CyberFlow Logo CyberFlow BLOG
Kritik Servisler

DNS, HTTP, HTTPS ve SMB: Siber Güvenlikte Kritik Hizmetler

✍️ Ahmet BİRKAN 📂 Kritik Servisler

DNS, HTTP, HTTPS ve SMB protokollerinin siber güvenlikteki önemi ve etkileri hakkında derinlemesine bilgi edinin.

DNS, HTTP, HTTPS ve SMB: Siber Güvenlikte Kritik Hizmetler

Bu yazıda DNS, HTTP, HTTPS ve SMB protokollerinin siber güvenlikteki rolünü, saldırı yüzeylerini ve savunma stratejilerini inceleyeceğiz. Her protokolün kendine özgü zafiyetleri bulunmaktadır.

Giriş ve Konumlandırma

Sahip olduğumuz dijital dünyanın temellerinde yer alan DNS (Alan Adı Sistemi), HTTP (HyperText Transfer Protocol), HTTPS (Güvenli HTTP) ve SMB (Server Message Block), siber güvenlik açısından kritik öneme sahip olan servislerdir. Bu blog yazısında, bu protokollerin işleyişini, güvenlik açıklarını ve siber analizin bu servisler üzerinden nasıl gerçekleştirileceğini ele alacağız.

Siber Güvenliğin Temeli: Protokoller ve Servisler

Siber güvenlikte, bir saldırganın hedef sistemlere erişim sağlayabilmesi için ilk olarak bu hizmetlere dair bilgi edinmesi gerekmektedir. Bu hizmetlerin işleyişine dair bilgi sahibi olmak, güvenlik uzmanlarının sistem zayıflıklarını taraması, penetrasyon testi (pentest) yapması ve savunma mekanizmalarını güçlendirmesi açısından son derece önemlidir.

Özellikle DNS, kurumların ağ yapısının haritasını çıkarmak için kritik bir bileşen olarak öne çıkar. Alan adlarını IP adreslerine dönüştüren DNS, güvenlik testleri sırasında port 53 üzerinden gerçekleştirilen sorgularla sızma testinde kurgusal olarak geniş bir bilgi edinme olanağı sunar. Bu bağlamda, şöyle bir sorgu gerçekleştirmek mümkündür:

nmap -p 53 --script dns-zone-transfer 10.0.0.5

Bu komutla, belirtilen IP adresindeki DNS sunucusunun kayıtlarının tümünü çekmek mümkündür. Eğer sunucu, "Zone Transfer" özelliğini destekliyorsa, saldırgan tüm ağ bilgilerine ulaşabilir. Bu, siber güvenlik açısında ciddi bir tehdit oluşturur.

HTTP ve HTTPS: Web Güvenliği

Web uygulamaları üzerinden gerçekleştirilen saldırılar sıklıkla HTTP (port 80) üzerinden gerçekleşmektedir. HTTP, kullanıcıların web sunucuları ile etkileşimde bulunmasını sağlar; dolayısıyla, güvenlik açıkları olan bir web uygulaması, saldırganlar için kârlı bir alan yaratmış olur. Pentest sırasında gerçekleştirilen "Banner Grabbing" ile sunucunun yazılım türü ve sürümü öğrenilebilir. Bu tür bilgiler, sızma testleri esnasında yönlendirici bir rehber niteliği taşır.

HTTPS ise kullanıcı verilerinin güvenliğini sağlamak için geliştirilmiş bir protokoldür. Ancak, HTTPS’nin kullanımıyla birlikte ortaya çıkan zayıf SSL/TLS sürümleri veya süresi dolmuş sertifikalar gibi güvenlik açıkları, "Man-in-the-Middle" saldırılarına kapı açabilir. Hedefin SSL/TLS sertifika detaylarını incelemek, hem güvenlik hem de ek bilgi toplama (OSINT) için önemlidir. Örneğin, şu komutla sertifika bilgilerini görüntülemek mümkündür:

nmap -p 443 --script ssl-enum-ciphers 192.168.1.1

SMB: Yerel Ağdaki Paylaşım Kapısı

SMB (port 445), yerel ağlarda dosya ve yazıcı paylaşımında kullanılan önemli bir protokoldür. Ancak, SMB'nin yapılandırmasındaki açıklar, sızma testlerinde sistemin tamamen ele geçirilmesine neden olabilecek kritik zafiyetler barındırabilir. "EternalBlue" gibi zafiyetler, siber saldırıların yayılmasına zemin hazırlamaktadır.

Pentest sürecinde, SMB üzerindeki paylaşımlar ve kullanıcı yetkilerini tespit etmek için şu komut kullanılabilir:

nmap -p 445 --script smb-enum-shares 10.0.0.15

Ayrıca, "NULL Session" gibi zayıflıklar, kimlik doğrulama sürecini atlayarak sistem bilgilerini sızdırma amacıyla kullanılabilir.

Özet

DNS, HTTP, HTTPS ve SMB, siber güvenlik alanında göz ardı edilmemesi gereken temel bileşenlerdir. Bu protokollerin işleyişi ve bunların siber saldırılara açtığı kapılar, güvenlik uzmanları için hayati önemdeki bilgilere ev sahipliği yapar. Bir ağın güvenliğini sağlamak için, bu protokollerin nasıl çalıştığını ve hangi zayıflıkları barındırdığını anlamak, siber güvenlik profesyonellerinin en temel görevlerinden biridir. Bu yazıda, bahsedilen hizmetlerin detaylarına inecek ve her birinin sağladığı tehditleri derinlemesine inceleyeceğiz.

Teknik Analiz ve Uygulama

DNS: Ağın Rehberini Keşfetme

DNS (Domain Name System), internet üzerindeki alan adlarını IP adreslerine dönüştürerek kullanıcıların daha kolay erişim sağlamasına yardımcı olur. Ancak, siber güvenlik açısından DNS’in sağladığı bilgiler oldukça kritik öneme sahiptir. Pentest süreçlerinde, başta DNS sunucusunun türü ve yapılandırması olmak üzere, çok sayıda bilgi elde edilebilir.

Örneğin, hedef bir DNS sunucusundan zone transfer yapmak için kullanılabilecek bir Nmap komutu şu şekildedir:

nmap -p 53 --script dns-zone-transfer 10.0.0.5

Bu komut, belirtilen IP adresindeki DNS sunucusundan tüm kayıtları çekmeye çalışır. Eğer sunucu zone transfer için açıksa, sızma testi uzmanı, domain ile ilgili kapsamlı bilgilere ulaşabilir.

DNS Kayıt Türleri ve Anlamları

DNS kayıtları, hedefin teknolojik altyapısına dair önemli ipuçları taşır. Genel olarak bilinen bazı kayıt türleri şunlardır:

  • A Kaydı: Bir alan adının bağlı olduğu IPv4 adresini gösterir. Sızma testlerinde özellikle hedef sunucunun IP yapısının belirlenmesine yardımcı olur.
  • MX Kaydı (Mail Exchange): E-posta trafiğini yöneten sunucuları ifşa eder. Böylelikle, e-posta iletedirindeki potansiyel zayıflıklar hakkında bilgi edinilebilir.
  • TXT Kaydı: Genellikle güvenlik doğrulama kayıtları (SPF, DKIM) içerir. Bu tür veriler, organizasyonun güvenlik pratiklerini analiz etme açısından kritik bir bilgi kaynağıdır.

HTTP: Web Dünyasına Giriş

HTTP (Hypertext Transfer Protocol), web sayfalarının iletimi için kullanılan temel protokoldür. Modern siber saldırıların çoğu bu protokol üzerinden gerçekleşmektedir. Hedef sunucuda port 80’in açık olması, genellikle bir web uygulaması veya yönetim panelinin çalıştığını gösterir.

Web sunucusunun başlık bilgilerini (HTTP headers) çekmek için kullanılabilecek bir Nmap komutu aşağıdaki gibidir:

nmap -p 80 --script http-headers 10.0.0.10

Bu komut, sunucuda hangi başlıkların bulunduğunu ve hangi teknolojilerin kullanıldığını analiz etmek için kullanılır.

HTTP Metotları ve Riskler

HTTP, çeşitli metotlar (GET, POST, PUT, DELETE) kullanarak verilerin iletimini sağlar. Bu metotların bazıları, kötü niyetli kullanıcılar için zayıf noktalar teşkil edebilir. Örneğin:

  • GET: Veri okuma için kullanılır, ancak kötü niyetli kullanıcılar için XSS (Cross-Site Scripting) ve SQL injection senaryolarının potansiyel hedefidir.
  • POST: Veri gönderiminde kullanılır ve yanıtlar güvenlik açığı testleri için önemlidir.
  • OPTIONS: Sunucunun hangi metotlara izin verdiğini belirtir; bu, potansiyel zayıflıkların keşfi açısından kritik bilgidir.

HTTPS: Şifreli Trafiğin Analizi

HTTPS (Hypertext Transfer Protocol Secure), veri aktarımını şifreli bir şekilde sağlar. Ancak, şifreleme yönteminin kendisi de saldırıya uğrayabilir. Güvensiz SSL/TLS sürümleri veya geçerliliği dolmuş sertifikalar, Man-in-the-Middle (MitM) saldırılarına kapı aralayabilir.

HTTPS protokolünün varsayılan portu 443'tür. SSL/TLS sertifika detaylarını incelemek için Nmap üzerinde aşağıdaki komutu kullanabilirsiniz:

nmap -p 443 --script ssl-enum-ciphers 192.168.1.1

Bu komut, hedefin ssl ile ilgili sertifika bilgilerini ve desteklenen şifreleme algoritmalarını listeleyecektir. Sertifika detayları, örneğin Common Name (CN) veya Subject Alternative Name (SAN) gibi bireysel alanların sağladığı bilgiler, organizasyonel veya teknik veri edinmek açısından da kritik öneme sahiptir.

SMB: Yerel Ağdaki Paylaşım Kapısı

SMB (Server Message Block), ağ üzerinden dosya ve yazıcı paylaşımını sağlamak için kullanılan bir protokoldür. Pentest süreçleri için en tehlikeli servislerden biridir. Özellikle, EternalBlue gibi kritik zafiyetler, bu servis üzerinden yayılmakta ve sistemin tam kontrolünün kaybedilmesine yol açabilmektedir.

SMB hizmetine yönelik bir inceleme yapmak için aşağıdaki komut kullanılabilir:

nmap -p 445 --script smb-enum-shares 10.0.0.15

Bu komut, hedef sistemdeki SMB paylaşımlarını ve kullanıcı yetkilerini listeleyecektir. SMB protokolünde bulunabilecek zafiyetler, sızma testi uzmanları için özellikle önem taşır. Özellikle yanlış yapılandırmalar, ağ içinde yanal hareket (Lateral Movement) yapılmasına olanak tanıyabilir.

Yeterli bilgi ve deneyim ile, bu dört temel protokol; DNS, HTTP, HTTPS ve SMB, siber güvenlik alanında derinlemesine anlayış kazanılmasını sağlayacak kritik bileşenlerdir. Bu protokollerin zayıf noktalarını anlamak, etkili bir sızma testi ve savunma stratejisi geliştirmek için gereklidir.

Risk, Yorumlama ve Savunma

DNS: Ağın Rehberini Keşfetme

DNS, genel olarak bir alan adını IP adresine dönüştüren kritik bir servistir. Ancak, bu dönüşüm süreci, kötü niyetli taraflar için birçok fırsat sunar. Örneğin, pentest sırasında hedef DNS sunucusunun (örneğin, 10.0.0.5) port 53’ten alınan veriler, ağın topolojisi, alt alan adları ve e-posta sunucuları hakkında detaylı bilgi edinmeyi sağlar. Eğer sistemde 'Zone Transfer' açığı varsa, bu, tüm ağ haritasının hızlıca ve basit bir komutla ele geçirilmesine olanak tanır.

Örnek bir komut ile DNS zone transferini gerçekleştirmek için şu şekilde bir sorgu yapılabilir:

nmap -p 53 --script dns-zone-transfer 10.0.0.5

Bu tür bir zafiyet, saldırganlar tarafından kullanılabilir. Sonuçta elde edilen DNS kayıtları, hedefin teknolojik altyapısını açığa çıkarır. A kayıtları, MX kayıtları ve TXT kayıtları gibi farklı kayıt türleri, farklı bilgiler barındırarak saldırı yüzeyini artırır.

HTTP: Web Dünyasına Giriş

HTTP, web uygulamalarının çalışması için temel bir protokoldür ve genellikle port 80 üzerinden çalışır. Bu portun açık olması, sistemin üzerinde bir web uygulaması veya API çalıştığını gösterir. Pentest süreçlerinde 'Banner Grabbing' tekniği kullanılarak, web sunucusunun tipi ve sürümü hakkında bilgi alınabilir. Bu bilgi, saldırganların potansiyel zafiyetleri hedef almasına olanak sağlar.

Web sunucusu ile iletişim kurarken kullanılan HTTP metotları (GET, POST, PUT, DELETE vb.), sunucunun ne kadar esnek ve zayıf olduğunu gösterir. Örneğin, dizin taraması (Directory Brute Force) yaparken alınan yanıtlar, sunucuda gizli dosyaların var olduğunu ortaya çıkarabilir.

HTTPS: Şifreli Trafiğin Analizi

HTTPS, verilerin güvenli bir şekilde iletilmesi amacıyla tasarlanmıştır ve genellikle port 443 üzerinde çalışır. Ancak HTTPS’in kendisi de bir zafiyet kaynağı olabilmektedir. Zayıf SSL/TLS sürümleri veya süresi dolmuş sertifikalar, 'Man-in-the-Middle' (Ortadaki Adam) saldırılarına kapı aralayabilir. Bu bağlamda, sertifikaların detaylı bir şekilde incelenmesi, hem güvenlik durumu hem de ek bilgi toplama açısından kritik bir öneme sahiptir.

Örnek bir sorgu ile hedef sistemin SSL/TLS sertifikası detaylarını listelemek için kullanılabilecek bir komut:

nmap -p 443 --script ssl-enum-ciphers 192.168.1.1

SMB: Yerel Ağdaki Paylaşım Kapısı

SMB, dosya ve yazıcı paylaşımı için yaygın olarak kullanılan bir protokoldür ve genellikle port 445 üzerinden çalışır. Pentest süreçlerinde en tehlikeli servislerden biri olarak kabul edilen SMB, saldırganlar için çok sayıda zafiyet barındırabilir. 'EternalBlue' gibi ünlü zafiyetler, SMB üzerinden yayılmakta ve sistemin tam kontrolünün kaybedilmesine yol açabilmektedir.

Yanlış yapılandırılmış bir SMB servisi, ağ içerisinde yanal hareket (Lateral Movement) için fırsatlar yaratır. SMB'nin zayıf noktalarını tespit etmek için, aşağıdaki komut kullanılabilir:

nmap -p 445 --script smb-enum-shares 10.0.0.15

Sonuç

DNS, HTTP, HTTPS ve SMB gibi kritik hizmetler, siber güvenlik açısından büyük Riskler taşımaktadır. Bu hizmetlerdeki yanlış yapılandırmalar veya zafiyetler, kötü niyetli kişilerin bilgi sızdırmasına, sistem kontrolüne veya daha mühim saldırılara olanak sağlayabilir. Sızma testleri ve düzenli güvenlik değerlendirmeleri, bu tür zafiyetleri önceden tespit etmek ve uygun önlemleri almak için hayati öneme sahiptir. Güvenliğin artırılması için her bir hizmetin sıkı bir şekilde yapılandırılması (hardening) ve zafiyetlerin kapatılması büyük önem taşımaktadır.