CyberFlow Logo CyberFlow BLOG
Postgresql Pentest

PostgreSQL ile Sistem İçi Lateral Movement Eğitimi

✍️ Ahmet BİRKAN 📂 Postgresql Pentest

Sistem içi lateral hareketlerini anlamak ve yönetmek için PostgreSQL üzerinde gerçekleştirilen güvenlik incelemeleri hakkında bilinmesi gereken her şey.

PostgreSQL ile Sistem İçi Lateral Movement Eğitimi

Bu blog yazısında, PostgreSQL sunucularında sistem içi lateral hareketleri incelemek için gerekli adımlar, araçlar ve risk değerlendirmeleri ele alınmaktadır. Eğitim içeriği ile birlikte veritabanı güvenliğine dair ipuçları sunulmaktadır.

Giriş ve Konumlandırma

Siber güvenlik alanında, özellikle veri tabanlarıyla etkileşimde bulunurken, pek çok potansiyel tehdit ve zayıflık söz konusudur. Bu bağlamda, PostgreSQL gibi güçlü bir veritabanı yönetim sistemi, siber saldırganlar için birçok fırsat sunabilir. Yönetilen bir PostgreSQL ortamında, sistem içi lateral movement (yan hareket) kavramı, siber saldırganların bir sistemdeki erişimlerini artırarak, daha kritik verilere veya sistem bileşenlerine ulaşma çabası olarak tanımlanabilir. Bu makalede, PostgreSQL üzerinde lateral movement potansiyellerini ele alacağız ve bu süreçte dikkate alınması gereken temel adımlar ile savunma mekanizmaları üzerinde duracağız.

Önemin Vurgulanması

PostgreSQL, geniş ölçekliliği ve esnekliği ile öne çıkan bir açık kaynaklı veritabanı yöneticisidir. Ancak, bu özellikler aynı zamanda tehlikeleri de beraberinde getirir. Saldırganlar, sistemdeki mevcut erişimlerini artırmak veya diğer sistemlere geçiş yapmak için PostgreSQL’i hedef alabilirler. Bu durum, yalnızca veri kaybı veya uyumsuzluk yaratmakla kalmaz, aynı zamanda kurulu bir sistemin bütünlüğünü tehdit edebilir. Lateral movement yeteneklerini anlamak, yöneticilerin ve güvenlik uzmanlarının bu tür tehditleri önleyebilmesi için kritik öneme sahiptir.

Siber güvenlik açısından PostgreSQL üzerindeki lateral movement analizi, erken teşhis ve müdahale için büyük fırsatlar sunar. Veritabanı güvenlik incelemesi yapılırken, sistem içerisinde mevcut olan bağlantı olanakları ve bu bağlantıların nasıl kullanıldığı üzerine derinlemesine bir analiz gerekmektedir. Bunun yanı sıra, sistem içindeki kullanıcı eşleşmeleri ve veritabanı bağlantılarının gözden geçirilmesi, potansiyel tehditlerin sadece tespit edilmesi değil, aynı zamanda önlenmesi açısından da kritik öneme sahiptir.

Eğitim İçeriğine Hazırlık

PostgreSQL üzerinde lateral movement incelemesi, birkaç basamakta değerlendirilecektir. İlk olarak, sistemin genel durumunu ve yapılandırmasını anlayabilmek adına sunucu ortam bilgileri toplamakla başlayacağız. Ardından, ağ ve sistem bağlantı kavramlarını göz önünde bulundurarak, tanımlı foreign server kayıtlarını inceleyeceğiz. Bu aşamada, sistem mimarisini anlamak için elzem olan foreign data wrapper (FDW) mekanizmasını tanımlayacağız.

Güvenlik incelemesinin önemli bir parçası, uzak veri erişim mekanizmalarındaki user mapping kayıtlarının analiz edilmesidir. Bu kayıtlar, PostgreSQL’in diğer sistemlerle entegrasyonunu anlamaya yardımcı olurken, risk göstergelerini belirlemede de anlam kazanacaktır. Sistem üzerindeki potansiyel zayıflıkları ortaya çıkarmak adına ise tanımlı FDW bileşenlerinin gözden geçirilmesi gereklidir.

Teknik Bileşenler ve Araçlar

Veritabanı güvenliğinde kullanılacak en küçük birim olan PostgreSQL istemcisi, sistemdeki analizlerin ve incelemelerin yapılmasında temel bir araç olarak konumlanır. Örneğin, bir PostgreSQL istemcisinde aktif bağlantıları görüntülemek için kullanılacak sorgu şu şekildedir:

SELECT * FROM pg_stat_activity WHERE state = 'active';

Bu yapı, sistemdeki mevcut bağlantıları analiz edebilmek ve olası kötü niyetli hareketleri tespit edebilmek için kritik önem taşır. Ayrıca, sistem bağlantılarıyla ilgili IP bilgilerini elde etmek için şu sorgu kullanılabilir:

SELECT inet_server_addr();

Bu etkileşimlerin ve sorguların sağladığı veriler, PostgreSQL üzerinde lateral movement potansiyellerinin değerlendirilmesi açısından oldukça değerli bilgiler sağlamaktadır.

Sonuç olarak, PostgreSQL üzerinde lateral movement incelemesi, şüpheli aktivitelerin tespit edilmesi ve sistemin güvenliğinin sağlanması adına son derece önemli bir süreçtir. Bu eğitimde ele alınacak temel adımlar, herhangi bir PostgreSQL ortamında, sistem yöneticileri ve güvenlik uzmanları için kritik analiz imkanları sunacaktır. Okuyuculardan beklenen, bu bilgileri ve uygulama adımlarını inceleyerek, PostgreSQL’in güvenliği konusunda bir anlayış geliştirmeleridir.

Teknik Analiz ve Uygulama

Sunucu Ortam Bilgilerini Tespit Etme

Sistem içi lateral hareketlerin güvenlik incelemelerinde en kritik adımlardan biri, PostgreSQL sunucusunun çalıştığı ortam hakkında bilgi toplamaktır. Ortam bilgileri, ağ yapısı ve sistem konfigürasyonu hakkında genel bir bakış sunar. Bu aşamada, sürüm bilgilerini almak, sistem tanımları ve yapılandırmaları hakkında bilgi toplamak önemlidir. Bunun için aşağıdaki SQL sorgusu kullanılabilir:

SELECT version();

Bu sorgu, PostgreSQL sunucu sürüm bilgilerini döndürerek, mevcut sistem yapılandırmasına dair önemli bilgiler sunar. Ayrıca, sistemin çevresindeki diğer bağlantıları ve güvenlik açıklarını belirlemek için bağlantı noktaları ve dış sistemlerle ilişkiler göz önünde bulundurulmalıdır.

Ağ ve Sistem Bağlantı Kavramları

PostgreSQL, bazı eklentiler ve fonksiyonlar aracılığıyla diğer sistemlerle iletişim kurabilir. Bu bağlantı noktalarını değerlendirirken, Foreign Data Wrapper (FDW) ve dblink gibi araçlar önemli bir rol oynamaktadır. Özellikle, FDW ile harici veri kaynaklarına erişim sağlayan bağlantı noktalarını incelemek gereklidir. 

SELECT srvname, srvtype, srvversion FROM pg_foreign_server;

Bu sorgu, tanımlı foreign server kayıtlarını listeleyerek sistem mimarisini anlamaya yardımcı olur. Anlayış, güvenlik açıklarını azaltmak ve potansiyel riskleri önlemek için kritik öneme sahiptir.

Tanımlı Foreign Server Kayıtlarını İnceleme

Foreign server kayıtları, PostgreSQL veritabanının dışındaki veri kaynakları ile entegre olmasını sağlar. Güvenlik incelemesi sırasında bu kayıtların detaylı bir şekilde incelenmesi, sistemin harici bağlantılarını anlamak açısından önem taşır. Ayrıca, kullanıcı girişi ve bağlantı detaylarını belirlemek için user mapping kayıtları da incelenmelidir:

SELECT * FROM pg_user_mappings;

Uzak Veri Erişim Mekanizması

Foreign Data Wrapper, PostgreSQL içinde harici veri kaynaklarına erişimi sağlayan genel bir mekanizmadır. Uzak veri erişim mekanizmalarının ayarları ve yapılandırmaları dikkatlice incelenmelidir. Bu inceleme, güvenlik açısından bazı riskleri ortaya çıkarabilir; örneğin, kullanıcı hesaplarının ortak kullanımı veya unutulmuş bağlantı tanımları potansiyel güvenlik açıkları oluşturabilir.

Aşağıdaki sorgu, sistemdeki farkı FDW bileşenlerini listelemek için kullanılabilir:

SELECT fdwname FROM pg_foreign_data_wrapper;

Risk Göstergeleri

Güvenlik incelemeleri yapılırken, sistemdeki bazı yapılandırmalar potansiyel risk teşkil edebilir. Özellikle:

  • Gereksiz FDW Bağlantıları: Kullanılmayan uzak bağlantı tanımları, sistem mimarisi hakkında gereksiz bilgi açığa çıkarabilir.
  • Ortak Kullanıcı Hesapları: Birden fazla sistemde aynı kimlik bilgilerinin kullanılması, güvenlik riskini artırır.
  • Unutulmuş Bağlantı Tanımları: Eski sistemlere ait bağlantı kayıtlarının sistemde kalması, güvenlik incelemesi gerektirir.

Bu noktaları göz önünde bulundurarak aşağıdaki sorgu ile aktif bağlantılar gözlemlenebilir:

SELECT * FROM pg_stat_activity;

Bu sorgu, PostgreSQL sisteminde aktif olan kullanıcı ve uygulama bağlantılarını göstererek potansiyel risklerin belirlenmesine yardımcı olur.

Defansif Yaklaşım

Son adımda, elde edilen tüm bilgiler ışığında bir defansif güvenlik yaklaşımı benimsemek önemlidir. Tüm uzak bağlantı tanımlarının düzenli olarak gözden geçirilmesi, gereksiz olanların kapatılması ve yalnızca gerekli rollere erişim izni verilmesi sağlanmalıdır. Bu uygulamalar, sistemin genel güvenliğini artıracak ve olası saldırılara karşı direncini yükseltir.

-- Bağlantı tanımlarının gözden geçirilmesi için kullanılabilir
SELECT * FROM pg_foreign_server WHERE srvname IS NOT NULL;

Sonuç olarak, PostgreSQL ile yapılan sistem içi siber güvenlik analizleri, detaylı ve sistematik bir yaklaşım gerektirir. Yukarıdaki adımlar, güvenlik açıklarını belirlemek ve sistemin güvenliğini artırmak için atılacak önemli adımlardır. Bu tür analizlerin düzenli olarak gerçekleştirilmesi, potansiyel siber saldırılara karşı proaktif bir savunma mekanizması oluşturacaktır.

Risk, Yorumlama ve Savunma

Risklerin Yorumlanması

PostgreSQL veri tabanı yönetim sistemi, uygulama ve kullanıcıların veri tabanlarıyla etkileşim kurduğu bir ortam sunar. Ancak, bu etkileşimlerin güvenliği sağlanmadığı takdirde, potansiyel zafiyetler sistemin bütünlüğünü tehlikeye atabilir. Bu bağlamda, sistem içinde "lateral movement" (yanal hareket) kavramını anlamak, mevcut riskleri değerlendirmek için kritik bir adımdır. Özellikle, yanlış yapılandırmalar ve zayıf noktalar, saldırganların sistemler arasında hareket etmesine olanak tanır.

Birçok organizasyon, veri tabanı güvenliği konusunda yeterince dikkat etmemekte, bu da eski sistemlerdeki bağlantı kayıtlarının kalmasına ve gereksiz erişim noktalarının açılmasına yol açmaktadır. Bu tür riskleri yönetmek için öncelikle, sahip olduğunuz ayarların doğru bir şekilde yapılandırıldığından emin olmalısınız.

Yanlış Yapılandırmaların Etkileri

Yanlış yapılandırmalar, veri tabanının gereksiz yere geniş bir ağ erişimine açılmasına neden olabilir. Örneğin, Foreign Data Wrapper (FDW) kullanarak başka sistemlere bağlantı sağlanıyorsa, bu bağlantıların doğru bir şekilde yönetilmesi ve sınırlı erişim katmanları ile korunması gerekir. Üzerinde durulması gereken çok sayıda yapılandırma hatası vardır:

  • Gereksiz FDW Bağlantıları: Kullanılmayan bağlantıların bulunması, sistem mimarisi hakkında fazladan bilgi sızdırarak olası saldırganlar için bir fırsat yaratır.
  • Ortak Kullanıcı Hesapları: Farklı sistemlerde aynı kimlik bilgilerinin kullanılması, bir sistemin tehlikeye girmesi durumunda diğer sistemlerin de etkilenmesine neden olabilir.
  • Unutulmuş Bağlantı Tanımları: Eski ya da kullanılmayan bağlantıların sistemde kalması, kötü niyetli kullanıcıların sisteme girişi için bir kapı aralayabilir.

Bu gibi durumlar, sistemin güvenliğini doğrudan etkileyerek veri ihlallerine ve kayıplara yol açabilir.

Sızma Verileri ve Topoloji

Sistem içindeki genellikle gözden kaçan bir diğer alan, sızan verilerin ve sistem topolojilerinin tespiti ve analizidir. PostgreSQL, ağ üzerindeki veri hareketliliğini izlemek için kullanılabilecek çeşitli sistem tabloları sunar:

SELECT * FROM pg_stat_activity;

Yukarıdaki sorgu, aktif bağlantıları ve kullanıcıları gösterecektir. Bu veriler, hangi IP adreslerinin veri tabanıyla etkileşimde bulunduğunu takip ederek potansiyel tehditleri tespit etmede yardımcı olabilir.

Ayrıca, veritabanı içerisinde tanımlı olan foreign server kayıtlarının incelenmesi, sistem mimarisinin anlaşılması açısından önemlidir. Bu bağlamda:

SELECT srvname, srvtype, srvversion FROM pg_foreign_server;

sorgusu ile, tanımlı olan uzak sunucular hakkında bilgi alabiliriz. Böylece sisteminizin harici bağlantılarına dair bir genel bakış elde edebilirsiniz.

Profesyonel Önlemler ve Hardening Önerileri

Sistem güvenliğinde etkin bir savunma stratejisi oluşturmak için aşağıdaki önlemleri almak önemlidir:

  1. Connection Review: Tüm uzak bağlantı tanımlarının düzenli olarak gözden geçirilmesi. Kullanılmayan ve gereksiz bağlantılar kaldırılmalıdır.

  2. Credential Separation: Farklı sistemlerde farklı kimlik bilgilerinin kullanılmasını sağlayarak bir güvenlik katmanı oluşturulmalıdır. Bu sayede, bir sistemden diğerine geçiş yapıldığında ele geçirilen kimlik bilgileri, diğer sistemler üzerindeki yetkileri etkilemeyecektir.

  3. Access Restriction: Uzak veri erişim mekanizmalarının yalnızca gerekli rollere verilmesi. Kullanıcıların erişimini minimumda tutarak riski azaltmak mümkündür.

  4. Defansif Yaklaşım: Bilinen güvenlik açıklarına ya da yanlış yapılandırmalara karşı sürekli bir inceleme yapılmalıdır.

Bu önlemler, sadece mevcut riskleri azaltmakla kalmaz, aynı zamanda gelecekte oluşabilecek potansiyel tehditlere karşı sistemin direncini artırır.

Sonuç

PostgreSQL üzerinde sistem içi lateral movement yetenekleri, yanlış yapılandırmalar, zayıf güvenlik önlemleri ve dikkatsizlik nedeniyle ciddi riskler doğurabilir. Yukarıda belirtilen önlemleri uygulamak, sistemlerinizi daha güvenli hale getirmek ve olası veri ihlalleri ile sızmalara karşı etkili bir mücadele yöntemi oluşturmak için hayati öneme sahiptir. Veritabanı güvenliği sürekli bir süreç olup, düzenli incelemeler ve güncellemeler gerektirir.