CyberFlow Logo CyberFlow BLOG
Mssql Pentest

MSSQL Pre-Login Handshake Analizi: Siber Güvenlikte İlk Adımlar

✍️ Ahmet BİRKAN 📂 Mssql Pentest

MSSQL veri tabanı için Pre-Login Handshake analizi hakkında detaylı bilgi edinin. Analiz sürecinde kullanılan adımları keşfedin.

MSSQL Pre-Login Handshake Analizi: Siber Güvenlikte İlk Adımlar

MSSQL Pre-Login Handshake süreci, bağlantı kurmadan önce sunucu hakkında bilgi edinmeyi sağlar. Pre-login bileşenlerini, şifreleme tercihlerini ve analiz yöntemlerini öğrenin.

Giriş ve Konumlandırma

MSSQL Pre-Login Handshake Analizi: Siber Güvenlikte İlk Adımlar

Siber güvenlik alanında, sistem güvenliğini sağlamak amacıyla atılan adımların önemi her geçen gün artmaktadır. Bu bağlamda, özellikle veri tabanı yönetim sistemleri (DBMS) üzerinde yapılan güvenlik analizleri kritik bir rol oynamaktadır. Bu blog yazısında, Microsoft SQL Server (MSSQL) üzerinde gerçekleşen "Pre-Login Handshake" (Ön-Kayıt Tokalaşması) sürecini inceleyeceğiz. Bu süreç, istemci ve sunucu arasındaki iletişimin başlaması için gerekli olan temel bir aşamadır.

Pre-Login Handshake Nedir?

Pre-login handshake, istemci ile MSSQL sunucusu arasında güvenli bir bağlantı kurulmadan önce gerçekleşen bir veri alışverişi sürecidir. Bu aşamada istemci, sunucu ile bazı temel bilgi alışverişinde bulunur; örneğin, kullanılacak olan iletişim protokolleri ve şifreleme seçenekleri belirlenir. Bu aşama, istemcinin sunucuya bağlanabilmesi için gerekli koşulların sağlandığını test etmeye olanak tanır.

MSSQL, iletişim sırasında TDS (Tabular Data Stream) protokolünü kullanmaktadır. Bu protokol, SQL Server ile istemciler arasında veri iletimi için yapılandırılmıştır. Pre-login handshake sırasında istemci, sunucu hakkında bazı kritik bilgiler edinir; bu bilgiler arasında sunucunun bağlanabilirliği, kullanılan TDS sürümü ve şifreleme gereksinimleri bulunur.

Pre-Login Handshake'in Önemi

Pre-login handshake'in önemini siber güvenlik bağlamında değerlendirdiğimizde, bu aşamanın bilgi toplama ve sızma testi (pentest) süreçleri için kritik bir kaynak olduğunu görebiliriz. Pre-login sırasında elde edilen bilgiler, bir saldırganın yapılandırma hataları, zayıf güvenlik ayarları ya da eski sürümler gibi potansiyel güvenlik açıklarını tespit etmesine yardımcı olabilir.

Ayrıca, bu aşamanın doğru bir şekilde yönetilmesi, veri tabanı sunucunuzun güvenliğini artırmak amacıyla alabileceğiniz önlemlerin belirlenmesine olanak tanır. Örneğin; şifreleme gerekiyorsa, "Force Encryption" modunu aktive ederek, TLS şifreleme standardını zorunlu kılabiliriz. Bu durum, veri iletiminde daha güvenli bir iletişim oluşturur.

Pre-Login Handshake Analizinin Teknik Yöntemleri

Pre-login handshake sürecinin analiz edilmesi, bir dizi teknik yöntemi ve araçları içerir. İlk olarak, ağ trafiği dinleme ve analiz etme aşamasında kullanılan araçlar belirlenmelidir. Wireshark ve tcpdump gibi araçlar, ön kayıt aşamasının detaylarının incelenmesine olanak sağlar.

Ağ Trafiği Analizi

Ağ trafiği analizi sırasında, MSSQL sunucusuna yapılan isteklerin ve sunucudan gelen yanıtların yakalanması amaçlanır. Bu süreç, potansiyel güvenlik açıklarını tespit etme amacı taşır. Örnek bir tcpdump komutu şu şekilde olabilir:

tcpdump -i any -n port 1433

Bu komut, 1433 portunu dinleyerek MSSQL trafiğini analiz etmemizi sağlar.

Bilgi Toplama Süreci

Pre-login handshake sırasında arka planda pek çok bilgi toplanmaktadır. Örneğin, istemci sunucunun kimlik doğrulama ve şifreleme gereksinimlerini öğrenir. Sunucu adı ve diğer meta bilgiler, güvenlik analizi sırasında kritik bir yere sahiptir. Bu bilgiler, değerlendirildiğinde potansiyel zafiyetlerin açığa çıkarılmasına yardımcı olur.

Sonuç olarak, MSSQL pre-login handshake analizi siber güvenlikte önemli bir adım olup, hem sistem yöneticilerine hem de güvenlik uzmanlarına kritik veriler sunar. İşletmelerin MSSQL sunucularını korumak ve sızma testleri gerçekleştirmek isteyen güvenlik uzmanlarının bu sürece dair bilgi sahibi olmaları büyük bir öneme sahiptir. İlerleyen bölümlerde, pre-login aşamasının bileşenlerini, iletişim protokollerini ve güvenlik önlemlerini daha ayrıntılı bir şekilde ele alacağız.

Teknik Analiz ve Uygulama

MSSQL Servis Script Taraması

MSSQL veri tabanı yönetim sistemlerinin siber güvenlik denetimlerinde ilk adım, MSSQL servisini tarayarak bu servisin açıklarını ve yapılandırmalarını belirlemektir. Bunun için Nmap aracı sıklıkla kullanılmaktadır. Aşağıda yer alan Nmap komutuyla MSSQL servis bilgilerini çekmek mümkündür:

nmap --script ms-sql-info -p 1433 <hedef_ip>

Burada <hedef_ip> kısmına hedef MSSQL sunucusunun IP adresi yazılmalıdır. Bu komut, MSSQL sunucusunun sürüm bilgisi, yapılandırmaları ve potansiyel açıkları hakkında bilgi sağlar. MSSQL sunucusunun güvenlik yolu ile değerlendirilmesinde ilk aşama olan bu tespit, sonradan yapılacak daha derinlemesine analizler için kritik öneme sahiptir.

Pre-Login Aşaması Bileşenleri

Pre-login handshake aşaması, MSSQL sunucusu ile istemci arasındaki bağlantının güvenli ve doğru bir şekilde kurulabilmesi için gerekli protokol bileşenlerini içermektedir. Bu aşama içerisinde aşağıdaki önemli bileşenler rol oynamaktadır:

  1. Protocol Version: İstemci ile sunucu arasında kullanılacak TDS (Tabular Data Stream) protokol sürümünün belirlenmesi.
  2. Instance Discovery: İstemcinin hangi SQL Server instance'ına bağlanacağının öğrenilmesi.
  3. Encryption Negotiation: İstemcinin ve sunucunun TLS kullanıp kullanmayacağını belirlediği aşama.
  4. Encryption Required/Optional: Sunucunun şifreleme gereksinimlerini belirlemek için istemciden gelen talepleri değerlendirmesi.

Bu bileşenler, güvenli bir bağlantının kurulmasında kritik öneme sahiptir.

MSSQL İletişim Protokolü

Microsoft SQL Server, çok çeşitli veri iletim protokolleri kullanmasına rağmen, en yaygın olarak TDS (Tabular Data Stream) protokolü tercih edilmektedir. Bu protokol, veri paketlerinin iletiminde ve istemci-sunucu arasında yakalanmasında önemli bir rol oynar. MSSQL sunucusunun saldırıya uğramasını önlemek amacıyla, bu protokolün detaylarını anlamak ve kötüye kullanabileceği alanları bilmek kritiktir.

SQLCMD ile Bağlantı Testi

MSSQL sunucusuna bağlantı testi yaparken SQLCMD aracı oldukça etkili bir yöntemdir. Aşağıda yer alan komut, belirli bir IP adresine bağlanmayı test etmek üzere kullanılabilir:

sqlcmd -S <hedef_ip>

Bu komut ile MSSQL sunucusuna başarılı bir şekilde bağlanıldığında, kullanıcı kimlik doğrulama süreci başlar. Eğer bağlantı sağlanamaz ise, hata mesajı alınır ve bu durum yukarıda bahsedilen pre-login aşamalarındaki potansiyel bir problemin işareti olabilir.

Şifreleme Modları

Bağlantı güvenliğini artırmak için MSSQL sunucusu farklı şifreleme modları sunmaktadır. İki temel mod bulunmaktadır:

  • Encryption Required: Sunucu, TLS olmadan bağlantıyı kabul etmez. Bu durumda istemcinin şifreleme kullanması zorunludur.
  • Encryption Optional: İstemci, şifrelemenin isteğe bağlı olduğu bir bağlantı isteğinde bulunabilir. Bu durumda belirli veri akışları şifresiz olarak iletilebilir.

Ağ Trafiğini Dinleme

Pre-login handshake aşamasının güvenliğini değerlendirmek için ağ trafiğinin dinlenmesi önemlidir. Bu, MSSQL sunucusuna gelen ve giden veri paketlerinin analizi anlamına gelir. Aşağıda yer alan komut, MSSQL portunu dinlemek için kullanılabilir:

tcpdump -i any port 1433

Bu komut, 1433 portu üzerinden geçen tüm veri paketlerini yakalar. Elde edilen veri paketi çıktıları, pre-login aşaması sırasında sunucu-istemci etkileşimini analiz etmek için kullanılabilir.

Ağ Analiz Araçları

Ağ trafiğini incelemek için kullanabileceğiniz çeşitli araçlar mevcuttur. Bunlar arasında en yaygın olanları:

  • Wireshark: Kullanıcı dostu arayüzü ile ağ paketlerini analiz etmenizi sağlar.
  • tcpdump: Komut satırı üzerinden ağ paketlerini yakalamak için tercih edilen bir araçtır.

Bu araçlar, ağ üzerinde gerçekleşen tüm iletişimleri analiz etmenize olanak tanır ve MSSQL sunucusu üzerindeki güvenlik açıklarını tespit etmenizde size yardımcı olur.

Ağ Trafiği Analizi

Ağ trafiğinin analizi, MSSQL ön-login handshake aşamasının performansını değerlendirmek için kritik bir adımdır. Burada, sunucu ve istemci arasındaki tüm mesajlaşmaların incelenmesi gerekmektedir. Packet analizi yaparak, potansiyel güvenlik zafiyetlerini ve erişim kontrolünü gözlemleme olanağı sağlanır. Bu noktada, yani ön-login aşamasında yeterince analiz yaparak, bağlantı kurulmadan önce sunucu hakkında bilgi edinilebilir.

Sunucu Adını Sorgulama

Sunucu hakkında bilgi toplamak için SQL sorguları da kullanılmaktadır. Aşağıda, MSSQL sunucusunun adını sorgulamak için kullanılan örnek bir SQL komutu yer almaktadır:

SELECT @@SERVERNAME;

Bu sorgu, MSSQL sunucusunun adını döndürmektedir ve pre-login aşamasında elde edilen bilgilerin doğruluğunu teyit etmek için etkili bir yöntemdir.

Savunma Önlemleri

Son olarak, MSSQL sunucusunun güvende kalması için çeşitli savunma önlemleri alınmalıdır. Bunlar arasında:

  • Disable SQL Browser: Instance keşfini zorlaştırmak için SQL Browser servisini kapatmak.
  • Force Encryption: Sunucunun tüm istemciler için TLS kullanmasını zorunlu kılması.
  • Network Segmentation: SQL Server erişimini belirli ağ segmentleriyle sınırlamak.

Bu önlemler, MSSQL sunucusunun güvenliğini artırarak siber saldırılara karşı daha dayanıklı hale getirebilir. Pre-login handshake analizinin nihai amacı, bu tür güvenlik tedbirlerini destekleyecek şekilde sunucu ve istemci arasındaki iletişimi anlamak ve olası zaafiyetleri ortadan kaldırmaktır.

Risk, Yorumlama ve Savunma

MSSQL Pre-Login Handshake süreci, bir istemci ile sunucu arasındaki bağlantının kurulmadan önceki aşamasıdır. Bu aşamada, sunucu hakkında bazı temel bilgiler elde edilebilir ve iletişim için gerekli olan bazı protokol detayları üzerinde anlaşma sağlanır. Ancak, bu süreç çeşitli güvenlik riskleri taşımaktadır. Aşağıda, MSSQL Pre-Login Handshake aşamasında karşılaşılabilecek riskler, olası yanlış yapılandırmalar ve bu durumların etkileri üzerinde durulacaktır.

Pre-Login Aşaması ve Güvenlik Riskleri

Pre-Login Handshake sırasında, istemci ve sunucu arasında bazı kritik bilgiler değiş tokuş edilmekte ve potansiyel olarak bu bilgiler, siber saldırganlar tarafından kullanılabilecek zafiyetler barındırmaktadır. Bu bilgiler arasında sunucu adı, kullanılan protokol sürümü ve şifreleme tercihleri yer almaktadır. Özellikle, istemcinin sunucuyu keşfetmesi (Instance Discovery) aşamasında, sunucu ile ilgili detayların yanlış yapılandırılması durumunda, istemciye gereksiz bilgi sızdırılabilir.

Bir örnek ile açıklamak gerekirse, sunucu üzerinde TLS şifrelemesinin zorunlu olmaması durumunda, bu açık, ağ üzerinden iletilen verilerin düz metin olarak iletilmesine olanak tanır. Bu durumda, bir saldırgan ağ trafiğini dinleyerek (örneğin tcpdump veya Wireshark kullanarak) kullanıcı kimlik bilgilerini ya da diğer kritik bilgileri ele geçirebilir.

Yanlış Yapılandırmalar ve Etkileri

Yanlış yapılandırmalar, sadece veri sızıntısına değil, aynı zamanda hizmet kesintilerine de yol açabilir. Örneğin, "Force Encryption" seçeneği aktif olmadığı sürece, istemcinin şifrelenmemiş bir bağlantı oluşturmasına izin verilir. Aşağıdaki şekilde, MSSQL sunucu yapılandırmasındaki temel yanlış yapılandırmalar ve bunların sonuçları ele alınmaktadır:

  • Güvenlik Protokollerinin Eksikliği: TLS şifrelemesi zorunlu değilse, veriler ağ üzerinden şifrelenmeden iletilir. Saldırgan, bu durumu kullanarak veri hırsızlığı gerçekleştirebilir.
  • SQL Browser Servisinin Açık Olması: SQL Browser servisi, istemcilerin sunucu üzerindeki farklı instance'ları keşfetmesine olanak tanır. Bu, istemcinin hangi veritabanının kurulu olduğunu öğrenmesini sağlar; eğer bu servis devre dışı bırakılmazsa, saldırganlar sunucunun tüm instance bilgisine çok kolay erişebilir.
  • Yanlış Ağ Segmentasyonu: SQL Server erişiminin yanlış yapılandırıldığı durumlarda, saldırganlar iç ağda dolaşarak veritabanlarına erişim sağlayabilir.

Savunma Önlemleri

MSSQL Pre-Login Handshake aşamasında güvenlik açıklarını azaltmak için aşağıdaki öneriler dikkate alınmalıdır:

  1. TLS Şifrelemesi Kullanımı: Tüm istemcilerin TLS kullanmasını zorunlu kılmak, veri iletimini güvenli hale getirir. Bunun için, sunucu yapılandırmasında "Force Encryption" seçeneği etkinleştirilmelidir.

    EXEC sp_configure 'force encryption', 1;  
RECONFIGURE;

  2. SQL Browser Servisini Kapatma: Eğer birden fazla SQL Server instance'ı yoksa, SQL Browser servisini devre dışı bırakmak faydalı olacaktır. Bu, istemcilerin sunucu bilgilerine ulaşmalarını zorlaştırır.

  3. Ağ Segmentasyonu: SQL Server erişiminin belirli ağ segmentleriyle kısıtlanması, siber saldırganların erişimini önemli ölçüde azaltır. Bu noktada, güvenlik duvarları kullanılabilir.

  4. Düzenli Güvenlik Tarama ve Analiz: Pre-Login Handshake sırasında gönderilen paketlerin izlenmesi için ağ analiz araçları (örneğin Wireshark) kullanarak sürekli bir gözlem sağlanmalıdır. Bu sayede, potansiyel saldırılar erken dönemde tespit edilebilir.

Sonuç Özeti

MSSQL Pre-Login Handshake analizi, siber güvenlik açısından kritik bir adım olmakla birlikte, yanlış yapılandırmalar ve zafiyetler büyük risk taşımaktadır. Sunucu ve istemci arasındaki bilgi alışverişinin güvenli bir şekilde sağlanabilmesi için, yukarıda belirtilen savunma önlemleri mutlaka uygulanmalıdır. Güvenli bir yapılandırma ile hem veri bütünlüğü korunabilir hem de olası saldırılara karşı etkili bir savunma mekanizması oluşturulabilir. Bu süreçleri takip ederek, MSSQL sunucularının güvenliğini artırmak mümkündür.