CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

TCP/IP Handshake Görünürlüğü: Ağ Güvenliğini Artırma Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

TCP/IP handshake sürecinin görünürlüğü, ağ güvenliğinde kritik bir öneme sahiptir. Bu süreçte verilerin doğru iletilip iletilmediğini anlamak için detaylara bakılır.

TCP/IP Handshake Görünürlüğü: Ağ Güvenliğini Artırma Yöntemleri

TCP/IP handshake, iki cihaz arasında veri iletiminden önce kurulan bağlantıyı belirler. Bu süreç içindeki görünürlük, ağ güvenliğini artırmak için önemli ipuçları sunar. Handshake aşamalarını ve anomali tespitini keşfedin.

Giriş ve Konumlandırma

Giriş

Ağlar, modern iletişimin temeli olarak tüm işletmelerin ve bireylerin iletişimde bulunma yöntemlerini şekillendirmiştir. İnternet üzerinden gerçekleştirilen veri alışverişinde kullanılan temel iletişim protokollerinden biri olan TCP/IP, iki bilgisayarın birbirine veri iletmeden önce kurduğu bağlantı sürecini tanımlar. Bu süreç, TCP protokolünde "Üç Yollu El Sıkışma" (Three-Way Handshake) olarak bilinir. TCP/IP handshake'i, ağ güvenliğinde kritik bir role sahiptir ve bu sürecin görünürlüğü, bir ağın güvenlik durumunu değerlendirirken önemli bir unsurdur.

Neden Önemli?

TCP/IP handshake sürecinin anlaşılması, siber güvenlik uzmanları ve ağ yöneticileri için hayati bir öneme sahiptir. Bu süreç, ağ üzerindeki bağlantıların nasıl kurulduğunu anlamakla kalmaz, aynı zamanda ağ trafiğinin analizi sırasında potansiyel güvenlik tehditlerini de belirlemek için bir temel oluşturur. Özellikle, pentest (penetrasyon testi) aşamasında, kötü niyetli saldırganların bağlantıları nasıl hedeflediği ve bu bağlantıları nasıl kırmaya çalıştığı konusunda bilgi sahibi olmak gereklidir. Doğru bir şekilde analiz edilen handshake verileri, bir saldırının erken aşamalarında tespit edilmesine olanak tanır ve bu da savunma mekanizmalarının geliştirilmesini kolaylaştırır.

Siber saldırılar genellikle TCP/IP handshake sürecine dayanır. Saldırganlar, saldırılarını gerçekleştirebilmek için bağlantıyı başlatma isteği (SYN) gönderirler. Eğer bu isteklere doğru yanıt vermezseniz, saldırıların tespit edilmesi zorlaşır. Bu nedenle, ağ güvenliği uzmanın bu sürecin her aşamasını incelemesi ve izleme sistemlerini etkin bir şekilde kullanması gerekmektedir. Akış verisi üzerinde gerçekleştirilen doğru analizler, ağdaki anormal veya şüpheli aktivitelerin hızla belirlenmesine yardımcı olur.

Ağ Güvenliği Bağlamında Handshake

TCP/IP handshake, aşağıdaki aşamalardan oluşur:

  1. SYN: Bağlantı başlatma isteği, genellikle istemci tarafından gönderilir.
  2. SYN-ACK: Sunucu, bağlantıyı kurma izni tanıdığını onaylar.
  3. ACK: İstemci, sunucudan gelen onayı kabul eder.

Bu aşamalar sırasında network izleme sistemleri, bağlantının ne zaman kurulduğunu, sürecin nasıl ilerlediğini ve iletişimin anomalilerini tespit edebilecektir. Örneğin, çok sayıda SYN paketiyle karşılaştığında ancak bunlara karşılık gelen ACK paketleri almadığınızda, bir "SYN Flood" veya "Port Scan" saldırısının söz konusu olabileceğini gösterir. Bu tür durumların tespiti, ağ güvenliğinin sağlanmasında önemli bir adımdır.

Teknik İçeriğe Hazırlık

TCP/IP handshake sürecinin görünürlüğü, ağ güvenliği stratejilerinin uygulanmasında kritik bir bileşendir. Bu görünürlük, yalnızca saldırıların tespiti için değil, aynı zamanda ağ performansını analiz etmek ve olası ağ problemlerini önlemek için de kullanılır. Programlamada kullanılan net akış yönetim protokolleri (NetFlow gibi) ile bu süreç izlenebilir ve kaydedilebilir. Özellikle, yeni bir 5-Tuple (IP, Port, Protokol kombinasyonu) algılandığında akış kaydı başlatılarak, el sıkışma sürecinin detayları daha net bir şekilde gözlemlenir.

Örneğin, bir akış kaydı aşağıdaki gibi oluşturulabilir:

IP Kaynağı   | IP Hedefi   | Protokol   | Port (Kaynak) | Port (Hedef)
-------------------------------------------------------------------------------
192.168.1.1  | 192.168.1.2 | TCP        | 12345         | 80

Bu bilgiler, bağlantının hangi kaynak ve hedefler arasında kurulduğunu gözler önüne serer ve bu sayede ağ yöneticileri tarafından yapılacak analizler için bir temel oluşturur. Handshake sürecinin detayları, ağın güvenlik profilini oluşturarak, olası saldırılara karşı daha korunaklı hale gelmesine katkı sağlar.

Sonuç olarak, TCP/IP handshake sürecinin görünürlüğü, ağ güvenliğini artırmak için hayati bilgiler sağlar. Bu bilgilerin toplanması ve analizi, siber güvenlik tehditlerine karşı proaktif bir yaklaşım geliştirmeye yardımcı olur ve ağların daha sağlıklı bir şekilde çalışmasını destekler.

Teknik Analiz ve Uygulama

TCP/IP Handshake Süreci

TCP/IP protokolü ile dataların iletimi, iki cihaz arasında güvenilir bir bağlantının kurulması için belirli adımlar içerir. Bu adımlar, "Üç Yollu El Sıkışma" (Three-Way Handshake) olarak bilinir. Bu süreç, cihazların veri iletişimi başlamadan önce aralarındaki bağlantının sağlam bir şekilde kurulduğunu garanti etmek için gereklidir. Aşağıda bu sürecin işleyişi detaylı bir şekilde incelenecektir.

Bağlantının Başlangıcı

TCP/IP iletişimi, bir cihazın (istemci) bağlantı kurma isteğiyle başlatılır. Bu kolaylıkla tanınan “SYN” paketinin gönderilmesiyle gerçekleşir. Bu ilk adım, istemcinin sunucuya bağlanmak için ileri sürdüğü bir istektir.

İstemci (SYN) -> Sunucu

Bu aşamada, istemci belirli bir port üzerinden sunucuya bağlantı isteği gönderir. Bu isteğin hemen ardından, sunucu tarafından gelen bir cevap beklenir.

Tetikleyici Paket

İstek sürecinin takibi, başlatılan akış kaydı ile sağlanır. Akış kaydı, istemcinin gönderdiği ilk SYN paketiyle başlar. Bu noktada, bir "Flow Exporter" cihazı, yeni bir 5-Tuple (IP, Port, Protokol kombinasyonu) gördüğünde akış kaydını başlatır. Kaydın ilk girişi, bağlantının gelişimini analiz etmek için temel verileri içermektedir.

Akış kaydı istemcinin gönderdiği ilk SYN paketiyle başlar.

Bayrakların Dili

El sıkışma sürecinin devamında, paket içindeki bayraklar önemli bir rol oynamaktadır. TCP bayrakları (Flags) bağlantının durumunu belirler; örneğin:

  • SYN: Bağlantı başlatma isteği.
  • ACK: Bağlantının onaylandığını belirtir.
  • RST (Reset): Bağlantının aniden kapatıldığını gösterir.

Aşağıdaki tablo, bayrakların anlamlarını özetlemektedir:

Bayrak Açıklama
SYN Bağlantı başlatma isteği.
ACK Bağlantının onaylandığını gösterir.
RST Bağlantının aniden kapatıldığını belirtir.
PSH Verinin alınmasını ve işlenmesini belirtir.

Bu bayrakların analizi, ağda gerçekleşen bağlantıların durumu hakkında derinlemesine bilgi sağlar.

Çift Yönlü Kontrol

El sıkışmanın tam tamamlanabilmesi için hem istemciden hem de sunucudan gelen paketler takip edilmelidir. Modern ağ protokollerinde, NetFlow gibi teknikler çift yönlü akışları destekler. Bu, gidiş ve dönüş trafiğinin tek bir kayıt içinde birleştirilmesini sağlar. Bu tür kayıt tam bir görünürlük sunarak bağlantının her iki yönünü de izleme imkanı tanır.

Gidiş ve dönüş trafiğini tek bir kayıtta birleştiren akış türüne çift yönlü akış denir.

Anomali Tespiti

Sistem yöneticileri için kritik bir nokta, ağ trafiğinde gözlemlenen anomalilerdir. Özellikle, akış verisinde çok sayıda SYN paketi görünmesi ancak hiç ACK paketi gelmemesi şüpheli durumların varlığına işaret edebilir.

Tamamlanmamış el sıkışmalar genellikle port taraması veya DoS saldırısı belirtisidir.

Bu tür durumlar, sistemin saldırıya uğrayabileceğine dair önemli ipuçlarını sunar.

Bağlantı Ömrü

Bir bağlantının ne kadar sürdüğünü anlamak için akış verisinde 'Start Time' ve 'End Time' arasındaki fark hesaplanır. Bu değer, bağlanma süresi olarak bilinir ve ağ güvenliği açısından inceleme gerektiren bir durumdur. Eğer çok fazla bağlantı kısa sürede oluşuyorsa, bu durumu otomatik bir saldırı olarak değerlendirmek mümkündür.

Akış kaydı, bağlantı bittikten sonra oluşur.

Sonuç

TCP/IP bağlantılarında el sıkışma sürecinin analizi, ağ güvenliği açısından kritik öneme sahiptir. Bu süreç, ağın sağlık durumunu değerlendirirken önemli verilere ulaşmamızı sağlar. İzlenen akış verisi ve bayrakların dilinin anlaşılması, olası güvenlik ihlallerini önlemek için etkili bir yol sunar. TCP/IP handshake görünürlüğü, geniş bir güvenlik stratejisinin parçası olarak kullanılabilir ve sistem yöneticilerine ağın durumu hakkında değerli bilgiler sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, TCP/IP handshake süreçlerinin açıkça gözlemlenmesi, ağ güvenliğinin sağlanmasında kritik bir rol oynamaktadır. Bu süreç, iki cihazın veri iletimi için kurduğu bağlantının başarısını belirleyici bir ifadeyle hayata geçirir. Ancak, bu sürecin risklerini anladığınızda, dış tehditlere karşı daha etkili savunma stratejileri geliştirebilirsiniz.

Risk Değerlendirmesi ve Yorumlama

TCP/IP protokolü, veri iletimi için öncelikle bir bağlantı kurmayı gerektirir. Bu bağlantı süreci, "Üç Yollu El Sıkışma" (Three-Way Handshake) olarak adlandırılır ve aşağıdaki paket değişimleri ile gerçekleştirilir:

  1. SYN (Bağlantı isteği)
  2. SYN-ACK (Bağlantının onayı)
  3. ACK (Bağlantının tamamen onaylandığına dair bildirim)

Bu aşamalar sırasında, elde edilen bulguların yorumlanması, ağda var olan zafiyetlerin ve yanlış yapılandırmaların tespit edilmesi bakımından oldukça önemlidir. Örneğin, eğer akış verisinde çok sayıda SYN paketi gözlemlenirken, bunların karşılığında hiç ACK paketi alınmıyorsa, bu durum olası bir "SYN Flood" saldırısının veya bir port tarama aktivitesinin habercisi olabilir.

SYN → Ağdan gelen bağlantı isteği
↓
SYN-ACK → Ağdan gelen onay
↓
ACK → İletişim tamamlandı

Ağ görünürlüğünü sağladığınızda ve bu akışları analiz ettiğinizde, bağlantının tamamlanmadığını veya seyrek olarak tamamlandığını anlamanız mümkündür. Böyle durumlar, kötü niyetli faaliyetlerin izini sürmek için büyük fırsatlar sunar.

Ayrıca, analiz edilen akışların "Flow Duration" değeri de önemlidir. Eğer kurulan bağlantı kısa süre içerisinde birçok kez açılıp kapatılıyorsa, bu durum bir otomasyon saldırısı veya başka bir ihlal belirtisi olabilir. Bu bilgilerin değerlendirilmesi, sistemin savunma mekanizmalarını güçlendirmek için kaçınılmazdır.

Yüzleşilen Zafiyetler

Bağlantıların yapılandırmalarına bakıldığında, zaman zaman karşımıza çıkan yanlış yapılandırmalar, siber saldırılara kapı aralayabilir. Örneğin, firewall veya ağ geçidi üzerinde yanlış ayarlanmış kurallar, belirli bir trafik türünün geçişine izin verebilir ve bu durum saldırganların iç ağa sızmasını kolaylaştırabilir. Akış verisindeki bayraklar (TCP Flags) bilgisi bu tür yanlış yapılandırmaların tespiti için kritik bir veri kaynağıdır.

Görünürlük olmadan, bir ağ yöneticisi bu tür saldırıları tespit etmede zorlanabilir. Örneğin, eğer akış verisinde bir tür "Half-Open Connection" tespit edilirse, bu durum bağlantının başlatıldığını ama onaylanmadığını göstermektedir. Bu tür durumlar, sistemin güvenlik açısından ne kadar sağlıklı çalıştığını belirten önemli bir göstergedir.

Savunma Stratejileri

TCP/IP handshake görünürlüğü ile ilgili yapılan analizler, birkaç temel savunma stratejisini uygulamanıza olanak tanır:

  1. Agresif Zaman Aşımı Politikaları: Bağlantı sürelerini sınırlandırarak, işlem yapmayan bağlantıları otomatik olarak kapatma.
  2. SYN Bitrate Sınırlaması: SYN paketlerinin belirli bir zaman diliminde aşırı miktarda gelmesini engellemek için sınır değerleri belirleme.
  3. Gelişmiş İzleme ve Alarm Sistemleri: Anormal durumları hızlı bir şekilde tespit etmek için otomatik alarm sistemleri kurma.

Özellikle, ağın "hardening" süreçlerine dahil edilen bu tür önlemler, potansiyel saldırganların erişim noktalarını oldukça zorlaştırır. Donanım güvenlik duvarları ve IPS/IDS sistemleri gibi çözümler, ağda görülen her bir şüpheli el sıkışmayı izlemek için kullanılmalıdır.

Sonuç

Sonuç olarak, TCP/IP handshake süreçlerinin ağ görünürlüğü, hem güvenliğin desteklenmesi hem de tespit ve müdahale mekanizmalarının hızlandırılması açısından kritik bir öneme sahiptir. Elde edilen bulguların analizi, potansiyel tehditlerin belirlenmesini ve sızma girişimlerine karşı daha sağlam bir savunmayı mümkün kılmaktadır. Bu tür teknik yaklaşımlar, siber güvenlik stratejisinin merkezine yerleştirilmelidir.