CyberFlow Logo CyberFlow BLOG
Kritik Servisler

LDAP, LDAPS, RADIUS ve KERBEROS: Siber Güvenlikte Temel Protokoller

✍️ Ahmet BİRKAN 📂 Kritik Servisler

Siber güvenlik alanında kritik öneme sahip LDAP, LDAPS, RADIUS ve Kerberos protokollerini detaylı bir şekilde keşfedin.

LDAP, LDAPS, RADIUS ve KERBEROS: Siber Güvenlikte Temel Protokoller

LDAP, LDAPS, RADIUS ve Kerberos protokolleri, siber güvenlikte kritik roller oynar. Bu blogda, her bir protokolün güvenlik zafiyetlerini ve korunma yöntemlerini ele alıyoruz.

Giriş ve Konumlandırma

Siber güvenlik açısından kritik öneme sahip olan LDAP, LDAPS, RADIUS ve Kerberos protokolleri, modern ağların yapı taşlarını oluşturur. Bu protokoller, kullanıcı kimlik doğrulama, erişim yönetimi ve dizin hizmetleri gibi birçok işlevi yönetirken, güvenlik açıkları da barındırabilir. Bu nedenle, bu protokollerin işleyişini anlamak hem savunma hem de sızma testleri (pentest) konusunda önemli bir adımdır.

LDAP ve Dizin Hizmetleri

LDAP (Lightweight Directory Access Protocol), bir ağa bağlı kullanıcılar, gruplar ve cihazlar hakkında bilgi tutan merkezi bir dizin servisidir. Kurumsal ağlarda, LDAP genellikle kullanıcı kimlik bilgilerini saklar ve yönetir. Örneğin, sızma testleri kapsamında, port 389'un açık olması, saldırganlar için bir ağın "telefon rehberini" keşfetmek gibidir. İşte LDAP kullanımına dair bir örnek:

nmap -p 389 --script ldap-search 10.0.0.1

Eğer "Anonymous Bind" (Anonim Bağlantı) açık ise, LDAP üzerinden elde edilen veriler şifresiz şekilde düşünülebilir. Saldırgan, kullanıcı adları ve e-posta adreslerini kolaylıkla bu yöntemle çekebilir. LDAP sorguları, dizin yapısının kurgusunu anlamak için de kritik bir rol oynar.

LDAPS ile Güvenli İletişim

LDAPS (LDAP over SSL) ise LDAP trafiğini şifreleme amacıyla SSL protokolünü kullanır. Bu, siber saldırganların veri trafiğini dinleyerek hassas bilgileri elde etmelerini engeller. Ancak, LDAPS kullanılan ortamların güvenliği açısından sertifika analizinin yapılması gerekebilir. Örneğin, bir sızma testi sırasında, port 636 üzerinden SSL sertifikası detayları incelenerek, organizasyonun iç alan adı yapısı ve sertifikayı imzalayan sunucu bilgileri toplanabilir:

nmap -p 636 --script ssl-cert 10.0.0.1

Yine de, şifreli LDAP bağlantılarının yanlış yapılandırılmasının zayıf noktalar barındırabileceği unutulmamalıdır. Bu tür güvenlik açıkları, organizasyonların iç alanları hakkında bilgi sızdırılmasına neden olabilir.

RADIUS ve Ağ Erişim Kontrolü

RADIUS (Remote Authentication Dial-In User Service) protokolü, ağ erişim noktalarında kimlik doğrulama işlemlerini yönetir. VPN ve Wi-Fi gibi ağ erişimlerinde kritik rol oynar. Pentest sırasında, port 1812 (UDP) tespiti, organizasyonda merkezi bir denetleyici kullanıldığını gösterir. RADIUS, hızlı veri iletimi sağlasa da bazı zafiyetlere kahırdıdır. Dolayısıyla, bir 'Shared Secret' (Paylaşılan Sır) zayıf olduğunda, saldırganın ağ trafiğini taklit etme riski artmaktadır.

nmap -sU -p 1812 --script radius-config 10.0.0.2

RADIUS protokolünün veri iletim hızının önemi, bağlantısız (UDP) bir protokol üzerinden çalışmasından kaynaklanır. Ancak bu durum, zafiyetleri de beraberinde getirmektedir.

Kerberos ve Kimlik Doğrulama Mekanizması

Kerberos, özellikle Windows tabanlı ağlarda yaygın olarak kullanılan bir kimlik doğrulama protokolüdür. Port 88 üzerinden çalışan bu protokol, sızma testleri esnasında bir Domain Controller’ın varlığını gösterir. Kerberos'un belirli bir mekanizması vardır; istemci, ağdaki Domain Controller'a bilet talebi gönderir. Örneğin, şu komut ile geçerli kullanıcı adları listeleme işlemi yapılabilir:

nmap -p 88 --script krb5-enum-users --script-args krb5-enum-users.realm='DOMAIN' target

Aynı zamanda, Kerberos'ta bilet mekanizması, siber saldırıların önemli hedeflerinden biridir. Özellikle, Kerberos saldırı teknikleri, bu mekanizmanın zayıf noktalarından faydalanarak hedef sistemlere erişim sağlama amacı güder.

Sonuç

Bu protokoller, yalnızca erişim kontrolü ve kimlik yönetimi konularında temel bir yapı sunmakla kalmaz, aynı zamanda siber güvenlik alanında dikkate alınması gereken kritik unsurlar olarak öne çıkar. Gelişen teknikler ile birlikte, bu protokollerin güvenliği ve işleyişi konusunda bilgi sahibi olmak, hem ağ yöneticileri hem de siber güvenlik uzmanları için elzem hale gelmiştir. Bu bağlamda, LDAP, LDAPS, RADIUS ve Kerberos’un derinlemesine incelenmesi, potansiyel tehditleri anlamak ve önlemek adına büyük önem taşır.

Teknik Analiz ve Uygulama

LDAP: Dizin Servisleri ve Bilgi Sızdırma

LDAP (Lightweight Directory Access Protocol), kurumsal yapıların kullanıcı, grup ve cihaz bilgilerini merkezi bir dizin altında tutan önemli bir protokoldür. Pentest süreçlerinde, port 389'un açık olması, ağdaki dizin bilgilerinin keşfedilmesi açısından kritik bir gösterge olarak değerlendirilir. Anonim bir bağlantının aktif olması durumunda, ldap-search betiği ile açıkça, kullanıcı listesi ve e-posta adresleri gibi hassas bilgiler elde edilebilir.

LDAP'ı kullanarak belirli bir port üzerinden veri çekmek için şu komut kullanılabilir:

nmap -p 389 --script ldap-search 10.0.0.1

Bu komut, belirtilen IP adresindeki LDAP servisini tarar ve varsa bilgileri listeler. LDAP, dizin yapısının anlaşılmasını sağlayan hiyerarşik bir yapı sunar. Bu yapıdaki "Naming Contexts" (Adlandırma Bağlamları) en üst seviyeyi ifade eder ve genellikle etki alanı bilgilerini açık eder. "Base DN" (Taban DN) ise sorgunun başladığı noktadır ve genellikle DC=site,DC=com formatında görülür.

LDAPS: Güvenli Dizin Erişimi ve Sertifika Analizi

LDAPS (LDAP over SSL), güvenlik açısından kritik bir özellik sunar; çünkü dizin trafiğini şifreleyerek veri sızıntılarını önler. Pentest sırasında, port 636 üzerinde SSL sertifikası analizi yapılmalıdır. Bu analiz, kurumun iç ağ yapısı ve sertifika detayları hakkında bilgi sağlar.

LDAPS ile bağlantı kurmak için kullanılacak komut:

nmap -p 636 --script ssl-cert 10.0.0.1

Bu komut, SSL sertifikası detaylarını çeker ve eğer sertifika süresi dolmuşsa veya yanlış yapılandırılmışsa, bu durum MITM (Man-in-the-Middle) saldırılarına zemin hazırlayabilir. “Expired Certificate” gibi sorunlar, güvenliği tehdit eden faktörlerden biridir.

RADIUS: Ağ Erişim Kontrolü Keşfi

RADIUS (Remote Authentication Dial-In User Service), VPN ve Wi-Fi gibi ağ erişim noktalarında kimlik doğrulama gerçekleştiren bir protokoldür. Port 1812'nin açık olduğu durumlarda, kullanıcı kimlik bilgileri RADIUS sunucusuna gönderilir. Ancak, "Shared Secret" (Paylaşılan Sır) zayıfsa, bu durum saldırganlar için büyük bir risk oluşturur. Saldırgan, zayıf paylaşılan sırları kullanarak kimlik doğrulama süreçlerini taklit edebilir.

RADIUS yapılandırmasını denetlemek için şu komut kullanılabilir:

nmap -sU -p 1812 --script radius-config 10.0.0.2

Bu komut, belirli bir IP adresindeki RADIUS yapılandırmalarını oluşturan önemli bilgileri deşifre eder. RADIUS’un veri iletim hızının kritik olduğu unutulmamalıdır, bu sebeple bağlantısız (UDP) bir protokol olarak çalışmaktadır.

KERBEROS: Active Directory'nin Kalbi

Kerberos, Windows tabanlı ağların ana kimlik doğrulama protokolüdür. Port 88'in açık olması, sistemin bir Domain Controller (Etki Alanı Denetleyicisi) olduğunu gösterir. krb5-enum-users betiği, Kerberos üzerinden sistemdeki geçerli kullanıcı adlarını tespit etme olanağı sağlar:

nmap -p 88 --script krb5-enum-users --script-args krb5-enum-users.realm='DOMAIN' 10.0.0.3

Kerberos, kullanıcıların kimliklerini doğrulamak için "ticket" (bilet) mekanizmasını kullanır. Ancak, bu mekanizma profesyonel siber saldırıların hedefi haline gelebilir. Kerberos ile ilgili önemli saldırı tekniklerinden biri "Golden Ticket" sıklıkla talep edilen ve sistemde süresiz tam erişim sağlayan bir saldırıdır. Ayrıca "Kerberoasting" ise servis hesaplarının biletlerini çalarak şifrelerini offline kırma amacını taşır.

Kerberos Port: 88

Sonuç olarak, LDAP, LDAPS, RADIUS ve Kerberos, modern ağların güvenliği ve yönetimi için kritik öneme sahiptir. Her bir protokolün kendine özgü dinamikleri, zayıf yönleri ve güvenlik gereksinimleri bulunur. Bu nedenle, sızma testleri sırasında bu protokollerin detaylı bir şekilde incelenmesi ve yapılandırmalarının gözden geçirilmesi büyük önem taşımaktadır.

Risk, Yorumlama ve Savunma

Riskler ve Güvenlik Yorumlamaları

Siber güvenlikte, LDAP, LDAPS, RADIUS ve Kerberos gibi protokoller, sistemlerin kimlik doğrulaması ve erişim kontrolünde kritik bir rol oynamaktadır. Ancak bu protokollerin yanlış yapılandırılması ya da zafiyetleri, siber saldırganlar için büyük fırsatlar sunar. Bu bölümde, bu protokollerin potansiyel risklerini, ilgili ilk analizleri, yorumlamaları ve profesyonel savunma stratejilerini inceleyeceğiz.

LDAP: Dizin Servisleri ve Bilgi Sızdırma

LDAP (Lightweight Directory Access Protocol), kullanıcı ve cihaz bilgilerini merkezi bir rehberde saklamak için kullanılır. Ancak, bu servisin uygun bir şekilde yapılandırılmaması mümkündür. Örneğin, eğer 'Anonymous Bind' aktif ise, bir saldırgan ldap-search gibi araçlar kullanarak kullanıcı listesi ve e-posta adresleri gibi bilgileri şifresiz şekilde çekebilir. Port 389'un açık olması, ağın 'telefon rehberi'ni bulmak gibidir ve potansiyel bir saldırı yüzeyini artırır.

nmap -p 389 --script ldap-search 10.0.0.1

Veri sızdırma riskini azaltmak için şunları öneriyoruz:

  • Anonim bağlantıyı devre dışı bırakmak.
  • LDAP erişimini sınırlamak için IP filtresi uygulamak.
  • LDAP trafiğini sürekli izlemek.

LDAPS: Güvenli Dizin Erişimi ve Sertifika Analizi

LDAPS, LDAP trafiğini şifrelemek için SSL/TLS kullanarak güvenli bir iletişim sağlar. Ancak, şifreli bağlantıların yanlış yapılandırılması hâlinde hala zafiyetler ortaya çıkabilir. Örneğin, bir saldırgan, yanlış yapılandırılmış SSL sertifikalarını analiz ederek kurumun iç alan adı yapısını tespit edebilir. Bu, potansiyel metadata saldırıları için fırsatlar sunar.

nmap -p 636 --script ssl-cert 10.0.0.1

Güvenliği artırmak için şu önlemleri alabilirsiniz:

  • Sertifika yönetimini standartlara uygun hale getirmek.
  • Sertifika süresinin dolup dolmadığını kontrol etmek.
  • Düşük sürüm SSL/TLS protokollerini devre dışı bırakmak.

RADIUS: Ağ Erişim Kontrolü Keşfi

RADIUS, ağ kimlik doğrulaması için yaygın olarak kullanılan bir protokoldür. Port 1812 üzerinden çalışan RADIUS servisleri, kimlik bilgilerini merkezi bir yapıdan yönetir. Zayıf bir 'Shared Secret' kullanılması durumunda ise, saldırganlar sahte kimlik bilgileri ile ağ trafiğini taklit edebilirler.

RADIUS protokolü UDP üzerinden çalıştığı için, veri kaybı ve paketler üzerinde manipülasyon yapılabilmesi mümkündür. Bu, ağda ciddi güvenlik açıkları yaratabilir.

nmap -sU -p 1812 --script radius-config 10.0.0.2

Bu zafiyetleri gidermek için:

  • RADIUS yapılandırmasını düzenli olarak gözden geçirmek.
  • Güçlü ve karmaşık 'Shared Secret' kullanmak.
  • Ağ trafiğini sürekli izlemek.

KERBEROS: Active Directory'nin Kalbi

Kerberos, Windows ağlarında kimlik doğrulama için temel bir protokoldür. Port 88 üzerinden çalışan bu protokol, Domain Controller üzerinde aktif ise, kullanıcı adlarının sızdırılmasına olanak sağlar. Örneğin, krb5-enum-users komutu ile herhangi bir parola girmeden sistem üzerindeki geçerli kullanıcı adları tespit edilebilir.

nmap -p 88 --script krb5-enum-users --script-args krb5-enum-users.realm='DOMAIN' target

Şunları göz önünde bulundurarak Kerberos güvenliğini artırabilirsiniz:

  • AS-REP Roasting veya Kerberoasting gibi bilinen saldırılara karşı önlemler almak.
  • Bilet ömrünü minimum seviyeye indirmek.
  • Kerberos yapılandırmalarını sıkça gözden geçirip güncel tutmak.

Sonuç Özeti

LDAP, LDAPS, RADIUS ve Kerberos, siber güvenlikte önemli protokollerdir ancak yanlış yapılandırma veya zafiyetleri, ağın güvenliğini tehdit eder. Bu konuda proaktif önlemler almak, sızma testleri gerçekleştirmek ve durum analizi yapmak, güvenliği artırmak için şarttır. Bu protokollerin doğru yönetimi ve düzenli denetimi, siber güvenlik sağlamak adına kritik bir rol oynar.