CyberFlow Logo CyberFlow BLOG
Oracle Pentest

Cluster Ortamında Siber Tehditlere Karşı Savunma İpuçları

✍️ Ahmet BİRKAN 📂 Oracle Pentest

Cluster/RAC ortamlarında siber saldırılara karşı korunmanın yollarını keşfedin. Adım adım strateji ve ipuçları ile güvenliği artırın.

Cluster Ortamında Siber Tehditlere Karşı Savunma İpuçları

Cluster/RAC ortamlarında siber tehditler ve saldırılar konusunda bilgi sahibi olun. Bu blog yazısında, RAC konfigürasyonundan güvenlik önlemlerine kadar her adımı bulabilirsiniz.

Giriş ve Konumlandırma

Siber tehditler, modern bilişim sistemlerinin her alanında büyük bir risk oluşturmaktadır. Özellikle cluster ortamlarında, yani yüksek kullanılabilirlik sunan ve birçok düğümden (node) oluşan sistemlerde işin boyutu katlanarak artmaktadır. Bu yazıda, cluster (küme) ortamlarında karşılaşabileceğimiz başlıca tehditleri ve bunlara karşı alınabilecek önlemleri ele alacağız.

Cluster Ortamlarının Özellikleri

Cluster ortamları, genellikle veri tabanları, uygulama sunucuları ve veritabanı yönetim sistemleri gibi kritik bileşenleri barındırmak için oluşturulurlar. Bu tür ortamlarda, verilerin bütünlüğü ve sistemin çalışma sürekliliği son derece önemlidir. Birden fazla düğümün aynı anda çalışması, yük dengelemesi ve arıza dayanıklılığı gibi avantajlar sunarken, aynı zamanda saldırganlar için de pek çok hedef oluşturur.

Neden Önemli?

Siber güvenlik, yalnızca veri kaybını önlemekle kalmaz; aynı zamanda kuruluşların itibarını korumak ve yasal yükümlülükleri yerine getirmek için de kritik bir rol oynar. Cluster ortamlarında meydana gelebilecek bir güvenlik açığı, yalnızca bir düğümle sınırlı kalmayıp tüm sistemi tehdit edebilir. Örneğin, bir düğümde gerçekleşecek bir sızma, diğer düğümlere hızlıca yayılabilir ve önemli verilere veya hizmetlere ciddi zararlar verebilir. Bu nedenle, cluster ortamlarının siber tehditlere karşı korunması, yalnızca teknik bir gereklilik değil, aynı zamanda işletme sürdürülebilirliği açısından da vazgeçilmez bir ihtiyaçtır.

Siber Tehditlerin Tanımlanması

Cluster ortamlarında karşılaşılabilecek başlıca siber tehdit türleri arasında:

  1. Servis Dışı Bırakma Saldırıları (DoS): Sistemlerin çalışmasını engellemek için yapılır. Özellikle SCAN listener gibi kritik bileşenler hedef alındığında, tüm sistem etkilenebilir.
  2. Yetkisiz Erişim ve Kontrol Ele Geçirme: Saldırganlar, özellikle SYSASM veya SYSDBA gibi yüksek yetkili hesaplar üzerinde işlem yaparak tüm cluster'ı kontrol altına alabilirler.
  3. Ağ Dinleme ve Veri İzinsiz Elde Etme: Düğümler arası iletişimi ele geçirerek hassas bilgilere ulaşmak mümkündür. Burada, "Interconnect" ağı, özellikle dikkat edilmesi gereken bir alandır.

Bu tehditlere karşı siber güvenlik uzmanlarının, sektördeki en güncel saldırı yöntemleri ve teknolojileri hakkında bilgi sahibi olması gerekmektedir. Bunun yanı sıra, penetrasyon testleri (pentest) ile sistemlerin zayıf noktalarının tespit edilmesi de önemlidir. Penetrasyon testleri, sistemin savunma mekanizmalarının ne kadar etkili olduğunu değerlendirmek için kullanılabilir ve bu bağlamda, zafiyetlerin belirlenmesine yardımcı olur.

Temel Savunma İlkeleri

Bir cluster ortamını güvenli hale getirmek için aşağıdaki temel savunma ilkeleri göz önünde bulundurulmalıdır:

  • Yazılım Güncellemeleri ve Yamanması: Hem sistem bileşenleri hem de yazılımlar için güncellemelerin düzenli olarak yapılması, bilinen güvenlik açıklarının kapatılması açısından kritik bir unsur.
  • Ağ Güvenlik Duvarları ve İzleme: Sisteme giriş noktalarının kontrol altında tutulması için güvenlik duvarları ve ağ izleme araçlarının kullanılması gerekmektedir.
  • Yetki Yönetimi: Kullanıcıların erişim yetkilerinin düzenli olarak gözden geçirilmesi ve en az ayrıcalık prensibi uygulanmalıdır. Örneğin, SYSASM yetkisini yalnızca gerçekten ihtiyaç duyan kullanıcılara vermek önem taşır.

Yukarıda belirtilen ipuçlarından yola çıkarak, siber tehditlere karşı etkin bir savunma geliştirmek mümkündür. Gelişen teknolojiler ve siber tehditler göz önünde bulundurulduğunda, güvenlik stratejilerinin sürekli olarak gözden geçirilmesi ve güncellenmesi gerektiği unutulmamalıdır. Bu bağlamda, ileri seviye tehdit analizleri ve sistem testleri, cluster ortamının güvenliğini arttırmak adına atılacak önemli adımlardandır.

Teknik Analiz ve Uygulama

Cluster Ortamında Siber Tehditlere Karşı Savunma İpuçları

RAC Konfigürasyonunu Tespit Etme

Cluster ortamında siber güvenlik etkinliğinin ilk adımı, RAC (Real Application Clusters) konfigürasyonunun doğru bir şekilde tespit edilmesidir. Bu, yapının birden fazla düğümden (node) oluşup oluşmadığını anlamak için gereklidir. Aşağıdaki SQL sorgusu ile aktif instance'ların listesini çıkarabilirsiniz:

SELECT instance_name, host_name FROM gv$instance;

Bu sorgu, RAC ortamındaki aktif instance'ların kimler olduğunu ve hangi sunucularda barındırıldığını gösterir. Bu bilgiyi toplamak, potansiyel güvenlik açıklarını belirlemek açısından önemlidir.

RAC Bileşenleri ve Araçlar

RAC ortamlarını yönetmek için yaygın olarak kullanılan temel araçlardan ilki srvctl araçtır. Bu araç, RAC veri tabanları ve instance'ları kontrol etmek için kullanılır. Örneğin, belirli bir node üzerindeki VIP (Virtual IP) durumunu kontrol etmek için aşağıdaki komutu kullanabilirsiniz:

srvctl status vip -n node_name;

Diğer bir önemli araç ise crsctl'dir. Bu araç, Clusterware kaynaklarının durumunu yönetmek için kullanılır. Örnek bir kullanım:

crsctl stat res -p;

SCAN Listener Keşfi

RAC ortamlarında istemcilerin bağlı olduğu SCAN (Single Client Access Name) IP'lerinin doğru bir şekilde keşfi yapılmalıdır. SCAN listener konfigürasyonunu kontrol etmek için srvctl komutu kullanılabilir:

srvctl config scan;

Bu komutun çıktısı, SCAN yapılandırmanız hakkında bilgi verir ve potansiyel saldırı vektörlerini belirlemenize yardımcı olabilir.

VIP Ele Geçirme

Düğümler arası geçişlerde kullanılan VIP adresleri, ARP poisoning veya IP spoofing saldırıları için hedef alınabilir. VIP durumlarını kontrol etmek ve analiz etmek için aşağıdaki komut kullanılabilir:

srvctl status vip -n node_name;

Bu komut, ilgili node üzerindeki VIP'nin mevcut durumunu raporlayarak potansiyel riskleri ortaya çıkarır.

ASM İstismarı

ASM (Automatic Storage Management), ham diskler üzerinde bir dosya sistemi gibi çalışır ve yeterli yetkiye sahip bir saldırgan, veritabanının iç yapısına erişim sağlayabilir. SYSASM yetkisi olan bir kullanıcı, disk gruplarını yönetebilir. ASM içindeki dosyalara erişmek için şu komut kullanılabilir:

asmcmd ls;

Bu komut, var olan ASM disk gruplarının listesini verir ve ASM altındaki dosya yapısını anlamanıza yardımcı olur.

Interconnect Ağı ve Güvenliği

RAC düğümleri arasında veri trafiğinin bulunduğu özel bir ağ olan Interconnect, sistemin güvenliği açısından kritik öneme sahiptir. Interconnect ağını dinlemek ve analiz etmek için uygun güvenlik araçlarının ve tekniklerinin kullanılması gereklidir.

Grid Infrastructure Yetki Analizi

Grid kullanıcısının OS seviyesinde sahip olduğu yetkiler, tüm cluster yapısını tehlikeye atabilir. Yetersiz yetkilendirilmiş bir kullanıcının yönetim hakları elde etmesi, büyük güvenlik risklerine yol açabilir. Grid kullanıcılarının yetki ve sahiplik durumunu sorgulamak için şu komut kullanılabilir:

crsctl stat res -p;

Bu komut, kaynakların durumunu ve sahiplik bilgilerini gösterir.

TNS Poisoning

TNS poisoning saldırıları, SCAN listener yapılandırmasının zayıf noktalarından yararlanarak gerçekleştirilebilir. Eğer SCAN listener şifresiz 'Remote Registration' özelliğine sahipse, bu tür saldırılar mümkündür. TNS poisoning riskine karşı önlem almak için, listener yapılandırmanızı kontrol etmek önemlidir.

OCR Güvenliği

OCR (Oracle Cluster Registry), cluster konfigürasyonunu tutan kritik bir dosyadır. Yetkisiz erişim, tüm ağ haritasını ifşa edebilir. OCR yedeğini kontrol etmek için aşağıdaki komutu kullanabilirsiniz:

ocrconfig -show backup;

Bu komut, OCR yedeği hakkında bilgi sağlayarak sistem yönetimi ve güvenliği için önemli veriler sunar.

Brute-Force Saldırıları

ODAT (Oracle Database Attack Tool) aracı, SCAN listener üzerinden tüm cluster düğümlerine karşı eş zamanlı brute-force saldırıları gerçekleştirebilir. Aşağıdaki komut kullanılarak bu tür bir saldırı başlatılabilir:

odat.py all -s SCAN_IP -p 1521 --sysdba;

Bu komut ile bağlantı sağlayarak güvenlik zafiyetleri test edilebilir.

Defansif Sıkılaştırma

RAC yapılarını korumak için savunma mekanizmalarının sıkılaştırılması kritik önem taşır. Özellikle, kullanıcı yetkilerinin izole edilmesi ve gizlilik politikalarının uygulanması, sistemin genel güvenliğini artırır.

Sonuç olarak, cluster ortamında güvenlik önlemleri almak, mevcut tehditleri minimize etmek ve sistemin bütünlüğünü korumak açısından hayati öneme sahiptir. Yukarıda belirtilen adımlar ve teknikler, siber güvenlik bilincini artırmak ve olası saldırılara karşı etkili bir savunma mekanizması oluşturmak için uygulama aşamasında kullanılmalıdır.

Risk, Yorumlama ve Savunma

Cluster ortamlarında siber güvenlik risklerinin değerlendirilmesi, sistemin güvenliğini sağlamak için kritik bir adımdır. Bu tür bir ortamda yaşanan güvenlik açıkları, sadece bir tek düğümün değil, tüm cluster'ın tehlikeye girmesine neden olabilir. Öncelikle, elde edilen bulguların güvenlik anlamını doğru bir şekilde yorumlamak gerekmektedir.

Bulgu Analizi ve Güvenlik Yorumlama

Cluster ortamında yapılan bir sızma testinin ilk adımı, RAC (Real Application Clusters) konfigürasyonunu tespit etmektir. Aşağıdaki SQL sorgusu, aktif instance'ların listesini gösterir:

SELECT instance_name, host_name FROM gv$instance;

Bu komut ile hangi düğümlerin aktif olduğunu görebilir ve ortamın yapılandırması hakkında bilgi edinebilirsiniz. Yapılan tetkikte eğer herhangi bir yanlış yapılandırma tespit edilirse, bu güvenlik açığı durumuna dönüşebilir. Özellikle node'lar arası iletişimi yöneten "Interconnect" ağının yeterince korunmaması, saldırganların veri trafiğini dinlemesine ve müdahale etmesine olanak tanır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, sistemin güvenliğini doğrudan etkileyebilir. Örneğin, SCAN listener üzerinde "Remote Registration" özelliği aktifse, bu durum TNS poisoning (TransNetwork Service) saldırısına açık hale getirir. Saldırgan, bu açığı kullanarak sistem içine sızabilir ve veri akışını manipüle edebilir. Saldırının boyutuna göre, etkisi büyük ölçüde artırılabilir.

Sızan Veri ve Topoloji Tespiti

Saldırganlar, veri akışını veya sistemiz üzerindeki yetkilendirmeleri hedef alabilir. Örneğin, bir augmented security check (güvenlik kontrolü) sırasında aşağıdaki komut kullanılarak VIP durumları listelenebilir:

srvctl status vip -n node_name;

Bu veri, VIP (Virtual IP) adreslerinin durumunu kontrol etmenizi sağlar. VIP adresleri üzerindeki herhangi bir zafiyet varsa, (örneğin ARP poisoning saldırıları) tüm düğümler tehlikeye girebilir.

Ayrıca, Oracle Cluster Registry (OCR), cluster yapılandırma bilgilerini tutar. OCR’ye yetkisiz erişim, saldırganların sistem mimarisini anlamalarına ve dolayısıyla sistemi hedef almalarına olanak tanır.

Profesyonel Önlemler ve Hardening Önerileri

Cluster ortamları için güvenlik önlemleri almak, siber tehditlere karşı en etkili savunmadır. İşte bazı temel önlemler:

  1. Network Isolation: Düğümler arasındaki "Interconnect" ağının izole edilmesi ve bu ağa izinsiz erişimin engellenmesi önemlidir. Temel firewall kuralları, interconnect trafiğini yalnızca gerekli IP adresleri ile sınırlamak için uygulanmalıdır.

  2. Yetkilendirme Kontrolleri: Grid kullanıcıları ve Oracle kullanıcılarının OS seviyesindeki yetkilerini izole etmek (Grid User Isolation) son derece önemlidir. Bu sayede, bir kullanıcının hatalı davranışları diğer kullanıcıları veya sistemi etkilemez.

  3. Güvenlik Güncellemeleri: Cluster bileşenlerini optimize etmek için düzenli olarak güncellemeler yapılmalıdır. Özellikle, ASC (Automatic Storage Management) ile ilgili yetkilerin gözden geçirilmesi ve gereksiz yetkilere sahip kullanıcıların belirlenip sınırlanması gerekmektedir.

  4. Saldırı Önleme Sistemleri: Kullanıcıların sistem üzerindeki etkinliklerini izlemek için sızma testleri ve saldırı önleme sistemleri (IDS) kurulmalıdır. Bu sistemler, potansiyel tehditleri erkenden tespit eder ve gerekli karşı önlemler alınabilir.

  5. Hardening Kılavuzları: RAC hardening (sıkılaştırma) uygulamaları referans alınarak güvenlik duvarları, güvenlik politikaları vb. oluşturulmalıdır. Ek olarak, OCR yedeklerinin düzenli aralıklarla kontrol edilerek izin verilen erişimlerin gözden geçirilmesi de önemlidir.

Sonuç

Cluster ortamında risk değerlendirme süreci, sistemin güvenliğini sağlamak adına kritik bir adımdır. Yanlış yapılandırmalar ve zafiyetlerin etkileri, tüm cluster'ı tehlikeye sokabilir. Elde edilen bulguların dikkatli bir biçimde analiz edilmesi, güvenlik önlemlerinin alınması ve sistemin hardening süreçlerinin düzenli olarak uygulaması gereklidir. Bu önlemler ile siber tehditlere karşı daha dayanıklı bir yapı oluşturmak mümkün olacaktır.