CyberFlow Logo CyberFlow BLOG
Smb Pentest

İmzalama Durumu Kontrolü: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB imzalama durumu kontrolü ile siber güvenliğinizi güçlendirin. Kritik zafiyetlere karşı alınacak önemleri keşfedin.

İmzalama Durumu Kontrolü: Siber Güvenlikte Kritik Adımlar

SMB imzalama durumu, siber güvenlik stratejinizin temelini oluşturur. Nmap ve CrackMapExec gibi araçlarla yapılan analizler, potansiyel zafiyetleri belirlemenizi sağlar.

Giriş ve Konumlandırma

Siber güvenlik alanında, sistemlerin güvenliğini sağlamak için imzalama durumu kontrolü kritik bir öneme sahiptir. Özellikle, hizmet sunucuları ile istemciler arasında veri iletimi gerçekleştiren SMB (Server Message Block) protokolünün kullanıldığı ağlarda, imzalama uygulamaları veri bütünlüğünü sağlamak ve kimlik doğrulama işlemlerini güvence altına almak için gereklidir. Bu nedenle, imzalama durumu kontrolünün ne olduğu ve neden bu kadar önemli olduğu üzerine odaklanmak, uzmanların iş süreçlerinde alması gereken temel bir adımdır.

İmzalama Nedir?

Imza, bir iletişimin güvenliğini sağlamak için kullanılan bir tür dijital mühürdür. Özellikle SMB protokolünde, mesajların yolda değiştirilmeden iletildiğini ve kaynağının doğruluğunu kanıtlamak için kullanılır. Her bir SMB paketinin belli bir formatta imzalanması, bu paketin bütünlüğünü ve otoritesini güvence altına alır. İmzalama durumu ise, bir sistemin bu tür bir güvenlik önlemi alıp almadığını belirleyen bir dizi ayardan oluşur.

Neden Önemlidir?

Siber güvenlikte imzalama durumu kontrolü, iki ana sebep nedeniyle oldukça kritiktir. Birincisi, ağdaki potansiyel güvenlik açıklarını önceden tespit etme imkanı sunmasıdır. Örneğin, imzalama durumu "Disabled" (Kapalı) olarak ayarlandığında, bu durum Man-in-the-Middle (MitM) saldırılarına karşı son derece savunmasız bir yapı oluşturur. Bu tür bir açık, saldırganların ağ üzerinde trafiği dinleyip, paketleri değiştirmelerine neden olabilir. Dolayısıyla, işletmelerin bu tür savunmasızlıklara karşı bir kontrol mekanizması oluşturması, saldırıları önlemek için kritik bir adım olacaktır.

İkincisi, imzalama durumu ile veri bütünlüğü ve kimlik doğruluğu ilkeleri arasında doğrudan bir ilişki vardır. Siber güvenliğin temel ilkelerinden biri olan CIA üçlüsü (Gizlilik, Bütünlük, Erişilebilirlik), veri bütünlüğünü sağlamanın yanı sıra kimliği de güvence altına almayı hedefler. İmzalama durumu kontrolü bu ilkelerin ne denli sağlandığını gözler önüne serer.

Pentest ve Savunma Perspektifinden İmdalama Kontrolü

Bir pentester veya siber güvenlik uzmanı, sistemleri test ederken imzalama durumunun denetimini gerçekleştirmek zorundadır. Bu süreç, ağdaki sunucuların hangi imzalama durumlarını desteklediğini belirlemekle başlar. Nmap aracı, belirli bir hedefte SMB imzalamayı kontrol etmek için kullanılabilir. Örneğin, aşağıdaki Nmap komutu ile bu durum hızlıca tespit edilebilir:

nmap -p 445 --script smb2-security-mode <hedef_ip>

Bu komut, belirli bir IP adresindeki SMB sunucunun imzalama durumunu sorgulamak için kullanılmaktadır. Elde edilen bilgiler, saldırı yüzeyini anlamak ve potansiyel zafiyetleri belirlemek adına kritik veriler sağlar.

Ayrıca, CrackMapExec (CME) aracı, geniş bir ağda hangi sunucuların "Signing: False" olarak ayarlandığını tespit etmek için kullanılabilecek en hızlı işlemlerden biridir. Bu şekilde, savunma stratejileri geliştirirken hangi hedeflerin öncelikli olduğunu belirlemek mümkündür.

Sonuç olarak, imzalama durumu kontrolü sadece siber güvenlik uygulamalarının bir parçası değil, aynı zamanda bir proaktif savunma mekanizmasıdır. İlgili bölgede yapılan denetimler, örgütlerin güvenlik altyapılarını güçlendirmelerine ve potansiyel zafiyetleri tanımlamalarına imkân tanır. İmaj konusundaki bu anlayış, geniş bir tehdit istihbaratı ve güvenlik stratejisi geliştirmek için de temel bir bileşendir. Dolayısıyla, bu süreçlerin her birinin detaylı bir şekilde anlaşılması, hem pentest süreçlerinde hem de genel güvenlik uygulamalarında büyük önem taşımaktadır.

Teknik Analiz ve Uygulama

Siber güvenlikte imzalama durumu kontrolü, ağlar üzerinde veri güvenliğinin sağlanmasında kritik bir rol oynamaktadır. Bu bölümde, imzalama durumlarını tespit etme, bunlarla ilgili riskleri anlama ve potansiyel zafiyetleri ele alma yöntemlerine derinlemesine bir bakış sunulacaktır.

Adım 1: Nmap ile Signing Tespiti

Hedef sunucunun SMB imzalama durumunu tespit etmek için öncelikle Nmap aracı kullanılabilir. Aşağıdaki komut, hedef IP üzerinde SMB imzalama durumunu sorgulamak için kullanılmaktadır:

nmap -p 445 --script smb2-security-mode <hedef_ip>

Bu komut, hedef sistemde SMB protokolünün güvenlik modlarını tarar ve imzalama durumunu belirler. Çıktı, server’ın imzalama zorunluluğunu (Required, Supported veya Disabled) gösterecektir.

Adım 2: Signing Durumlarını Tanıyalım

SMB imzalama durumları şu şekilde sınıflandırılabilir:

  • Required (Zorunlu): İmza şarttır; bu durumda NTLM Relay saldırıları mümkün olmayacaktır.
  • Supported (Destekleniyor): İmza atılabilir ama zorunlu değildir. Saldırganlar için büyük bir zafiyet oluşturur.
  • Disabled (Kapalı): Mesaj bütünlüğü kontrol edilmez ve Man-in-the-Middle (MitM) saldırılarına tamamen açıktır.

Bu farklılıklar, sistemin güvenliğini tehdit eden unsurların nasıl şekillendiğini anlamak açısından kritik öneme sahiptir.

Adım 3: Tanım: SMB Signing

SMB (Server Message Block) imzalama, ağ trafiğinde gönderilen verilerin bütünlüğünü ve kaynağının doğruluğunu sağlamak için kullanılan bir mekanizmadır. Bu süreç, bir verinin ağ üzerinde değiştirilmeden iletildiğini kanıtlar ve dolayısıyla veri güvenliğini artırır.

Adım 4: CrackMapExec ile Toplu Tarama

Geniş bir ağda hangi sunucuların imzalamayı destekleyip desteklemediğini tespit etmek için CrackMapExec (CME) aracı en etkili yöntemlerden biridir. Aşağıdaki komut kullanılarak bir IP aralığındaki tüm sistemlerin imzalama durumları hızlıca taranabilir:

crackmapexec smb 192.168.1.0/24 --gen-relay-list targets.txt

Bu komut, belirli bir IP aralığında imzalama durumunu sorgulamakta ve sonuçları belirttiğimiz dosyaya yönlendirmektedir.

Adım 5: Zafiyet: NTLM Relay

NTLM Relay saldırıları, IMZALAMA kapalı olan sistemlerde büyük bir tehlike oluşturmaktadır. Saldırgan, kullanıcının kimlik doğrulama isteğini yakalayarak başka bir sunucuya iletebilir, bu da güvenliğe büyük bir açık yaratır.

Adım 6: Temel Kavram: MitM

Man-in-the-Middle (MitM) saldırıları, saldırganın iki iletişim noktası arasında araya girip tüm iletişimi kontrol etmesiyle gerçekleşir. Bu tür saldırılarda, eğer imzalama aktif değilse, gönderilen veriler değiştirilebilir veya izlenebilir.

Adım 7: Responder ile Zehirleme Testi

Ağdaki LLMNR ve NetBIOS isimlendirme isteklerini dinleyerek bağlantıları 'zehirlemek' için Responder aracı kullanılabilir. Aşağıdaki komut, Responder'ı analiz modunda başlatmanızı sağlar:

responder -I eth0 -A

Bu komut, ağ üzerinde dinleme yaparak, kurbanların kimlik bilgilerini ele geçirmeye çalışır.

Adım 8: SMB Versiyonları ve Signing

SMB protokolünün versiyonları, imzalama işlemlerinin güvenliğini etkiler. Örneğin:

  • SMBv1: İmzalama performansı düşük; genellikle devre dışı bırakılır.
  • SMBv2: HMAC-SHA256 algoritması ile daha güvenli hale getirilmiştir.
  • SMBv3: AES-CMAC algoritması ile şifreleme sağlanır.

Adım 9: Zafiyet: Message Integrity

İmzalama kapalı olduğunda, kötü niyetli bir saldırgan ağ üzerindeki bir paketi yakalayarak içindeki komutları değiştirebilir. Örneğin, bir dosyayı silme komutu ekleyerek hedefe gönderebilir. Bunun önlenmesi için imzalama özelliğinin aktif hale getirilmesi önem taşır.

Adım 10: PowerShell ile Durum Sorgusu

Bir Windows yöneticisi veya pentester olarak, yerel makinedeki SMB imzalama politikasını kontrol etmek için PowerShell kullanılabilir. Aşağıdaki komut, gerekli bilgiyi elde etmek için kullanılmaktadır:

Get-SmbServerConfiguration | Select RequireSecuritySignature

Adım 11: Savunma ve Hardening (Sertleştirme)

Kurumsal bir ağda, Relay saldırılarını önlemek amacıyla Group Policy (GPO) ayarlarının dikkatlice yapılandırılması şarttır. İmza gerekliliği kabul edilmeli ve eski protokoller devre dışı bırakılmalıdır.

Adım 12: Nihai Hedef: Authenticity

Siber güvenlik uygulamalarında, verilerin ve iletimin kimlik doğruluğu kritik bir öneme sahiptir. Gerekli önlemler alınmadığında, ağların güvenliği büyük bir tehdit altında kalmaktadır. İmzalama durumlarının kontrolleri, bu bağlamda hem veri güvenliği hem de kimlik doğruluğu açısından katkı sağlar.

Bu adımlar, sistem yöneticilerinin ve siber güvenlik uzmanlarının ağ güvenliğini sağlamaları için kritik bir yol haritası oluşturmaktadır. SMA imzalama durumları, siber güvenlikteki önemli tehditlerin farkına varmak ve önlemek için göz ardı edilmemelidir.

Risk, Yorumlama ve Savunma

Siber güvenlikte risk, çeşitli zafiyetlerin ve yanlış yapılandırmaların keşfi ile başlar. Özellikle, ağ güvenliği için kritik öneme sahip olan SMB imzalama durumunun analizi, siber saldırılara karşı etkili bir savunma temeli oluşturur. Bu bölümde, imzalama durumlarının analizi, olası zafiyetlerin incelenmesi ve savunma önlemlerinin belirlenmesi üzerine odaklanacağız.

Elde Edilen Bulguları Yorumlama

Nmap gibi ağ tarama araçları ile yapılan taramalarda, hedef sunucunun imzalama durumunu öğrenmek mümkündür. Aşağıdaki komut, SMB imzalama durumunu sorgulamak için kullanılabilir:

nmap -p 445 --script smb2-security-mode target_ip

Bu komutun çıktısında, "Signing" alanı altında "Required", "Supported" veya "Disabled" gibi durumların belirtilmesi, hedef sistemin saldırıya ne derecede açık olduğunu gösterir.

  • Required (Zorunlu): Bu durumda, sunucu yalnızca imzalı iletişimleri kabul eder. Bu, NTLM Relay saldırılarının teknik olarak imkansız olduğu anlamına gelir.
  • Supported (Destekleniyor): İmza atılması opsiyoneldir ve bu, saldırgan için kritik bir zafiyet oluşturur.
  • Disabled (Kapalı): Bu durumda, kimlik doğrulama sürecinde herhangi bir bütünlük kontrolü yapılmaz; dolayısıyla Man-in-the-Middle (MitM) saldırılarına tamamen açıktır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, ağ güvenliği için ciddi tehditler oluşturur. Özellikle SMB imzalama kapalı olduğunda, saldırgan, kurbanın kimlik doğrulama isteğini yakalayabilir ve başka bir sunucuya "paslayarak" oturum açabilir. Bu durum, sistemin bütünlüğünü ve güvenliğini tehdit eder. Örneğin, bir saldırgan, ağda LLMNR ve NBT-NS isteklerini dinleyebilir ve bu istekleri kullanarak kurbanların kendilerini bağlamasını sağlayabilir.

Sızan Veri ve Topoloji Analizi

SMB iletişiminde imza kontrolü yapılmadığında, saldırgan, hedef sunucuya gönderilen bir paketi değiştirebilir. Örneğin;

Kullanıcı: "dosyayı sil"
Saldırgan: "dosyayı kopyala"

Böyle bir durumda, saldırgan hem ağ üzerinde hem de sunucu üzerinde istenmeyen etkiler yaratabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik açısından aşağıdaki önlemler, ağ güvenliğini artırmak için kritik öneme sahiptir:

  1. SMB İmzalamayı Zorunlu Hale Getirin: Grup Politikaları (GPO) aracılığıyla SMB imzalamayı "Required" durumuna getirmek, ağda NTLM Relay saldırılarını etkili bir şekilde engeller.

    Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableSecuritySignature" -Value 1

  2. Eski Protokolleri Devre Dışı Bırakın: LLMNR ve NetBIOS protokollerini devre dışı bırakmak, saldırganların ağda zehirleme (poisoning) yapma şansını önemli ölçüde azaltır.

  3. PowerShell ile Kontrol: Yerel makinenin SMB imzalama politikasını doğrulamak için PowerShell kullanılabilir:

    Get-SmbServerConfiguration | Select RequireSecuritySignature

  4. Saldırı Tespit Sistemleri Kurun: Ağda şüpheli etkinlikleri izleyen sistemlerin kurulması, potansiyel tehditlerin erken tespit edilmesini sağlar.

  5. Eğitim ve Farkındalık: Ağ kullanıcılarının eğitim alması, sosyal mühendislik saldırılarına karşı farkındalığını artırır.

Sonuç

SMB imzalama durumu, bir ağın güvenliğini etkileyen kritik faktörlerden biridir. Yanlış yapılandırmalar ve ihmal edilen güvenlik önlemleri, siber saldırılara zemin hazırlamakta ve kurumsal verilerin güvenliğini tehdit etmektedir. Yukarıda belirtilen savunma stratejileri ile organizasyonlar, riskleri minimize edebilir ve güvenlik seviyelerini artırabilir. Siber güvenlikte sürekli bir farkındalık ve proaktif yaklaşım, güvenli bir ağ ortamı için olmazsa olmazdır.