17 Eylül 2018 Pazartesi

Kerberos Nedir ? Kerberos'un Zaafiyeti Kullanılarak Yapılabilecek Ataklar Nelerdir ?

Merhaba Arkadaşlar,

Bugün Kerberos Authentication hakkında konuşacağız. Kerberos Yunan mitolojisinde 3 başlı bekçi köpeği anlamına gelmektedir ve bu authetication sistemi de adını bununla ilişkili olarak almıştır. Kerberos'un çalışma sistemi sayesinde, WAN'da yani saldırıya açık olan bir networkte, bir servera login olurken passwordumuzu cleartext ya da kriptolu olarak aktarmamıza gerek yoktur. Bu da ilk aşamada passwordumuzu riske atmayacağımız anlamına geliyor. Kerberos sayesinde userın, passwordunu güvenli olmayan network aracılığıyla, remote servera giriş yapmasına gerek yoktur. Aracı bir server ile bu erişim daha güvenli bir şekilde ticketlar sayesinde sağlanabilir.


Peki Kerberos Nasıl Çalışır ?


1-> Client -> AS 
 
İlk olarak user kendi bilgisayarına login olduktan sonra bir (AS-REQ) paketi otomatik olarak yola çıkar. Bu paket, KDC'ye yani Key Distribution Center'a doğru gönderilir.
KDC, Ticket ve key dağıtım merkezi olarak düşünülebilir. Genelde Domain Controller'ın içerisindedir. "Authentication Service" ve "Ticket Granting Service" dan oluşmaktadır.
User login olduktan sonra gönderilen AS-REQ paketi, username, erişilmek istenen service, Client'ın IP Adresi ve istenilen Ticket'ın geçerlilik süresi ile ilgili bilgileri içerir.
Principal Client: Bağlanmak isteyen Asim userının asim@yildiz.com şeklindeki halidir.
Principal Service: Bağlanılmak istenilen server ve service bilgisidir. FTP/ftp.abc.com@abc.com
IP_list: Clientın IP Adresidir.
Lifetime: Ticket Granting Ticket'ın ne kadar süre geçerli olması istendiğini gösteren kısımdır.

AS-REQ = ( PrincipalClient , PrincipalService , IP_list , Lifetime )

AS-REQ kriptosuz şekilde gönderilir.
                                             


2-> AS -> Client

AS-REQ KDC'nin içerisindeki Authentication Service a ulaştı. Paketin içerisindeki "time stamp" kontrol edildi ve default geçerlilik süresi 5 dakika olan bu isteğin
hala geçerli olup olmadığı kontrol edildi. Geçerli ise süreç devam edecektir değil ise sonlandırılacaktır. AS ve Client ın zamanı senkron olmalıdır. Yani aynı
NTP (Network Time Protocol) Server tarafından, Client ve KDC'nin bilgisayar saat ve tarihini çekiyor olması en sağlıklısıdır.
AS, Client tarafından gönderilen paketi inceledikten sonra bu bilgileri de kullanarak bir ticket oluşturacaktır.
Bu ticket ın adı Ticket Granting Ticket dır. İçerisinde Client User bilgisi,Client IP Adres bilgisi, Lifetime, Session Key(!) gibi bilgiler bulunmaktadır. Aşağıdaki
şekilde TGT paket içeriğini görebilirsiniz. TGT, "KRBTGT" user ının password hash i kullanılarak kriptolanır. KRBTGT user ı DC tarafından otomatik olarak oluşturulan
bir user dır. Password u admin tarafından değiştirilmediği sürece aynı kalır ve gizliliği yüksek derecede önem arz eder. DC database inde passwordleri hashli şekilde tutar.

AS, Clienta Kriptolanmış TGT'yi ve bunun yanında da "Principal Service","Timestamp","Lifetime" ve "Session Key" i gönderir.
"Principal Service","Timestamp","Lifetime" ve "Session Key" , Client a login olan user ın password hash iyle kriptolanarak gönderilir.
Yani AS tarafından Clienta gönderilen AS-REP şu şekildedir;

AS_REP = { PrincipalService , Timestamp , Lifetime , SessionKeyTGS }UserPasswordHashKey
{ TGT }KRBTGTPasswordKeyHash



3->Client -> TGS

Client, AS tarafından gönderilen paketteki TGT'yi dekript edemediği için kriptolu şekilde cash ine atar. Daha sonra kendi user hash ini kullanarak
"Principal Service","Timestamp","Lifetime" ve "Session Key" datalarının bulunduğu kısmı dekript eder.(Symmetric Encryption)
Timestamp değerini kontrol ederek gelen paketin geçerli zaman aralığında gelip gelmediğini kontrol eder. Aynı zamanda timestamp bilgisini
okuyabilmesi gönderici olan AS in legal ve görüşmek istediği server olduğunun kanıtı mahiyetindedir.
Client AS'den aldığı TGT'yi ve bir "authenticator" ile Principal Service ve LifeTime bilgisini TGS'e gönderir.
Authenticator, "Principal Client" ve "Time Stamp" in AS tarafından alınan session key ile kriptolanması sonucu oluşturulan pakettir.
TGS'e gönderilen paket şu şekildedir;

 Authenticator = { PrincipalClient , Timestamp }SessionKeyTGS
 TGS_REQ = ( PrincipalService , Lifetime , Authenticator) { TGT }KRBTGTKey

 4->TGS -> Client

 TGS, Client tarafından gönderilen paketi aldıktan sonra KRBTGT userının password hashiyle TGT'nin içerisini açar. TGT'nin içerisindeki session key i
 çıkarttıktan sonra bu session key ile Authenticator ı açar ve "time stamp" i kontrol ederek TGT'nin hala geçerli olup olmadığını kontrol eder. Daha sonra authenticator
 içerisindeki Client Principal ile TGT içerisindeki Client Principal ın birbiriyle eşleşip eşleşmediğini kontrol eder.
 Buraya kadar her şey yolundaysa TGS, "service ticket" üretebilir.
 Client ile bu Clientın erişmek istediği Server arasındaki güven ilişkisini kuracak olan aracı paket "Service Tickettır". İçerisinde "Service Principal",
"User Principal", "Client IP","time stamp","lifetime(TGT içerisindeki Lifetime)","TGS Session Key" bulunur.

ServiceTicket = ( PrincipalClient , PrincipalService , IP_list , Timestamp , Lifetime , SessionKeyService )

Daha sonra TGS-Reply paketi hazırlanabilir. Bu paketin "Service Ticket" kısmı tamamdır ve Client ın erişmek istediği Server ın, Computer Account passwordunun
hashiyle kriptolandıktan sonra TGS-REP paketinin içerisine yerleştirilmiştir. Sırada TGS-REP paketinin geri kalanını oluşturabiliriz;
"Principal Service","time stamp","Liftime","Service Session Key"  TGS-REP paketinin geri kalanıdır ve daha önce Client tarafında kullanılan
"TGS Session Key" ile kriptolanmıştır. TGS-REP paketi aşağıdaki gibidir; 

TGS-REP = { PrincipalService , Timestamp , Lifetime , Service Session Key}SessionKeyTGS { ServiceTicket }ServerComputerAccountPassHashKey

TGS-REP paketi artık Clienta gönderilebilir.

5->Client -> Server

Client, TGS Session Key ile kriptolanmış kısmı aynı sesion key e sahip olduğu için dekript etti ve "Service Session Key" i kaydetti ve Service Ticket'ı da
kriptolu şekilde (çünkü dekript edecek key e sahip değildir)cache ine attıktan sonra AP-REQ paketini hazırlamaya başladı. AP-REQ Paketi Servera login olmak
isteyeceği ve Server ile authentication ın yapılacağı kısımdır. İlk olarak bir Authenticator oluşturulacaktır. Authenticator "Service Principal" ve "time stamp"
içerir. "Service Principal" ve "time stamp" TGS'den alınan SessionKeyService ile kriptolanarak Authenticator oluşturulmuş oldu.

Authenticator = { PrincipalClient , Timestamp }SessionKeyService

Daha sonra TGS'den alınmış olan Service Ticket ve Authenticator birleştirilerek APP-REQ oluşturulmultur.

AP-REQ = Authenticator { Service Ticket } ServerComputerAccountPassHashKey

6->Server -> Client

Server AP-REQ paketini aldığı zaman "Service Ticket" ı açar ve içerisindeki "Service Session Key" i çıkartır. Daha sonra bu Session Key ile Authenticator ı
dekript eder ve "time stamp" bilgisini okur. Eğer geçerli ise yani "Service Ticket" ın içerisindeki "time stamp" ile Authenticator ın içerisindeki uyumlu ise
Client ın erişimi Server tarafından onaylanır.

Özetlemek gerekirse;

Bir Client, bir Server'a güvensiz bir networkten erişmek için, kendisinin key bilgisine sahip başka bir onay sunucusuna ihtiyaç duyar.
Buna KDC deriz ve genellikle Domain Controller ın içerisine gömülü şekildedir. Client bir AS-REQ paketi hazırlar ve içerisinde erişmek istediği service,
erişmek isteyen user (Client makinesine login olan kişi), Client IP Adresi ve ne kadar süre geçerli bir Ticket istediğini, KDC içerisindeki AS'e kriptolamadan yollar.
AS, TGT şeklinde bir ticket hazırlar ve bunu DC'de default olarak bulunan KRBTGT user ının password hashiyle kriptolar. TGT içerisinde Principal Client,
Principal Service, Lifetime, TimeStamp, Client IP ve TGS Session Key'i içerir. "Principal Service","TimeStamp","LifeTime" ve TGS tarafından üretilen
"Session Key" dörtlüsü Client user ının passord hashiyle kriptolanır ve kriptolu TGT ile birleştirilerek AS-Reply paketi oluşturulmuştur, Client a gönderilir.
Client AS-REP'i dekript eder(TGT Hariç) ve  "TimeStamp" ini kontrol eder. TimeStamp geçerli ise Kriptolu TGT'yi cachine atar. Client "Principal Client" ve "TimeStamp"
i AS'den almış olduğu TGS Session Key ile kriptolar(authenticator oluşturdu), kriptolu TGT'yi de bu Authenticator a ekledikten sonra KDC'nin içerisindeki TGS'e
gönderir. TGS, TGT'yi dekript eder ve TGS Session Key'i çıkartır daha sonra Authenticator ı dekript ederek timestamp değerini kontrol eder. Eğer geçerli ise
"Service Ticket" oluşturur. "Principal Client","Principal Service","LifeTime","Service Ticket,"TimeStamp","Client IP" ve "Service Session Key" in bilgilerini
içeren bir "Service Ticket" oluşmuştur. "Service Ticket" erişilmek istenen Server ın Computer Account password hashiyle kriptolandıktan sonra
"Principal Client","TimeStamp","LifeTime" ve "Service Session Key" bilgileride TGS Session Key ile kriptolanarak, tek parça şeklinde Client a gönderilir.
Client TGS Session Key ile ikinci kısmı dekript ederek "Service Session Key" i çıkarttı. Şimdi bu session key ile kriptolaycağı bir authenticator oluşturacaktır.
Authenticator "TimeStamp" ve "Principal Service" bilgisini içerir. "Authenticator" ve "Kriptolu Service Ticket" , APP-REP adı altında Server'a gönderilir.
Server, computer account password hashiyle "Service Ticket" ı açar ve içerisindeki "Service Session Key" i çıkartarak Authenticator ı dekript eder.
Authenticator içerisindeki "TimeStamp" geçerli ise login işlemi için onay verilir.






Sistem ile ilgili bir takım çıkarımlar yapalım. Bir Domain deki TGT üretmeye yetkili kişi tüm izinleri veren kişidir denilebilir. Çünkü geçerli bir TGT ye
sahip bir client, TGS den Server a erişmek için kullanacağı Ticket ı isteyebiliyor. TGT kriptolu aktarıldığı için sistem güvenli ve sadece kripto edebilen
DC sistemin güvenli çalışmasını sağlıyor. Ancak bir şekilde TGT'yi kriptolamak için kullanılan "KRBTGT" user ının password hash i çalınırsa, çalan kişi
istediği Server a login olabilecektir. Bir kişinin TGT yi kriptolayan password hash ini çalabilmesi için DC'ye bir şekilde login olması gerekir.
Bu durumda ilk hedef "Domain Admin" olan bir user ın passwordunu çalmak ya da bir şekilde kullandığı bilgisayara erişim sağlamaktır.
Yetkili bir User ın makinesine bir şekilde login olan saldırgan kullanıcının bütün hashlerini çalar. Hash konusunu biraz açmak gerekirse bilgisayarlar bir yere login olurken passwordleri hash e dönüştürülerek gönderilir ve aynı zamanda bilgisayarlar
passwordlerini lokallerinde hash li olarak tutarlar. Ayrıcalıklı bir user ın Password Hash i elde edilirse, bu user ın giriş izni olan server lara, saldırgan da
girebilir.Bu atak "Pass the Hash" atak olarak adlandırılır. O zaman bir hacker, Domain Admin olan bir kişinin password hashini çaldıktan sonra Active Directory'e
login olabilir. Kişi AD ye login olduktan sonra Hash Havuzunu tamamını çekerek KRBTGT password hashini de çalar. Günün sonunda hacker istediği TGT'yi oluşturacaktır
ve bu TGT da belirtmiş olduğu Client ile dilediği server a erişecektir. İşte bu oluşturulan LifeTime uzun süreli (10 yıl) olan ticketlara Golden Ticket denir.
Golden Ticket sayesinde hacker ağda farkedilmeden istediği makineye login olabilecektir.



Kerberos ile ilgili yazımız bu kadar. Bir başka yazı da görüşmek üzere...





2 Eylül 2018 Pazar

HTTPS Nasıl Çalışır ?

HTTPS - Nedir ? Nasıl Çalışır ?

Merhaba Arkadaşlar,
Geçtiğimiz günlerde birkaç Offensive Security ile ilgilenen arkadaş ile yapmış olduğum HTTPS üzerine bir sohbet üzerine ve HTTPS'in aslında çok yanlış anlaşıldığını farketmemle birlikte yazının konusu belli oldu.

Öncelikle birkaç temel terimden bahsedelim daha sonra HTTPS hakkında bilgi vermeye çalışalım.

Hash Algorithm: Security terimi olan Hash Algortihm'in temel amacı "Integrity" i sağlamaktır. Yani benim elimde bir 10 Bbyte lık bir data var.
Bu datayı istemciye göndermeden önce bir Hash Algoritmasına(MD5, SHA1 vb.) sokuyorum ve bana bir değer üretiyor. Üretilen değer 128 bitlik bir hash değeri.
Bu 128 Bitlik Hash(1) değerini datanın sonuna ekledikten sonra [Data+Hash(1)] şeklinde istemciye gönderiyorum. Daha sonra istemci Datayı aynı Hash Algoritmasına
sokuyor ve çıkan Hash(2) değeri ile göndericinin göndermiş olduğu Hash(1) değerini kıyaslıyor. Kullanılan Hash Algoritmaları evrensel olduğu için aynı data için
üretmiş olduğu değer dünyanın her yerinde aynıdır ve işin daha da güzel tarafı eğer data içerisindeki 1 bit bile değişirse (Bit 1 iken 0 ya da 0 iken 1 olursa)
çıkan Hash değeri bambaşka bir hal alır, baştan aşağıya değişir. Sonuç olarak kıyaslanan Hash(1) ve Hash(2) aynı ise data bolzulmadan ya da bir saldırgan tarafından
değiştilmeden gelmiştir. Data güvenilirdir.

Symmetric Key Algorithm: Symmetric Key Algorithm gönderilen Datanın tek bir anahtar ile kriptolandığı ve sadece aynı anahtar tarafından dekript edildiği algoritmadır. DES, 3DES, AES vb.
bu kriptolama algoritmalarına örnektir. Temel amacı "Confidentiality" i sağlamaktır. Bu kritolamayı yapan anahtar "Secret Key" olarak isimlendirilir ve gönderici
ile istemci arasında data transferi öncesinde güvenli bir yol ile paylaşılmalıdır. (Symmetric Encryption sağlandı.)



Asymmetric Key Algorithm: Asymmetric Key Algorithm gönderilen Datanın 1 anahtar tarafından kriptolandığı ve farklı bir anahtar tarafından da dekript edildiği algoritmadır.
Bu anahtarlar "Public Key" ve "Private Key" olarak adlandırılmaktadır. Public Key'in kriptoladığı
Data dünyada sadece Private Key tarafından dekript edilebilir.
Private Key'in kriptoladığı Data ise sadece Public Key tarafından dekript edilebilir. Diffie-Hellman, RSA vb. algoritmalar Asymmetric-Key Algoritmalara örnek olarak
verilebilir. Temel amacı "Confidentiality" i sağlamaktır. (Asymmetric Encryption sağlandı.)



PKI (Public Key Infrastructure): Güvenilir olmayan ortam üzerinden Symmetric Encryption için kullanılacak olan "Secret Key" in paylaşılması için kurulmuş olan sistemdir.
Ayrıca Sertifikaları imzalamak için de kullanılır. Pratik kullanımından birazdan behsedilecektir.   

Bugün internette yapmış olduğumuz alışveriş, bankacılık işlemleri, ödeme vb. birçok işlemin kötü 3. şahıslar tarafından çalınmasının karşısındaki en büyük
engel olan HTTP'nin SSL veya TLS protokolleri kullanılarak çalıştırılması, yani HTTPS hakkında konuşacağız.
HTTP'de yapılan data alışverişi Cleartext(kriptosuz), HTTPS ile yapılan data alışverişi ise Ciphertext(kriptolu) olarak gerçekleşir.



HTTPS
Peki HTTPS tam olarak nasıl çalışıyor da faturalarımız, kredi kartlarımız, sosyal medya hesaplarımızı ona emanet edebiliyoruz.

İlk olarak bir kullanıcı browserına https://www.losev.org.tr yazıyor.

HELLO

Kullanıcı bilgisayarı tarafından LOSEV'in Web Serverına "ClientHello" mesajı gönderilir. Bu mesaj, clientın hangi SSL versiyonunu desteklediğini ve hangi
"Cipher Suite" in kullanılacağı bilgisini içerir. Cipher Suite, Client tarafından desteklenen PKI, Symmetric Algoritma ve Hash Algoritmalarının listesi şeklinde
düşünülebilir.
ClientHello paketini alan Web Server, ServerHello paketi hazırlar ve Clienta gönderir. ServerHello paketi hangi PKI, Symmetric Algoritma ve Hash Algoritmasının
kullanılacağını seçer.

Sertifika Paylaşımı

Server Clienta SSL Sertifikasını gönderir.(Digital Certificate) Bu sertifika, Server Domain bilgisi, Public Key, Sertifikanın hangi şirkete ait olduğu,
Digital imza (Digital Signature) ve Sertifikanın ne zamana kadar geçerli olduğu bilgisini içerir.






















Digital Sertifika evrensel olarak güven kazanmış Trusted CA ler tarafından verilir.(Comodo,GeoTrust vb.) Yani bir şirket belirli bir prosedüre göre başvuru
işlemini gerçekleştirir. Prosedürün işleyişine göre Public Key, şirket bilgileri gibi bilgiler Trusted CA ile paylaşılır ve Trusted CA de şirket için bir
Digital sertifika üretir. Burada dikkat edilmesi gereken bilgi şu şekildedir; Trusted CA ile sadece Public Sertifika paylaşımı yapılıyor Web Serverın Private Key'i
şirket tarafından kimse ile paylaşılmıyor. Yani bizim asıl gizliliğimizi sağlayan anahtar Web Serverımızda ve başka kimse tarafından bilinmiyor.
Trusted CA tarafından üretildikten sonra şirketimizle paylaşılan sertifikayı bir inceleyelim.
Foto Digital Cer Val.



Yukarıdaki şekilde bir Digital Sertifika var bu sertifikanın Domain Name, Şirket Bilgisi, Public Key gibi kısımların bulunduğu kısım bir X Hash Algoritmasına sokuluyor.
Çıkan değer Hash1 olsun. Daha sonra Trusted CA Hash1 değerini dünyada sadece kendisinin bildiği Private Key ile kriptoluyor ve Digital Sertifikanın
en alt kısmına ekleyerek sertifika oluşturma işlemini tamamlıyor. Bu Digital Sertifika, Trusted CA'e başvuru yapan şirkete teslim ediliyor. Burada
şunu unutmadan söyleyelim; Hash1 değeri oluşturulup Trusted CA tarafından sadece kendisinin bildiği ultra gizli private key ile kriptolanması işlemi
imzalama işlemidir. Kriptolanmış Hash1 Digital Signature olarak adlandırılır. Bu Digital Signature dünyadaki kabul görmüş bütün browserların sahip olduğu Public Key
sayesinde Dekript edilebilir. Yani browserlarımıza Trusted CA lerin Public Keyleri defaultta yüklü olarak gelir.



LOSEV'in WEB Serverına ait Digital Sertifika, Trusted CA tarafından verilmişti. Şimdi de WEB Server tarafından clienta gönderiliyor. Client öncelikle sertifikanın,
Digital Signature ile diğer kısmını birbirinden ayırır. Bunu Digital Signature ve A(Digital Signature dışındaki kısmı böyle isimlendirdik)
şeklinde böldüğünü farzedelim. A; Domain Name, Şirket Bilgisi, Public Key gibi değerlerin bulunduğu kısımdır.
Yukarıda Trusted CA tarafından, X Hash algoritmasına sokulmuştu.
Clientta aynı şekilde A'yı X Hash algoritmasına sokuyor. Çıkan değeri Hash2 olarak adlandıralım. 
Digital Signature; Hash1'in, Trusted CA'in Private Keyi ile kriptolanması sonucu oluşmuştu. Asymmetric Kriptonun çalışması nasıldı? Private Key ile kriptolanan
sadece onun Public Key i ile Dekript edilebilirdi. Bu mantığa göre Trusted CAlerin browserda Public Keyinin yüklü olduğunu söylemiştik. Digital Signature
clientın browserında yüklü olan Public Key ile Dekript edildi. Şu an Hash1 değerine ulaştık. Hash1 ile Hash2 aynı ise herhangi bir tehlike altında değiliz demektir.
Yani sertifika yolda bir saldırgan tarafından değiştirlmedi ya da doğal sebeplerden bolzulmadı diyebiliriz.

Eğer bir saldırgan sertifikanın Public Keyini değiştirip, kendisinin dekript edebildiği yani, Private Keyine sahip olduğu bir Public Key yerleştirirse
client bu sertifikayı alıp Digital Signature'u ile değiştirildiğini hemen farkedecektir. Çünkü saldırgan Trusted CA'in Private Keyine sahip olmadığı için
Digital Signature ı doğru oluşturamayacak ya da Digital Signature'ı hiç değiştirmezse de, Hash2 ile Hash1 farklı olacağından kendisini ele verecektir.

Secret Key Değişimi
 
Şu ana kadar Server ile kullanılacak metodları konuştuk sonrasında LOSEV WEB Serverdan Digital Sertifikayı aldık ve Digital Signature kontrolüyle
bunun gerçekten LOSEV'e ait olduğuna emin olduk. Şimdi Client bir Secret Key üretip onu Server ile paylşacaktır. Bu Secret Key ile yapılacak olan
bütün data alışverişi Server ve Client tarafından kriptolanacaktır ve yine aynı Secret Key tarafından server ve client tarafından dekript edilecektir. Yani
asıl data trafiği symmetric algoritma kullanılarak yapılacaktır. Client tarafından üretilen bu Secret Key sadece server ve client tarafından bilinecektir.
Peki nasıl ? Client Secret Key i ürettikten sonra, server tarafından Digital Sertifika içerisinde gönderilen Public Key i kullanarak kriptolayacaktır.
Public Key ile kriptolanan bu Secret Key dünyada sadece Private Key tarafından dekript edilebilir. Bu Private Key'de LOSEV WEB Serverda bulunmaktadır.
Kötü niyetli kişiler tarafından aradaki hat dinleniyor olsa bile Private Key e sahip olmadıkları için dekript edemeyecekler.
Artık Server ve Client Secret Key e sahip. Symmetric Algoritma, Asymmetric Algoritmaya göre daha hızlı çalıştığı için tercih ediliyor ve Data alışverişi
bu algoritma ile sağlanıyor.

HTTPS bir trafiği dinlemenin tek yolu kullanıcı bilgisayarına bir şekilde kendi Public Sertifikanı Trusted CA olarak yüklemektir.
Firewall üzerinden SSL Inspection yapmak isterseniz, Private Sertifikayı Firewall'a, Public Sertifikayı Trusted CA olarak clientlara yükleyebilirsiniz. 


 

29 Ağustos 2018 Çarşamba

BGP Hijacking

BGP Hijacking Saldırısı

Merhaba Arkadaşlar,

Bugün BGP Hijacking atağından bahsedeceğim. İlk olarak BGP nedir neden kullanır kısmından başlayalım.
BGP açılımı Border Gateway Protocol olan ve tüm internet Routerlarının paketleri taşırken, en temelde hangi yoldan taşıyacağına karar vermek için kullandığı Routing
Protokolüdür. Özet olarak internetin koştuğu Routing Protokolü diyebiliriz. Bunu yaparken kendinize ait bir AS numaranız olmalıdır ve tüm internete anons ettiğiniz
yine size ait Public IP Adreslerine sahip olmalısınız.

BGP Hijacking nedir ?
Bir Internet Service Provider (ISP) müşterilerini, kendi altyapısını kullandırarak internete taşır. Bunu yaparken kendi Routerlarına gelen, "8.8.8.8 IP Adresine gitmek
istiyorum" isteklerini en efektif yoldan (Attributes (AS Path, MED vb.)) taşımaya çalışır. Kimi ISP müşterileri internete bakan Routerında default route kullanırken (ip route 0.0.0.0 0.0.0.0 "ISP Node IP Address")
kimisi de BGP koşmaktadır. ISP yedekli yapı kullanılması müşterinin BGP'yi kendi Routerında koşmasını gerektirmektedir ya da sisteminizi DDOS ataklara karşı daha etkili korumak için de BGP koşmamız gerekmektedir.
 
BGP'nin dezavantajlarından birisi diğer BGP koşan sistemlere ya da ISPlere mecburi olarak güvenmek zorunda olmasıdır. Ne gibi diye soracak olursanız Amerika'daki bir servera erişmek
istediğiniz zaman birkaç ISP kullanarak erişmektesiniz. Bu ISPlerden herhangi birisi sizin kullanmış olduğunuz yolu ya da hizmet aldığınız ISP'yi manüple edebilir. Hatta daha da kötüsü
ISP'den Internet hizmeti alan bir şirket, sahip olduğu bir IP Adres bloğunu anons ederken sahibi olmadığı bir bloğu da anons edebilir.(ISP'de önlem alınmadıysa)
Anons ettiği bloğun bir web sitesine ait olduğunu farz edelim.
Legal web sitesine gittiğini sanan internet kullanıcıları (victim) sahte ya da boş bir sayfaya yönlendirilebilir. Bu bir BGP Hijacking örneğidir. Günün sonunda HTTP bir web sitesi
için bu kandırma işlemi gerçekleştiyse kullanıcılar durumun farkında dahi olmayacaktır. (HTTP ve HTTPS'in çalışma farklılıklarından başka bir yazımda bahsedeceğim.)
Yani bir web sitesi kullanılmaz hale getirilmiştir ya da kullanıcılar illegal bir sayfaya yönlendirilmiştir.
BGP Hijacking ile DDOS bir atakta düzenlenebilir. Mesela birkaç farklı IP Bloğuna gelen istekler, Malicious bir BGP Routerı tarafından tüm internet için daha cazip şekilde
anons edilerek bir bankanın web sitesine yönlendirilebilir. (Çeşitli taklalarla bu işlem mümkün.)
Bankanın Internete bakan devreleri,Session, Bandwidth vb. sature edilerek, suncularının banka müşterileriyle olan haberleşmesi önce yavaşlatılır daha sonra da tamamiyle kesilebilir.
Özet olarak BGP Hijacking'in tanımını yapacak olursak, E-BGP Routing Protokolünün doğası gereği Internette yapılan IP Adres anonslarını doğru kabul eder ve Attributelerine ya da temel Routing özelliklerine
bakarak en efektif yolu seçer. Ancak art niyetli kişiler sahibi olmadığı bir bloğu anons edip daha cazip gösterek trafiği üzerine çeker. Bu olayı BGP Hijacking olarak adlandırız.

BGP Hijacking'in nasıl yapıldığı ile ilgili biraz daha ayrıntıya girelim. 11.0.0.0/28 bloğuna sahip olan şirket BGP'de bu bloğu 11.0.0.0/28 şeklinde tek bir blok olaraka anons ediyor. Ancak atak yapmak isteyen kişi 11.0.0.0/24,
11.0.1.0/24, 11.0.2.0/24 ve 11.0.3.0/24 olarak anons ediyor. Daha specific şekilde anons ettiği için tüm dünyadaki BGP konuşan routerlar atak yapan kişiyi daha cazip kabul ederler. Sonuç olarak atak yapan kişi gelen istekleri bir yere yönlendirerek DDOS
atağıyla istediği bir sisteme zarar verebilir ya da kullanıcıları kendi oluşturmuş olduğu klon web sayfasına yönledirebilir. Peki bunu engellenmenin bir yolu var mı ? İş burada ağırlıklı olarak ISP'ye düşmektedir. ISPler
hizmet verdiği müşteriler ile kurmuş olduğu BGP komşuluğunda sadece sahip oldukları network anonslarına izin vermelidir. Yani müşteri sadece 7.7.7.0/24 IP Adres bloğuna sahip ise sadece bunu anons edebilirler. 11.0.0.0/24 IP Bloğunu
anons etmek istese de ISP bunu engellemelidir.(Prefix-List)

2008 Yılında Pakistan Telekom Youtube erişimini kısıtlamak için 208.65.153.0/24 IP Bloğunu null0'a (Black Hole) a yönlendirdi. Ancak Youtube kendi Routerlarında bu anonsu /22 olarak yapıyordu ve daha
specific blok olan /24 tüm dünya routerları tarafından Routing Table'a yazıldı. Sonuç olarak dünya üzerindeki Youtube'a gitmek isteyen herkes Pakistan Telecom aracılığıyla null0'a gönderildi.
Youtube bu durumu aşmak için bloğunu /24'e çekip alt bloklar halinde anons etti, daha sonra diğer ISPlerin de konu ile ilgili olarak yaptığı prefix-list tanımlaması Youtube erişimini yeniden açtı. 2 saat civarında bir süre kesintiden
bahsedilmektedir. Bu olay Pakistan Telecom'un yapmış olduğu BGP Hijacking'e bir örnektir.

DNS: Domain Name Server - İsimden IP Adres çözümlemesi yapan servistir. Yani www.google.com'u browser a yazdığımız zaman bilgisayarımız bir şey anlamaz :) Gider bir DNS Servera sorar "bu www.google.com'un IP Adresi nedir?"
Daha sonra aldığı yanıta gider ve aldığı yanıt bir IP Adresidir. Internet IP Adresleri üzerine kuruludur. Hatta haberleşmelerin çoğu öyle.

2014 yılında Türkiye'de bazı siteler Türk Telekom DNSlerinden "İletişim Daire Başkanlığı Tarafından engellenmiştir." yazısının olduğu bir web servera yönlendiriliyordu. Bunun üzerine, Türk Telekom 8.8.8.8, 4.4.2.2 gibi
IP Adreslerini müşterilerine kendisi anons etti. Ancak Pakistan Telecom'un yapmış olduğu acemiliğin aksine Prefix-List ile bu anonsun diğer ISPlere yapılmasını engelledi. Bu DNSlere gelen istekleri kendi Turk Telekom DNS Serverına
yönlendirerek kullanıcılarının yasaklı sitelere gitmesini engelledi ve diğer gitmek istedikleri sayfaları da engellememiş oldu. Yani kullanıcı DNS'ini değiştirse bile yasaklı sitelere girememiş oldu. Turk  Telekom'un almış
olduğu bu aksiyon yine BGP Hijacking olarak adlandırılmakta.

BGP Hijacking yapılarak bir networkun anonsu, networkun sahibi olmayan kişilerce(hacker vb.) yapılıp kendisini "Transit Area" yaparak bütün trafiği kendi üzerinden geçirir ve doğru hedefe yönlendirir. Ancak tüm trafiği dinlediği
için cleartext trafiğin tamamını çıplak halde görmektedir. Bu da bilgi çalımına sebep verecektir. 



BGP Hijacking ataklardan korunmanın bir takım yolları söz konusu.

Looking Glass Serverlar ile BGP'deki değişilikler gözlenebilir. LG Server ınternet üzerindeki bütün anonsların duyulduğu ISPlere ait gerçek routerlardır ve kişişler erişip belli başlı bilgilere erişebilir, hangi networkler mevcut
hangi AS-Path ile bu networklere ulaşılıyor ya da benim yapmış olduğum network anonsları Internete ulaşıyor mu gibi.

ISPler Prefix-List kullanarak müşterilerinin sahibi olmadığı networklerin anonsunu yapmasını engeller.

ISPler sadece /24 ve altındaki networklerin anonsuna izin verir. (/16, /17... vb)

ISPler AS-Path'i limitler.

BGP Hijacking'in korunma yöntemleri arasında olan BGPSec ve RPKI'dan başka yazılarımda bahsedeceğim.




 

   

25 Ağustos 2018 Cumartesi

BGP / SYNCRONIZATION - NO SYNCRONIZATION

BGP  / SYNCRONIZATION - NO SYNCRONIZATION

Merhaba Arkadaşlar,

Güncel version Cisco Routerlarda BGP Routing Protokolünü enable ettiğiniz zaman, "Router BGP "AS Number""
Section'ı altında "no syncronization" komutu default olarak gelmektedir. Tabiki bahsettiğimiz gibi güncel routerlarda bu durum söz konusu.
Peki bu syncronization komutunun görevi tam olarak ne ? Geçmiş versiyona sahip routerlarda neden "syncronization" enable durumdaydı.
Bugün bundan bahsedeceğiz.
İlk olarak bir takım temel terimlerden bahsedelim. EGP Internette kullanılan routing protokollerinin genel adıdır.(BGP) IGP ise lokal networklerde routerlar arasında kullanılan
routing protokollerinin genel adıdır. (OSPF, EIGRP vb.)

Aşağıdaki topoloji üzerinden konuyu anlatmaya çalışalım;

AS 100'de bulunan R4 routerı 100.1.1.0/24 networkunu anons etmektedir. 100.1.1.0/24 networku Transit Area olan AS 200 üzerinden R1, R2 ve R3 routerları aracılığıyla
AS 300'de bulunan R5 routerına ulaştırılmak istenmektedir.
Transit Area'dan bahsedecek olursak; R1, R2 ve R3 routerından oluşmaktadır. AS 200'e dahil olan R1 ve R3, internete bakan tarafta E-BGP ve birbileri arasında da I-BGP koşmaktadır.
Yani R1 ile R3 arasında I-BGP, R1 ile R4 arasında E-BGP, R3 ile R5 arasında da E-BGP koşmaktadır. R1 ve R3 arasında komşuluğun kurulabilmesi için R1'in R3'e lokal olarak
erişebilmesi gerekmektedir. Ayrıca lokaldeki sistemlerin de iç networkte haberleşebilmesi IGP bir protokolun içeride aktif olması ile mümkün olabilir.
R5 Routerının arkasındaki bir network Transit Area'ı kullanarak R4'ün arkasında bulunan 100.1.1.0/24 networkune erişmek istemektedir. Transit Area'ya geldiği zaman
R3 Routerı packeti alıp R2'ye iletiyor. R2 ise sadece local networklerin bulunduğu Routing Table'a sahip. Sonuç olarak paketler drop ediliyor.
Router BGP "AS Number" komutu altında bulunan "syncronization" komutu burada önem kazanıyor. Şöyle ki IGP olarak R1,R2 ve R3 arasında OSPF koşsun. OSPF'e BGP'den öğrenilen
routingler anons edilmemişse yani OSPF'in Routing Table'ında 100.1.1.0/24 ya da 0.0.0.0/0 yok ise R1 ve R3'ün BGP Routing Table'ındaki 100.1.1.0/24 Network'ü silinir. Sonuç olarak
bir routerda "Syncronization" komutu IGP ile BGP'nin öğrenmiş olduğu networklerin paralel olmasını bekler, olmadığı taktirde Routing Table'ına yazmaz. Amaç "Black Hole" un engellenmesidir.

Aklımıza şöyle bir soru gelebilir, "no syncronization" komutunu kullandığımız durum hangisidir. Aşağıdaki topolojide R1,R2 ve R3 routerlarının tamamı I-BGP koşuyorsa
ve bunu FULL-MESH komşuluk kuracak şekilde yapıyorsa "no sycnronization" komutu ile 100.1.1.0/24 networkune, R5 routerından sorunsuz şekilde erişilebilir.