Giriş
Kablosuz ağlar, özellikle 802.11b çok fazla bir ilgi uyandırdı ve güvenlik camiasında son birkaç aydır özellikle incelenmektedir. Güvenlik camiası kablosuz ağların kablolu ağlar için yeni giriş noktaları oluşturduğu konusunda hemfikir ve bu kaynak en az internet kadar güvenilmez durumdadır. Standart teknoloji ile kablosuz bir kullanıcı yerel ağdaki diğer kullanıcılara bağlanabilmektedir. Kablosuz ağların çok yararlı olabilmesi için, veriyi internete bağlı olan kablolu ağlar üzerinden geçirmesi şarttır. Bu yazıda, kablolu ağlar için bilinen saldırı tiplerinin kablolu ve kablosuz ekipmanlardan oluşan ağlarda nasıl çalıştığını anlatacağız. Adres çözme protokolü (ARP – Address resolution protocol) önbellek zehirlenmesi,MAC katmanı saldırısı olup, saldırganın hedef makina ile aynı ağda olması gerekmektedir. Ayrıca etkisi anahtar (switch), hub, ve köprüler (bridge) ile sınırlı olup yönlendiriciler (router) üzerinde etkisi yoktur. Birçok 802.11b erişim noktası geçirgen MAC katmanı köprüsü gibi davranır ve ARP paketlerini gerideki ve ilerideki kablolu ve kablosuz ağlara iletir. Bu uygulamada ARP önbellek zehirlenemsi için erişim noktalarının arkası seçilir. Güvenli olmayan planlamalarda, kablosuz saldırgan kablosuz ağın gerisindeki kablolu ağdaki makinaların arasındaki trafiğede nüfuz edebilir ve diğer katlardaki dolaşabilen kablosuz kullanıcılar arasındaki trafiğede aynı şekilde nüfuz edebilir. Evlerde kullanılmak üzere satılan kablosuz erişim noktası, ahantar ve DSL/Kablo Modemden oluşan paket hakkında bir açık uyarısı: Bu popüler tüketici cihazları, saldırganın kullanıcının makinası ile anahtar arasındaki trafiğe rahatlıkla nüfuz etmesine izin vermektedir. Aşağıda, araştırılmış olan başka bir ağlara ait güvenlik açığı mimarisi vardır. ARP önbellek zehirlenmesi yeni bir problem değildir, geniş ölçüde araştırılmış ve kablolu ağlarda buna karşı savunulmaya çalışılmıştır. Ne yazık ki, kablosuz ağ tasarımları ve bunların kullanıldığı ağ tasarımları kısmi olarak bu güvenlik açığından etkilenmektedir. Bu güvenlik açığının yönetim yolu CIGITAL tarafından keşfedilmiş ve ağ mimarilerinin tekrar düşünülmesi, erişim noktaları cihazlarının güncellenmesi veya değiştirilmesi, kablosuz ağlara VPN çözümünün getirilmesi ve erişim noktalarının, VPN’in bir parçası gibi yapılması bu yazının içinde tartışılmıştır. Kablosuz ağlarda çalışacak olan bütün uygulamalar bu riski kaldıracak şekilde tasarlanmalıdır. ARP Önbellek Zehirlenmesi (Cache poisoning) ARP önbellek zehirlenmesi, kablolu ağlar için oldukçe akla yatkın ve bilinen türde bir saldırıdır. Standardın gelişi, kablosuz ağlarla birlikte bu riskin özellikle tekrar gündeme gelmedisir. Terimlerin Tanımlanması ARP önbellek zehirlenmesi konusunda anlaşılması gereken en önemli konu, ağ ekipmanlarında, collision domain’leri ve broadcast domain’leri arasındaki farktır. Collision domain, aynı yapısal kablo üzerindeki paket gönderen kullanıcıların oluşturduğu gruptur. Broadcast domain ise, bir diğerinin broadcast mesajını alan kullanıcılar grubudur. Bu iki guptaki kullanıcılar her zaman aynı değildir. ARP Protokolü ve Önbellek Zehirlenmesi (Cache poisoning) Adres çözme protokolü (ARP), yerel ağlarda MAC cihaz adresi ile IP adresi arasındaki eşlemeyi çözme fonksiyonunu yüklenir. Örneğin, bir kullanıcı IP adresi 10.0.0.2 olan makinaya mesaj yollamak istiyor. Bu durumda önce yerel ağa ARP yayını yaparak bu IP adresine ait MAC adresinin ne olduğunu sorar. Kendi IP adresinin olduğu paketi alan kullanıcı ise bir ARP cevabı yollayarak kendi MAC adresini yollar. Mesaj yollayan makina daha sonra kullanılmak üzere bu IP-MAC eşlenimini hafızaya saklar. Ağ trafiğini azaltmak için, ARP uygulamaları ARP-IP eşlenimlerini hep güncel tuttarak her ARP isteğine yanıt verir. Eğer MAC adresi verilen IP adresinin değiştiğini bildirirse bu güncelleme adına hafızada da değiştirilir. ARP cevapları unicast olup sadece tek makinaya doğru gerçekleşir ve bu makinanın ARP hafızasının güncellenmesi için yapılır.
Bu yazıda, ARP cevap paketlerinin kullanılarak önbellek zehirlenmesi gibi çeşitli ARP saldırıları incelenecektir. Bu saldırı "man in the middle" (ortadaki adam) olarak bilinir. Örnekle inceleyelim. Saldırgan, C makinası, B makinasına, A’nın IP adresini fakat C’nin MAC adresini içeren ARP cevabı yolluyor ve aynı şekilde A makinasına da, B’nin IP adresi ile C’nin MAC adresini içeren bir ARP cevabı yolluyor (Şekil-1). ARP durumsuz protokol olduğu için, A ve B makinaları daha önc yolladıkları ARP isteklerine cevap olarak kabul ettikleri bu yeni bilgiyi güncelliyorlar.
Şimdi, A, B’ye paket yollamak istediğinde, bu paket B yerine C’ye gidecektir. C kullanıcısı bu durumdan faydalanarak paketi gerçek makinaya yollar veya yollamadan önce pakette değişiklik yapabilir (Şekil-2). Bu ortadaki adam saldırısı, B’nin telnet oturumlarının, gelen veya giden elektronik postalarının, SSH görüşmelerinin, web kullanımının C tarafından dinlenmesi veya değiştirilmesi ve diğer bazı olmaması gereken çirkin durumların gerçekleşmesine izin verir. 802.11b Ağlarda ARP Önbellek Zehirlemnesi Birçok erişim noktası (AP), kablosuz ağlardaki kullanıcılar için hub gibi çalışır ve kablolu ağ ile kablosuz ağ arasında bir trafik köprüsü görevi görür. Bu durumda Collasion Domain’leri ayrılmıştır; kablosuz ağdaki tüm kullanıcılar bir collasion domain olup, kablolu ağdakiler başka bir collasion domain olur. Broadcast Domain, AP nin durumuna göre limitli değildir, ve kablolu ağıda içermektedir. Broadcast Domain’deki bütün kullanıcılara ARP saldırısı yapılmaya başlandığı zaman, AP bunu kendi üzerinden bağlı oldupu ağlarada yollayacaktır. Özel İspat Edilmiş Saldırılar Aşağıdaki senaryolar Cigital tarafından test edilerek beklendiği gibi çalışıp çalışmadığından emin olunmuştur. Çeşitli işletim sistemleri kullanımıştır test esnasında, mesela çeşitli Linux dağıtımları, Windows 2000 ve Windows NT. Kuruluş Bazında Saldırılar:
Senaryo-1: Kablosuz ağların açıklarından yararlanılarak, kablolu ağa saldırma 1-) Kablosuz saldırgan, kablolu ağdaki anahtara takılı AP üzerinden aynı anahtara takılı olan 2 ayrı kullanıcıya ortadaki adam saldırısını gerçekleştirebilir. Değiştirilmiş ARP paketleri her 2 hedef makinayada ulaşır. Yine de bu düzenek yayılı ağ içinde kullanılabilir olmamalıydı. Bunun anlamı, birçok organizasyon bu sayfalarda anlatılan risklerden habersiz olarak sistemlerini kurmuşlardır. Kablolu ağdaki bir makinaya ulaşmak için kablosuz ağdaki bir makinayı kullanmak çok belirgin bir saldırı metodudur.
Senaryo-2: Kablosuz ağdaki açıkları kullanarak hem kablosuz hemde kablolu ağdaki kullanıcılara saldırma 2-) Kablosuz saldırgan, kablosuz bir kullanıcı üzerinden, AP nin takılı olduğu hub veya anahtara ortadaki adam saldırısı yapabilir. Her hedef makina aynı broadcast domain içindedir, ve saldırganın değiştirdiği ARP paketlerini alabilmektedir. Bu durum kablosuz kullanıcılar ile internet arasında ortadaki adam şeklinde DEF CON ve Usenix Security konferanslarında gözlenmiştir.
Senaryo-3: Faklı AP’lerdeki gezici kablosuz kullanıcılara saldırma 3-) Kablosuz saldırgan farklı AP lerde olan kullanıcılara her iki AP’yi de kapsayan bir saldırı düzenleyebilir. Şimdiki hali ile 802.11b ağları, AP lerin bilinen hub veya anahtarlara bağlı olmasını gerektirir (Bazı üreticiler daha profesyonel gezici ürünlere sahip olabilirler fakat bunların uygulanması özellikleri hakkında döküman yoktur). Çünki her AP köprü gibi çalışır ve bildiğimiz anahtarlara bağlıdır. Broadcast domain, AP’lere bağlı bulunan ve değiştirilmiş ARP paketlerini alabilen tüm makinalara yayılır. Bütün uygun örnekler ve durum çalışmaları, gezici 802.11b ağlarının uygulanması aşamasında kesinkes bütün AP’lerin bildiğimiz anahtar veya anahtar topluluklarına bağlanacak şekilde kurulması gerektiğini göstermektedir.
Senaryo-4: Aynı AP’deki 2 kablosuz kullanıcıya saldırma 4-) Kablosuz saldırgan aynı AP’deki 2 farklı makinaya ortadaki adam saldırısı yapabilir. Bu önemsiz bir durumdur. Çünki ARP önbellek zehirlenmesi saldırısı kablolu ağlardaki ile şekilde olacaktır. Tüketici Saldırıları
İşlenen son senaryo ev kullanıcılarına odaklanmaktadır. Birkaç üretici AP, anahtar ve DSL/Kablo Modem Router cihazının birleşmiş halini önermektedir. Bu cihaz AP olarak görev yaparken kablolu kullanıcılar için anahtar ve ISP ye bağlanmak içinde Modem/Router görevini görmektedir. AP direkt olarak anahtara bağlı olduğunda şu tip saldırılar mümkün olmaktadır:
Senaryo-1: Kablosuz ağdaki açıkları kullanarak kablolu ağdaki 2 kullanıcıya saldırma 1-) Kablosuz saldırgan, birbirleri ile anahtar üzerinden konuşan 2 kablolu kullnıcıya ortadaki adam saldırısı uygulayabilir. Bu Özel denenmiş saldırılar senaryo-1 ile aynı durumdur. Bu saldırıdaki başarı özellikle dikkate değerdir, çünki ev kullanıcısı bu ağ geçidi cihazının kablolu ağ ile kablosuz ağı birbirinden ayırmış olmasını beklemektedir. Aslında bu ürünler çok popülerdir, çünki ev kullanıcılar evdeki ağlarının güvenliği için pek kaygı duymamaktadırlar veya nasıl güvenli hale getirebileceklerini bilmemektedirler. Birçok tüketici başlarını fazla ağrıtmamak için bu tarzda birleşik cihazları satın almak ister.
Senaryo-2: Kablosuz ağlardaki açıkları kullanarak kablolu ve kablosuz kullanıcılara saldırma 2-) Kablosuz saldırgan, evdeki kablolu kullanıcı ile konuşmakta olan başka bir kablosuz kullanıcıya ortadaki adam saldırısı yapabilir. Bu saldırı, anahtarın AP’ye direkt olarak bağlanmış olmasının haricinde, Özel denenmiş saldırılar senaryo-2 ile aynıdır (Hedef kablolu makina, aslında ağ geçidindeki yönlendirici (Router) olabilirdi). Okyanusta bir damla Yukarıda kabataslak anlatılan saldırı senaryoları, kablolu ve kablosuz ağların tümleşik olarak çalışmasına birçok örnekten sadece birkaçı. Şu anki uygulamalarda bulunmuş olduğu gibi olası örneklerde de ARP kaynaklı çeşitli güvenlik açıkları bulabilirler. Hafifletme Stratejileri Kablosuz ağ uygulamaları ile ilgili yeni riskleri anlattıktan sonra, sonraki adım bunları azaltmanın en iyi yollarıdır. Teknik hafifletme stratejileri 2 geniş sınıfta incelenebilir: Engelleme Metodları ve Tespit Etme Yöntemleri. Bütün hafifletme aktiviteleri mantıklı risk yönetim yaklaşımları taşımalıdır. Bunun anlamı, alınacak teknik kararlar, iş içeriği ve tehdit modeli ışığı altında alınmalıdır. Korunma Ticari Kurulumlar Yukarıda anlatılan senaryolar, birçok ticari kablosuz ağlar olarak uygulanabilir. Bu sistemlerin güvenliğini sağlamlaştırmak için birkaç güvenliği arttırma seviyesi vardır. Ev Kurulumları Ev kullanıcıları kablosuz trafik ile kablolu trafiği birbirinden ayırmalıdırlar. Tek cihaz olarak satılan ev ağ geçitleri şu an için, bahsedilen saldırılara karşı koruma sağlamamaktadır. Eğer bu tip cihazlar kullanılırsa, her makinada önlem alınmalıdır. Makinalarda static ARP girişleri yapılarak ("arp" komutunu kullanarak), üretilmiş ARP trafiklerive karşı korunmuş olurlar, ve sahte ARP cevaplarının içerdiği bilgileri kendi bilgilerinin üzerine yazılmasını engellemiş olurlar (Dikkatli ve emin olun. Çünki bu sistem bazı işletim sistemlerinde böyle çalışmaktadır. Windows ve diğer işletim sistemlerinin bazı sürümleri, dinamik ARP girişlerinin statik ARP girişlerinin üzerine yazılması gibi kusurlara sahiptir). Komple tek cihaz halinde satılan bu ev tipi cihazlarını düzeltmenin tek yolu, sadece bileşik AP ve anahtar ile ISP arasındaki yönlendirme yerine, AP, anahtar ve ISP bağlantısı arasındaki yönlendirmenin tekrar tasarlanmasıdır. Bu belki yeni ağ geçidi ürünü gerektirebilir, fakat bazı ev tipi ağ geçitleri üretici firma tarafından sağlanan güncellemeler ile bu sorunu halledebilmektedir. Tespit Etme Korunma yöntemleri mümkün değilse veya tespit etme metodları çalışmayacaksa, ARP zehirlenmesi saldırılarını tespit etmeye çalışmak gerekli değildir. ARP zehirlenmesi saldırılarına karşı birkaç metod için çalışılmaktadır. Sonuç Cigital, normal korunan makinalara sahip, standart kablolu iç ağlara sızabilmek için yeni bir kablosuz ağ saldırı tipi keşfetmiştir. Kablosuz ağlar normal iç ağa AP’ler koyulmasını gerektirmektedir. Bu AP’ler normal iç ağa bir anahtar veya hub vasıtası ile bağlanırlar. Cigital tarafından keşfedilen saldırılar, kablolu ağ dünyasında ARP önbellek zehirlenmesi olarak çok iyi bilinen ağ saldırısının türetilmiş halidir. Bu, eski risklerin yeni teknolojiler ışığında yeniden ele alınmasının önemini vurgulamaktadır. Özellikle yazılım tabanlı sistemlerde. Esinlenme Hikayesi 2001’de, Las Vegas’daki DEF CON (www.defcon.org) ve Washington DC’deki Usenix Güvenlik Konferansında, birtakım işgüzarlar konferansın kablosuz ağının internete olan trafiğini bloklayan bir saldırı düzenlediler. Saldırganlar kablosuz ağdaki herkezi sahte bir ağ geçidine yönlendirdiler, ve bütün HTTP isteklerini hack başarılarını öven bir web sayfası ile karşıladılar (Bu web sayfasında şu yazmakta idi : "All your base are belong to us" ). Bu yazıda anlatılan ARP saldırılarını kullanan saldırganın bunu sahiplenip sahiplenmediğini bilmiyorum, veya ICMP tabanlı saldırıları, fakat DEF CON’da yapılan ağ izleme yazılımları ile yapılan incelemede Ettercap ARP saldırı yazılımının imzası bulunmuştu. Bu konferanslardaki saldırganlar, ağ geçidini yönlendirmek ve kablosuz ağdaki kullanıcılara SSH Ortadaki Adam saldırısı ile limitli kaldılar. Bu hikaye belki sizlerin çalışmalarına bir ilham kaynağı olur. |
Kaynak: Cigital.com
belgesi-328