yi IP adresine dönüştürerek bilgisayarınızın Microsoft web sunucusunu bulabilmesini sağlar.[1] DNS sistemine ait bazı bileşenler aşağıda verilmiştir; • A è Domain Name den IP adresine dönüşüm yapar. • MXè Belli bir Domain’ e gelen e-postaların hangi makineye dağıtılacağını bulur • NSè Alan adınızın sorgulanmasında kullanılacak olan isim sunucularıdır. • PTRè Verilen ip adresinin, isim karşılığını bulur. • HINFO è Bilgisayarın donanım ve işletim sistemi gibi bilgilerini yazmak için kullanılır. • TXTè Bilgi vermek amacı ile kullanılır. DNS Güvenliği DNS 30 yılı aşkın süreden bu yana gelişmeyi sürdüren ve internetin çekirdek bileşenlerinden bir tanesidir. Bu sebeplerden dolayı saldırganlar ve kötücül yazılım yayınlayanların hedeflerinden bir tanesidir. DNS altyapsının çökmesi ya da saldırganlar tarafında kötüye kullanılması, büyük ölçekli hizmetlerin kesilmesi ve ya DNS üzerinden dışarıya veri sızdırma olaylarıyla sonuçlanabilir. Cisco'nun 2014 Yıllındaki Güvenklik Raporuna göre inceleme yapılan ağların %96'sında çalınan sunuculara doğru trafik akışı olduğu görüldü ve %92'sinde ise herhangi bir içeriği bulunmayan sitelere doğru trafik olduğu tespit edildi. DNS
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 üzerinde gerçekleşen saldırılar arasında en yaygın olanları aşağıda verilmiştir; • DNS tünelleme • DoS ve DDoS saldırıları • Ön bellek zehirlenmesi • DNS yeniden yönlendirme (MITM) saldırıları: • İleri Seviye Tehditler (APT) Saldırganın Bakış Açısından DNS İnternet’i kullanılabilir hale getiren ve bir anlamda belkemiğini oluşturan DNS (Domain Name Server – Alanadı Sunucuları) saldırganlar için de önemli hedeflerdir. Aşağıdaki ekran görüntüsünde görülebileceği gibi örnek olarak ele aldığım yerlerden birisi web sayfasını basit port taramalarına karşı korumaktadır. NMAP’in hiç bir parametre kullanılmadan yapılan taramalarda kullandığı 1000 port filtreli durumda ve sadece internet sayfasının hizmet verebilmesi için ihtiyaç duyduğu portlar görece açık. Filmlerde gösterilenin aksine hackerlar kolay yolu ararlar, bu durumda bu portları filtreleyen güvenlik cihazını atlatmaya uğraşmaktansa daha kolay istismar edebilecekleri saldırı yüzeyleri arayacaklardır. Sistem yöneticisi olarak kapatamadığımız 3 ana nokta, doğal alarak saldırganların başlıca tercihleri olacaktır bunlar; E-posta hizmeti: Sosyal mühendislik saldırıları için önemli vektörlerdir. E- posta sunucularının doğru konfigüre edilmediği durumlarda ise saldırganlar, kurum e-posta kaynaklarını kullanarak hem üçüncü şahıslara saldırabilir (istenmeyen e-posta gönderimi ve oltalama
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 saldırıları), hem de kurumsal ağ, sistemler ve yapı hakkında bilgi elde edebilirler. Web sayfaları (web uygulamaları): Web sayfaları üzerindeki zafiyetleri istismar eden saldırganlar kurum bilgilerini ele geçirebilir, itibar ve para kaybına yol açabilir. DNS Tehditleri Saldırganlar DNS sunucularını kullanarak 4 temel saldırı türünü gerçekleştirebilir. Bilgi Toplama: Özünde bir saldırı olmasa da hedef hakkında bilgi toplamak geçerli saldırıları belirlemek, planlamak ve yürütmek için önemlidir. Saldırganlar hedefin dışarıya bakan ağını nasıl düzenlediği ve yönettiğini DNS üzerinden bilgi toplayarak anlayabilir. Hizmet dışı bırakma: Alanadı sunucusuna kapasitesinin çok üstünde talep gönderen saldırganlar hedef DNS sunucusunun iş görmez hale gelmesine neden olabilir. Sahte kaynaktan talep gönderme: Yanlış ayarlanmış bir alanadı sunucusu başka bir hedefe hizmet dışı bırakma saldırısı düzenlenmek için kullanılabilir. Saldırganların hedef ağdan geliyor gibi düzenleyip göndereceği paketlere cevap veren alanadı sunucusu istemeden karşıdaki sunucuyu hizmet veremez hale getirebilir.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Kayıt yönlendirme: Kurumdan çıkan DNS taleplerini kendi kontrolündeki bir sunucuya yönlendiren saldırgan bu sayede kullanıcıları zararlı içerik barındıran bir siteye veya sosyal mühendislik saldırılarına uygun olarak hazırladığı başka bir siteye yönlendirebilir. Yukarıda portlarını koruduğunuz bildiğimiz hedefin Alanadı Sunucusuna saldırgan gözüyle bakacak olursak aşağıdaki bilgileri elde edebildiğimizi görebiliriz. DNSSEC kurulu değil DNSSEC kullanılmadığı durumlarda saldırganlar DNS trafiğini yakalayıp değiştirebilirler. Aşağıdaki 4 grafik DNSSEC kullanmayan bir sunucuya yönelik düzenlenebilecek etkili bir saldırıyı özetlemektedir. Adım 1: Kurban tarayıcının adres çubuğuna gitmekistediğimsite.com yazar ve tarayıcı bu sitenin IP adresini tespit edebilmek için DNS sunucusuna bir sorgu gönderir. Adım 2: DNS sunucusu gerekli bilgilendirmeyi yaparak kurbanı gitmek istediği siteye yönlendirir.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Adım 3: DNSSEC olmamasından faydalanan saldırgan DNS sorgularına müdahale eder. Adım 4: Kurban gitmekistediğimsite.com adresini yazmasına rağmen farkında olmadan saldırgan tarafından hazırlanmış siteye yönlendirilir.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Cisco ve Lync kullanımı Aşağıdaki ekran görüntüsünde görüldüğü gibi örnek olarak ele aldığım şirket Cisco video konferans sistemi olduğunu tahmin ettiğim (vcse. İle başlayan alandı ve 5060/5061 portlarını ipucu olarak değerlendirerek yürüttüğüm bir tahmin) ve Microsoft LYNC’i haberleşme için kullanıyorlar. İlginç altalanadları Smtp., test. Vpn. Gibi saldırgan açısından ilgi çekici olabilecek bir kaç altalanadının yanında hedefin kullandığı IP adresleri aralıkları hakkında da bilgi sahibi olduk.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS güvenliği konusunda ülke olarak ne durumda olduğumuzu anlamak için 21 Bakanlık DNS sunucuları üzerinde yaptığım çalışmada gördüğüm şunlar oldu; 21 Bakanlık içerisinde; • 20 tanesinde DNSSEC kullanılmadığını, • 5 tanesinin DNS sunucusunun dışarıdan gelen isteklere cevap verdiği için başka hedeflere karşı hizmet dışı bırakma saldırılarında kullanılabileceğini, • 3 tanesinde Microsoft Lync kullanıldığını, • 8 tanesinin internet üzerinden telefon görüşmesi yaptığını sadece DNS sorguları aracılığıyla tespit etmek mümkün olmuştur.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Tünelleme DNS tünelleme, DNS paketleri içerisinde herhangi bir TCP/UDP paketinin taşıma işlemine verilen isimdir. Bu saldırılarda, saldırganın amacı bir sunucunun DNS portu üzerinden çalıştırılıp, gerçek bir DNS sunucu gözükmesini sağlayıp veri sızdırmaktır. Bu saldırılarda DNS sunucu kendisinden sorgulanan bir DNS isteğine önce önbelleğini kontrol ederek yanıt vermek ister eğer alan adı DNS önbelleğinde yoksa, sorgulanan alan adından sorumlu DNS sunucuyu bulur ve ona sorar. Sorgulanan alan adından yetkili DNS sunucu ilgili DNS kaydı için yanıt verir ve DNS sunucu bu yanıtı istemciye iletir. DNS tünellemeyi daha iyi anlamamız için, saldırın genel yapısı aşağıda verilmiştir. Özet olarak DNS tünelleme bir istemci tarafından üretilen DNS paketlerinin sunucu tarafından işleme alınması ile oluşur. Sunucu DNS portu üzerinden çalıştığı için gerçek bir DNS sunucusu gibi görür. DNS Tünellemede Kullanılan Araçlar DNS tünel araçları, DNS sorgu bölümündeki veriyi encode ederek ISP'nin (daha doğrusu tünel sunucusunun sahibinin) DNS sunucusuna iletir. Sunucu üzerindeki DNS portunda tünelleme sunucusu çalışır. Aracın sunucu tarafı da, gelen isteği decode eder ve ilgili isteğe yanıtı istemciye geri gönderir.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Bu saldırılarda kullanılan araçlar aşağıda verilmiştir; • OzymanDNS • Dns2tcp • Iodine • Heyoka • DNSChat • NSTX • DNScapy • MagicTunnel, Element53, VPN-over-DNS (Android) • VPN over DNS Iodine Iodine DNS tünellemede kullanılan en popüler araçların başında gelir. Hem platform bağımsız olması hem de kolay kurulum ve kullanımı ile en iyi DNS tünelleme yazılımı sayılabilir. Iodiline ile ipv4 üzerinden, DNS sunucu aracılığıya tünelleme yapılabilmektedir. İstemci tarafında çalıştırılıp, sunucuya erişim kontrolü sağlandıktan sonra yazılacak yönlendirmelerle tüm trafik yeni kurulan tünel aracılığı ile yönetilebilir. Aşağıda Iodine ile Ipv4 üzerinden veri dinlemeye örnek olması açısından bir uygulama verilmiştir. Aşağıda iodine hem sunucu hemde client tarafında çalıştırılmıştır. Burada SIFRE yazan yer bağlantıya atatığımız şifre.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 İodine üzerinden bağlantıları kurduktan sonra bağlantıyı test etmek için netcat üzerinden “Gizli Veri” yolluyoruz.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Wireshark ile yakaladığımız gizli veriyi barındıran paketi açıyoruz. Yukarıdaki örnekte görüleceği üzere çok basit araçlarla herhangi bir veriyi DNS sorgusu gibi kuruluş ağının dışına göndermek mümkündür. Siber olaylara müdahale raporlarında rastladığımız “saldırganlar, tespit edilmeden önce, kuruluş ağında ortalama 220 gün geçiriyorlar” gibi ilk bakışta bize inanılmaz gelen rakamlara ulaşılmasını sağlayan bunun gibi basit ve etkili teknikleri kullanmalarıdır. DNS tünelleme, saldırıları engellemeye odaklı mimarilerin (firewall, IPS/IDS, vs. “güvenlik” bileşenlerinin ön planda olduğu ağlarda) yetersiz kaldığı pek çok senaryodan sadece bir tanesidir. Son yıllarda karşılaşılan yüksek profilli saldırılardan çıkarttığımız derslere bakarak saldırganların ağ ve sistemlerimize sızmalarını engellemenin neredeyse imkansız olduğudur. Bu nedenle saldırganın kuruluş ağına girdiği anda tespit edilmesi ve aşağıda “siber ölüm zinciri” olarak özetlediğimiz genel saldırı anatomisini de düşünerek birden fazla hamlesinin fark edilmesini sağlayacak yapıların kurulması gerekmektedir.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Yaşanan, neredeyse bütün, güvenlik ihlallerinde bu 7 adımın atıldığını ve saldırganların başarılı bir sonuca ancak her adımda başarılı olmaları halinde ulaşabildiklerini görüyoruz. Bu zincirin kurulabileceği senaryoların ve saldırganların ulaşabileceği sonuçların (veri çalınması, sistemlerin devre dışı kalması, vb.) iş süreçlerimize etkileriyle birlikte ortaya konulması önemlidir. Kuruluş ağı ve sistemleri için geçerli olabilecek senaryoları, iş süreçleri için ortaya çıkabilecek tehditleri ve genel risk seviyesinin anlaşılması için yapılabilecek çalışmalar arasında en kıymetlisi sızma testi olacaktır. Bu testlerin sonucunda saldırganın kullanabileceği saldırı teknikleri ve araçları arasında mevcut güvenlik tedbirlerimizin tespit edemedikleri ve/veya siber güvenlik ve siber olaylara müdahale yönetimi kapsamımızın ele almadıkları ortaya çıkartılır. Sızma testi çalışmaları sonucunda başlatılan iyileştirme çalışmaları güvenlik hattımızın eksik kalan noktalarının tamamlanmasını sağlar.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS güvenliği için öneriler Alanadı sunucunuzun güvenliğini sağlamak için kullanabileceğiniz tek bir hap ne yazık ki yoktur. Bilgi güvenliğiyle ilgili diğer bütün konularda olduğu gibi gizlilik, bütünlük ve erişilebilirlik başlıkları ayrı olarak değerlendirilmelidir. Güvenlik seviyesini hızlıca arttırmanızı sağlayacak bazı öneriler şunlar olabilir; DNS sunucunuz sadece kurumunuza hizmet etmelidir ve DNS sunucunuza sadece yetkisi olanlar erişebilmelidir. DNS taleplerinin trafiğinin denetlenmesi gereklidir: Bu sayede hem DNS’e gelebilecek saldırıları fark eder hem de saldırganların DNS tüneli benzeri yöntemlerle kurum dışına veri kaçırdığını tespit edebilirsiniz. DNS sunucularınız güncel tutulmalıdır: Diğer bütün sistemlerde olduğu gibi DNS yazılımları için güvenlik güncellemeleri ve yamaları yayınlanır, bunların zamanında kurulması çok önemlidir. DNS sunucunuz üzerinde çalışan servisleri sınırlayın: DNS sunucunuz üzerinde FTP, HTTP, SMTP gibi hizmetleri kaldırmakta fayda var.
Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Sparta Bilişim Ankara merkezli, kamu, enerji, finans ve çeşitli sektörlerde büyük şirketlere hizmet veren bir siber güvenlik firmasıdır. Sızma testi ve siber güvenlik danışmanlığı hizmetlerinin yanında; SOME (Siber Olaylara Müdahale Ekibi) kurulumu gibi pek çok alanda anahtar teslim proje sunmaktadır. © 2015 Sparta Bilişim Teknolojileri Danışmanlık San. ve Tic. Ltd. Şti

Recommended

DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliğiAlper Başaran
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 
Dns güvenliği
Dns güvenliğiDns güvenliği
Dns güvenliğiMehmet VAROL
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
Netscaler Rate limit
Netscaler Rate limitNetscaler Rate limit
Netscaler Rate limitVeli Anlama
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 

Recommended

DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliğiAlper Başaran
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 
Dns güvenliği
Dns güvenliğiDns güvenliği
Dns güvenliğiMehmet VAROL
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
Netscaler Rate limit
Netscaler Rate limitNetscaler Rate limit
Netscaler Rate limitVeli Anlama
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuOğuzcan Pamuk
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıBGA Cyber Security
 
Pasif Bilgi Toplama
Pasif Bilgi ToplamaPasif Bilgi Toplama
Pasif Bilgi ToplamaMelek Nurten Yavuz
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningBGA Cyber Security
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Some Kitapçık
Some KitapçıkSome Kitapçık
Some KitapçıkOkan YILDIZ
 
Bga some-2016
Bga some-2016Bga some-2016
Bga some-2016MEB Adalar Halk Eğitim Merkezi
 
Embedded Linux Systems Basics
Embedded Linux Systems BasicsEmbedded Linux Systems Basics
Embedded Linux Systems BasicsMax Henery
 
İş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulmasıİş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulmasıİbrahim UÇAR
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratSeyfullah KILIÇ
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıOkan YILDIZ
 
Kişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemiKişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemiSina Kuseyri
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
Dns security
Dns securityDns security
Dns securityEnes Caglar
 
Dns Amplification Zafiyeti
Dns Amplification ZafiyetiDns Amplification Zafiyeti
Dns Amplification ZafiyetiMehmet VAROL
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Roksit DNS Layer Security Solutions
Roksit DNS Layer Security SolutionsRoksit DNS Layer Security Solutions
Roksit DNS Layer Security Solutionseylnc
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 

More Related Content

What's hot

DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuOğuzcan Pamuk
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıBGA Cyber Security
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıBGA Cyber Security
 

What's hot (6)

DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara Raporu
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres Analizi
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS Saldırıları
 
Pasif Bilgi Toplama
Pasif Bilgi ToplamaPasif Bilgi Toplama
Pasif Bilgi Toplama
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
 

Viewers also liked

Embedded Linux Systems Basics
Embedded Linux Systems BasicsEmbedded Linux Systems Basics
Embedded Linux Systems BasicsMax Henery
 
İş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulmasıİş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulmasıİbrahim UÇAR
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratSeyfullah KILIÇ
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıOkan YILDIZ
 
Kişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemiKişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemiSina Kuseyri
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 

Viewers also liked (11)

Some Kitapçık
Some KitapçıkSome Kitapçık
Some Kitapçık
 
Bga some-2016
Bga some-2016Bga some-2016
Bga some-2016
 
Embedded Linux Systems Basics
Embedded Linux Systems BasicsEmbedded Linux Systems Basics
Embedded Linux Systems Basics
 
İş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulmasıİş Ortamlarına Saldırı Tespit Sisteminin Kurulması
İş Ortamlarına Saldırı Tespit Sisteminin Kurulması
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
 
Kişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemiKişilik farkları ve i̇ş hayatındaki önemi
Kişilik farkları ve i̇ş hayatındaki önemi
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim Yetkinlikleri
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
 

Similar to DNS Güvenliği

Dns Amplification Zafiyeti
Dns Amplification ZafiyetiDns Amplification Zafiyeti
Dns Amplification ZafiyetiMehmet VAROL
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Roksit DNS Layer Security Solutions
Roksit DNS Layer Security SolutionsRoksit DNS Layer Security Solutions
Roksit DNS Layer Security Solutionseylnc
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?BGA Cyber Security
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriFatih Ozavci
 
Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)Volkan Vural
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 

Similar to DNS Güvenliği (10)

Dns security
Dns securityDns security
Dns security
 
Dns Amplification Zafiyeti
Dns Amplification ZafiyetiDns Amplification Zafiyeti
Dns Amplification Zafiyeti
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
Roksit DNS Layer Security Solutions
Roksit DNS Layer Security SolutionsRoksit DNS Layer Security Solutions
Roksit DNS Layer Security Solutions
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS Forensics
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
 
Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 

More from Okan YILDIZ

Directory_Traversel.pdf
Directory_Traversel.pdfDirectory_Traversel.pdf
Directory_Traversel.pdfOkan YILDIZ
 
Buffer Overflow - English.pdf
Buffer Overflow - English.pdfBuffer Overflow - English.pdf
Buffer Overflow - English.pdfOkan YILDIZ
 
File Inclusion.pdf
File Inclusion.pdfFile Inclusion.pdf
File Inclusion.pdfOkan YILDIZ
 
Azure Security Check List - Final.pdf
Azure Security Check List - Final.pdfAzure Security Check List - Final.pdf
Azure Security Check List - Final.pdfOkan YILDIZ
 
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...Okan YILDIZ
 
command-injection-v3.pdf
command-injection-v3.pdfcommand-injection-v3.pdf
command-injection-v3.pdfOkan YILDIZ
 
VoIP (Voice over Internet Protocol).pdf
VoIP (Voice over Internet Protocol).pdfVoIP (Voice over Internet Protocol).pdf
VoIP (Voice over Internet Protocol).pdfOkan YILDIZ
 

More from Okan YILDIZ (12)

XSS.pdf
XSS.pdfXSS.pdf
XSS.pdf
 
IDOR.pdf
IDOR.pdfIDOR.pdf
IDOR.pdf
 
Directory_Traversel.pdf
Directory_Traversel.pdfDirectory_Traversel.pdf
Directory_Traversel.pdf
 
Buffer Overflow - English.pdf
Buffer Overflow - English.pdfBuffer Overflow - English.pdf
Buffer Overflow - English.pdf
 
File Inclusion.pdf
File Inclusion.pdfFile Inclusion.pdf
File Inclusion.pdf
 
Azure Security Check List - Final.pdf
Azure Security Check List - Final.pdfAzure Security Check List - Final.pdf
Azure Security Check List - Final.pdf
 
IDOR.pdf
IDOR.pdfIDOR.pdf
IDOR.pdf
 
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...
 
XSS.pdf
XSS.pdfXSS.pdf
XSS.pdf
 
command-injection-v3.pdf
command-injection-v3.pdfcommand-injection-v3.pdf
command-injection-v3.pdf
 
VoIP (Voice over Internet Protocol).pdf
VoIP (Voice over Internet Protocol).pdfVoIP (Voice over Internet Protocol).pdf
VoIP (Voice over Internet Protocol).pdf
 
Buffer overflow
Buffer overflowBuffer overflow
Buffer overflow
 

DNS Güvenliği

  • 1. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Güvenliği ve Tünelleme Tehdidi Hazırlayan: Okan YILDIZ
  • 2. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 İçindekiler DNS Nedir ve Nasıl Çalışır?..................................................................................... 3   DNS Güvenliği.......................................................................................................... 3   Saldırganın Bakış Açısından DNS ........................................................................... 4   DNS Tehditleri....................................................................................................... 5   DNSSEC kurulu değil............................................................................................ 6   Cisco ve Lync kullanımı ........................................................................................ 8   DNS Tünelleme...................................................................................................... 10   DNS Tünellemede Kullanılan Araçlar..................................................................... 10   Iodine .................................................................................................................. 11   DNS güvenliği için öneriler ..................................................................................... 15  
  • 3. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Nedir ve Nasıl Çalışır? Alan adı sistemi olan DNS (Domain Name System), isim sunucu ve çözümleyicilerden oluşur, internete açılan kapılardır. İsim sunucular, host isimlerine karşılık gelen ip adreslerinin ismini tutar. Çözümleyiciler ise DNS istemciler olarak bilinir ve bu istemcilerde, DNS sunucu yada diğer sunucuların bilgisini tutar. Web siteleri, URL olarak adlandırılan kolay adres ve IP adresine sahiptir. Kullanıcılar web sitelerini bulmak için URL'leri, bilgisayarlar ise IP adreslerini kullanır. DNS URL'leri IP adreslerine dönüştürür (veya tam tersi). Örneğin, web tarayıcınızdaki adres çubuğuna http://www.alanadi.com yazarsanız, bilgisayarınız DNS sunucusuna bir istek gönderir. DNS sunucusu URL'yi IP adresine dönüştürerek bilgisayarınızın Microsoft web sunucusunu bulabilmesini sağlar.[1] DNS sistemine ait bazı bileşenler aşağıda verilmiştir; • A è Domain Name den IP adresine dönüşüm yapar. • MXè Belli bir Domain’ e gelen e-postaların hangi makineye dağıtılacağını bulur • NSè Alan adınızın sorgulanmasında kullanılacak olan isim sunucularıdır. • PTRè Verilen ip adresinin, isim karşılığını bulur. • HINFO è Bilgisayarın donanım ve işletim sistemi gibi bilgilerini yazmak için kullanılır. • TXTè Bilgi vermek amacı ile kullanılır. DNS Güvenliği DNS 30 yılı aşkın süreden bu yana gelişmeyi sürdüren ve internetin çekirdek bileşenlerinden bir tanesidir. Bu sebeplerden dolayı saldırganlar ve kötücül yazılım yayınlayanların hedeflerinden bir tanesidir. DNS altyapsının çökmesi ya da saldırganlar tarafında kötüye kullanılması, büyük ölçekli hizmetlerin kesilmesi ve ya DNS üzerinden dışarıya veri sızdırma olaylarıyla sonuçlanabilir. Cisco'nun 2014 Yıllındaki Güvenklik Raporuna göre inceleme yapılan ağların %96'sında çalınan sunuculara doğru trafik akışı olduğu görüldü ve %92'sinde ise herhangi bir içeriği bulunmayan sitelere doğru trafik olduğu tespit edildi. DNS
  • 4. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 üzerinde gerçekleşen saldırılar arasında en yaygın olanları aşağıda verilmiştir; • DNS tünelleme • DoS ve DDoS saldırıları • Ön bellek zehirlenmesi • DNS yeniden yönlendirme (MITM) saldırıları: • İleri Seviye Tehditler (APT) Saldırganın Bakış Açısından DNS İnternet’i kullanılabilir hale getiren ve bir anlamda belkemiğini oluşturan DNS (Domain Name Server – Alanadı Sunucuları) saldırganlar için de önemli hedeflerdir. Aşağıdaki ekran görüntüsünde görülebileceği gibi örnek olarak ele aldığım yerlerden birisi web sayfasını basit port taramalarına karşı korumaktadır. NMAP’in hiç bir parametre kullanılmadan yapılan taramalarda kullandığı 1000 port filtreli durumda ve sadece internet sayfasının hizmet verebilmesi için ihtiyaç duyduğu portlar görece açık. Filmlerde gösterilenin aksine hackerlar kolay yolu ararlar, bu durumda bu portları filtreleyen güvenlik cihazını atlatmaya uğraşmaktansa daha kolay istismar edebilecekleri saldırı yüzeyleri arayacaklardır. Sistem yöneticisi olarak kapatamadığımız 3 ana nokta, doğal alarak saldırganların başlıca tercihleri olacaktır bunlar; E-posta hizmeti: Sosyal mühendislik saldırıları için önemli vektörlerdir. E- posta sunucularının doğru konfigüre edilmediği durumlarda ise saldırganlar, kurum e-posta kaynaklarını kullanarak hem üçüncü şahıslara saldırabilir (istenmeyen e-posta gönderimi ve oltalama
  • 5. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 saldırıları), hem de kurumsal ağ, sistemler ve yapı hakkında bilgi elde edebilirler. Web sayfaları (web uygulamaları): Web sayfaları üzerindeki zafiyetleri istismar eden saldırganlar kurum bilgilerini ele geçirebilir, itibar ve para kaybına yol açabilir. DNS Tehditleri Saldırganlar DNS sunucularını kullanarak 4 temel saldırı türünü gerçekleştirebilir. Bilgi Toplama: Özünde bir saldırı olmasa da hedef hakkında bilgi toplamak geçerli saldırıları belirlemek, planlamak ve yürütmek için önemlidir. Saldırganlar hedefin dışarıya bakan ağını nasıl düzenlediği ve yönettiğini DNS üzerinden bilgi toplayarak anlayabilir. Hizmet dışı bırakma: Alanadı sunucusuna kapasitesinin çok üstünde talep gönderen saldırganlar hedef DNS sunucusunun iş görmez hale gelmesine neden olabilir. Sahte kaynaktan talep gönderme: Yanlış ayarlanmış bir alanadı sunucusu başka bir hedefe hizmet dışı bırakma saldırısı düzenlenmek için kullanılabilir. Saldırganların hedef ağdan geliyor gibi düzenleyip göndereceği paketlere cevap veren alanadı sunucusu istemeden karşıdaki sunucuyu hizmet veremez hale getirebilir.
  • 6. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Kayıt yönlendirme: Kurumdan çıkan DNS taleplerini kendi kontrolündeki bir sunucuya yönlendiren saldırgan bu sayede kullanıcıları zararlı içerik barındıran bir siteye veya sosyal mühendislik saldırılarına uygun olarak hazırladığı başka bir siteye yönlendirebilir. Yukarıda portlarını koruduğunuz bildiğimiz hedefin Alanadı Sunucusuna saldırgan gözüyle bakacak olursak aşağıdaki bilgileri elde edebildiğimizi görebiliriz. DNSSEC kurulu değil DNSSEC kullanılmadığı durumlarda saldırganlar DNS trafiğini yakalayıp değiştirebilirler. Aşağıdaki 4 grafik DNSSEC kullanmayan bir sunucuya yönelik düzenlenebilecek etkili bir saldırıyı özetlemektedir. Adım 1: Kurban tarayıcının adres çubuğuna gitmekistediğimsite.com yazar ve tarayıcı bu sitenin IP adresini tespit edebilmek için DNS sunucusuna bir sorgu gönderir. Adım 2: DNS sunucusu gerekli bilgilendirmeyi yaparak kurbanı gitmek istediği siteye yönlendirir.
  • 7. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Adım 3: DNSSEC olmamasından faydalanan saldırgan DNS sorgularına müdahale eder. Adım 4: Kurban gitmekistediğimsite.com adresini yazmasına rağmen farkında olmadan saldırgan tarafından hazırlanmış siteye yönlendirilir.
  • 8. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Cisco ve Lync kullanımı Aşağıdaki ekran görüntüsünde görüldüğü gibi örnek olarak ele aldığım şirket Cisco video konferans sistemi olduğunu tahmin ettiğim (vcse. İle başlayan alandı ve 5060/5061 portlarını ipucu olarak değerlendirerek yürüttüğüm bir tahmin) ve Microsoft LYNC’i haberleşme için kullanıyorlar. İlginç altalanadları Smtp., test. Vpn. Gibi saldırgan açısından ilgi çekici olabilecek bir kaç altalanadının yanında hedefin kullandığı IP adresleri aralıkları hakkında da bilgi sahibi olduk.
  • 9. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS güvenliği konusunda ülke olarak ne durumda olduğumuzu anlamak için 21 Bakanlık DNS sunucuları üzerinde yaptığım çalışmada gördüğüm şunlar oldu; 21 Bakanlık içerisinde; • 20 tanesinde DNSSEC kullanılmadığını, • 5 tanesinin DNS sunucusunun dışarıdan gelen isteklere cevap verdiği için başka hedeflere karşı hizmet dışı bırakma saldırılarında kullanılabileceğini, • 3 tanesinde Microsoft Lync kullanıldığını, • 8 tanesinin internet üzerinden telefon görüşmesi yaptığını sadece DNS sorguları aracılığıyla tespit etmek mümkün olmuştur.
  • 10. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS Tünelleme DNS tünelleme, DNS paketleri içerisinde herhangi bir TCP/UDP paketinin taşıma işlemine verilen isimdir. Bu saldırılarda, saldırganın amacı bir sunucunun DNS portu üzerinden çalıştırılıp, gerçek bir DNS sunucu gözükmesini sağlayıp veri sızdırmaktır. Bu saldırılarda DNS sunucu kendisinden sorgulanan bir DNS isteğine önce önbelleğini kontrol ederek yanıt vermek ister eğer alan adı DNS önbelleğinde yoksa, sorgulanan alan adından sorumlu DNS sunucuyu bulur ve ona sorar. Sorgulanan alan adından yetkili DNS sunucu ilgili DNS kaydı için yanıt verir ve DNS sunucu bu yanıtı istemciye iletir. DNS tünellemeyi daha iyi anlamamız için, saldırın genel yapısı aşağıda verilmiştir. Özet olarak DNS tünelleme bir istemci tarafından üretilen DNS paketlerinin sunucu tarafından işleme alınması ile oluşur. Sunucu DNS portu üzerinden çalıştığı için gerçek bir DNS sunucusu gibi görür. DNS Tünellemede Kullanılan Araçlar DNS tünel araçları, DNS sorgu bölümündeki veriyi encode ederek ISP'nin (daha doğrusu tünel sunucusunun sahibinin) DNS sunucusuna iletir. Sunucu üzerindeki DNS portunda tünelleme sunucusu çalışır. Aracın sunucu tarafı da, gelen isteği decode eder ve ilgili isteğe yanıtı istemciye geri gönderir.
  • 11. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Bu saldırılarda kullanılan araçlar aşağıda verilmiştir; • OzymanDNS • Dns2tcp • Iodine • Heyoka • DNSChat • NSTX • DNScapy • MagicTunnel, Element53, VPN-over-DNS (Android) • VPN over DNS Iodine Iodine DNS tünellemede kullanılan en popüler araçların başında gelir. Hem platform bağımsız olması hem de kolay kurulum ve kullanımı ile en iyi DNS tünelleme yazılımı sayılabilir. Iodiline ile ipv4 üzerinden, DNS sunucu aracılığıya tünelleme yapılabilmektedir. İstemci tarafında çalıştırılıp, sunucuya erişim kontrolü sağlandıktan sonra yazılacak yönlendirmelerle tüm trafik yeni kurulan tünel aracılığı ile yönetilebilir. Aşağıda Iodine ile Ipv4 üzerinden veri dinlemeye örnek olması açısından bir uygulama verilmiştir. Aşağıda iodine hem sunucu hemde client tarafında çalıştırılmıştır. Burada SIFRE yazan yer bağlantıya atatığımız şifre.
  • 12. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 İodine üzerinden bağlantıları kurduktan sonra bağlantıyı test etmek için netcat üzerinden “Gizli Veri” yolluyoruz.
  • 13. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Wireshark ile yakaladığımız gizli veriyi barındıran paketi açıyoruz. Yukarıdaki örnekte görüleceği üzere çok basit araçlarla herhangi bir veriyi DNS sorgusu gibi kuruluş ağının dışına göndermek mümkündür. Siber olaylara müdahale raporlarında rastladığımız “saldırganlar, tespit edilmeden önce, kuruluş ağında ortalama 220 gün geçiriyorlar” gibi ilk bakışta bize inanılmaz gelen rakamlara ulaşılmasını sağlayan bunun gibi basit ve etkili teknikleri kullanmalarıdır. DNS tünelleme, saldırıları engellemeye odaklı mimarilerin (firewall, IPS/IDS, vs. “güvenlik” bileşenlerinin ön planda olduğu ağlarda) yetersiz kaldığı pek çok senaryodan sadece bir tanesidir. Son yıllarda karşılaşılan yüksek profilli saldırılardan çıkarttığımız derslere bakarak saldırganların ağ ve sistemlerimize sızmalarını engellemenin neredeyse imkansız olduğudur. Bu nedenle saldırganın kuruluş ağına girdiği anda tespit edilmesi ve aşağıda “siber ölüm zinciri” olarak özetlediğimiz genel saldırı anatomisini de düşünerek birden fazla hamlesinin fark edilmesini sağlayacak yapıların kurulması gerekmektedir.
  • 14. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Yaşanan, neredeyse bütün, güvenlik ihlallerinde bu 7 adımın atıldığını ve saldırganların başarılı bir sonuca ancak her adımda başarılı olmaları halinde ulaşabildiklerini görüyoruz. Bu zincirin kurulabileceği senaryoların ve saldırganların ulaşabileceği sonuçların (veri çalınması, sistemlerin devre dışı kalması, vb.) iş süreçlerimize etkileriyle birlikte ortaya konulması önemlidir. Kuruluş ağı ve sistemleri için geçerli olabilecek senaryoları, iş süreçleri için ortaya çıkabilecek tehditleri ve genel risk seviyesinin anlaşılması için yapılabilecek çalışmalar arasında en kıymetlisi sızma testi olacaktır. Bu testlerin sonucunda saldırganın kullanabileceği saldırı teknikleri ve araçları arasında mevcut güvenlik tedbirlerimizin tespit edemedikleri ve/veya siber güvenlik ve siber olaylara müdahale yönetimi kapsamımızın ele almadıkları ortaya çıkartılır. Sızma testi çalışmaları sonucunda başlatılan iyileştirme çalışmaları güvenlik hattımızın eksik kalan noktalarının tamamlanmasını sağlar.
  • 15. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 DNS güvenliği için öneriler Alanadı sunucunuzun güvenliğini sağlamak için kullanabileceğiniz tek bir hap ne yazık ki yoktur. Bilgi güvenliğiyle ilgili diğer bütün konularda olduğu gibi gizlilik, bütünlük ve erişilebilirlik başlıkları ayrı olarak değerlendirilmelidir. Güvenlik seviyesini hızlıca arttırmanızı sağlayacak bazı öneriler şunlar olabilir; DNS sunucunuz sadece kurumunuza hizmet etmelidir ve DNS sunucunuza sadece yetkisi olanlar erişebilmelidir. DNS taleplerinin trafiğinin denetlenmesi gereklidir: Bu sayede hem DNS’e gelebilecek saldırıları fark eder hem de saldırganların DNS tüneli benzeri yöntemlerle kurum dışına veri kaçırdığını tespit edebilirsiniz. DNS sunucularınız güncel tutulmalıdır: Diğer bütün sistemlerde olduğu gibi DNS yazılımları için güvenlik güncellemeleri ve yamaları yayınlanır, bunların zamanında kurulması çok önemlidir. DNS sunucunuz üzerinde çalışan servisleri sınırlayın: DNS sunucunuz üzerinde FTP, HTTP, SMTP gibi hizmetleri kaldırmakta fayda var.
  • 16. Sparta Bilişim – www.sparta.com.tr - Aralık 2015 Sparta Bilişim Ankara merkezli, kamu, enerji, finans ve çeşitli sektörlerde büyük şirketlere hizmet veren bir siber güvenlik firmasıdır. Sızma testi ve siber güvenlik danışmanlığı hizmetlerinin yanında; SOME (Siber Olaylara Müdahale Ekibi) kurulumu gibi pek çok alanda anahtar teslim proje sunmaktadır. © 2015 Sparta Bilişim Teknolojileri Danışmanlık San. ve Tic. Ltd. Şti