CyberFlow Logo CyberFlow BLOG
Dhcp Pentest

DHCP Üzerinden DNS Manipülasyonu ve Güvenlik Önlemleri

✍️ Ahmet BİRKAN 📂 Dhcp Pentest

DHCP üzerinden DNS manipülasyonu konusunda detaylı bir rehber. DNS ayarları nasıl etkilenir ve güvenlik önlemleri nereyi kapsar?

DHCP Üzerinden DNS Manipülasyonu ve Güvenlik Önlemleri

Bu blog yazısında, DHCP üzerinden DNS manipülasyonu ile ilgili temel kavramları öğrenecek, yapılandırmaları test edecek ve güvenlik önlemleri alacak adımları keşfedeceksiniz.

Giriş ve Konumlandırma

Sanal ağların dinamik doğası ve sürekli olarak büyüyen siber tehditler, ağ yöneticileri ve güvenlik profesyonelleri için yeni zorluklar ortaya çıkarmaktadır. Bu bağlamda, DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) üzerinden gerçekleştirilen DNS (Alan Adı Sistemi) manipülasyonu, özellikle siber saldırılarda etkin bir araç olarak kullanılmaktadır. DHCP, ağdaki cihazların otomatik olarak IP adresleri edinmesini sağlarken, DNS, bu IP adreslerini alan adlarına dönüştürerek kullanıcı deneyimini kolaylaştırır. Ancak, kötü niyetli aktörler DHCP üzerinden DNS isteklerini manipüle ederek, kullanıcıları zararlı yazılımlarla yüklenmiş sahte web sitelerine yönlendirebilir.

DHCP ve DNS İlişkisi

DHCP, ağdaki istemcilere otomatik olarak IP adresleri, ağ geçidi ve DNS sunucusu gibi yapılandırma bilgilerini sağlar. Kullanıcılar, bu bilgiler yardımıyla internete erişim sağlayabilir. Öte yandan, DNS ise kullanıcıların alan adlarını IP adreslerine dönüştürmesine olanak tanır. Bir istemci bilgisayar, DNS sunucusuna yaptığı istek ile doğru IP adresini bulmaya çalışır. Bu yapıyı hedef alarak yapılan saldırılar, sisteme müdahale etme riski taşır.

Saldırganlar, DHCP sunucusunu taklit ederek sahte bir DHCP sunucusu kurabilir ve istemcilerin DNS ayarlarını yanlış yönlendirebilir. Bu işlem "DHCP Spoofing" olarak adlandırılır. Sonuç olarak, istemciler kötü niyetli bir DNS sunucusuna yönlendirilir ve bu süreçte haberleşmeleri üzerine kötü niyetli yazılımlar yüklenmesi gibi ciddi tehditlerle karşı karşıya kalabilirler. İşte bu noktada, hem siber güvenlik uzmanlarının hem de ağ yöneticilerinin awareness seviyelerinin artırılması kritik bir önem taşımaktadır.

Neden Önemlidir?

DHCP üzerinde gerçekleştirilen DNS manipülasyonları, yalnızca bireysel bilgisayarlar için değil, aynı zamanda kurumsal ağlar için de ciddi tehlikeler arza etmektedir. Kullanıcıların güvenli bilgiye ulaşması gereksinimi, günümüzde oldukça yüksekken, sahte DNS sunucuları üzerinden yönlendirilmiş bilgiler, kullanıcıların veri güvenliğini tehdit etmektedir. Özellikle finansal bilgiler, kişisel veriler ve kurumsal bilgiler gibi kritik veri setleri, bu tür saldırılardan en çok etkilenen unsurlar arasında yer alır. Bu nedenle, DHCP üzerinden gerçekleştirilen DNS manipulasyonlarına karşı güçlü ve etkili güvenlik önlemleri alınması gerekmektedir.

Siber Güvenlik ve Pentest Konumlandırması

Siber güvenlik alanında, karmaşık ağ yapılandırmalarını ve bu yapıların altındaki tehditleri tehditlerin envanterini çıkarmak kritik bir adımdır. Pentest süreçlerinde, ağ üzerindeki zafiyetlerin ve tehditlerin sistematik bir şekilde tespit edilmesi sağlanarak, potansiyel açıklar üzerinden derinlemesine analiz yapılır. DHCP üzerinden yapılan DNS manipülasyonu da bu bağlamda ele alınarak, saldırı senaryoları geliştirilip, bu senaryolar üzerinden güvenlik seviyeleri değerlendirilebilir.

Kötü niyetli aktörlerin kullandığı tekniklerin anlaşılması, yalnızca saldırılara karşı doğru savunma stratejilerinin geliştirilmesine değil, aynı zamanda ağın genel güvenlik seviyesinin artırılmasına da yardımcı olur. Sahte DNS sunucularının keşfi, ağ trafiği analizi gibi istihbarat yöntemleri ile sistemin bu tür tehditlere karşı nasıl savunulabileceği üzerine stratejiler geliştirmek mümkündür.

Hazırlık

Özellikle ağ yöneticileri ve güvenlik profesyonellerinin, DHCP protokolünün çalışma mantığını ve DNS yapılandırmalarını iyi kavraması gerekmektedir. Bu bilgiler, ağ üzerinde gerçekleştirilecek olası saldırılar sırasında daha bilinçli hareket etmeyi ve ilgili güvenlik önlemlerini almayı sağlayacaktır. İlgili konular üzerine gerçekleştirilen eğitimler, saldırı tespit araçları ve güvenlik önlemleri hakkında derin bilgi sahibi olunması açısından son derece önemlidir.

Böylece, DHCP üzerinden yapılan DNS manipülasyonlarını anlamak ve bu tehditlere karşı etkili önlemler alabilmek için gerekli bilgi birikimi ve farkındalık sağlanmış olacaktır. Bu bağlamda, blog serimizin ilerleyen bölümlerinde, DHCP üzerinden DNS manipülasyonunun nasıl gerçekleştirileceği, bu tür saldırıların nasıl tespit edileceği ve güvenlik önlemlerinin neler olduğu üzerinde durulacaktır.

Teknik Analiz ve Uygulama

DHCP Üzerinden DNS Manipülasyonu

Siber güvenlik alanında, DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) üzerinde yapılan DNS (Alan Adı Sistemi) manipulasyonları, oldukça yaygın ve tehlikeli bir saldırı tekniğidir. Bu tür saldırılar, ağ yöneticilerinin farkında olmadan istemci üzerinde kontrol elde etmelerine ve istenmeyen DNS sunucularına yönlendirilmesine neden olabilir. Bu bölümde, DHCP üzerinden DNS manipulasyonunu anlamak ve buna yönelik güvenlik önlemlerini ele alacağız.

DHCP ve DNS Arasındaki İlişki

DHCP, istemcilere otomatik olarak IP adresi ve DNS sunucusu gibi ağ yapılandırma bilgilerini sağlar. Bu nedenle, DHCP sunucusunu manipüle ederek, istemcilerin DNS sorgularını kötü niyetli sunuculara yönlendirmek mümkündür. Bu tür bir saldırıya genellikle DHCP Spoofing denir. Bu durumda saldırgan, gerçek DHCP sunucusu gibi davranarak istemcilerin yanlış yapılandırma bilgileri almasını sağlar.

dnsmasq ile DHCP Sunucusu Yapılandırma

dnsmasq, hafif bir DHCP ve DNS sunucusu olarak ağlar üzerinde kullanılabilir. Bu aracı kullanarak DHCP üzerinden DNS manipülasyonu gerçekleştirmek için öncelikle temel yapılandırmayı yapmalısınız. Örneğin, aşağıdaki komut ile DHCP aralığını ve DNS sunucusunu belirleyebilirsiniz:

dnsmasq --dhcp-range=192.168.1.100,192.168.1.200 --dhcp-option=6,8.8.8.8

Yukarıdaki komutta, --dhcp-range seçeneği ile IP adresinin hangi aralıktan atanacak olduğunu belirtirken, --dhcp-option=6 ile belirli bir DNS sunucu IP'si (bu örnekte 8.8.8.8 - Google DNS) atanmıştır.

DHCP Talep Kontrolü

dnsmasq ile yapılandırmanın ardından, istemci cihazının DHCP ayarlarını kontrol etmeniz gerekmektedir. Bunun için aşağıdaki komutu kullanabilirsiniz:

  • Windows:
ipconfig /all
  • Linux:
cat /etc/resolv.conf

Bu komutlar, istemcinin aldığı DNS ayarlarını görüntüler ve yapılandırmanın doğru olup olmadığını kontrol etmenizi sağlar.

DNS Manipülasyonunu Tespit Etme

DHCP üzerinden DNS manipulasyonunu tespit etmek, genellikle ağ trafiğini analiz etmekle mümkündür. Wireshark gibi bir araç kullanarak, DHCP ve DNS paketlerini gözlemleyebilir ve aşağıdaki gibi anormal durumları tespit edebilirsiniz:

  • Aşırı DNS istekleri,
  • Tanınmamış DNS sunucusu kullanımı,
  • Sahte DHCP yanıtları.

Wireshark kurulumu yaptıktan sonra, trafik analizi yapmak için uygun ağ arayüzünü seçip paketi filtreledikten sonra, dns veya dhcp anahtar kelimeleri ile sorgular yapabilirsiniz.

Güvenlik Önlemleri

DHCP üzerinden DNS manipulasyonuna karşı korunmak için bir dizi güvenlik önlemi uygulanmalıdır:

  1. DHCP Sunucularının Kimlik Doğrulaması: DHCP sunucusu kimlik doğrulama mekanizması ile yapılandırılmalıdır. Bu, sahte DHCP sunucuların ağa erişimini sınırlandırır.

  2. Ağ İzleme: Ağdaki tüm DHCP ve DNS trafiği izlenmeli, olağandışı aktiviteler anında tespit edilmelidir.

  3. Güçlü Parola Kullanımı: Ağ cihazlarının güvenliğini sağlamak için güçlü parolalar kullanılmalıdır. Bu, belirlenmiş yönetim erişimlerini sınırlar.

  4. Statik IP Ataması: Küçük ağlarda, DHCP'nin kullanılmaması ve tüm IP atamalarının statik olarak yapılması, birçok saldırının önüne geçilmesine yardımcı olabilir.

  5. Güvenli DNS Sunucuları: İstemcilerin yalnızca güvenilir DNS sunucularına yönlendirilmesi sağlanmalıdır. Bu, DNS hijacking saldırılarına karşı önemli bir savunma mekanizmasıdır.

  6. Ağ Segmentasyonu: Farklı ağ segmanları oluşturmak, saldırganların tüm ağa erişimini kısıtlayabilir.

Sonuç

DHCP üzerinden DNS manipulasyonu, siber tehditlerin önemli bir parçasını oluşturur. Bu tür saldırılarla başa çıkmak için etkili güvenlik önlemleri alınmalı ve ağ trafiği düzenli olarak izlenmelidir. Uygulamalar ve araçlar, bu saldırıları tespit etmek ve önlemek için kritik öneme sahiptir. Bu bilgileri belirli bir ağ yapılandırması ve güvenlik politikaları çerçevesinde değerlendirerek, ağ güvenliğini artırmak mümkündür.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

DHCP (Dynamic Host Configuration Protocol) üzerinden DNS (Domain Name System) manipülasyonu, siber güvenlik açısından ciddi tehditler içermektedir. Bu tür bir saldırı, kötü niyetli bir aktör tarafından gerçekleştirildiğinde, hedef ağda birçok olumsuz etkiye yol açabilir. Özellikle, DHCP spoofing saldırıları sayesinde saldırganlar, ağ üzerindeki istemcilere sahte DNS sunucuları sunarak, trafiği yönlendirebilir veya verilerinizi ele geçirebilir.

Örneğin, bir kullanıcıyı sahte bir DNS sunucusuna yönlendirdiğinizde, kullanıcı istemeden zararlı bir yazılımın kurulu olduğu bir web sitesine yönlendirilebilir. Bu durum, veri hırsızlığı, kimlik avı saldırıları ve diğer kötü niyetli işlemleri mümkün kılar.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırılan DHCP sunucuları, ağ güvenliğinde büyük zafiyetlere neden olabilir. Eğer bir ağdaki DHCP sunucusu düzgün bir şekilde yapılandırılmamışsa veya kimlik doğrulama mekanizmaları ihmal edilmişse, bu yapılandırmalar kötü amaçlı kullanıcıların eline geçebilir. Örneğin, eğer bir DHCP sunucusu tasarlanmış bir IP adresi havuzunu aşarak yanıltıcı cevaplar veriyorsa, istemciler DNS sorgularının yanlış adreslere yönlendirilmesine maruz kalabilir.

Bu gibi durumlar, performans kaybı ve güvenlik açıklarının yanı sıra, ağ trafiğinin analizi sırasında zorlanmalara da neden olabilir. Kullanıcıların ağ üzerinden alışveriş yapması ya da hassas bilgi girmesi durumunda, tüm bu angrilerin de izinsiz ele geçirilmesi oldukça muhtemeldir.

Sızan Veri ve Topoloji

DHCP üzerinden DNS manipülasyonu yapıldığında, kullanıcı bilgileri sızabilir ve bu durum ağ topolojisinin de tehlikeye girmesine yol açar. Saldırganlar, istemci cihazlarının trafiğini izleme imkanı bularak hassas verilere ulaşabilir. Örneğin, kullanıcıların DNS sorgularındaki bilgiler kayıt altına alınarak, hangi sitelerin ziyaret edildiği ve hangi bilgilere erişildiği hakkında veri elde edilebilir. Bu bilgiler, daha sonra sosyal mühendislik saldırılarında veya kimlik avı girişimlerinde kullanılabilir.

Profesyonel Önlemler ve Hardening

Kötü niyetli saldırganların DHCP üzerinden DNS manipülasyonu gerçekleştirmesini önlemek için bir dizi güvenlik önlemi almak gerekir. İşte bazı öneriler:

  1. DHCP Sunucularının Güvenliği: DHCP sunucuları ağda kimliği doğrulamak için kullanılmalıdır. Ağa sadece güvenilir DHCP sunucularının bağlı olduğundan emin olunmalıdır.

  2. DHCP Snooping: Bu özellik, ağda sadece belirli DHCP sunucularına izin vererek, sahte DHCP yanıtlarının önüne geçer. Ağ akışını izlemek ve kontrol altında tutmak için tasarlanmıştır.

  3. DNSSEC Kullanımı: DNSSEC (DNS Security Extensions), DNS sunucularına daha yüksek bir güvenlik seviyesi ekleyerek, DNS sorgularının doğruluğunu sağlamaya yardımcı olur.

  4. Ağ İzleme ve Analiz: Ağ üzerinde aktif olarak yapılan DHCP ve DNS trafiğini izlemek ve analiz etmek önemlidir. Wireshark gibi araçlar kullanarak istenmeyen trafik belirlenebilir ve gerekli önlemler alınabilir.

  5. Güçlü Parola Politikaları: Ağ üzerinde kullanılan her cihazın ve hizmetin güçlü parolarla korunması, yetkisiz erişimleri engellemeye yardımcı olacaktır.

  6. Regüler Güncellemeler: Ağ cihazlarının yazılımlarının güncel kalması, bilinen güvenlik açıklarının kapatılmasına yardımcı olur.

Sonuç Özeti

DHCP üzerinden yapılan DNS manipülasyonu, ağlarda ciddi riskler oluşturmaktadır. Yanlış yapılandırmalar ve zafiyetler, kötü niyetli kullanıcılar için fırsatlar yaratabilir. Saldırganlar, ağ üzerinden hassas bilgileri elde edebilir ve kullanıcıları yanıltabilir. Bu nedenle, DHCP sunucuları için sıkı güvenlik önlemleri almak, ağların güvenliğini artıracak ve siber tehditleri azaltacaktır.