Uygulamalı Beyaz Şapkalı Hacker Eğitimi #10 IPS/IDS/WAF ... · © All Rights Reserved. 8 Karmaşık İstekler • Blacklistmantığına göre yapılandırılmış olan ürünler

www.prismacsi.com© All Rights Reserved.

1


1


1


1

Uygulamalı Beyaz Şapkalı Hacker Eğitimi #10

IPS/IDS/WAF Atlatma Teknikleri

Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.


2


2


2


2

Firewall

• Güvenlik Duvarı• Layer 3 - Ağ katmanında çalışan güvenlik duvarları IP ve Port bilgisine göre işlem yapmaktadır.• Günümüzde Layer 7 – Uygulama katmanında çalışan Firewall’lar paket içeriğine de bakmaktadır.• Çalışma yapısı basittir. IP ve Port bazlı kurallarla engelleme işlemi yapar.• En sık kullanılan atlatma yöntemleri:

• SSH Tunelleme• DNS Tunelleme• VPN• Ters Bağlantı


3


3


3


3

WAF

• Web Application Firewall – Web Uygulama Güvenlik Duvarı• Normal Firewall’un yaptığı işe ek olarak gelen-giden paketlerin içerisinde zararlı bir içerik olup

olmadığını da kontrol eder. • En sık kullanılan atlatma yöntemleri:

• Trafiği HTTPS protokol üzerinden geçirmek – WAF’lar ayarlanırken HTTP protokolüne görekurallar girilirken HTTPS’e kural girmek unutulabiliyor.

• Paket Parçalama (Fragmentation)• Encoding


4


4


4


4

IDS

• Intrusion Detection System – Saldırı Tespit Sistemi• Gelen giden paketlerin içerisine bakarak zararlı bir içerik olup olmadığı kontrol edilir. • Uyarı tabanlıdır. Herhangi bir kesme / engelleme aksiyonunda bulunmaz• Saldırı analizi ve tespiti için kullanılır.• Log ve Monitoring işi yapar.• En sık kullanılan atlatma yöntemleri:

• SSH Tunelleme• DNS Tunelleme• VPN• Paket Parçalama (Fragmentation)• Encoding


5


5


5


5

IPS

• Intrusion Prevention System – Saldırı Engelleme Sistemi• Saldırı tespiti, analizi ve engellenmesi için kullanılır.• Gelen giden paketlerin içerisine bakarak zararlı bir içerik olup olmadığı kontrol edilir. • Uyarının yanında çeşitli aksiyonlarda alır.• Zararlı içerik tespit edilmesi durumunda trafik kesilebilir ve engelleme işlemi yapılabilir.• Log ve Monitoring işi yapar.• En sık kullanılan atlatma yöntemleri:

• SSH Tunelleme• DNS Tunelleme• VPN• Paket Parçalama• Encoding


6


6


6


6

Encoding Teknikleri

• URL Encode• Double URL Encode• Unicode URL Encode• Decimal• Base64• ASCII = “ / ”


7


7


7


7

Blacklist / Whitelist

• WAF’lar çoğunlukla varsayılan olarak gelen kurallara göre bırakılabilmektedir. Bu durumda farklı payloadlar kullanılabilir.

• Sık Kullanılan Payloadlar: • <script>alert(1)</script>• ‘ or 1=1• /etc/passwd• r57.php

• Benzer İşi Yapabilen Farklı Payloadlar: • <svg/onload=alert(1)>• ‘ or 0x60=0x60• /etc//passwd• test.php


8


8


8


8

Karmaşık İstekler

• Blacklist mantığına göre yapılandırılmış olan ürünler karmaşık istekleri çalışma yapısı gereği çözümlemez ve zararsız olarak kabul edebilir. Bu durumda aşağıdaki yöntemler kullanılarak bu güvenlik ürünleri atlatılabilir.• Payloadları yalnızca küçük harf olarak değil büyük-küçük harf olarak hazırlamak• Encoding yöntemlerini ile payload hazırlamak• Çeşitli kombinasyonlarda bulunmak

• XSS Payload: <script>alert(1)</script>• Karmaşık Payload: <sCriPt>alErT(1)</scRipT>


9


9


9


9

Özel Karakterler

• Bazı özel karakterler uygulama sunucusunda yorumlanarak farklı işlemler yapabilir. Örneğin/**/ ifadesi yorum satırı olarak algılanır ve derlenme sırasında işleme alınmaz. Payloadlarınarasına buna benzer özel karatekter konulması durumunda uygulama sunucusu bunları silipişleme alır fakat güvenlik ürünleri bunu bir bütün olarak kabul edip işlediği için payloadın zararlıbir payload olduğunun farkına varamaz. Özel karakterlerin bir kısmı aşağıda listelenmiştir.• %00• %0A• /**/• //• /**/ => XSS - al/**/e/**/r/**/t


10


10


10


10

Fragmentation

• Paket parçalama yöntemidir. • Paketler IDS gibi savunma mekanizmalarında bulunan kuralların dışında kalacak şekilde

bölümlenerek gönderilir. Böylece saldırının anlaşılması güç olur.

• Packet 1: GET /• Packet 2: qwerty/../etc• Packet 3: /pass• Packet 4: wd

• GET /qwerty/../etc/passwd


11


11


11


11

SSH Tünelleme

• SSH tünelleme işlemiyle tüm trafik şifreli olarak bir başka sunucu üzerinden ilerler. Böyleceport engelleri aşılabilir, giden-gelen paketler kontrol edilemediği için zararlı içerik gönderilebilir.

• Linux ve MacOS işletim sistemlerinde ssh uygulaması kullanılabilir.• Windows işletim sisteminde putty adlı uygulama kullanılarak ssh tünelleme yapılabilir.• Bunun yanı sıra sshuttle adlı araçla SSH tünelleme işlemi basit ve hızlı bir şekilde yapılabilir.


12


12


12


12

DNS Tünelleme

• Bazı durumlarda güvenlik ürünleri neredeyse tüm trafiği engelleyebilir fakat DNS isteklerini sorguyapabilmek adına açık bırakabilir. DNS isteği içerisine örneğin şifreli bir şekilde HTTP isteğindebulunulur ve karşı sunucuda da bir uygulama vasıtasıyla bu istek çözümlenir. Böylece DNS üzerinden engeller aşılmış olunur.


13


13


13


13

Uygulamalar


14


14


14


14

Sorular?


15


15


15


15

[email protected]

0 850 303 85 35

/prismacsi

İletişim

mailto:[email protected]

Documents

Uygulamalı Beyaz Şapkalı Hacker Eğitimi #10 IPS/IDS/WAF ... · © All Rights Reserved. 8 Karmaşık İstekler • Blacklistmantığına göre yapılandırılmış olan ürünler