CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Güvenliğini Arttırmak: Uygulamalı Hardening Denetimi

✍️ Ahmet BİRKAN 📂 Smb Pentest

Kurumsal SMB hardening denetimi ile ağınızı daha güvenli hale getirin. Adım adım güvenlik önlemlerini keşfedin.

SMB Güvenliğini Arttırmak: Uygulamalı Hardening Denetimi

Kurumsal ağların güvenliği için önemli olan SMB hardening denetimi adımlarını inceleyin. Ağınızı siber saldırılara karşı korumak için gerekli stratejileri öğrenin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, günümüz dijital ekosisteminin en kritik parçalarından biridir. Kişisel veya iş amaçlı kullanılan sistemlerin güvenliği, siber saldırılara karşı alınacak önlemlerle doğrudan ilişkilidir. Küçük ve orta ölçekli işletmeler (SMB) için siber güvenlik, çoğu zaman göz ardı edilen bir alan olsa da, aslında büyük bir tehdit karşısında savunmasız durumdadırlar. SMB'ler, geniş ölçekli işletmelere göre daha az kaynakla hareket ettikleri için, güvenlik önlemleri konusunda daha dikkatli bir yaklaşım benimsemelidir. Bu noktada, SMB'lerin güvenliğini artırmak için uygulamalı hardening denetimi önemli bir yer edinmektedir.

Neden Hardening?

Hardening, bir sistemin güvenliğini artırmak için gerekli olan yapılandırmaların uygulanması sürecidir. Özellikle SMB'ler için bu süreç, ağ üzerindeki zayıf noktaların tespit edilmesi ve giderilmesi adına kritik bir adımdır. Hardening denetimleri, sistemdeki gereksiz hizmetlerin devre dışı bırakılmasını, güvenlik yamalarının uygulanmasını ve yetki yönetiminin gözden geçirilmesini içerir. İşletmelerin siber güvenlik tehditlerine karşı daha dayanıklı hale gelmeleri için bu adımların atılması gerekmektedir.

Siber Tehditlerin Artışı

Günümüzde siber tehditlerin artışı, SMB'leri daha önce hiç olmadığı kadar savunmasız bırakmaktadır. Ransomware saldırıları, fidye yazılımları ve diğer siber saldırı türleri, bu işletmelerin operasyonlarını durdurabilir ve müşteri itibarını zedeleyebilir. Bu nedenle, SMB'lerin siber güvenlik konusunda proaktif bir yaklaşım benimsemeleri hayati önem taşır. Özellikle SMB protokolü (SMB), birçok siber saldırının hedefi olmaktadır. SMB zafiyetleri, siber suçluların sistemlere sızmasını ve ağ üzerinde yanal hareket etmesini kolaylaştırmaktadır.

Hardening Denetiminin Önemi

Hardening denetimi, siber güvenlik stratejilerinin bir parçası olarak düşünüldüğünde, işletmelere güvenlik politikalarını güçlendirme ve siber tehditlere karşı etkili korunma yöntemlerini uygulama fırsatı sunar. SMB protokolünün yapılandırılması, güvenlik açısından kritik bir adımdır. Yetersiz yapılandırılmış bir SMB, siber suçlular için bir kapı açar. SMB'nin hardening edilmesi, potansiyel saldırıları sınırlamak ve sistemde işleyecek olan güvenlik açıklarını minimize etmek adına önemlidir.

Teknik İçeriğe Hazırlık

Bu yazıda, SMB'nin hardening denetimi adımlarını teknik bir dille ele alacağız. Her bir adım, sistemlerin daha güvenli hale getirilmesi için uygulanması gereken önemli önlemleri içermektedir. Örneğin, SMBv1 protokolünün devre dışı bırakılması, ağ üzerindeki birçok kritik zafiyeti kapatmanın en etkili yollarından biridir. Bunun yanı sıra, SMB imzalama politikası ve verilerin şifrelenmesi gibi konular da ele alınacaktır.

# SMBv1 protokol desteğini devre dışı bırakma komutu
Set-SmbServerConfiguration -EnableSMB1Protocol $false

SMB üzerinden bilgi akışını güvence altına alırken, sisteminize en az yetki ilkesini uygulamak, ağınıza yönelik saldırıların etkisini azaltmada önemli bir rol oynar. Yalnızca gerekli yetki düzeyine sahip kullanıcıların sistem kaynaklarına erişimini sağlamak, zafiyetlerin istismarını zorlaştırır. Bu yazıda ele alacağımız her bir adım, SMB'ler için güvenli bir altyapı oluşturma sürecinde atılacak önemli adımlardır.

Bu nedenle, SMB güvenliğini artırmak için atılacak adımlar her işletme için önemli bir gerekliliktir ve bunların uygulanması, siber saldırılara karşı kurumsal dayanıklılığı artırır. Empati kurarak, okura neden bu konuyu önemsemesi gerektiğini anlatmak ve pratik adımlarla onları bilgilendirmek amacıyla yola çıkacağız. Siber güvenlik uygulamalarını hayata geçirmek, gerçekleştirdiğiniz işlemlerin güvenliği adına alacağınız en önemli önlemlerden biri olacaktır.

Teknik Analiz ve Uygulama

SMBv1'in Tamamen Devre Dışı Bırakılması

Modern güvenlik standartlarına göre, SMBv1 protokolü günümüzde büyük bir güvenlik riski oluşturmaktadır. Bu nedenle, öncelikle SMBv1 protokolünün tamamen devre dışı bırakılması gereklidir. PowerShell üzerinden bu işlemi gerçekleştirmek için aşağıdaki komut kullanılabilir:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Bu komut, SMBv1 protokol desteğini kaldırarak, birçok kritik zafiyetin yolunu kapatır. Örneğin, EternalBlue zafiyeti gibi saldırılar SMBv1 protokolünü kullanan sistemlerde daha etkilidir.

SMB Signing (İmzalama) Politikası

SMB protokolünde imzalama, özellikle NTLM Relay saldırılarına karşı etkili bir savunma mekanizmasıdır. İmzalama, veri paketlerinin bütünlüğünü ve kaynağını doğrulamak için kullanılır. Sunucu ve istemci tarafında zorunlu hale getirilmelidir. İmzalamayı etkinleştirmek için aşağıdaki PowerShell komutları kullanılabilir:

Set-SmbServerConfiguration -RequireSecuritySignature $true
Set-SmbClientConfiguration -RequireSecuritySignature $true

Bu ayarlar, imzalanmamış paketlerin reddedilmesini sağlar ve ağ üzerindeki veri trafiğinin güvenliğini artırır.

SMBv3 Şifreleme (Encryption) Zorunluluğu

SMBv3’ün şifreleme özelliği, olağanüstü önem taşımaktadır. Ağ üzerinden geçen verilerin pasif dinleyiciler tarafından okunmasını engellemek için şifrelemenin zorunlu hale getirilmesi gereklidir. Bunu sağlamak için, aşağıdaki komut ile SMBv3 şifrelemesi aktif hale getirilebilir:

Set-SmbServerConfiguration -EncryptData $true

Şifreleme, dosya isimleri ve içeriklerinin güvenliğini artırır ve verilerin korunmasını sağlamak için kritik bir önlemdir.

Null Session (İsimsiz Oturum) Kısıtlama

Kayıtsız kullanıcıların SAM hesaplarını veya paylaşımları listelemesini engellemek, güvenliğin artırılması açısından çok önemlidir. Bunun için "RestrictAnonymous" değerinin üst seviyeye getirilmesi gerekmektedir. Bu ayar için Windows Registry'ye giriş yapılarak aşağıdaki değer ayarlanmalıdır:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
RestrictAnonymous = 2

Bu ayar, isimsiz oturumların kullanımını ciddi şekilde azaltır ve önemli verilerin korunmasına yardımcı olur.

Yönetimsel Paylaşımların Denetimi

C$ ve ADMIN$ gibi varsayılan paylaşımlar, birçok sistemde açık kalmakta ve siber saldırganların yanal hareketini kolaylaştırmaktadır. Bu paylaşımların kapatılması ya da sınırlı kullanıcılarla erişilmesi, güvenliği artırmak adına kritik bir adımdır.

Set-SmbServerConfiguration -AutoShareWks $false
Set-SmbServerConfiguration -AutoShareServer $false

Bu komutlarla istemci ve sunucu tarafında yönetim paylaşımlarının otomatik olarak oluşması engellenir.

Kritik Çözüm: LAPS

Local Administrator Password Solution (LAPS), her makinenin yerel yönetici parolasını benzersiz ve rastgele yaparak yanal hareketi engeller. LAPS kurulumu ile birlikte, sistemler üzerinde daha iyi bir kontrol sağlanır ve güvenliğin artırılması hedeflenir.

SMB over QUIC (Gelecek Odaklı Savunma)

SMB over QUIC, TLS 1.3 ile güvenli bir bağlantı sağlarken, VPN gereksinimini de ortadan kaldırır. Bu özellik, ağ trafiğini UDP 443 üzerinden taşır ve sonuç olarak güvenliği artırır. Bu özelliği aktif hale getirmek için şu komut kullanılabilir:

Set-SmbServerConfiguration -EnableSMBQUIC $true

Ağ Bölümleme (Segmentation)

Ağ bölümlemesi, güvenlik risklerini azaltmak için kritik öneme sahip bir adımdır. SMB trafiğinin farklı ağ segmanları arasında serbestçe dolaşması büyük bir risk oluşturur. Bu nedenle, ağ güvenliğini artırmak amacıyla "Ziyaretçi Ağı" ile "Sunucu Ağı" arasında SMB erişimi engellenmelidir.

İzleme ve Olay Günlüğü (Logging)

Başarısız SMB oturum denemeleri veya anormal dosya erişimleri gibi olayların izlenmesi, siber saldırıların erken tespit edilmesine yardımcı olur. Bu tür olayların loglanması ve SIEM sistemleri aracılığıyla süreç içinde analiz edilmesi önerilmektedir. Aşağıdaki Event ID’ler bu süreçte önemlidir:

  • Event ID 4624: Başarılı SMB oturum açılması (Logon Type 3)
  • Event ID 4625: Başarısız oturum denemeleri
  • Event ID 5140: Bir ağ paylaşım nesnesine erişim

SMB Compression Kapatma

SMB Compression, sıkıştırma özelliği bazen güvenlik zafiyetlerine yol açabilir. Özellikle yamanamayan sistemler için sıkıştırmanın devre dışı bırakılması, potansiyel saldırı yüzeyini azaltır. Bu işlem için Registry ayarı aşağıdaki gibi yapılmalıdır:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
DisableCompression = 1

Nihai Hedef: Least Privilege

Kullanıcılara veya süreçlere yalnızca gerekli yetkilerin verilmesi, hardening denetiminin esasını oluşturur. Least Privilege prensibi, herhangi bir kullanıcının ya da hizmetin ağda gerçekleştirebileceği işlemlerin sınırlandırılmasını sağlar.

Bu adımları takip ederek, SMB güvenliğini artırmak ve siber saldırılara karşı daha dayanıklı bir yapı oluşturmak mümkündür. Her bir adım, güvenlik yapısının güçlendirilmesine ve olası tehditlerin bertaraf edilmesine yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, organizasyonların karşılaştığı en büyük tehditlerden biri, sistemlerin ve veri akışının güvenliğini tehlikeye atan risklerdir. Bu bağlamda, SMB (Server Message Block) protokolü üzerinden gerçekleştirilen zafiyetler ve kötüye kullanımlar, ciddi güvenlik riskleri doğurabilir. Bu bölümde, SMB protokolü ile ilgili potansiyel zafiyetlerin anlaşılması, etkilerinin yorumlanması ve ilgili savunma önlemlerinin uygulanması üzerine odaklanacağız.

Elde Edilen Bulguların Güvenliği Anlamı

SMB protokolü, özellikle Windows tabanlı ağlarda yaygın olarak kullanılır. Olası zafiyetler, saldırganların ağa erişim sağlamasına ve hatta sistemleri kontrol altına almasına olanak tanır. Örneğin, EternalBlue gibi zafiyetler, SMBv1 protokolüne bağlıdır ve bir organizasyonu hedef alan saldırılarda kritik rol oynamıştır.

Bir SMB hardening denetimi sırasında, aşağıdaki bulgular ortaya çıkabilir:

  • SMBv1 Desteğinin Aktif Olması: Bu durum, ağın ciddi bir risk altında olduğu anlamına gelir. Bu protokol, güncel güvenlik standartlarına uyumsuzdur ve birçok saldırıya açıktır.

  • SMB İmzalama Politikalarının Olumsuz Durumu: Eğer imzalama zorunlu değilse, NTLM Relay saldırılarına kapı aralanmış olur.

  • Şifrelemenin Kapalı Olması: Ağ üzerinden potansiyel olarak hassas verilerin (dosya isimleri veya içerikleri) şifrelenmemesi, dinleyiciler tarafından ele geçirilebilecek bir durum yaratır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, organizasyonları siber saldırılara karşı savunmasız hale getirebilir. Örneğin:

  • SMBv1 Aktif: Modern bir ağda SMBv1 kullanımı, yetkisiz erişimler için bir kapı aralar. İlk adım olarak, PowerShell üzerinden şu komutla SMBv1 desteğinin devre dışı bırakılması önerilir:

    Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

  • İmzasız SMB İletimi: Bu güvenlik açığı, saldırganların verileri değiştirme veya gizli bilgilere erişim sağlama olasılığını artırır.

Özellikle SMB Signing uygulaması, imzalama zorunluluğu olmadığında sistemin güvenliğini tehdit eden bir açığı temsil eder. Bu nedenle, SMB Signing zorunlu hale getirilmelidir; bu, NTLM Relay saldırılarını etkili bir şekilde engeller.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler, genellikle kimlik bilgileri, kişisel veriler veya hassas dosyalardan oluşur. SMB üzerinden veri aktarımı sırasında, bir sızma olayı gerçekleştiğinde aşağıdaki dinamikler ortaya çıkabilir:

  • Ağ Topolojisi Değişiklikleri: Saldırıdan sonra sistemin yapılandırması, genellikle tersten çözümleme (reverse engineering) gerektirir. Zafiyetlerin belirlenmesi ve kapatılması için detaylı bir denetim gerçekleştirilmesi gerekir.

  • Servis İzleme: Herhangi bir izinsiz erişim veya anormal bir dosya erişimi, SIEM (Security Information and Event Management) sistemlerinde izlenmelidir. Örnek bir olay günlüğü kaydı:

    Event ID: 5140 - Bir ağ paylaşım nesnesine erişildi.

Profesyonel Önlemler ve Hardening Önerileri

SMB güvenliğini artırmak için aşağıdaki önlemler ve hardening önerileri dikkate alınmalıdır:

  1. SMBv1 Protokolünü Kapatma: Yukarıda belirtildiği gibi, bu protokolü kapatmak, birçok kritik zafiyeti ortadan kaldırır.

  2. SMB İmzalama Zorunluluğu: Bu ayarın yapılması, veri bütünlüğünü sağlamak için elzemdir.

  3. SMBv3 Şifreleme: Ağ üzerinden geçen verilerin korunmasını sağlamak için şifreleme isteğe bağlı olmamalı, zorunlu hale getirilmelidir:

    Set-SmbServerConfiguration -EncryptData $true

  4. Yönetimsel Paylaşımların Kapatılması: Gerekli olmayan paylaşımlar, yanal hareketi kolaylaştırabilir. C$ ve ADMIN$ gibi paylaşımlar sadece gerektiğinde açık tutulmalıdır.

  5. Gelişmiş Ağ Bölümleme: Mikro-segmentation uygulamaları, farklı ağ bileşenleri arasında gereksiz erişimleri engellemek için kullanılmalıdır.

Sonuç Özeti

SMB protokolü, doğru şekilde yapılandırılmadığında ciddi güvenlik açıklarına yol açabilir. Bu nedenle, yapılandırma ve hardening denetimlerinin dikkatli bir şekilde gerçekleştirilmesi, ağ ve sistem güvenliği için kritik öneme sahiptir. Yanlış yapılandırmaların ve ikinci dereceden zafiyetlerin etkileri göz önüne alındığında, risklerin belirlenmesi ve uygun savunma önlemlerinin alınması gereklidir. Bu bağlamda, modern siber güvenlik standartlarına uygun bir yapılandırmanın sağlanması, organizasyonların güvenliğini artıracaktır.