CyberFlow Logo CyberFlow BLOG
Https Pentest

Load Balancer Stickiness ve Routing Manipülasyonu: Siber Güvenlik İpuçları

✍️ Ahmet BİRKAN 📂 Https Pentest

Load Balancer'ın stickiness ve routing manipülasyonuyla ilgili siber güvenlik stratejilerini keşfedin.

Load Balancer Stickiness ve Routing Manipülasyonu: Siber Güvenlik İpuçları

Bu blogda, Load Balancer stickiness ve routing manipülasyonu konularında detaylı bilgi edinecek, siber güvenlik ipuçlarını öğreneceksiniz. Güvenlik önlemleri ve zafiyetler hakkında derinlemesine bir bakış sunuyoruz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, yük dengeleyiciler (load balancer) kritik bir rol oynamaktadır. Günümüz işletmelerinin birçok müşteri ve uygulama ile etkileşim halinde olduğu dijital ortamda, yük dengeleyicilerin sağladığı performans ve erişilebilirlik hizmetleri oldukça önemlidir. Ancak, bu cihazların işleyişi ve yapılandırmaları, çeşitli siber saldırılara zemin hazırlayabilecek potansiyele sahiptir. Bu bağlamda, yük dengeleyicilerinin "stickiness" (yapışkanlık) özellikleri ve yönlendirme manipülasyonu kavramları, siber güvenlik uzmanları ve penetrasyon test uzmanları için önemli bir inceleme alanı oluşturmaktadır.

Yük Dengeleyiciler ve Stickiness Kavramı

Yük dengeleyici, gelen ağ trafiğini, arka planda bulunan birden fazla sunucu arasında dağıtarak performans ve erişilebilirlik sağlamayı amaçlayan bir cihazdır. Stickiness, kullanıcıların yaptığı tüm isteklerin aynı arka uç sunucusuna yönlendirilmesini sağlayan yöntemlerdir. Bu özellik, kullanıcı oturumlarının tutarlılığı için gereklidir; zira oturum verilerinin güncel ve senkronize kalması, kullanıcının deneyimini doğrudan etkiler. Ancak, bu fonksiyonun zayıf noktaları, siber saldırganlar için 'targeted' saldırılar gerçekleştirmek adına fırsatlar sunabilir.

Yük dengeleyicilerin sunduğu stickiness özellikleri, çerez tabanlı (cookie-based) veya kaynak IP'a göre (source IP affinity) olabilir. Örneğin, Amazon Web Services (AWS) Application Load Balancer, yapışkanlık sağlamak için AWSALB isimli bir çerez kullanır. Bu tür bir çerezin varlığı, yalnızca kullanıcı ile sunucu arasındaki bağlantının devamını sağlamakla kalmaz, aynı zamanda belirli bir yapı hakkında bilgi de sızdırabilir.

curl -I https://hedef.com | grep Set-Cookie: AWSALB

Yukarıdaki komut, bir AWS yük dengeleyicisi aracılığıyla gönderilen çerezi sorgulamak için kullanılabilir. Bu yöntemle, saldırganlar çerezlerin nasıl oluşturulduğunu ve hangi bilgiler içerdiğini analiz ederek, saldırılarında nasıl manipülasyonlar yapabileceklerini keşfedebilirler.

Penetrasyon Testi ve Yük Dengeleyici Zayıflıkları

Siber güvenlik uzmanları, yük dengeleyicilerle ilgili olası zayıflıkları tespit etmek ve bu zayıflıkların kötüye kullanımı durumlarında önlem almak amacıyla penetrasyon testleri gerçekleştirir. İşlevselliği artırmak adına yapılan bu testler sırasında, birçok potansiyel güvenlik açığı da keşfedilebilir. Örneğin, F5 BIG-IP yük dengeleyicileri sıklıkla yapılandırılmadan dolayı zafiyetler barındırır. Bu cihazlar, varsayılan yapılandırmada arka plandaki sunucunun iç IP adresini ve portunu çerez içinde şifreli olarak yayınlayabilir. Bu tür bir bilgi, saldırganlar için yüksek değer taşıyan hedeflerdir.

Ayrıca, saldırganlar, yük dengeleyici çerezini değiştirerek kendilerini farklı bir arka uç sunucusuna yönlendirme şansına sahip olabilirler. Bu tür eylemler, "session fixation" olarak adlandırılan saldırı biçimini oluşturur. Genel olarak, yük dengeleyici testleri, kullanıcı deneyimini bozmadan, rotalamanın tutarlı ve sızıntısız bir şekilde gerçekleştirildiğini doğrulamak için önem arz eder.

Güvenlik Önlemleri ve Savunma Mekanizmaları

Yük dengeleyicilerin güvenliği, etkili bir siber savunma için kritik öneme sahiptir. Çerezlerin güvenli bir şekilde oluşturulması, şifrelenmesi ve gizlenmesi, potansiyel saldırılar karşısında önemli bir koruma katmanı sunar. Örneğin, "Secure/HttpOnly Flags" eklemek, XSS ve MITM (Man-In-The-Middle) saldırılarına karşı bir bariyer oluşturabilir.

Sonuç olarak, yük dengeleyiciler ve stickiness konuları, siber güvenlik uzmanları için sürekli olarak dikkat edilmesi gereken başlıca alanlardandır. Yük dengeleyicilerin doğru bir şekilde yapılandırılmadığı ve yönetilmediği durumlarda, ciddi güvenlik açıkları ortaya çıkabilir. Dolayısıyla, bu sistemlerin güvenliğini sağlamak için hem teknik bilgi hem de uygulama becerisi önem taşımaktadır. Bu karmaşık yapının doğru bir şekilde yönetilmesi, küresel siber saldırılar karşısında organizasyonların güvenliğinin kritik bir parçasıdır.

Teknik Analiz ve Uygulama

Load Balancer Nedir?

Load balancer (yük dengeleyici), gelen ağ trafiğini arkadaki birden fazla sunucu arasında dağıtarak uygulamaların performansını artıran ve erişilebilirliğini sağlayan bir cihaz ya da yazılımdır. Bu, sunucuların yükünü dengeleyerek sistemin genel verimliliğini artırır. Yük dengelemesi, "stickiness" (yapışkanlık) olarak adlandırılan bir yöntemle kullanıcıların tüm isteklerini aynı backend sunucusuna yönlendirmeyi de içerir.

Stickiness (Yapışkanlık) Türleri

Stickiness, kullanıcıların oturumlarını aynı backend sunucusunda tutmanın çeşitli yollarını ifade eder. Bunlar genellikle çerez tabanlı ve IP adresi bazlı olarak iki ana grupta toplanır. Çerez tabanlı sistemler, kullanıcının tarayıcısında bir çerez aracılığıyla oturum bilgilerini saklar, böylece yük dengeleyici, her istekte bu çerezi kontrol ederek hangi sunucuya yönlendireceğini belirler. IP adresine dayalı yöntemler ise istemcinin IP adresini kullanarak her zaman aynı sunucuya yönlendirme yapar.

AWS ALB Çerezi Tespiti

AWS Application Load Balancer (ALB), oturum yapışkanlığını sağlamak için kullanıcının tarayıcısına AWSALB isimli bir çerez bırakır. Bu çerezin varlığı, hücresel düzen hakkında bilgi sızdırabilir. Bu tür bilgiler, bir saldırganın sistem mimarisi hakkında kritik veriler elde etmesine olanak tanır. Çerezi sorgulamak için kullanılabilecek örnek bir komut şudur:

curl -I https://target.com | grep Set-Cookie: AWSALB

Bu komut, hedef web sitesinin yanıtında bulunan Set-Cookie başlıklarını kontrol ederek, yapılacak olan yönlendirme incelemelerinde önemli bilgiler sağlar.

Oturum Sürekliliği

Oturum sürekliliği (session persistence), kullanıcının işlemine başladığı sunucuda kalmasını zorunlu kılar. Bu durum, oturum verilerinin farklı sunucular arasında senkronize edilmediği durumlarda özellikle önemlidir. Bir kullanıcının belirli bir backend sunucusuna “yapışmasını” sağlamak için çeşitli zafiyetler bulunabilir.

Zafiyet: BIG-IP Cookie Decoding

F5 BIG-IP yük dengeleyicileri, varsayılan yapılandırmaları gereği backend sunucusunun iç IP adresini ve portunu çerez içinde şifreli olarak saklayabilir. Örneğin, bir çerez şu şekilde görünebilir:

BIGipServer<pool_name>=<encoded_value>;

Saldırganlar bu çerez değerini çözerek arka plandaki IP adresinin ve portun ne olduğunu öğrenebilirler. Bunu gerçekleştirmek için kullanılacak teknikler arasında çerez kod çözme (cookie decoding) yer alır.

Routing Manipülasyonu Testi

Bir yük dengeleyici çerezi üzerinde yönlendirme manipülasyonu gerçekleştirmek için kullanıcının çerezini değiştirmesi gerekmektedir. Örnek bir komut şu şekilde olabilir:

curl -H "Cookie: SERVERID=server2" https://target.com

Bu komut ile server2 sunucusuna yönlendirme denemesi yapılmaktadır. Amacımız, yük dengeleyicinin çerezi nasıl işlediğini ve bu manipülasyon sonucunda elde edilen yanıtı görmek.

Zafiyet: Session Fixation via LB

Eğer yük dengeleyici çerezi güvenli bir şekilde oluşturulmuyorsa, saldırganlar kurbanın tarayıcısına kendi "yapışkanlık çerezini" sunabilirler. Bu durum, hedef sunucunun her zaman izlenen bir sunucuya gitmesini sağlayarak potansiyel bir güvenlik açığı doğurur. Mevcut çerezlerin zayıf yapısı ve özelleştirilmemiş imza alanları, böyle bir saldırı için zemin hazırlar.

Vendor İmzaları (Signatures)

Her yük dengeleyici üreticisi kendine has çerez isimleri ve başlıklar kullanmaktadır. Farklı üreticilere ait çerezlerin örnek isimleri şunlardır:

  • F5 BIG-IP: BIGipServer<pool_name>
  • Citrix NetScaler: NSC_
  • Haproxy: SRV

Bu tür çerezleri test etmek, hangi imzaların kullanıldığını belirleyerek sistemin güvenliğini değerlendirmenin bir parçasıdır.

Rotalama Hatası (502/503) Fuzzing

Olmayan bir sunucu ID'si göndererek yük dengeleyicinin nasıl bir hata döndürdüğünü ve bu hatada backend detaylarını sızdırıp sızdırmadığını test etmek, profesyonel bir siber güvenlik mücadelesinin temel öğelerindendir. Örneğin, yapılan bir fuzzing testi ile aşağıdaki komut kullanılabilir:

ffuf -u https://target.com -H "Cookie: SERVERID=FUZZ" -w numbers.txt

Bu test, numbers.txt dosyasındaki değerler ile sunucu ID'sini değiştirecek ve sonuçlarını analiz edecektir.

Algoritma: Round Robin

En basit yük dengeleme algoritmalarından biri olan Round Robin, gelen istekleri sırayla sunuculara dağıtarak hizmet verir (1-2-3-1-2-3). Eğer stickiness kapatıldıysa, bu akış gözlemlenebilir. Ancak kullanıcı deneyimini optimize etmek için, gerekli yerlerde yapışkanlık sağlamak tercih edilir.

Savunma ve Hardening

Load balancer katmanını güvenli hâle getirmek için çerezlerin şifrelenmesi ve gizlenmesi şarttır. Bunların yanı sıra, üreticiye özgü çerez isimlerinin değiştirilmesi (renaming) ve güvenlik bayraklarının (Secure/HttpOnly) eklenmesi XSS ve MITM gibi saldırılara karşı önemli önleyici tedbirlerdir.

Nihai Hedef: Consistency

Gelen isteklerin sunuculara tutarlı ve gizlenmiş bir şekilde yönlendirilmesi, yük dengeleyici güvenliğinde son derece kritiktir. Böylece, kullanıcı deneyimi bozulmadan sistemin güvenliği artırılabilir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, yük dengeleyicilerin yapılandırmalarında ortaya çıkan riskler, organizasyonların veri güvenliği ve sistemlerinin bütünlüğü açısından kritik öneme sahip olabilir. Eğer yük dengeleyici yanlış yapılandırılmışsa ya da zayıf bir kontrol mekanizmasına sahipse, bu durum sızma ve veri ihlali riskini artırır. Aşağıda, yapılandırma hataları ve olası zafiyetler üzerinden elde edilen bulguların güvenlik anlamını değerlendirerek, profesyonel savunma önlemlerini sunacağız.

Yanlış Yapılandırma ve Zafiyetler

Load Balancer (Yük Dengeleyici) sistemleri, istemci taleplerini arka plandaki sunucular arasında paylaştırarak performansı artırmak için kullanılır. Ancak, bu sistemlerin yapışkanlık (stickiness) özellikleri yanlış yapılandırıldığında ciddi güvenlik açıklarına neden olabilir. Örneğin, AWS Application Load Balancer (ALB) gibi sistemler, oturum sürekliliği sağlamak için tarayıcıya özel bir çerez bırakır.

Elde edilen bulgular, çerezlerin bazen düzgün bir şekilde şifrelenmediğini veya güvenli bir biçimde oluşturulmadığını gösteriyor. Örneğin, F5 BIG-IP yük dengeleyicileri, arka planda sunucu iç IP adresini çerez içinde şifreli olarak sızdırabilir. Bu tür bilgiler, saldırganların backend sunucularını hedef almasını kolaylaştırır. Çerezler üzerinden gerçekleştirilen bir saldırıda, örnek bir çerez değeri şu şekilde olabilir:

SERVERID=server1

Saldırgan, yukarıdaki çerezi değiştirerek kendisini farklı bir backend sunucusuna yönlendirmeyi deneyebilir. Bu tür bir hata, "Session Fixation" olarak adlandırılan bir saldırı türüne yol açabilir. Yani, saldırgan kurbana kendi yapışkanlık çerezini vererek onu izlenebilir bir sunucuya yönlendirebilir.

Sızan Veri ve Topoloji

Güvenlik incelemeleri sırasında, çerez içeriği üzerinden yapılan analizler, sistem topolojisi hakkında önemli bilgiler sağlayabilir. Saldırganlar, yük dengeleyici çerezleri aracılığıyla hangi sunucuların aktif olduğunu öğrenebilirler. Örneğin, bir saldırgan, aşağıdaki curl komutunu kullanarak hücresel ağdaki bir yük dengeleyicinin çerezini sorgulayabilir:

curl -I https://hedef.com | grep Set-Cookie: AWSALB

Bu tür bir sorgulama, mevcut sunucuların ve bunların durumları hakkında değerli bilgiler sızdırabilir. Ayrıca, bu süreçte elde edilen bilgilerin gizlilik analizi yapılırken, "Internal IP Leak" ve "Port Disclosure" gibi durumlar tekrar değerlendirilmeli, zafiyetli sunucuların IP adresleri ve portları ortaya çıkarılmamalıdır.

Profesyonel Önlemler ve Hardening

Hedefiniz, yük dengeleyici katmanını güvenli hale getirmekse, aşağıdaki önerilere başvurabilirsiniz:

  1. Çerez Şifrelemesi: Yük dengeleyici çerezlerinin güvenli bir şekilde oluşturulması, içindeki bilgilerin dışarıdan anlaşılmayacak şekilde şifrelenmesi esastır.

    Örneğin, çerezler için şu özelliklerin kullanılması önerilir:

    • Secure ve HttpOnly bayraklarının eklenmesi, XSS ve MITM saldırılarını azaltır.
    • Gelişmiş algoritmalar kullanılarak çerezlerin şifrelenmesi, bilgi sızıntısını engelleyebilir.

  2. Varsayılan Çerez İsimlerini Değiştirme: BIGipServer gibi jenerik isimler yerine rastgele çerez isimleri kullanmak, saldırganların etki alanını daraltmak için etkili bir yöntemdir.

  3. Hata Yönetimi: Sunucu hataları (örneğin 502/503) üzerinde yapılan fuzzing testleri ile zayıf noktalar belirlenmeli ve gerekli düzeltmeler yapılmalıdır.

  4. Erişim Kontrolü: Yük dengeleyici üzerine gelen isteklerin sunucu bazında kontrol edilmesi, fazla yetkilendirilmiş erişimlerin önlenmesine yardımcı olur.

Sonuç

Yük dengeleyici sistemler, doğru bir şekilde yapılandırılmadığında ciddi siber güvenlik tehditlerine kapı açabilir. Yanlış yapılandırmalar, veri sızıntıları ve sistem zafiyetleri gibi sorunlar, bir organizasyonun güvenliğini tehdit eder. Yukarıda sunulan profesyonel önlemler ve hardening stratejileri, bu tür riskleri minimize etmede kritik bir rol oynayabilir. Gelişmiş siber güvenlik önlemleriyle donatılmış bir yük dengeleyici, sadece yüksek performans sağlamakla kalmaz, aynı zamanda veri güvenliğini de garanti altına alır.