Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Beyaz Şapkalı Hacker CEH Eğitimi - IPS/IDS/WAF Atlatma Teknikleri

1,756 views

Published on

Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.

PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com

Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

Published in: Education
  • Login to see the comments

Beyaz Şapkalı Hacker CEH Eğitimi - IPS/IDS/WAF Atlatma Teknikleri

  1. 1. www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 Uygulamalı Beyaz Şapkalı Hacker Eğitimi #10 IPS/IDS/WAF Atlatma Teknikleri Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
  2. 2. www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 Firewall • Güvenlik Duvarı • Layer 3 - Ağ katmanında çalışan güvenlik duvarları IP ve Port bilgisine göre işlem yapmaktadır. • Günümüzde Layer 7 – Uygulama katmanında çalışan Firewall’lar paket içeriğine de bakmaktadır. • Çalışma yapısı basittir. IP ve Port bazlı kurallarla engelleme işlemi yapar. • En sık kullanılan atlatma yöntemleri: • SSH Tunelleme • DNS Tunelleme • VPN • Ters Bağlantı
  3. 3. www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 WAF • Web Application Firewall – Web Uygulama Güvenlik Duvarı • Normal Firewall’un yaptığı işe ek olarak gelen-giden paketlerin içerisinde zararlı bir içerik olup olmadığını da kontrol eder. • En sık kullanılan atlatma yöntemleri: • Trafiği HTTPS protokol üzerinden geçirmek – WAF’lar ayarlanırken HTTP protokolüne göre kurallar girilirken HTTPS’e kural girmek unutulabiliyor. • Paket Parçalama (Fragmentation) • Encoding
  4. 4. www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 IDS • Intrusion Detection System – Saldırı Tespit Sistemi • Gelen giden paketlerin içerisine bakarak zararlı bir içerik olup olmadığı kontrol edilir. • Uyarı tabanlıdır. Herhangi bir kesme / engelleme aksiyonunda bulunmaz • Saldırı analizi ve tespiti için kullanılır. • Log ve Monitoring işi yapar. • En sık kullanılan atlatma yöntemleri: • SSH Tunelleme • DNS Tunelleme • VPN • Paket Parçalama (Fragmentation) • Encoding
  5. 5. www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 IPS • Intrusion Prevention System – Saldırı Engelleme Sistemi • Saldırı tespiti, analizi ve engellenmesi için kullanılır. • Gelen giden paketlerin içerisine bakarak zararlı bir içerik olup olmadığı kontrol edilir. • Uyarının yanında çeşitli aksiyonlarda alır. • Zararlı içerik tespit edilmesi durumunda trafik kesilebilir ve engelleme işlemi yapılabilir. • Log ve Monitoring işi yapar. • En sık kullanılan atlatma yöntemleri: • SSH Tunelleme • DNS Tunelleme • VPN • Paket Parçalama • Encoding
  6. 6. www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 Encoding Teknikleri • URL Encode • Double URL Encode • Unicode URL Encode • Decimal • Base64 • ASCII = “ / ”
  7. 7. www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 Blacklist / Whitelist • WAF’lar çoğunlukla varsayılan olarak gelen kurallara göre bırakılabilmektedir. Bu durumda farklı payloadlar kullanılabilir. • Sık Kullanılan Payloadlar: • <script>alert(1)</script> • ‘ or 1=1 • /etc/passwd • r57.php • Benzer İşi Yapabilen Farklı Payloadlar: • <svg/onload=alert(1)> • ‘ or 0x60=0x60 • /etc//passwd • test.php
  8. 8. www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 Karmaşık İstekler • Blacklist mantığına göre yapılandırılmış olan ürünler karmaşık istekleri çalışma yapısı gereği çözümlemez ve zararsız olarak kabul edebilir. Bu durumda aşağıdaki yöntemler kullanılarak bu güvenlik ürünleri atlatılabilir. • Payloadları yalnızca küçük harf olarak değil büyük-küçük harf olarak hazırlamak • Encoding yöntemlerini ile payload hazırlamak • Çeşitli kombinasyonlarda bulunmak • XSS Payload: <script>alert(1)</script> • Karmaşık Payload: <sCriPt>alErT(1)</scRipT>
  9. 9. www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 Özel Karakterler • Bazı özel karakterler uygulama sunucusunda yorumlanarak farklı işlemler yapabilir. Örneğin /**/ ifadesi yorum satırı olarak algılanır ve derlenme sırasında işleme alınmaz. Payloadların arasına buna benzer özel karatekter konulması durumunda uygulama sunucusu bunları silip işleme alır fakat güvenlik ürünleri bunu bir bütün olarak kabul edip işlediği için payloadın zararlı bir payload olduğunun farkına varamaz. Özel karakterlerin bir kısmı aşağıda listelenmiştir. • %00 • %0A • /**/ • // • /**/ => XSS - al/**/e/**/r/**/t
  10. 10. www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 Fragmentation • Paket parçalama yöntemidir. • Paketler IDS gibi savunma mekanizmalarında bulunan kuralların dışında kalacak şekilde bölümlenerek gönderilir. Böylece saldırının anlaşılması güç olur. • Packet 1: GET / • Packet 2: qwerty/../etc • Packet 3: /pass • Packet 4: wd • GET /qwerty/../etc/passwd
  11. 11. www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 SSH Tünelleme • SSH tünelleme işlemiyle tüm trafik şifreli olarak bir başka sunucu üzerinden ilerler. Böylece port engelleri aşılabilir, giden-gelen paketler kontrol edilemediği için zararlı içerik gönderilebilir. • Linux ve MacOS işletim sistemlerinde ssh uygulaması kullanılabilir. • Windows işletim sisteminde putty adlı uygulama kullanılarak ssh tünelleme yapılabilir. • Bunun yanı sıra sshuttle adlı araçla SSH tünelleme işlemi basit ve hızlı bir şekilde yapılabilir.
  12. 12. www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 DNS Tünelleme • Bazı durumlarda güvenlik ürünleri neredeyse tüm trafiği engelleyebilir fakat DNS isteklerini sorgu yapabilmek adına açık bırakabilir. DNS isteği içerisine örneğin şifreli bir şekilde HTTP isteğinde bulunulur ve karşı sunucuda da bir uygulama vasıtasıyla bu istek çözümlenir. Böylece DNS üzerinden engeller aşılmış olunur.
  13. 13. www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 Uygulamalar
  14. 14. www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 Sorular?
  15. 15. www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com info@prismacsi.com 0 850 303 85 35 /prismacsi İletişim

×