29 Haziran 2014 Pazar

Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller

Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller

Etki alanı (Domain), bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve prosedürlerle bir merkezden yönetilen mantıksal bir yapıdır. Orta ve büyük ölçekli bütün kurumlarda sistemlerin neredeyse tamamı Microsoft etki alanı yapısıyla direk olarak yönetilirler veya etki alanındaki nesneler (sistem yöneticilerinin hesabı vs) tarafından dolaylı olarak yönetilirler. Bu sebeple, etki alanının güvenilir bir şekilde oluşturulması, yönetilmesi ve korunması kurum için oldukça önemlidir. Etki alanı güvenliğini sağlamak ve kurum etki alanındaki sistemlere karşı yapılabilecek saldırılar için alınması gereken temel önlemler “Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri” yazılarında [1] [2] özetlenmişti. Bu yazıda ise etki alanındaki nesnelerin yönetildiği dizin hizmeti olan Aktif Dizin denetimleri incelenecektir. Bu amaçla öncelikle Aktif Dizin kavramından bahsedilecek, daha sonra da Aktif Dizin denetimleri için kontrol maddeleri listelenecektir.

Aktif Dizin Nedir?

Aktif Dizin Servisi (Active Directory Domain Service), Windows Server 2000 ile kullanılmaya başlanan ve etki alanındaki fiziksel ve mantıksal nesnelerin (ve bu nesnelere ait özelliklerin) oluşturulduğu, yönetildiği, ilkelerin belirlendiği, sorgulandığı merkezi dizin servisidir. Aktif Dizin üzerinde tutulan temel nesneler aşağıdaki gibidir:

  • Kullanıcılar (kullanıcı hesapları)
  • Gruplar (yöneticiler, operatörler, kullanıcı grupları vb.)
  • Bilgisayarlar
  • Yazıcılar
  • Sunucular
  • Etki alanları
  • Site’lar

Aktif Dizin servisi, ağ kaynaklarına ait bilgileri kendine ait bir veritabanında (NTDS) tutar, merkezi olarak organize eder, kullanıcıların yetkileri dahilinde erişimlerini denetler. Aktif Dizin servisi, Microsoft sistemlerinin bulunduğu ortamlarda bir çok yarar sağlamaktadır. Bu yararlardan bazıları şunlardır:

  • Merkezi yönetim
  • Ölçeklenebilirlik
  • DNS ile entegrasyon
  • Politika-tabanlı yönetim
  • Multi-master replikasyon
  • Esnek kimlik doğrulama ve yetkilendirme
  • Diğer dizin servisleriyle birlikte çalışabilme
  • İmzalanmış ve şifrelenmiş LDAP trafiği
  • Betikler ile yönetim


Aktif Dizin Kontrol Maddeleri


Aktif Dizin üzerindeki nesnelerin güvenilir bir şekilde yönetilmesi için bir takım kontrol maddeleri bu başlık altında belirtilmiştir. Kontrol maddelerinde ne yapılması gerektiği üzerinde durulmuş olup, nasıl yapılacağı konusu sistem yöneticilerine bırakılmıştır. Kontrol maddelerinde belirtilen nesnelerin otomatik olarak nasıl  tespit edileceği ile ilgili internet üzerinde - başta Powershell olmak üzere - bir çok betik bulunabilir. Ayrıca aşağıdaki maddeleri ve çok daha fazlasını gerçekleştirebilen otomatik denetim araçları da kullanılabilir.

Denetim sonucunda gerçekleştirilmesi gereken işlemler kurum politikasında belirtilmelidir. Örneğin, uzun süre oturum açmayan kullanıcı hesapları tespit edildikten sonra bu hesaplar belli bir süre boyunca devre dışı bırakılabilir ve bir süre sonra da tamamen silinebilir. Benzer olarak tespit edilen nesnelerin ne zaman, hangi kullanıcı tarafından oluşturulduğu da incelenebilir.

Aktif Dizin güvenliği için kontrol edilebilecek temel maddeler aşağıdaki gibidir:

1) Ortak Hesap Kullanan Kullanıcı Hesapları

Ortak hesap kullanımı özellikle yardım masası veya teknik destek gibi vardiyalı çalışan bölümlerde sık karşılaşılabilen durumlardandır. Kurum içerisinde ortak kullanılan kullanıcı hesapları tespit edilmelidir. Aksi halde işlemi gerçekleştiren kullanıcının kimliğinin tespit edilmesi kaydı tutulan başka faktörlerle (IP adresi, çalışılan saat dilimi, …) mümkün olabilmektedir.

2) Uzun Süredir Oturum Açmamış Kullanıcı Hesapları

Kurum içerisinde uzun bir süre (3 hafta gibi) oturum açmayan kullanıcı hesapları tespit edilmelidir. Bu süre kurum politikasına göre değişiklik gösterebilir. Tatil izinleri, yurt dışı gezileri gibi durumlar göz önüne alınarak bu süre ve kapsam belirlenmelidir.

3) Parolasını Hiç Değiştirmemiş Olan Kullanıcı Hesapları

Bir çok kurumda bir kullanıcı hesabı oluşturulurken standart bir parola ile oluşturulurlar. Bu parola o hesabın sahibi olan kullanıcı tarafından ilk oturumda değiştirilmesi gerekmektedir. Parolasını hiç değiştirmemiş olan kullanıcı hesapları tespit edilmelidir.

4) Uzun Süredir Parolasını Değiştirmeyen Kullanıcı Hesapları

Kurum politikasına uygun olacak şekilde kurum içerisinde bir parola politikası oluşturulmalı ve uygulanmalıdır. Parola politikasında parola değiştirme süresi için uygun bir değer verilmelidir. Belirlenen süre boyunca parolasını değiştirmeyen kullanıcı hesapları tespit edilmelidir. Uzun süredir parolasını değiştirmeyen ve parolası saldırganlar tarafından bir şekilde ele geçirilmiş olan bu kullanıcı hesapları etki alanına karşı gerçekleştirilebilecek sonraki saldırılarda kullanılabilmektedir.

5) Parolasını Değiştiremeyen Kullanıcı Hesapları

Uygulama/servis kullanıcıları veya belirli sebeplerle bazı kullanıcı hesaplarının parolalarının değiştirilmemesi gerekebilmektedir. Parolasını değiştiremeyen kullanıcı hesapları tespit edilmelidir.

6) Parola Değiştirmesi Zorunlu Olmayan Kullanıcı Hesapları

Başta uygulama ve servis kullanıcı hesapları olmak üzere, parola politikasına rağmen parola değiştirmesi zorunlu olmayan kullanıcı hesapları tespit edilmelidir.

7) Parolası Sona Ermeyen Kullanıcı Hesapları

Parola politikasına rağmen parolası sona ermeyen kullanıcı hesapları tespit edilmelidir. Özellikle uygulama ve servis kullanıcı hesaplarında görülen bu durum saldırı yüzeyini arttırmaktadır.

8) Parolası Olmayan Kullanıcı Hesapları

Parola politikası sebebiyle, kurumlarda çok sık karşılaşılan bir durum olmasa da, parolası boş olan kullanıcı hesaplarının varlığı tespit edilmelidir.

9) Parolası Olmak Zorunda Olmayan Kullanıcı Hesapları

Önceki kontrol maddesine benzer olarak, parolası olmak zorunda olmayan kullanıcı hesapları tespit edilmelidir.

10) Süresi Geçmiş Kullanıcı Hesapları

Kurum politikası gereği bazı kullanıcı hesapları (danışman, sistem destek, stajyer vs) süreli olarak oluşturulabilmektedir. Bu süre sonrasında bu hesaplar ile işlem yapılamamaktadır. Kurumda süresi geçmiş olan (expire) kullanıcı hesapları tespit edilmelidir.

11) İşten Ayrılmış Kullanıcı Hesapları

Kurumların çoğunda merkezi kimlik yönetimi henüz tam anlamıyla aktif bir şekilde kullanılmamaktadır. İşten ayrılmış olan kullanıcı hesabı ile gerçekleştirilebilecek işlemler sonucunda  kurum ve kurum çalışanları zor durumda kalabilmektedir. Bu sebeple, kurum ile ilişkisi kesilen kullanıcı hesapları tespit edilmelidir. Bunun yanında yetkilendirme işlemleri için kullanıcıdan bağımsız tasarımların kullanılması [3] [4] güvenliği arttırmaktadır.

12) Kurum Personeli Olmayan Kullanıcı Hesapları

Danışmanlık, sistem destek, stajyerlik gibi sebeplerle etki alanında oluşturulan kullanıcı hesapları tespit edilmelidir. Bu hesaplar oluşturulurken süreli bir şekilde oluşturulması tavsiye edilmektedir. Ayrıca bu hesaplar için özel yapısal birimlerin (OU) oluşturulması ve bu OU altındaki nesnelere sıkılaştırılmış grup ilkelerinin uygulanması tavsiye edilmektedir.

13) “Users” Konteynırında Bulunan Kullanıcı Hesapları

Bir kullanıcı oluşturulduğunda varsayılan olarak “Users” adlı verilen konteynır altında oluşmaktadır. Bir konteynır içerisindeki nesnelere varsayılan grup ilkeleri uygulandığı için “Users” altında kullanıcı hesabının bulunması kontrol eksiliğine sebep olmaktadır. Bu sebeple, “Users” konteynırında bulunan kullanıcı hesapları tespit edilmelidir. Etki alanına yeni eklenen kullanıcı hesapları üzerindeki denetimleri arttırmak için ve etki alanına eklenen ancak henüz faal olmayan nesneleri daha iyi takip edebilmek için; bu hesapların sıkılaştırılmış bir OU altında oluşturulması tavsiye edilmektedir. Kullanıcı hesabı ile işlem yapıldıktan ve grup ilkesi alındıktan sonra ilgili OU altına eklenmesi güvenliği arttırmaktadır. Sonuç

14) Dial-in Bağlantı Hakkı Olan Kullanıcı Hesapları

Dial-in bağlantı hakkı olan kullanıcılar tespit edilmelidir. Uzak erişimler için dial-in bağlantı yerine kurum ihtiyacına daha güvenilir bir şekilde cevap verecek yöntemler (SSL VPN gibi) tercih edilmelidir.

15) Gereksiz Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları

Kullanıcı hesaplarına ait bir çok bilgi, herhangi bir kullanıcı tarafından elde edilebilmektedir. Etki alanına gerçekleştirilen saldırılarda da bu bilgiler kullanılmaktadır. Kullanıcı hesaplarına ait gereksiz bilgilerin Aktif Dizin üzerinde saklanmaması tavsiye edilmektedir.

16) Eksik Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları

Denetim yönü ile ele alındığında, kurum politikası ile belirlenmiş tanımlamalar her kullanıcı hesabında bulunmalı, standart tanımları bulunmayan kullanıcı hesapları tespit edilmelidir.

17) İsimlendirme Standardına Uymayan Kullanıcı Hesapları

Kurum politikası gereği kullanıcı hesaplarının nasıl oluşturulacağı belirlenmelidir. Sicil numarasının kullanılması (36146), personelin ad ve soyadının farklı şekillerde kullanılması (remzi.karadayioglu, rkaradayioglu, r.karadayioglu, karadayioglu.remzi,…) bir standart olarak belirlenmelidir. Bunun yanında aynı isim ve soy isme, iki ve daha fazla isme veya soy isme sahip personel için de standardın oluşturulması tavsiye edilmektedir. Belirlenen isimlendirme standardına uymayan kullanıcı hesapları tespit edilmelidir.

18) Kritik Gruplara Üye Olan Ortak Kullanılan Kullanıcı Hesapları

Etki alanında bazı grupların yetkileri diğerlerinden daha fazla öneme sahip olmaktadır. Bu gruplardan bazıları yerleşik (built-in) gruplar (Domain Admins, Enterprise Admins, …) olabildiği gibi, bazı gruplar (Oracle Admins, Microsoft Sistem Yöneticileri, Aktif Cihaz Yönetim Grubu,… ) ise daha sonradan oluşturulmuş olabilir. Etki alanında kritik yetkilere sahip olan gruplar belirlenmeli ve bu gruplara üye olan kullanıcı hesapları tespit edilmelidir.

19) Hiçbir Gruba Üye Olmayan Kullanıcı Hesapları

Grup üyeliği bulunmayan kullanıcı hesapları tespit edilmelidir.

20) Üyesi Olmayan Gruplar

İçerisinde hiçbir üyesi olmayan, boş gruplar tespit edilmelidir.

21) İsimlendirme Standardına Uymayan Gruplar

Kullanıcı hesaplarında olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

22) Kritik Grupların Yetkilendirmeleri

Etki alanında kullanıcı yerine, grup ve rol bazlı bir yetkilendirme yapılması gerektiği daha önceden belirtilmişti. Bu grupların etki alanındaki yetkileri tespit edilmelidir.

23) Uzun Süredir Kullanılmayan Bilgisayar Hesapları

Kullanıcı hesaplarında olduğu gibi, uzun süredir kullanılmayan bilgisayar hesapları tespit edilmelidir.

24) Adı Standarta Uymayan Bilgisayar Hesapları

Kullanıcı hesaplarında ve gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

25) Devre Dışı Bırakılmış Bilgisayar Hesapları

Kullanıcı hesaplarında olduğu gibi, devre dışı (disabled) bırakılmış olan bilgisayar hesapları tespit edilmelidir.

26) “Computers” Konteynırında Bulunan Bilgisayar Hesapları

“Users” konteynırında bulunan kullanıcı hesaplarında olduğu gibi, “Computers” konteynırında bulunan bilgisayar hesapları tespit edilmelidir.

27) İçerisinde Nesne Bulunmayan Yapısal Birimler

Gruplarda olduğu gibi, içerisinde hiçbir üyesi olmayan, boş yapısal birimler (OU) tespit edilmelidir.

28) Adı Standarta Uymayan Yapısal Birimler

Kullanıcı ve bilgisayar hesaplarında, gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

29) Site İçerisinde Belirtilmemiş Olan Yerel Ağlar

Site, birbiri ile ağ iletişimi kuvvetli olan fiziksel yapılardır. Site, ağın hızına ve trafik kapasitesine göre tasarlanır. Özellikle oturum açma ve replikasyon işlemlerinin daha hızlı gerçekleşebilmesi için Site yapısının iyi tasarlanması gerekmektedir. Bir Site içerisinde bir veya daha fazla alt ağ (subnet) bulunabilmektedir. Böylece bir kullanıcı aynı site içerisinde bulunduğu etki alanı denetleyicisini (DC) kullanarak kimlik doğrulatır. Benzer olarak bir etki alanı denetleyicisi aynı site içerisindeki bir etki alanı denetleyicisi ile replikasyon işlemini gerçekleştirmek için oluşturulan Site ve Subnet bilgilerini kullanılır. Aynı site içerisinde etki alanı denetleyicisi bulunamazsa, farklı site üzerindeki etki alanı denetleyicisi arayışında bulunulur.

Kurum içerisindeki her bir yerel ağ (LAN), içerisinde etki alanı denetleyicisi bulundurmasa dahi, Aktif Dizin üzerinde tanımlanması tavsiye edilmektedir. Bu sebeple, Site içerisinde belirtilmemiş yerel ağlar tespit edilmelidir.

30) DNS Üzerinde Kaydedilmemiş Yerel Ağlar

Alan Adı Sistemi (Domain Name System - DNS); ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. DNS, Aktif Dizin yapısı için zorunlu bir roldür. Microsoft ortamlarında, istemciler ağdaki etki alanı denetleyicilerinin ve diğer servis sunucularının yerlerini DNS kullanarak tespit ederler. Eğer DNS üzerinde bir problem oluşursa, erişimlerde problem yaşanacaktır. Aktif Dizin ile entegre olarak oluşturulan Microsoft DNS üzerinde tüm yerel ağlara ait kayıtların bulunması tavsiye edilmektedir. Bu sebeple, DNS üzerinde kayıtlı olmayan kuruma ait yerel ağlar tespit edilmelidir.

Sonuç

Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için alınması gereken önlemlere [1] [2] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.


Kaynaklar
[1] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html
[2] http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html
[3] http://itfreetraining.com/70-640/agdlp/
[4] http://itfreetraining.com/70-640/agudlp/

10 Haziran 2014 Salı

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup İlkeleri (Preferences) ile Yerel Kullanıcı Parolalarının Ayarlanması ve Bu Özelliğin Kötüye Kullanılması

Grup ilkeleri Policy ve Preferences olmak üzere iki şekilde kullanılır. Eğer kullanıcı isteğine bırakılmadan bir ilkenin grup ilkeleri ile ayarlanması isteniyorsa Policy kullanılır. Eğer kullanıcı tarafından değişiklik yapılmasına izin verilecek ayarlar yapılacak ise Preferences tercih edilir.

Preferences ile yerel kullanıcı ve grupların bir takım özellikleri ayarlanabilir. Bu özelliklerden birisi de yerel kullanıcıların parolasıdır. Böylelikle, yerel kullanıcıların parolası merkezi bir şekilde yönetilebilir. Ancak bu ayarın yapılması durumunda bu parolalar (parolaların açık hali), etki alanındaki herhangi bir bilgisayardan elde edilebilir.

Bu yazıda Windows Server 2008 R2 olan bir bilgisayar DC olarak kullanılmaktadır. Bu bilgisayarın adı (hostname) "SRV1", oluşturulan etki alanının adı ise "sizma.local" olarak belirlenmiştir.Senaryo için, etki alanında W7 adlı bir bilgisayar ve "Akif Pinar" adlı standart bir etki alanı kullanıcısı kullanılacaktır.

W7 bilgisayar "Orijinal Makineler" adlı bir OU içerisindedir:


"Akif Pinar", "Bilgi Islem" adlı bir OU içerisindedir:


"Akif Pinar" standart bir etki alanı kullanıcısıdır:


Not: W7 bilgisayarında "Akif Pinar" adlı kullanıcı ile oturum açılmasaydı, aşağıda belirtilen modül çalıştırılıp, Preferences içerisindeki parola bilgileri elde edilebilirdi.

Senaryonun en son aşamasında "GPO_AdministratorPassword", "Policy2" ve "Policy3" adlı grup ilkeleri aşağıdaki gibi konumlandırılacaktır.


Ancak ilk durumda "Policy2" ve "Policy3" oluşturulmamış ve herhangi bir OU altına bağlanmamıştır (link edilmemiştir).

İlk durumda, W7 bilgisayarın bulunduğu OU altına sadece "GPO_AdministratorPassword" ilkesi uygulanmaktadır. Bu ilke ile yerel "Administrator" hesabının parolası ayarlanmıştır:


Not: W7 üzerinde oturum açan "Akif Pinar" hesabının bulunduğu OU'ya özel bir politika uygulanmamıştır.

"Akif Pinar" kullanıcısı ile W7 üzerinde oturum açıldığında 5 adet grup ilkesi görülmektedir (\\SRV1\sysvol\sizma.local\Policies dizini altında):


Not: 4. ekran görüntüsünde bulunan Group Policy Management arayüzünde, "Group Policy Objects" altında ilk durumda 5 adet grup ilkesi bulunmaktaydı.

SYSVOL dizini altındaki "Groups.xml" dosyası 2 grup ilkesinde bulunmaktadır. Bunlardan birisi "GPO_AdministratorPassword", diğeri ise "GPO_TubitakDisable" ilkesidir:


Not: Groups.xml haricinde aranabilecek diğer 2 dosya Printers.xml ve Drives.xml dosyalarıdır.

Bu XML dosyalarının içeriği aşağıdaki gibidir:


Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_TubitakDisable" ilkesi ile "tubitak" adlı yerel kullanıcının hesabı devre dışı bırakılmıştır. Bunun yanında "GPO_AdministratorPassword" ilkesi ile yerel "Administrator" kullanıcısının parolası ayarlanmıştır. Ancak parola açık halde değil, şifreli (değişikliğe uğramış şekilde) olarak "cpassword" değerinin karşısında saklanmaktadır. Kullanılan AES şifresi Microsoft tarafından bağlantıdaki linkte internete sunulmuştur. İnternet üzerindeki betikler kullanılarak cpassword değerinden parolanın açık hali elde edilebilir. Bunun yanında MSF post exploit modülü ile bu işlemler kolay bir şekilde gerçekleştirilebilir.

Bu amaçla öncelikle W7 makinesine Meterpreter oturumu açılır:


Daha sonra da açılan Meterpreter oturumunda post/windows/gather/credentials/gpp modülü (Windows Gather Group Policy Preference Saved Passwords) çalıştırılmak üzere ayarlanır.


Gerekli ayarlamalardan sonra bu modül çalıştırılır:


Yukarıdaki ekran görüntüsünde de görüldüğü gibi, "GPO_AdministratorPassword" ve "GPO_TubitakDisable" grup ilkeleri içerisinde "Groups.xml" dosyaları tespit edilmiştir. Ancak, sadece "GPO_AdministratorPassword" içerisinde parola bilgisi (cpassword) tespit edilmiştir. Tespit edilen bu değer deşifre edilmiş ve yerel "Administrator" kullanıcısının parolası "Test#12345." olarak tespit edilmiştir.

Daha sonra "Policy2" adı verilen grup ilkesi herhengi bir OU için oluşturulmuş ve bu ilke W7 bilgisayarına alınmıştır (gpupdate /force). Bu grup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:


MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy2" adlı grup ilkesindeki parola bilgisi ("Deneme123456.") elde edilmiştir.


Sonraki aşamada ise, "Policy3" adlı bir grup ilkesi oluşturulmuş hiç bir OU'ya uygulanmamıştır. Bu ilke de W7 bilgisayarına alınmıştır (gpupdate /force). Bu greup ilkesi; W7 bilgisayarından, "Akif Pinar" oturumunda görülmektedir:


MSF modülünün yeniden çalıştırılmasıyla, W7 bilgisayara ve oturum açan "Akif Pinar" adlı kullanıcıya yeni oluşturulan grup ilkesi uygulanmamasına rağmen, yeni oluşturulan "Policy3" adlı grup ilkesindeki parola bilgisi ("Misafir123") elde edilmiştir.


Sonuç:

  • Preferences kullanılarak yerel kullanıcıların parolaları ayarlanmamalıdır.
  • Gereksiz grup ilkeleri oluşturulmamalıdır.
  • Grup ilkeleri üzerindeki erişim ayarları (ACL) uygun şekilde yapılandırılmalıdır.
  • MS14-025 zafiyeti kapatılmalıdır. Bu amaçla, KB2962486 güvenlik yaması geçilmelidir.

6 Haziran 2014 Cuma

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri

Günümüzde kurumlara yönelik gerçekleştirilen siber saldırılar artış göstermektedir. Bu durum, gerçekleşebilecek muhtemel saldırılara karşı, kurumların sızma testlerine verdiği önemi arttırmıştır. Bu amaçla kurum personeli tarafından ve dış kaynaklı firmalar tarafından sızma testleri gerçekleştirilmektedir. Özel sektörde veya kamu sektöründe gerçekleştirilen bu testler sonucunda sızma testi raporları hazırlanmakta ve bu raporlara göre sistemler sıkılaştırılmaktadır.

Önceki yazıda kurum ağındaki etki alanına gerçekleştirilebilecek saldırıların temel metodolojisinden bahsedilmişti. Ayrıca başka bir yazıda da konu ile ilgili örnek bir senaryo üzerinden videolu bir anlatım gerçekleştirilmişti.

Bu yazıda ise etki alanı sızma testlerine ve etki alanı saldırılarına karşı alınması gereken temel operasyonlardan bahsedilecektir. Bu operasyonlar, sızma testleri sonucunda raporlarda belirtilmektedir. Gerçekleştirilebilecek en temel operasyonlar aşağıdaki gibidir:
1) Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar.html 
2) Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_16.html 
3) Etki Alanı Saldırılarından Korunma Yolları: Yama Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2013/08/etki-alan-saldrlarndan-korunma-yollar_18.html 
4) Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar.html 
5) Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_8.html 
6) Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/etki-alan-saldrlarndan-korunma-yollar_2487.html

Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html
https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html

3 Haziran 2014 Salı

Etki Alanı Sızma Testi İçin Eğitim Amaçlı Örnek Senaryo

Etki Alanı Sızma Testi İçin Örnek Senaryo

Önceki yazıda etki alanı sızma testinin nasıl gerçekleştirildiğine dair örnek bir metodoloji sunulmuştu. Bu yazıda EĞİTİM AMAÇLI örnek bir senaryo gerçekleştirilecektir.


Ortam Bilgisi

Hazırlanan senaryoda 6 bilgisayar kullanılmaktadır:
1) XP: Standalone bir bilgisayardır. C diskinde kritik bilgi (SAM/SYSTEM dosyaları) bulunacaktır.
2) W7: Etki alanına dahil olan istemci bilgisayardır.
3) W7-Test: Etki alanına dahil edilecek olan istemci bilgisayardır. Etki alanında "Domain Admins" grubuna üye olan kullanıcının standart hesabı ile oturum açılacaktır. Üzerinde antivirüs yüklüdür. Üzerinde yüklü olan Winscp içerisinde bir de UN/PW kayıtlı bulunmaktadır. Ayrıca DC bilgisayarına RDP ile bağlantı kurulmuştur.
4) DC: Etki alanı denetleyicisidir.
5) S_Kali: Saldırı amacıyla kullanılacak KALI bilgisayardır.
6) S_W7: Saldırı amacıyla kullanılacak W7 bilgisayardır. 


Senaryo Videosu

Senaryo ile ilgili video aşağıdaki gibidir:



Videoyu indirmek için tıklayınız.

Senaryo Adımları

Senaryo 7 adımdan oluşmaktadır:
1) XP bilgisayara sızılacak ve kritik bir bilgi (C:\SAM ve C:\SYSTEM) edinilecektir.
2) 1. adımda elde edilen kritik bilgi ile etki alanına dahil olan W7 bilgisayarına erişim sağlanacaktır. Bu bilgisayardan yerel kullanıcıların parola özetleri elde edilecektir.
3) 2. adımda elde edilen yerel kullanıcıların parola özetleri ile W7-Test bilgisayarına (AV'e yakalanmadan) sızılacaktır.
4) W7-Test bilgisayarındaki mevcut kullanıcı oturumuna erişim sağlanacak. Bu bilgisayarda DC makineye yapılan RDP'ye fark edilecek. Oturum açan (Sizma\Cemil Ustun) ve Domain Admins grubundaki bir kullanıcının ("Sizma\Cemil.ustun2") parolası elde edilecek.
5) W7-Test bilgisayarına "Sizma\Cemil Ustun" adlı kullanıcı haklarıyla RDP yapılacaktır. W7-Test bilgisayarındaki AV devre dışı bırakılacaktır.
6) W7-Test bilgisayarına MSF psexec ile bağlanılacak ve Winscp ile kayıtlı bağlantı bilgileri elde edilecektir.
7) Etki alanındaki kullanıcıların parola özetleri elde edilecektir.

Senaryo Adımlarına Yönelik Resimler:


0) Ağ Keşfi ve Zafiyet Taramasi 


1) Zafiyetin Sömürülmesi: MS08-067


1-2 Geçişi) SMB Oturum Sorgulaması

2) W7 Bilgisayarına PTH ile Erişim


3) WCE ile PTH & RDP Etkinleştirme


4) Parola Çalma & Domain Admin Olma


5) AV Kapatma


6) WinSCP’de Kayıtlı Parolalarını Elde Etme


7) Domain Hesaplarının Parola Özetleri