CyberFlow Logo CyberFlow BLOG
Mysql Pentest

MySQL Güvenliği: Banner Grabbing ve Handshake Analizi İle Savunma Stratejileri

✍️ Ahmet BİRKAN 📂 Mysql Pentest

MySQL sunucularının güvenliğini artırmak için banner grabbing ve handshake analizini keşfedin. Bu bilgilerle iç ve dış tehditlere karşı kendinizi koruyun.

MySQL Güvenliği: Banner Grabbing ve Handshake Analizi İle Savunma Stratejileri

MySQL sunucu güvenliğini sağlamak için banner grabbing ve handshake analizi yapmak kritik öneme sahiptir. Bu yazıda detaylı adımları ve stratejileri bulabilirsiniz.

Giriş ve Konumlandırma

MySQL, dünya genelinde en yaygın olarak kullanılan veritabanı yönetim sistemlerinden biridir. Özellikle web uygulamalarının arka planında sıklıkla tercih edilmesi, MySQL'in güvenliğinin kritik bir öneme sahip olduğu anlamına gelir. Bu nedenle MySQL güvenliği, sadece veri koruma stratejileri açısından değil, aynı zamanda uygulama güvenliği ve genel siber güvenlik politikaları açısından da değerlendirilmelidir.

MySQL Güvenliğinin Önemi

MySQL sunucuları, birçok potansiyel saldırıya açık olabilir. Veritabanına yönelik gerçekleştirilebilecek saldırılar, veri sızıntılarından, sistemin tamamen ele geçirilmesine kadar varan farklı tehditleri içerebilir. Bu bağlamda, MySQL sunucusunu hedef alan teknik süreçlerden biri olan "banner grabbing" ve el sıkışma (handshake) analizi, bu tür tehditlerle başa çıkmak için önemli savunma stratejilerindendir.

Bir saldırgan, MySQL sunucusuna ilk bağlantıda, sunucunun gönderdiği ilk paket olan el sıkışma paketi üzerinden önemli bilgilere ulaşabilir. Bu paket, sunucu sürümü, işletim sistemi bilgileri ve hangi kimlik doğrulama yöntemlerinin desteklendiği gibi kritik unsurları içerir. Bu noktada, banner grabbing işlemi devreye girer; bu işlem, hizmetin belirli özelliklerini belirlemenin yanı sıra, potansiyel zayıf noktaların tespit edilmesine olanak tanır.

Pentest ve Savunma Açısından Bağlam

Penetrasyon testleri (pentest), bir organizasyonun ağ ve sistem güvenliğini test etmek için gerçekleştirilir. MySQL sunucusu üzerinde yapılan pentest aşamaları, banner grabbing ve handshake analizi ile başlar. Bu süreçte, saldırganın sunucuya yönelik ilk temasını kurması, hedef sistem üzerindeki güvenlik açıklarını keşfetmesi için kritik öneme sahiptir.

El sıkışma analizi sırasında, sunucunun hangi özellikleri desteklediği hakkında bilgi edinmek mümkündür. Bu bilgiler, saldırıların planlanmasında ve uygulanmasında temel bir yol haritası oluşturur.

Teknik İçeriğe Hazırlık

MySQL güvenliği ve ilgili konular üzerine derinlemesine teknik bilgiye sahip olmak, sadece sızma testleri gerçekleştiren güvenlik uzmanları için değil, aynı zamanda sistem yöneticileri ve veri tabanı yöneticileri için de gereklidir. Bu yazıda ele alınacak kişi, saldırılara karşı ne tür savunma stratejileri geliştirilmesi gerektiği, banner grabbing ve handshake analizi ile elde edilen bilgilere nasıl dikkat edilmesi gerektiği üzerinedir.

Netcat Kullanımı ve İlk Temas:

Sızma testi yapmaya başlamadan önce, hedefin TCP 3306 portunun açık olduğunun doğrulanması gereklidir. Bu amaçla, Netcat aracı kullanılabilir. Örneğin, aşağıdaki komut ile hedef MySQL sunucusunun bağlantı durumu kontrol edilebilir:

nc -nv [hedef_ip] 3306

Elde edilen el sıkışma paketinde kritik verileri elde etmek üzere daha fazla analiz yapılabilir.

El Sıkışma Paketi İncelemesi:

El sıkışma verileri, sunucunun desteklediği protokoller ve güvenlik özellikleri hakkında bilgi verir. Örneğin, bazı bayraklar, sunucunun SSL desteği olup olmadığını, hangi kimlik doğrulama yöntemlerinin kullanılabileceğini gösterir. Bu tür bilgiler, potansiyel saldırıların önceden belirlenmesi açısından son derece önemlidir.

Bu içerikte, banner grabbing ve el sıkışma analizi gibi siber güvenlik tekniklerinin yanı sıra, moijveri uygulama stratejileri ve bilgilere dair detaylı bir inceleme yaparak, okuyucuların MySQL güvenliğini pekiştirmelerine yardımcı olmayı hedefliyoruz. Bu teknik bilgileri anlamak ve uygulamak, siber güvenlik tehditlerine karşı yüksek bir savunma katmanı oluşturacaktır.

Teknik Analiz ve Uygulama

Adım 1: İlk Temas ve Port Kontrolü

Siber güvenlikte ilk adım, hedef sistemin hangi portlarının açık olduğunu belirlemektir. MySQL veritabanı sunucuları genellikle 3306 numaralı port üzerinden çalışır. Bu portun açık olup olmadığını kontrol etmek için Nmap aracı kullanılabilir. Aşağıdaki komut, hedef IP'ye yönelik basit bir tarama yaparak açık portları listeler:

nmap -Pn -p 3306 --open target_ip

Portun açık olduğundan emin olduktan sonra, MySQL servisine bağlanarak sunucunun el sıkışma (handshake) verilerini incelemeye başlanabilir.

Adım 2: Handshake Paketi Alanları

MySQL, istemcinin sunucu ile iletişime geçmesi için bir handshake süreci başlatır. Bu süreçte sunucu, istemcinin tanımlanmasına yardımcı olan çeşitli verileri içerir. Handshake paketinde bulunan başlıca alanlar şunlardır:

  • Protocol Version: Kullanılan MySQL iletişim protokol versiyonunu belirtir.
  • Server Version: İşletim sistemi ve MySQL sürüm bilgilerini içerir.
  • Connection ID: Aktif bağlantıyı temsil eder.
  • Capability Flags: Sunucunun desteklediği özellikler hakkında bilgi verir.

Adım 3: Tanım: Banner Grabbing

Banner grabbing, bir ağ servisinin sürüm, işletim sistemi veya donanım mimarisi gibi bilgilerini öğrenmek amaçlı gerçekleştirilen bir işlemdir. Bir istemci MySQL sunucusuna bağlandığında, sunucu tarafından gönderilen ilk metin bu bilgileri içerir. Dolayısıyla, banner grabbing işlemi sunucu hakkında kritik veriler elde etmek için önemli bir tekniktir.

Adım 4: Netcat ile Ham Veri Yakalama

Basit ama etkili bir araç olan Netcat (nc), MySQL'in handshake verilerini yakalamak için kullanılabilir. Aşağıdaki komut, Netcat aracılığıyla MySQL'e bağlanarak bu verileri ekrana döker:

nc -nv target_ip 3306

Bu komut, sunucu ile bağlantı kurar ve handshake sırasında gönderilen ham verileri kaydeder.

Adım 5: Capability Flags (Yetenek Bayrakları)

Handshake süreci, sunucunun desteklediği özellikleri gösteren bayraklar içerir. Bu bayraklar, istemcinin sunucu ile erişim sırasında hangi özellikleri kullanabileceğine dair önemli bilgiler taşır. Örneğin, CLIENT_SSL bayrağı, şifreli bağlantının desteklenip desteklenmediğini gösterir. Bu durum, olası bir sniffing riskini belirler.

Adım 6: Teknik Terim: Salt / Scramble

Handshake sürecinde, şifreleme işlemleri için kullanılan 'salt' (tuz) verisi de bulunmaktadır. Bu, şifrelerin hashlenmesinde kullanılan rastgele 20 baytlık bir değerdir ve saldırganların hash kırma işlemlerini zorlaştırmaktadır.

Adım 7: Nmap NSE mysql-info Kullanımı

Nmap, MySQL protokolüyle ilgili bilgileri otomatik olarak dökümlemek için kapsamlı betikler içerir. Aşağıdaki komut, MySQL sunucusundan bilgi toplayarak önemli verileri tablolaştırır:

nmap -p 3306 --script mysql-info target

Bu komut, sunucunun sağladığı bilgileri kullanarak kritik detayları ortaya çıkartır.

Adım 8: Sızıntının Analiz Değeri

Handshake analizi sonucunda elde edilen veriler, sızma testinin bir sonraki aşaması, yani exploit seçimi için oldukça önemlidir. Örneğin, sunucunun işletim sistemi sürümü veya kullanılan şifreleme yöntemi gibi bilgiler, potansiyel zayıflıkların belirlenmesi için kritik bir rol oynar.

Adım 9: Kritik Kavram: Auth Plugin Name

Handshake verilerinde dikkat edilmesi gereken bir diğer önemli nokta, kimlik doğrulama eklentisi adıdır. Belirli bir kimlik doğrulama eklentisi kullanılıyorsa (örneğin: mysql_native_password), sızma testinin bu bilgi doğrultusunda yönlendirilmesi gerekebilir.

Adım 10: Tshark ile Canlı Handshake Analizi

Ağ trafiğini izleyerek, bir kullanıcı bağlantı kurduğu andaki handshake paketlerini yakalamak mümkündür. Tshark aracı ile bu işlem yapılabilir. Aşağıdaki komut, MySQL trafiğini izleyip sunucu sürüm bilgisini filtreler:

tshark -Y mysql -T fields -e mysql.server_version

Bu komut, MySQL sunucusunun sürümünü izlemek ve kaydetmek için kullanılabilir.

Adım 11: Savunma ve Hardening (Sertleştirme)

Banner sızıntısının önlenmesi amacıyla çeşitli güvenlik stratejileri geliştirilmelidir. Bu stratejiler, sunucu altyapısının sertleştirilmesi ve potansiyel sızıntıların önlenmesi için önemlidir. Örneğin, MySQL portuna erişimi yalnızca belirli IP adresleri ile sınırlandırmak, potansiyel riskleri minimize eder.

Adım 12: Nihai Hedef: Reconnaissance

Sızma testlerinde ilk adımlar esasen keşif (reconnaissance) aşamasıdır. Bu aşama, hedef sistemin zafiyetlerini anlamak ve exploit edilebilir noktaları tespit etmek için kritik öneme sahiptir. Network güvenliği perspektifinden bakıldığında, bu tür analizlerin sistemin güvenliğini artırmaya yardımcı olduğu açıkça görülebilir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, sistem ve uygulamalar üzerindeki her türlü zafiyet analiz edilmeli ve gerekli önlemler alınmalıdır. Özellikle MySQL gibi yaygın veritabanı sistemleri hedef alındığında, ciddi riskler ortaya çıkabilmektedir. Bu bölümde, banner grabbing ve handshake analizi teknikleri üzerinden elde edilen bulguların güvenlik anlamına odaklanacağız.

Elde Edilen Bulguların Güvenlik Anlamı

MySQL hizmeti, dışarıdan gelen bağlantılara oldukça açıktır. Bu durum, kötü niyetli saldırganlar için önemli derecede risk taşımaktadır. İlk adımda yapılan port kontrolü ile 3306 portunun açık olduğu doğrulandığında, sistemin bir sızıntıya maruz kalabileceği anlaşılır.

nmap -Pn -p 3306 --open target_ip

Port taraması sonucunda şifreleme seçeneğinin desteklenip desteklenmediği gibi kritik bilgiler elde edilebilir. Örneğin, handshake paketi analiz edilirken şunlar gözlemlenebilir:

  • Protocol Version: Kullanılan MySQL iletişim protokolü
  • Server Version: İşletim sistemi ve MySQL sürümü gibi kritik bilgiler
  • CLIENT_SSL: Sunucunun şifreli bağlantı destekleyip desteklemediği

Bu veriler, sistemin muhtemel zafiyetlerini belirlemede önemli rol oynamaktadır.

Yanlış Yapılandırma veya Zafiyet

Yanlış yapılandırmalar, sızma testleri sırasında sıkça karşılaşılan bir durumdur. Örneğin, CLIENT_PLUGIN_AUTH bayrağı, sunucunun şifreleme gerektiren kimlik doğrulama yöntemlerinden tam olarak yararlanamadığını gösteriyorsa, her an bir veri sızıntısı yaşanabilir. Bu gibi durumlar, sistem yöneticilerinin zafiyetleri doğru bir şekilde değerlendirmesi gerektiğini ortaya koymaktadır.

Sızma testleri sırasında elde edilen diğer önemli bulgular arasında, sunucunun hangi tür bağlantılara izin verdiği ve bunların güvenlik riskleri de bulunmaktadır. Örneğin, sunucunun root erişimi açtığı durumlar, veri güvenliğini ciddi anlamda tehdit edebilir.

Sızan Veri ve Topoloji

HandShake analizi, bilgi toplama aşamasında önemli bir rol oynamaktadır. Buradan elde edilen veriler, sistemin genel görünümünü ortaya koyar. Sızan veriler arasında:

  • Connection ID: Sunucunun o an ne kadar bağlantı aldığını gösterir.
  • OS Distro: Hedef sistemin işletim sistemi, sızma testlerinde hangi exploitlerin kullanılabileceğini tahmin etmede yardımcı olur.

Bu tür bilgiler, saldırganlar için değerli stratejik veri haline gelir ve dolayısıyla korunma gerekliliğini artırır.

Profesyonel Önlemler

MySQL güvenliği için atılacak birkaç önemli adım bulunmaktadır:

  1. Port Yalıtımı: MySQL portuna sadece belirli IP adreslerinden erişime izin verilmelidir. 

    # iptables örneği
iptables -A INPUT -p tcp --dport 3306 -s allowed_ip -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP

  2. Proxy Kullanımı: MySQL sunucusunun önüne bir yük dengeleyici (load balancer) veya proxy yerleştirilerek, gerçek banner bilgisi maskelemelidir.

  3. Sertleştirme (Hardening): Varsayılan kimlik bilgileri değiştirilerek ve gereksiz özellikler devre dışı bırakılarak sistem sertleştirilmelidir.

  4. Düzenli Güncellemeler: Veritabanı sisteminin sürekli güncel olması, bilinen zafiyetlere karşı koruyucu bir önlem sağlar.

  5. Güvenlik İzleme: Sunucu üzerindeki tüm aktivitelerin izlenmesi, olası saldırıların erken tespit edilmesine olanak tanır.

Sonuç Özeti

MySQL güvenliği, tetkik ve önlem mekanizmaları ile oluşturulabilecek güçlü bir savunma yapısı gerektirir. Banner grabbing ve handshake analizi gibi tekniklerle elde edilen bilgiler, sistemin güvenlik durumunu değerlendirmede kritik öneme sahiptir. Yanlış yapılandırmalar ve zafiyetlerin belirlenmesi, etkin önlemlerin alınması ile olası veri ihlallerinin ve saldırıların önüne geçmek mümkündür. Belirlenen önlemler, tüm güvenlik katmanlarının güçlendirilmesine yardımcı olacak ve siber saldırılara karşı yüksek derecede koruma sağlayacaktır.