CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

OSI ve TCP/IP Modellerinde Zafiyet Analizi: Katmanlı Yaklaşım

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Bu blog yazısında OSI ve TCP/IP modellerindeki katmanlı analizi, zafiyet noktalarını ve korunma stratejilerini keşfedeceksiniz.

OSI ve TCP/IP Modellerinde Zafiyet Analizi: Katmanlı Yaklaşım

Siber güvenlikte katmanlı analiz, OSI ve TCP/IP modellerinin nasıl çalıştığını anlamak için kritik öneme sahiptir. Bu yazıda, zafiyet noktaları ve olası saldırılar hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, OSI (Open Systems Interconnection) ve TCP/IP (Transmission Control Protocol/Internet Protocol) modelleri kritik öneme sahip temel kavramlardır. Bu modeller, ağ iletişimini tanımlamak ve çeşitli katmanlarda olası zafiyetleri analiz etmek için yapılandırılmıştır. Modern ağlarda karşılaşılan sorunları anlamak ve saldırı vektörlerini tanımlamak için bu katmanlı yaklaşım, güvenlik analistleri ve pentester'lar için kaçınılmaz bir gereklilik haline gelmiştir.

OSI ve TCP/IP Modellerinin Önemi

OSI modeli, ağ iletişimini sekiz katmana ayırarak açıklamaktadır. Bu katmanlar, her birinin kendine özgü işlevleri olduğu ve diğer katmanlarla etkileşim içerisinde olduğu bir yapıyı temsil eder. TCP/IP modeli ise, genellikle dört ana katmanda yapılandırılır ve bu katmanlar, OSI modelinin karşılık gelen katmanlarıyla benzerlik gösterir. İki model arasındaki bu yapı, zafiyet analizi açısından büyük bir önem teşkil eder. Zira her katman, farklı türlerde saldırılara maruz kalabilir ve her katmanda karşılaşılabilecek zafiyetler çeşitli güvenlik tehditlerine yol açabilir.

Örneğin, OSI modelinin Data Link (Veri Bağı) katmanında sıklıkla karşılaşılan saldırılardan biri MAC adresi zehirlenmesidir. Bu tür zafiyetler, ağa sızmak veya kötü niyetli trafik yönlendirmek için kullanılabilir. Aynı zamanda TCP/IP modelinde ağ katmanı üzerinde gerçekleştirilen IP spoofing ve ICMP flooding gibi saldırılar, ağın güvenliğini tehdit eden önemli zafiyetlerdir. Bu nedenle, katman bazlı zafiyet analizi, güvenlik mühendislerinin ve analistlerinin ağların savunma çizgilerini güçlendirirken, aynı zamanda potansiyel zayıf noktaları belirlemelerine yardımcı olur.

Zafiyet Analizinin Katmanlı Yaklaşımı

Siber güvenlikte katmanlı yaklaşım, pek çok avantaj sunar. Her katman, belirli bir saldırı türüne karşı savunma stratejileri geliştirilmesine olanak tanır. Örneğin, Layer 2 (Data Link) katmanında gerçekleştirilen saldırıları anlamak için MAC adresi manipülasyon tekniklerine odaklanmak gerekirken, Layer 4 (Transport) katmanında SYN flood ve oturum çalma gibi saldırılara karşı savunma stratejileri geliştirmek gereklidir.

Analistler, her katmanda karşılaşılabilecek zafiyetleri belirlemek için ağ trafiğini analiz ederken yaşanan anomalileri log dosyalarından inceleyerek de tespit edebilirler. Örneğin, gerçek bir ağ ortamında /var/log/suricata/ dizinindeki logları inceleyerek, uygulama katmanı düzeyinde anomalileri saptayabilirler. Bu tür bir yaklaşım, anlık tehditleri tespit etmenin yanı sıra, önceki saldırıların izlerini sürmek için de türdeş bir yöntem sağlar.

Eğitim ve Teknik Altyapı

Bu blog yazısında, OSI ve TCP/IP modellerinin katmanları arasında zafiyet analizinin nasıl yapılacağını ve bu analizlerin hangi tür saldırılara karşı nasıl bir savunma mekanizması oluşturduğunu inceleyeceğiz. Zafiyet analizi, siber güvenlik uzmanlarının ağları daha güvenli hale getirmesi için gereken temel bilgileri sağlar. Ayrıca, bu bağlamda kullanılan terimleri ve kavramları anlamanın önemi büyüktür. Aşağıda, katmanlı yapı içerisinde en sık karşılaşılan saldırı türlerine ilişkin bir örnek verilmiştir.

Saldırı Türleri:
- Layer 2: MAC Adresi Zehirlenmesi
- Layer 3: IP Spoofing, ICMP Flooding
- Layer 4: SYN Flood, Oturum Çalma
- Layer 7: SQL Injection, XSS

Katmanlı yaklaşım, yatırım getirisini artırmak amacıyla, güvenlik sistemlerinin sürekli olarak gündeminde olmalıdır. Böylece güvenlik analistleri, hem savunma hem de saldırı senaryolarında daha bilinçli kararlar alabilir. OSI ve TCP/IP tabanlı zafiyet analizi, siber güvenlik alanında derinlemesine bilgi edinmek ve uygulama yapmak için bir temel oluşturur. Bu blog yazısında, zafiyet analizi süreçlerine dair teknik detayları derinlemesine keşfedeceğiz.

Teknik Analiz ve Uygulama

OSI Modeli Katmanları

OSI modeli, ağ iletişimini yedi katmana ayırarak ilişkili protokoller ve veri akışını daha iyi anlamamıza yardımcı olur. Bu katmanlar, üst katmandan alt katmana doğru sırasıyla; uygulama, oturum, taşımacılık, ağ, veri bağı, fiziksel ve bileşim katmanlarıdır. Her bir katman, belirli bir iletişim işlevini gerçekleştirir ve bu işlevler arası etkileşim, sistemlerin ihtiyaçlarına göre şekillenir.

Ağ güvenliği açısından her katmanın belirli zafiyetleri ve potansiyel saldırı vektörleri bulunmaktadır. Örneğin, veri bağı katmanında MAC adreslerinin manipülasyonu sıkça karşılaşılan bir zafiyet türüdür. Bu tür zafiyetleri anlamak ve analiz etmek, sistemlerin güvenliğini artırmak için kritik öneme sahiptir.

Modellerin Eşleşmesi

OSI modeli ile TCP/IP modeli arasında bazı temel eşleşmeler mevcuttur. Bu eşleşmeler, ağ protokollerinin uygulama düzeyinde nasıl çalıştığını anlamak için önemlidir. İşte bu iki modelin katmanları arasındaki başlıca eşleşmeler:

  • Uygulama Katmanı (OSI) ↔ Uygulama Katmanı (TCP/IP)
  • Taşımacılık Katmanı (OSI) ↔ Taşımacılık Katmanı (TCP/IP)
  • Ağ Katmanı (OSI) ↔ İnternet Katmanı (TCP/IP)
  • Veri Bağı Katmanı (OSI) ↔ Erişim Katmanı (TCP/IP)

Bu eşleşmeler sayesinde, kullanıcılar ağ analizi ve zafiyet tespiti sürecinde hangi katmanlarda hangi tür zafiyetlerin mevcut olduğunu anlayabilirler.

Kapsülleme (Encapsulation)

Kapsülleme, bir verinin yukarı katmanlardan aşağı katmanlara doğru taşınması sırasında her katmanda belirli başlıklar eklenmesi sürecidir. Bu süreç, Protokol Verisi Birimi (PDU) isimlendirmesi ile tanımlanır. Veri yukarıdan aşağıya doğru taşındıkça, PDU’lar şu şekilde sıralanır:

  1. Veri (Data) - Uygulama Katmanı
  2. Segment (Segment) - Taşımacılık Katmanı
  3. Paket (Packet) - Ağ Katmanı
  4. Çerçeve (Frame) - Veri Bağı Katmanı
  5. Bit (Bit) - Fiziksel Katman

Ağ tasarımları ve saldırı analizleri sırasında, özellikle saldırıların hangi PDU aşamasında gerçekleştiği büyük önem taşır.

Layer 2 Zafiyetleri

Layer 2, yani veri bağı katmanı, birçok saldırı vektörüne açıktır. MAC adreslerinin değiştirilmesi veya zehirlenmesi en yaygın zafiyetlerden biridir. MAC zehirlenmesi, saldırganların sahte MAC adresleri kullanarak ağa erişim sağladığı bir tekniktir. Bunun önüne geçmek için bir ağda kullanılacak VLAN yapılandırmaları ve güvenlik protokolleri önemlidir.

# MAC adres zehirlenmesini tespit etmek için kullanılan basit bir komut:
arp -a | grep <target-ip>

Yukarıdaki komut, verilen hedef IP adresi için ağdaki MAC adreslerini listelemektedir. Şüpheli bir MAC adresi görüldüğünde hızlı bir şekilde müdahale edilebilir.

Katman Bazlı Saldırılar

Her katmanın kendine özgü zafiyet ve saldırı türleri vardır. Layer 3, IP Spoofing ve ICMP Flooding gibi saldırılara, Layer 4, SYN Flood ve Oturum Çalma (Session Hijacking) gibi tehditlere maruz kalabilir.

Örneğin, SYN Flood saldırısı, TCP üç aşamalı el sıkışma (three-way handshake) sürecini hedef alır. Bu tür bir saldırıda, sahte SYN paketleri gönderilerek hedef sistemin kaynakları tükenene kadar bekletilebilir.

Aşağıdaki Python örneği, temel bir SYN paket analizini göstermektedir:

import scapy.all as scapy

# SYN paketlerini analiz eden basit bir Scapy scripti
def syn_scan(target):
    syn_packet = scapy.IP(dst=target)/scapy.TCP(dport=80, flags='S')
    scapy.send(syn_packet)

# Belirli bir IP adresi üzerinde SYN taraması başlatma
syn_scan("192.168.1.1")

Gerçek Log Analizi

Ağ güvenliği analistleri, zafiyet tespitinde gerçek logların incelenmesine büyük önem verir. Örneğin, bir analist /var/log/suricata/ dizininde bulunan log dosyalarını inceleyerek uygulama katmanındaki anomalileri saptayabilir. Anomaliler genellikle kullanıcı davranışlarında veya anormal trafik desenlerinde kendini gösterir.

# Suricata log dosyalarını incelemek için kullanılan bir komut
cat /var/log/suricata/eve.json | jq '. | select(.event_type=="alert")'

Bu komut, Suricata tarafından oluşturulan log dosyasında yer alan tüm uyarıları listelemektedir.

TCP/IP Katmanları

TCP/IP modeli, dört ana katmandan oluşur. Bu katmanlar uygulama, taşıma, internet ve erişim katmanlarıdır. TCP/IP modelinin katmanları sıralandığında, OSI modeline göre daha sadeleştirilmiş bir yapı sunar. Ancak, her iki model de ağ güvenliği analizi açısından önemli bilgiler sunar.

Her katmanın saldırı vektörlerine karşı alacakları önlemler, sistemlerin güvenliğini sağlamak için kritik önem taşır.

Blue Team Operasyonları

Blue Team, ağ güvenliğini sağlamak için aktif olarak çalışan ekiptir. Zafiyet analizi sürecinde, katman bazında yapılan tespitler ve iyileştirmeler ile sistemlerin güvenliği artırılabilir. Örneğin, Layer 2 tabanlı yanal hareketlerin sınırlanması için ağ içi yapılandırma ve segmentasyon kritik bir önem arz eder. Bu tür yapılandırmalar, ağ içindeki veri akışını izlemek ve kontrol altında tutmak için gereklidir.

Sonuç olarak, OSI ve TCP/IP modellerindeki katmanlı yaklaşımlar, siber güvenlik analizi ve zafiyet tespiti süreçlerinde etkin bir şekilde kullanılmalıdır. Hangisi/katmanda zafiyet varsa, onun için uygun önlemlerin alınması büyük önem taşır.

Risk, Yorumlama ve Savunma

Siber güvenlikte, sistemlerin dayanıklılığını artırmak ve potansiyel zafiyetleri minimize etmek amacıyla, çeşitli analiz yöntemlerinin uygulanması gerekmektedir. Özellikle OSI ve TCP/IP modelleri üzerinden gerçekleştirilen katmanlı analizler, ağ yapılandırmalarındaki riskleri anlamamıza yardımcı olur. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, zafiyetlerin etkilerini açıklayacak, gerekli savunma mekanizmalarını ele alacak ve ayrıca önerilen hardening stratejilerini sunacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Veri dağıtımında kullanılan OSI ve TCP/IP modelleri, sistemlerin katman katman incelenmesini sağlar. Her katman, belirli zafiyet türlerini barındırabilir ve bu zafiyetlerin etkileri, sistemin bütünlüğünü tehdit edebilir. Örneğin, Layer 2 (Veri Bağı) katmanında yapılan bir MAC adresi zehirlenmesi, saldırganların yerel ağda yanal hareket etmelerine olanak tanır. Bu tür bir saldırı, veri iletimi sırasında paketlerin yönlendirilmesini etkileyerek, hassas verilerin sızdırılmasına neden olabilir.

# Örnek bir MAC adres zehirlenmesi senaryosu
arp -a  # ARP tablosunu görüntüle

Bu komut, ağda yer alan cihazların MAC adreslerini listeleyecek ve eğer bir değişiklik söz konusu ise (örneğin, bir MAC adresinin iki farklı IP adresine sahip olması gibi), bu anormallik tespit edilebilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkileri

Yanlış yapılandırmalar, ağ güvenliği açısından ciddi riskler taşır. Örneğin, kullanıcıların iç ağa erişimini kontrol eden VLAN yapılandırmalarının hatalı yapılması, yetkisiz kullanıcıların hassas verilere sızmasına yol açabilir. Aynı şekilde, Layer 4 (Taşıma) katmanında meydana gelebilecek SYN Flood saldırısı, hedef sunucunun kaynaklarını tüketerek hizmet kesintisine yol açabilir.

# SYN Flood saldırısına karşı temel bir Python örneği
from scapy.all import *

# Hedef IP ve port
target_ip = "192.168.1.10"
target_port = 80

# SYN paketleri gönderme
ip = IP(dst=target_ip)
syn = TCP(dport=target_port, flags="S")
send(ip/syn, loop=1)

Bu tür bir kod, sistemin güvenlik açığını test etmek adına kullanılabilir fakat dikkatli olunmalıdır; bu tarz eylemler etik olmayan kullanımlara yol açabilir.

Sızan Veri ve Topoloji

Bir sistem üzerindeki zafiyetlerin etkisi, genellikle sızan verinin türüyle doğrudan bağlantılıdır. Örneğin, Layer 7 (Uygulama) katmanındaki SQL Injection saldırıları, veritabanındaki hassas bilgilerin çalınmasına yol açabilir. Bu tür saldırılar sonucunda etkilenen sistemin topolojisi de değişebilir, örneğin, saldırganlar belirli hizmetleri hedef alarak ya da farklı ağ segmentlerine geçiş yaparak daha geniş bir etki alanı oluşturabilir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliğini artırmak için çeşitli profesyonel önlemler alınabilir. Bunlar arasında:

  1. Ağ Segmantasyonu: Farklı ağ katmanları arasında segmentasyon sağlayarak saldırganların yanal hareket kabiliyetini sınırlamak.

  2. Güvenlik Duvarları ve IDS/IPS Kullanımı: Ağ üzerinde giriş çıkan trafiği izlemek ve zararlı aktiviteleri tespit etmek için güvenlik duvarları ve saldırı tespit önleme sistemleri (IDS/IPS) kurmak.

  3. Güncel Yazılım Kullanımı: Tüm sistemlerin yazılımlarının güncel tutulması ve bilinen zafiyetlerden korunması.

  4. Eğitim ve Farkındalık: Kullanıcıların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi ve olağan dışı durumların nasıl rapor edileceği konusunda eğitilmesi.

  5. Log Yönetimi: Gerçek zamanlı log analizi yaparak, anormal aktivitelerin hızlıca tespit edilmesi.

Sonuç Özeti

OSI ve TCP/IP modellerinde gerçekleştirilen zafiyet analizi, sistemlerin güvenlik durumunu anlamak için kritik bir öneme sahiptir. Yanlış yapılandırmalar ve sistemdeki zafiyetler, veri sızıntılarına ve hizmet kesintilerine yol açabilir. Bu nedenle, ağ güvenliğini artırmak için önerilen hardening stratejileri ve profesyonel önlemler uygulanmalıdır. Saldırı türlerinin anlaşılması ve sistemin katmanları üzerinden yapılacak analizler, güvenlik duruşunu güçlendirmek için önemli bir adımdır. Bu süreç, hem savunmayı hem de saldırıların etkisini minimize etmeyi hedeflemektedir.