CyberFlow Logo CyberFlow BLOG
Smb Pentest

SMB Servis Keşfi ve Analizi: Siber Güvenlikte Temel Bilgiler

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB, Windows tabanlı ağların temel taşlarından biridir. Port 445 ve 139 üzerinden gerçekleştirilen servis keşfi ve analizi için gerekli bilgileri keşfedin.

SMB Servis Keşfi ve Analizi: Siber Güvenlikte Temel Bilgiler

Bu yazıda, SMB (Port 445 / 139) servis keşfi ve analizi hakkında temel bilgilere yer veriliyor. Nmap kullanımı ve güvenlik zafiyetleri hakkında detaylara ulaşın.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, dijital ortamlardaki verilerin korunmasında ve sistemlerin güvenliğinin sağlanmasında büyük bir öneme sahiptir. Günümüzde, işletmelerin veri güvenliği ve ağ koruması için benimsediği yöntemlerden biri, siber tehditlerin proaktif bir şekilde tespit edilerek önlenmesidir. Bu bağlamda, SMB (Server Message Block) protokolü, siber güvenliğin kritik yönlerinden birini teşkil eder. SMB, özellikle Windows tabanlı ağlarda dosya, yazıcı ve haberleşme hizmetleri sunan bir uygulama katmanı protokolüdür. Port 139 ve 445 üzerinden çalışarak, cihazlar arasında veri transferine olanak sağlar.

SMB Protokolünün Önemi

SMB protokolü, sadece ağ üzerinden dosyaların paylaşımını kolaylaştırmakla kalmaz, aynı zamanda sızma testleri (pentest) ve siber güvenlik analizi için de vazgeçilmez bir unsurdur. Güvenlik araştırmacıları, SMB trafiğini analiz ederek hedef ağın zayıf noktalarını belirlemekte ve olası saldırı vektörlerini tespit etmektedir. Örneğin, birçok saldırgan, Microsoft'un SMBv1 protokolündeki zafiyetleri (örneğin, EternalBlue) kullanarak kurumsal ağlara sızmayı başarmıştır. Bu nedenle, SMB’nin doğru bir şekilde keşfi ve analizi, ağların güvenliği için oldukça kritik bir adımdır.

Portların Anatomisi

SMB trafiği genellikle iki ana port üzerinden gerçekleşir: Port 139 ve Port 445. Port 139, eski uygulamalarla uyumluluğu sağlamak için NetBIOS oturum hizmetini kullanırken, Port 445 ise SMB hizmetini doğrudan TCP üzerinden sağlamaktadır. Ağ üzerindeki bu portların açık olup olmadığını tespit etmek, sızma testinin ilk aşamasıdır. Aşağıdaki gibi bir Nmap komutu, ilgili portların durumunu hızlıca kontrol etmemize olanak tanır:

nmap -p 139,445 -sV 192.168.1.0/24

Bu komut, hedef ağdaki 139 ve 445 numaralı portların durumunu ve arkasındaki servislerin versiyon bilgilerini gösterir.

SMB Versiyonları ve Zafiyetleri

SMB protokolünün versiyonları, her yeni Windows nesli ile birlikte güncellenmekte ve güvenlik özellikleri artırılmaktadır. Örneğin, SMBv2, Windows Vista ve Windows 7 ile gelirken, SMBv3 uçtan uca şifreleme gibi gelişmiş güvenlik özellikleri sunmaktadır. Ancak, işletmelerin hala SMBv1’i açık bıraktığı durumlar, ciddi güvenlik sorunlarına yol açabilir. SMBv1 protokolünün kullanımı, siber hijyenin en temel hatalarından biridir ve bu protokolden kaynaklanan zafiyetler sık sık istismar edilmektedir. Özellikle, EternalBlue zafiyeti, bu protokolün kapatılmaması durumunda ağlara yönelik tehditlerin önünü açmaktadır.

Savunma Stratejileri ve Hardening

SMB servislerinin güvenliği için çeşitli önlemler almak gerekmektedir. İyi bir güvenlik uygulaması, SMBv1’in devre dışı bırakılması, SMB Signing’in etkinleştirilmesi ve yalnızca güvenilir IP bloklarına trafikte kısıtlamalar yapma gibi adımlardır. Bu adımlar, pandemi gibi kuyruğu hızla artan siber saldırılara karşı ağın daha korunaklı hale gelmesini sağlar. Ayrıca, ağda gereksiz paylaşım izinlerinin ve kimlik doğrulama yöntemlerinin gözden geçirilmesi, hassas verilerin yetkisiz erişimlerden korunmasını sağlar.

Sonuç

Siber güvenlikte etkin bir savunma stratejisi geliştirmenin en önemli adımlarından biri, ağ üzerindeki hizmetleri doğru bir şekilde keşfetmek ve analiz etmektir. SMB protokolünün sızma testleri ve güvenlik incelemeleri için bir kaide oluşturması, bu tür analizlerin güvenlik açıklarını belirlemek için ne denli önemli olduğunu göstermektedir. Bu içerik serisi, okuyucuları SMB servis keşfi ve analizi ile ilgili temel bilgilerle donatarak, siber güvenlik farkındalığını artırmayı ve daha güvenli bir dijital ortam yaratmayı hedeflemektedir.

Teknik Analiz ve Uygulama

SMB Nedir?

SMB (Server Message Block), dosya paylaşımı, yazıcı ve haberleşme kaynaklarına erişimi sağlayan bir uygulama katmanı protokolüdür. Windows tabanlı ağların temel taşını oluşturur ve ağ üzerindeki cihazların birbirleriyle veri alışverişinde bulunmasına olanak tanır. SMB, istemci-sunucu modeline dayanarak çalışır ve genellikle TCP/IP protokolü üzerinde faaliyet gösterir.

Portların Anatomisi

SMB trafiği genellikle iki farklı port üzerinden akabilir: Port 139 ve Port 445. Port 139, eski NetBIOS protokolü üzerinden SMB haberleşmesi için kullanılırken, Port 445, SMBv2 ve üstü üzerinden doğrudan IP iletişimi sağlar. Aşağıda, bu portların teknik işlevleri hakkında özet bilgiler verilmiştir.

Port 139

  • NetBIOS Session Service: Eski Windows sürümleriyle uyumluluk sağlaması için kullanılır.

Port 445

  • SMB over IP: NetBIOS katmanına ihtiyaç duymadan doğrudan TCP iletişimi sunar.

Nmap ile Servis Keşfi

SMB servislerinin keşfi, ağ üzerindeki bu portların açık olup olmadığının ve arkasında koşan servisin sürümünün belirlenmesiyle başlar. Bu amaçla, Nmap (Network Mapper) aracı kullanılmaktadır. Aşağıdaki komut, belirli bir IP aralığı içerisinde 139 ve 445 nolu portların taranması için kullanılabilir:

nmap -p 139,445 -sV 192.168.1.0/24

Bu komut, belirtilen IP aralığındaki SMB servislerinin sürüm bilgilerini gösterir.

İşletim Sistemi Parmak İzi

Nmap ile SMB servislerini tespit ettikten sonra, işletim sistemini parmak iziyle tespit etme aşamasına geçilir. Bu süreç, sunucunun gerçek işletim sistemi sürümünü tespit etmek için kullanılan “Fingerprinting” yöntemi ile yapılır. Aşağıdaki Nmap komutu, işletim sistemi tespiti yapmak için kullanılabilir:

nmap --script smb-os-discovery -p 445 target_ip

Bu komut, hedef sunucunun işletim sistemi hakkında bilgi toplamayı amaçlar.

SMB Versiyonları (Dialects)

Her Windows nesli, güvenliği ve hızı artıran farklı bir SMB lehçesi (diyalog) ile gelmektedir. Temel SMB sürümleri şöyle özetlenebilir:

  • SMBv1: Eski ve kritik zafiyetler barındıran bir sürümdür. ISO/IEC 8802-3 standardına dayanır ve EternalBlue zafiyetinin kaynağıdır.
  • SMBv2: Windows Vista ve Windows 7 ile birlikte gelen bir sürümdür, performansı artırmıştır.
  • SMBv3: Uçtan uca şifreleme ile gelişmiş güvenlik özellikleri sunan modern bir sürümdür.

Banner Grabbing (Bilgi Toplama)

SMB servisinin sürüm ve yapılandırma bilgilerini elde etmenin bir diğer yolu, "banner grabbing" tekniğidir. Bu teknik, sunucuya bağlanarak sistem üzerindeki bilgileri sonlandırmayı içerir. Nmap’in SMB modülleri kullanılarak aşağıdaki komut ile banner grabbing işlemi yapılabilir:

nmap -p 445 --script smb-protocols target_ip

Bu komut, sunucuya dair SMB versiyonları ve özelliklerini içeren bilgileri toplar.

Null Session Zafiyeti

Null session, herhangi bir kullanıcı adı veya şifre girmeden sunucuya bağlanabilen bir durumu ifade eder. Bu teknoloji, kullanıcı bilgilerini korumak adına büyük bir risk taşır ve genellikle sızma testlerinde tespit edilmesi gereken bir zafiyettir. Null session üzerinden bilgi sızdırılması, siber güvenlik etkileri açısından tehdit oluşturur.

SMBv1 Kontrolü

Modern ağ yapılarında, SMBv1'in açık unutulması yaygın bir siber hijyen hatasıdır. Sızma testleri sırasında, SMBv1 desteğini kontrol etmek kritik öneme sahiptir. Aşağıdaki Nmap komutu, hedef üzerinde SMBv1 desteğinin olup olmadığını sorgulamak için kullanılabilir:

nmap -p 445 --script smb-protocols target_ip

Zafiyet: MS17-010

MS17-010, WannaCry fidye yazılımının kullandığı, SMBv1 protokolündeki bir açıkla ilişkili bir güvenlik zafiyetidir. Bu zafiyet, sunucuda en üst yetkiyle komut çalıştırılmasına olanak tanır. Bu nedenle, SMBv1 desteğinin kapatılması ve ilgili yamaların uygulanması önerilmektedir.

Savunma ve Hardening

SMB servislerini korumak için aşağıdaki teknik önlemler alınmalıdır:

  1. SMBv1’in Devre Dışı Bırakılması: Eski ve güvenlik açıkları taşıyan bu protokol tamamen kapatılmalıdır.
  2. SMB Imzalama: Tüm paketlerin imzalanması, Man-in-the-Middle saldırılarını önlemek adına kritik bir önlemdir.
  3. Firewall İzolasyonu: Port 445 trafiği, yalnızca güvenilir IP bloklarına kısıtlanmalıdır (örneğin: Admin PC).

Bu yöntemler, siber güvenlikte CIA üçlüsündeki gizliliği korumak için oldukça önemlidir. Yanlış yapılandırılmış bir SMB servisi, tüm verilerin dışarı sızmasına neden olabilir ve büyük bir siber tehdit oluşturur.

Risk, Yorumlama ve Savunma

Risklerin Belirlenmesi

Siber güvenlikte risklerin belirlenmesi, tespit edilen tehditlerin ciddiyetini anlamak için gereklidir. SMB (Server Message Block) protokolü, dosya ve yazıcı paylaşımını kolaylaştıran önemli bir ağ protokolüdür. Ancak, yanlış yapılandırmalar veya zafiyetler, verilerin kötü niyetli kullanıcılar tarafından ele geçirilmesine zemin hazırlayabilir. Özellikle, SMBv1'in açık kalması, sızma testlerinde en büyük riskleri barındırır. Bu protokol, WannaCry gibi zararlı yazılımların yayılmasında kritik bir rol oynamıştır.

Yorumlama

Sızma testleri sırasında elde edilen bulgular, tehdit modelini değerlendirirken büyük önem taşır. Örneğin, bir ağda port 445'in açık olduğunu ve SMB protokolünün aktif olduğu tespit edildiğinde, hemen bir analiz yapılması gerekir. Aşağıdaki Nmap komutu, bu tür bir tarama yapmak için kullanılabilir:

nmap -p 139,445 -sV <hedef_ip>

Bu komut, belirtilen IP adresinde açık olan SMB servislerini ve sürümlerini listeleyecektir. Eğer hedef sistemde eski bir sürüm (örneğin, SMBv1) tespit edilirse, özellikle dikkatli olunmalıdır. Zira bu sürüm, geçtiğimiz yıllarda bilinen birçok zafiyet için en yaygın hedef olmuştur.

Doğru Hizmet Tespiti

Hedef sistemdeki servislerin doğru tespit edilmesi, siber güvenlik uzmanları için hayati önem taşır. Örneğin, SMBv1'le ilgili bir null session zafiyeti varsa, bu durum, kullanıcı adları ve paylaşım bilgileri gibi hassas verilerin dışarı sızmasına yol açabilir. Bu tür bir açık, aşağıdaki Nmap komutuyla tespit edilip yorumlanabilir:

nmap -p 445 --script smb-enum-shares <hedef_ip>

Savunma Önlemleri

Siber güvenlikte riskleri azaltmanın en etkili yolu, proaktif savunma stratejileridir. SMB servisini korumak için aşağıdaki adımlar önerilmektedir:

  1. SMBv1'in Kapatılması: Eski protokollerin kullanılmaması, modern siber hijyenin ilk adımıdır. SMBv1'i devre dışı bırakmak, ağınızı büyük ölçüde koruyacaktır.

  2. SMB İmzalama: Gelen ve giden tüm paketlerin imzalanarak Man-in-the-Middle saldırılarına karşı korunmasını sağlamak, önemli bir güvenlik önlemidir.

  3. Firewall İhlal İzolasyonu: Port 445'in trafiğini sadece güvenilir IP bloklarıyla sınırlamak, kötü niyetli erişimleri önleyecek bir yöntemdir.

  4. Ağ Segmentasyonu: Ağ üzerindeki hassas sistemlerinizi segmentlere ayırarak, saldırıların etkisini azaltabilirsiniz.

  5. Güncellemeler: İşletim sistemleri ve yazılımlar için düzenli güncellemelerin yapılması, bilinen zafiyetlerin giderilmesine olanak tanır.

Sonuç

Siber güvenlikte risk analizi, doğru yorumlama ve etkili savunma önlemleri ile birleştiğinde, ağ güvenliğini artırabilir. SMB gibi kritik servislerin yönetimi, doğru yapılandırmalar ve tespit edilen zafiyetlerin etkin bir şekilde giderilmesi ile mümkündür. Küçük ama etkili adımlar, siber tehditlerin önlenmesinde büyük farklar yaratabilir. Unutulmamalıdır ki, sürekli olarak ağ güvenliğini güncel tutmak ve riskleri değerlendirmek, kurumların siber hijyenini sağlamak için şarttır.