CyberFlow Logo CyberFlow BLOG
Kritik Servisler

SMB, NFS, RPC ve WINRM: Siber Güvenlik Eğitim Rehberi

✍️ Ahmet BİRKAN 📂 Kritik Servisler

SMB, NFS, RPC ve WINRM protokolleri ile siber güvenlikte kritik noktaları keşfedin. Eğitimle ilgili tüm detaylar burada.

SMB, NFS, RPC ve WINRM: Siber Güvenlik Eğitim Rehberi

Siber güvenlik eğitiminde SMB, NFS, RPC ve WINRM protokollerinin önemi büyük. Bu yazıda bu protokollerin özelliklerini ve güvenlik risklerini inceleyeceğiz. Hazırlıklı olun!

Giriş ve Konumlandırma

SMB, NFS, RPC ve WINRM'in Önemi ve Temel Kavramlar

Siber güvenlik alanında, ağ protokollerinin ve hizmetlerinin güvenliğini sağlamak, sistemlerin korunmasında kritik bir rol oynar. Bu blog yazısında ele alacağımız dört önemli protokol ve hizmet; SMB (Server Message Block), NFS (Network File System), RPC (Remote Procedure Call) ve WINRM (Windows Remote Management), modern IT altyapılarında yaygın olarak kullanılır. Her biri, potansiyel güvenlik zafiyetleri ve saldırı vektörleri içerebilir.

SMB Protokolü

SMB, Windows ağlarında dosya ve yazıcı paylaşımı için yaygın olarak kullanılan bir protokoldür. Saldırganlar için önemli bir keşif noktası olan SMB, özellikle pentest sürecinde kritik bir rol oynar. Port 445'in taranması, sistemlerde gizli dosyaların ve paylaşımların varlığına dair ipuçları sağlayabilir. Örneğin, smb-enum-shares komutu ile hedef sistemdeki paylaşımların listesi çıkarılabilir. 

nmap -p 445 --script smb-enum-shares <Hedef_IP>

NFS Protokolü

NFS, Unix ve Linux sistemlerinde dosya paylaşımına olanak tanır. Bu protokol, belirli bir port (genellikle 2049) üzerinden çalışır ve yanlış yapılandırıldığında, bir saldırganın paylaşılan dosyalara tam erişim elde etmesine olanak tanır. Pentester'lar, nfs-showmount komutuyla hangi IP adreslerine hangi klasörlerin sağlandığını görebilir. 

nmap -p 2049 --script nfs-showmount <Hedef_IP>

RPC Protokolü

RPC, ağdaki hizmetlerin dinamik olarak hangi portlarda çalıştığını gösteren bir mekanizmadır. Özellikle, port 111 üzerinden gerçekleştirilen sorgular, sistemde yüklü olan gizli servislerin listesini dökebilir. Bu işlevsellik, potansiyel saldırı yüzeylerini tanımlamak için hayati öneme sahiptir. İstemcilerin hangi servislerin hangi port numaralarında olduğunu öğrenmesini sağlamak amacıyla RPCBind'i kullanmak mümkündür.

nmap -p 111 --script rpcinfo <Hedef_IP>

WINRM Protokolü

Modern Windows sunucuları için uzaktan yönetim olanağı sunan WINRM, PowerShell komutlarının uzaktan çalıştırılmasına imkan tanır. Pentest sırasında port 5985'in açık olması, kötü niyetli kişilerin ele geçirilmiş bir parola ile sisteme uzaktan erişim sağlaması için fırsat yaratır. Ayrıca, bu protokolün şifresiz ya da şifreli olarak yapılandırılması trafiğin güvenliğini etkilemektedir.

nmap -p 5985 -sV --script http-winrm-auth <Hedef_IP>

Bağlamlandırma

Yukarıda bahsedilen protokoller, yalnızca dosya paylaşımı veya uzaktan yönetim için değil, aynı zamanda güvenlik açısından değerlendirilmesi gereken kritik unsurlar olarak da karşımıza çıkmaktadır. SMB, yanlış yapılandırıldığında eski sürümleri ile kritik açıklar barındırırken, NFS'nin yanlış ayarları, dosya erişimini tehlikeye atabilir. RPC, sistemden bilgi almak için önemli bir hizmetken, WinRM, yönetimsel erişimin kötüye kullanılması ihtimalini artırmaktadır.

Bu hizmetlerin ve protokollerin anlamlı bir şekilde analizi, siber güvenlik stratejileri geliştirmek için temel bir adımdır. Doğru yapılandırmalar ve güvenlik önlemleri ile bu servislerin olumsuz etkileri en aza indirilebilir. Gelecek bölümlerde, her bir protokolün zafiyet senaryoları, standart portları ve güvenlik mekanizmaları üzerinde daha derinlemesine duracağız. Bu bilgiler, hem siber saldırıların engellenmesi hem de penetrasyon testi süreçlerinde kullanılabilir.

Teknik Analiz ve Uygulama

SMB: Paylaşılan Klasörlerin Keşfi

SMB (Server Message Block), Windows ağlarında dosya ve yazıcı paylaşımı için standart bir protokoldür. SMB servisi üzerinden paylaşılan klasör ve dosyaların keşfi, pentest sürecinde önemli bir adımdır. Port 445 üzerinden SMB servisine ulaşmak, ağdaki gizli dosyaları, yedekleri ya da hassas bilgileri tespit etme fırsatı sunar. Aşağıdaki nmap komutu, hedef sistemde (örneğin, 10.0.0.1) mevcut paylaşımları listelemeye yarar:

nmap -p 445 --script smb-enum-shares 10.0.0.1

Bu komut, hedef sunucudaki tüm paylaşımları ve bu paylaşımlara erişim yetkilerinizi (Read/Write) gösterecektir. Paylaşımların yanlış yapılandırılması veya eski SMB sürümleri, sistemin ele geçirilmesine neden olabilecek kritik zafiyetler taşır.

SMB Zafiyet Senaryoları

Özellikle MS17-010 (EternalBlue) zafiyeti, eski SMBv1 sürümleri üzerinden sistemde doğrudan Root/Sistem yetkisi kazanılmasını sağlamaktadır. Ayrıca, "NULL Session" adı verilen yapı sayesinde kullanıcı adı ve şifre olmadan bile sistem bilgileri sızdırılabilir. Örneğin, aşağıdaki paylaşıma ulaşmak için kullanılan IPC$ Share, genellikle gizli bir alandır ve sistemler arası bilgi iletimi için kullanılır:

nmap -p 445 --script smb-vuln-* 10.0.0.1

Bu tip taramalar, potansiyel zafiyetleri belirlemeniz açısından kritik öneme sahiptir.

NFS: Ağ Dosya Sistemi Keşfi

NFS (Network File System), özellikle Linux/Unix sistemlerinde dosya paylaşımı için devreye giren bir protokoldür. Hedef sistemde port 2049'un açık olması, bu sistemin dışa açık disk bölümlerini (export) paylaştığını gösterir. nfs-showmount komutu, paylaşılan klasörlerin ve bunların hangi IP adreslerine açıldığını görüntülemek için kullanılır:

nmap -p 2049 --script nfs-showmount 10.0.0.5

NFS'de yanlış yapılandırmalar, bir saldırganın paylaşılan dosyalara tam erişim kazanmasına olanak tanıyabilir. Örneğin, no_root_squash ayarı, istemci tarafında root kullanıcılarının sunucuda yine root yetkileri kazanmasına olanak tanır ve bu durum ciddi bir güvenlik riski oluşturur.

RPC: Servis Eşleyici Analizi

RPC (Remote Procedure Call), ağdaki servislerin hangi portlarda çalıştığını dinamik olarak yöneten bir protokoldür. RPCBind servisi, sunucudaki diğer servislerin portlarını öğreten bir ‘rehber’ işlevi görür. Port 111 üzerinden yapılacak bir sorgu, sistemde yüklü olan ancak gizli portlarda çalışan NFS, Mountd, veya NIS gibi servislerin bulunmasına yardımcı olur. Aşağıdaki nmap komutu, hedef sistemde mevcut RPC servislerini ve versiyonlarını sorgular:

nmap -p 111 --script rpcinfo 10.0.0.10

RPC, istemcilerle sunucu arasında güçlü bir bağlantı oluştururken, aynı zamanda belirli servislere yönelik riskleri de beraberinde getirebilir.

WINRM: Uzaktan PowerShell Yönetimi

WINRM (Windows Remote Management), sistem yöneticilerinin uzaktan PowerShell komutlarını çalıştırmasını sağlamak için kullanılan bir protokoldür. Hedef sistemde port 5985'in açık olması, sızdırılmış bir parola ile sistemde CLI erişimi kazanma riski taşır. Aşağıdaki nmap komutu, sistemdeki WinRM yapılandırmalarını analiz etmek için kullanılabilir:

nmap -p 5985 -sV --script http-winrm-auth 10.0.0.20

WINRM servisi, şifreli ya da şifresiz iletişim kanalları üzerinden çalışabilir. Bu durum, ağ trafiğinin gizliliğini doğrudan etkiler. Şifreli iletişim (HTTPS, 5986) ile korunmadığı takdirde, kaba kuvvet saldırılarına maruz kalınabilir.

Yukarıda belirtilen teknik analizler ve komutlar, siber güvenlik alanında önemli bir yer tutan SMB, NFS, RPC ve WINRM gibi hizmetlerin güvenliğini belirlemek için kullanılabilir. Bu tür analizler, sistemlerdeki potansiyel güvenlik açığı ve riskleri tespit etmek için kritik önemdedir.

Risk, Yorumlama ve Savunma

Risk Analizi

Siber güvenlikte risk analizi, bir ağda bulunan hizmetlerin ve protokollerin güvenliğini değerlendirmenin temeli niteliğindedir. SMB, NFS, RPC ve WINRM, bu değerlendirme sürecinde sıkça hedef alınan servislerdir. Bu protokoller, yanlış yapılandırmalar veya bilinen zafiyetler aracılığıyla potansiyel riskler barındırabilir. Örneğin, SMB protokolünün eski sürümlerinde bulunan MS17-010 (EternalBlue) güvenlik açığı, kötü niyetli bir kullanıcının sistemin tamamını ele geçirmesine olanak tanıyabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, özellikle paylaşılan dosyalar üzerinde gereksiz erişim izinleri tanımlandığında, siber saldırganların işini kolaylaştırır. Örneğin, SMB paylaşımlarında 'NULL Session' gibi bir yapılandırma, kullanıcı adı ve şifre olmaksızın sistem bilgilerine erişimi mümkün kılar. Bu durum, sistem bilgilere erişimi sağlamanın yanı sıra, arka kapı açılmasına da olanak verebilir.

NFS servisinde ise 'no_root_squash' ayarının etkin olması, istemci tarafındaki root kullanıcısının sunucuda da root yetkisine sahip olmasına yol açabilir. Bu tür bir zafiyet, sunucu üzerinde tam erişim yetkisi kazanılmasıyla sonuçlanabilir.

Sızan Veri ve Topoloji

Bir sızma testi sırasında elde edilen veriler, potansiyel olarak daha büyük bir güvenlik açığını işaret edebilir. Sızan veri, genellikle hassas bilgilerin (kullanıcı isimleri, parolalar, yapılandırma dosyaları) yanı sıra, ağın topolojisini de açığa çıkarabilir. Örneğin, 'smb-enum-shares' betiği kullanılarak ağdaki paylaşımlar listelenebilir. Aşağıda, SMB paylaşımlarını listelemek için kullanılabilecek bir örnek komut verilmiştir:

nmap -p 445 --script smb-enum-shares 10.0.0.1

Bu betik, sunucudaki paylaşımlar ve bu paylaşımlara erişim izinlerinizle ilgili bilgi sağlar. Elde edilen bilgiler, potansiyel zafiyetlerin varlığı ile ilişkilendirilerek risk değerlendirmesi yapılmalıdır.

Profesyonel Önlemler ve Hardening

Hizmetler üzerinde alınacak profesyonel önlemler, yanlış yapılandırma ve zafiyetleri minimize etmek amacıyla kritik öneme sahiptir. Aşağıda, her bir protokol için önerilen hardening yöntemleri belirtilmiştir:

SMB:

  • SMB protokolünün eski sürümlerini (özellikle SMBv1) kullanmaktan kaçının.
  • Paylaşılan dosya ve yazılım izinlerini en aza indirerek yalnızca gerekli yetkileri verin.
  • Güvenlik yamalarının ve güncellemelerin düzenli olarak uygulanmasını sağlayın.

NFS:

  • 'no_root_squash' ayarını devre dışı bırakın ve sadece gerekli IP adreslerine erişim izni verin.
  • NFS paylaşımlarınızı güvenlik duvarları ile sınırlayın.
  • Yedekleme ve kurtarma planları oluşturun.

RPC:

  • Gereksiz RPC servislerini devre dışı bırakın ve yalnızca gerekli portları açık bırakın.
  • RPCSecure gibi güvenlik protokollerini kullanmayı değerlendirin.

WINRM:

  • WinRM servisi üzerinden yalnızca güvenilir IP adreslerinden erişime izin verin.
  • HTTPS üzerinden iletişim kurarak iletinin şifreli olmasını sağlayın. WinRM üzerinden yapılan her etkinlik günlüğe kaydedilmelidir.
  • 'Evil-WinRM' gibi araçları tespit etmek için ağınızı sürekli izleyin.

Sonuç

SMB, NFS, RPC ve WINRM gibi protokollerin risk analizi, siber güvenlik stratejinizin ayrılmaz bir parçasıdır. Yanlış yapılandırmalar ve bilinen zafiyetler, sistemlerinizin güvenliğini tehdit edebilir. Elde edilen bulgulara dayanarak, tüm bu hizmetlerde güvenlik önlemleri almalı ve sistemlerinizi düzenli olarak güncelleyerek riskleri azaltmalısınız. Bu sayede hem işletim sistemlerinizin bütünlüğünü koruyabilir hem de potansiyel saldırılara karşı kendinizi daha iyi savunabilirsiniz.