CyberFlow Logo CyberFlow BLOG
Smb Pentest

Kimlik Doğrulama Analizi: Siber Güvenlikte Temel Adımlar

✍️ Ahmet BİRKAN 📂 Smb Pentest

Kimlik doğrulama süreçlerini anlamak ve güvenliği artırmak için gereken adımları keşfedin. Siber güvenlikte kritik bir alan!

Kimlik Doğrulama Analizi: Siber Güvenlikte Temel Adımlar

Kimlik doğrulama analizi, siber güvenlikte kritik bir süreçtir. NTLM, Kerberos gibi protokollerle ilgili kapsamlı bilgilerle savunma önlemleri geliştirin.

Giriş ve Konumlandırma

Kimlik doğrulama, bir kullanıcının veya sistemin iddia ettiği kişi ya da sistem olduğunu kanıtlama sürecidir. Siber güvenlik alanında bu kavram, organizasyonların bilgi güvenliğini sağlamak adına kritik öneme sahiptir. Doğru bir kimlik doğrulama mekanizması; kullanıcıların, sistemlerin ve ağların güvenliğini korurken, aynı zamanda yetkisiz erişimi önler. Herhangi bir güvenlik ihlalinin önlenmesi için ilk adım, güvenilir ve sağlam bir kimlik doğrulama süreci oluşturmaktır.

Siber Güvenlik ve Kimlik Doğrulama

Siber saldırılar, genellikle kimlik doğrulama sürecinin zayıf noktalarından yararlanarak gerçekleştirilir. Saldırganlar, kullanıcı adı ve parola bilgilerinin yanı sıra, çeşitli hash değerleri ve bilet mekanizmalarını hedef alarak bu süreci geçersiz kılmaya çalışır. Bu bağlamda, kimlik doğrulamanın analizi sızma testleri (pentest) sırasında büyük önem kazanmaktadır. Sızma testleri, bir organizasyonun güvenlik duvarlarını aşma yeteneği olan saldırı tekniklerini simüle ederek mevcut zafiyetleri ortaya çıkarır.

Temel Kimlik Doğrulama Yöntemleri

Kimlik doğrulama, genellikle NTLM, Kerberos ve SPNEGO gibi protokollerle gerçekleştirilir. NTLM, üç aşamalı bir el sıkışma süreci kullanır: 'Negotiate', 'Challenge' ve 'Authenticate'. Öte yandan, Kerberos biletler üzerinden güven sağlamaktadır; bu sistemde, kullanıcının kimliğini kanıtlamak için bir Anahtar Dağıtım Merkezi (KDC) aracılığıyla biletler dağıtılır. SPNEGO ise, istemci ve sunucu arasındaki iletişimde hangi kimlik doğrulama protokolünün kullanılacağını seçer.

Bu üç protokol arasında, mimari ve güvenlik temelinde önemli farklılıklar bulunmaktadır. Saldırganlar, bu farklılıklardan faydalanarak hedef sistemlere erişim sağlamaya çalışır. Örneğin, NTLMv1'in zayıflıkları ve Kerberos'un bilet bazlı sisteminde yaşanabilecek yanlış yapılandırmalar, sızma testlerinde dikkat edilmesi gereken risk unsurlarıdır.

Neden Önemi Vardır?

Kimlik doğrulama analizi, güvenlik süreçlerinin sağlamlığını değerlendirmek açısından kritik bir bileşendir. Bir organizasyonun ağında zayıf bir kimlik doğrulama yöntemi kullanılması, siber saldırganların kolayca hedef alabileceği zafiyetler oluşturur. Örneğin, NTLMv1 gibi eski protokoller, günümüz işlemlerine karşı son derece zarar görebilirken; bunu bilen bir saldırgan, birkaç dakika içinde bu sistemleri kırabilir.

Bu tür zafiyetler, sadece bireysel kullanıcıların bilgilerini değil, aynı zamanda organizasyonun hareket kabiliyetini ve itibari güvenliğini de tehdit eder. Ayrıca kimlik doğrulama süreçlerini güçlendirmek, organizasyonların çevresel güvenliğini artırır ve veri bütünlüğü için önemli bir önlem olarak dikkat çeker. Zafiyetlerin belirlenmesi ve gerekli sertleştirme adımlarının atılması, ağın genel güvenliğini sağlamanın temel yollarındandır.

Teknik İçeriğe Hazırlık

Bu yazıda, kimlik doğrulama analizi sürecinde izlenecek temel adımları inceleyeceğiz. Bu adımlar, sızma testleri sırasında kullanılan araçlar, önemli kavramlar ve uygulama yöntemleri üzerine yoğunlaşacaktır. Zamanla, bu içerik, okuyucuların siber güvenlikte daha derin bir anlayış geliştirmesine yardımcı olmayı amaçlamaktadır.

Konuya hazırlıklı olmak ve detaylara hakim olmak, güvenlik uzmanlarının işlerini daha etkili bir şekilde yürütmelerini sağlayacaktır. Sızma testleri sırasında merkezi bileşen olan kimlik doğrulama analizinin incelenmesi, siber güvenliğin derinliklerine inmek adına önemli bir başlangıç noktasıdır.

Sonuç olarak, kimlik doğrulama analizi, siber güvenlik disiplininin temellerinden birini oluşturmakta ve organizasyonların siber tehditlere karşı direncini artırmaktadır. Bu süreç boyunca karşılaşacağımız çeşitli teknik kavramları anlayarak, güvenli bir dijital ortam sağlama yolunda önemli bir adım atmış olacağız.

Teknik Analiz ve Uygulama

Siber güvenlikte kimlik doğrulama, tüm sistemlerin güvenliğini sağlamak için kritik bir bileşendir. Bu makalede, kimlik doğrulama süreçlerini ve bu süreçlerde kullanılan çeşitli teknikleri detaylandıracağız.

Adım 1: Desteklenen Metotların Tespiti

Kimlik doğrulama süreci, hedef sistemin hangi kimlik doğrulama yöntemlerini (NTLM, Kerberos, SPNEGO gibi) desteklediğini tespit etmekle başlar. Bu adım, hedef sistemi keşfetmek için yapılan birçok sızma testinin başlangıcını oluşturur. Bunun için Nmap kullanılabilir:

nmap -p 445 --script smb2-security-mode TARGET_IP

Bu komut, belirtilen IP adresindeki SMB güvenlik modlarını ve kimlik doğrulama yöntemlerini tespit etmeye yarar.

Adım 2: NTLM vs. Kerberos

İki ana protokol olan NTLM ve Kerberos arasındaki mimari farkları anlamak, saldırı yüzeyinin belirlenmesinde önemli bir adımdır. NTLM, "Challenge-Response" (meydan okuma cevabı) tabanlı çalışırken, Kerberos bilet tabanlı bir sistemdir. Örneğin, NTLM kimlik doğrulama süreci üç temel aşamadan oluşur: "Negotiate", "Challenge" ve "Authenticate". Aşama aşama görevleri sağlayan bu yöntemler, protokol üzerinde kimlik bilgileri değişimi esnasında potansiyel olarak risk teşkil edebilir.

Adım 3: Authentication Tanımı

Kimlik doğrulama, bir kullanıcının iddia ettiği kimlik olduğunu ispatlaması sürecidir. Siber güvenlik dünyasında bu, genellikle bir hash veya bilet değişimiyle gerçekleştirilir. Özellikle, kimlik doğrulama işlemlerinin güvenli bir şekilde yapılması, sistemin bütünlüğü açısından hayati öneme sahiptir.

Adım 4: Wireshark ile NTLMSSP Analizi

NTLMSSP (NT LAN Manager Security Support Provider), NTLM’in güvenlik mekanizmasını sağlayan bir bileşendir. Wireshark gibi bir ağ protokol analiz aracı kullanarak NTLMSSP trafiğini analiz edebilirsiniz. Aşağıdaki komut, Wireshark üzerinde sadece NTLM kimlik doğrulama paketlerini filtrelemenize olanak tanır:

ntlmssp

Bu filtreleme, ağ trafiği içinde belirli kimlik doğrulama süreçlerini takip etmede yardımcı olur.

Adım 5: NTLM Versiyon Riskleri

NTLM, çeşitli versiyonlar arasında değişiklik gösterir ve her versiyonun kendine özgü riskleri vardır. Özellikle, NTLMv1 eski ve zayıf bir yöntem olarak kabul edilirken, NTLMv2 daha gelişmiş bir algoritma kullanır. Ancak, NTLMv2 de "Pass-the-Hash" saldırılarına maruz kalabilmektedir. Dolayısıyla, NTLM sürümleri arasındaki riskleri bilmek önemlidir.

Adım 6: Kerberos Bileşeni: KDC

Kerberos'un ana bileşeni, etkin bir oturum açma süreci sağlamak için Anahtar Dağıtım Merkezi (KDC)'dir. KDC, biletleri dağıtmak için sorumlu olup, Active Directory ortamlarında önemli bir rol üstlenir. Bu durumda, Kerberos kullanarak doğrulamayı sağlamak, kimlik bilgilerini daha güvenli bir şekilde yönetmek açısından kritik bir yöntemdir.

Adım 7: CrackMapExec ile Auth Denetimi

Sızma testlerinde, hedef ağda kimlik doğrulama başarılarını test etmek için CrackMapExec (CME) gibi araçlar kullanılabilir. CME daha geniş bir IP alanında hızlı bir tarama yaparak, hangi sunucuların NTLM veya Kerberos üzerinden kimlik doğrulamasına izin verdiğini belirlemek için kullanılabilir:

crackmapexec smb 192.168.1.0/24 -u users.txt -p pass.txt

Bu komut, belirli bir ağda hangi kimlik doğrulama yöntemlerinin kullanılabileceğini hızlı bir şekilde test eder.

Adım 8: Kerberos Biletleri (Tickets)

Kerberos sistemi, çok aşamalı biletleme işlemi kullanır. TGT (Ticket Granting Ticket) kullanılarak, kullanıcı ilk oturum açışında bilet alır ve bu bilet diğer hizmetlere erişmek için kullanılabilir. TGS (Ticket Granting Service) ise belirli bir servise erişim sağlamak için gereken biletin alınmasını sağlar.

Adım 9: Zafiyet: AS-REP Roasting

AS-REP Roasting, Kerberos'un zayıf noktalarından biridir. Kullanıcının "Kerberos Pre-authentication" özelliği kapalıysa, parolasız bir bilet isteği yaparak ilgili hash'i elde etmek mümkündür. Bu teknik, saldırganların kimlik bilgilerini ele geçirme şansını artırır.

Adım 10: Responder ile Hash Yakalama

NTLMv2 hash'lerini yakalamak için Responder aracı kullanılabilir. Bu araç, istemcileri sahte bir SMB sunucusuna bağlanmaya zorlayarak ağ üzerinde hash yakalamaya yarar:

responder -I eth0 -rdv

Bu komut, hedef ağdaki NTLM hash'lerini ele geçirmeye yardımcı olur.

Adım 11: Savunma ve Hardening

Kimlik doğrulama mekanizmalarının güvenliğini sağlamak için sertleştirme (hardening) gereklidir. Eski ve zayıf el sıkışma yöntemleri (örneğin, NTLMv1) tamamen yasaklanmalı ve sadece daha güvenli olan Kerberos'a geçiş teşvik edilmelidir. Çeşitli korunma yöntemleriyle, "Pass-the-Hash" saldırıları minimize edilebilir.

Adım 12: Nihai Hedef: Authenticity

Sonuç olarak, siber güvenlikte kimlik doğrulama süreçlerinin analizinde nihai hedef, kimliğin gerçekliğini kanıtlamak olmalıdır. 'Authenticity' ilkesi, sahte bir bilet veya çalınmış bir hash ile ihlal edilebilir. Bu nedenle, güvenli kimlik doğrulama mekanizmalarının yanı sıra bu ilkenin korunması için sürekli bir gözlem ve assessment süreçleri yürütülmelidir.

Bu aşamalar, kimlik doğrulama mekanizmalarını anlamak ve güvenli bir siber ortam yaratmak için kritik öneme sahiptir. Eğitim içeriklerinden yararlanarak, bu sürecin detaylarını öğrenmek, daha güvenilir bir siber güvenlik altyapısı kurmayı mümkün kılar.

Risk, Yorumlama ve Savunma

Siber güvenlik, bir organizasyonun savunma yapısını sağlamlaştırmak için risk değerlendirmesini zorunlu kılar. Kimlik doğrulama süreçleri, kullanıcıların sisteme giriş yetkisini belirleyen kritik bileşenlerdendir. Bu nedenle, kimlik doğrulama yöntemlerinin doğru bir şekilde analiz edilmesi riskleri anlamak, yorumlamak ve uygun savunma stratejileri geliştirmek için esastır.

Elde Edilen Bulguların Güvenlik Anlamı

Kimlik doğrulama analiz süreçleri, desteklenen kimlik doğrulama metotlarını belirlemekle başlar. Örneğin, bir ortamda NTLM, Kerberos ve SPNEGO gibi farklı kimlik doğrulama protokolleri bulunabilir. Bu protokoller arasındaki farklılıklar, saldırı yüzeyini doğrudan etkiler. NTLM, üç aşamalı bir el sıkışma süreci (Negotiate, Challenge, Authenticate) gerektirdiğinden, bu aşamaların her biri potansiyel zafiyetler taşımaktadır. Örneğin, NTLMv1 kullanılan bir sistem, günümüz işlem gücü ile kolaylıkla kırılabilir ve bu da sistemin güvenliğini tehdit eden önemli bir risktir.

# Nmap ile SMB güvenlik modlarını sorgulama
nmap -p 445 --script smb2-security-mode <target_ip>

Yukarıdaki komut ile mevcut güvenlik modlarının tespiti yapılır ve proaktif bir savunma stratejisi oluşturulabilir.

Yanlış Yapılandırmalar ve Zayıflıkların Etkisi

Sızma testleri sırasında yanlış yapılandırmalar, potansiyel olarak büyük riskler doğurabilir. Örneğin, Kerberos'un Pre-authentication özelliğinin kapalı olması durumunda, parolasız bilet istekleri yoluyla kullanıcı hash'leri ele geçirilebilir. Bu tür bir zafiyet, siber saldırganların kimlik bilgilerine kolay erişim bulmasını sağlar.

# Kerberos bilet talepleri için zafiyet analizi
echo "AS-REP Roasting zafiyeti"

Bu tür bir zafiyet, özellikle kritik sistemlerde, kurumsal bilgilerin çalınmasına yol açabilir.

Sızan Veri ve Topoloji

Sızma testleri sonucunda elde edilen veriler, sistemin topolojik yapısını ve güvenlik duruşunu anlamaya yardımcı olur. Örneğin, bir kullanıcının gerçek kimliğini kanıtlama süreci olan Authenticity, sızma testlerinde karşılaşılan anlamsız bilet veya çalınmış hash olaylarıyla ihlal edilebilir. Bu tür durumlar, organizasyonun veri güvenliğini tehdit eder.

# Realtime sızma testi senaryosu
crackmapexec smb 192.168.1.0/24 -u users.txt -p pass.txt

Bu komutla belirli kullanıcıların hangi sunucularda NTLM veya Kerberos üzerinden giriş yapabildiği tespit edilebilir, bu da potansiyel zayıflıkları ortaya çıkarır.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik analizi sırasında belirlenen zayıflıkları gidermek için bazı önlemler alınmalıdır. Öncelikli olarak, NTLMv1 kullanımını tamamen yasaklamak, yani Disable NTLMv1 uygulamak kritik bir adımdır. Ayrıca, yalnızca Kerberos tabanlı doğrulamaya izin vererek hash saldırılarını minimize etmek için Enforce Kerberos politikalarını uygulamak önerilmektedir. Son olarak, Extended Protection ile bağlantı katmanı ve kimlik doğrulama katmanlarının korunması, Relay saldırılarını durdurmak için gereklidir.

Sonuç

Kimlik doğrulama analizinin değerlendirilmesi, doğru güvenlik yaklaşımlarının uygulanmasına ve dolayısıyla sistemlerin güvenliğinin artırılmasına olanak tanır. Yanlış yapılandırmalar ve zafiyetlerin analizi, siber güvenlikte temel bir adım olarak karşımıza çıkar. Uygulanan profesyonel önlemler ve hardening teknikleri, organizasyonların siber tehditlere karşı dayanıklılığını artırır. Kimlik doğrulama kinetiklerinin derinlemesine analizi, siber güvenlik alanında en iyi uygulamaların belirlenmesine zemin hazırlar.