EN

Ortadaki Adam (MITM) Saldırısı Nedir?

19 Kasım 2019

Man in the middle saldırısı ağda, iki bağlantı arasındaki iletişimin dinlenmesi ile çeşitli verilerin ele geçirilmesi veya iletişimi dinlemekle kalmayıp her türlü değişikliğin yapılmasını da kapsayan bir saldırı yöntemidir. MITM’de iki taraf arasındaki iletişim kesilebilir ya da yanıltıcı bir iletişim oluşturulabilir. Bu saldırı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

Kablosuz ağlarda ise paketler tamamen broadcast olarak yayıldığı için herhangi bir ön işleme gerek olmaksızın tüm paketler saldırgan tarafından yakalanabilir. Bu sebeple Ücretsiz Wi-Fi sağlayan alanlar, MiTM saldırısının gerçekleştirilmesi için en uygun alanlardır. Şifrelenmemiş paketlerin içerikleri kolaylıkla okunabilir. Wifi alanlarındaki saldırganlar network trafiğini kendi üzerlerinden geçecek şekilde yönlendirirler. Böylece o ağdaki kişilerin trafiği saldırgan üzerinden akmaya başlar. Bu trafiği ele geçiren saldırgan buradan birçok kişisel veri şifre vs. elde edebilir.

Saldırganın gerçekleştirdiği saldırıda hedef ile ağ unsurları (sunucu, switch, router ya da modem) arasında geçen trafiği dinlemek ve İletişim ağı üzerinde serbestçe dolaşan veri paketlerini ele geçirmek yerel ağda veya uzak bir ağda gerçekleştirebilir. Aşağıdakiler dâhilinde birçok farklı çeşidi de bulunmaktadır.

Yerel Ağ Üzerinde Yapılabilecek Saldırılar

ARP Poisoning (ARP Zehirlenmesi): Saldırgan sahte ARP Request çerçevesi ile kendisini hedef olarak gösterir. Böylece gerçek hedefe gidecek olan paketler saldırgana doğru gelir. Saldırgan MAC Adresini hedef bilgisayarın tablosuna 'Ağ Cihazı MAC Adresi' olarak eşleştirme yaptırır. Trafik bu şekilde kendi üzerinden akmaya başlar.

DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma): DNS ön bellek zehirlenmesi bir DNS sunucusunun ön bellek veri tabanına veri eklenerek ya da oradaki veriler değiştirilerek ad sunucunun yanlış IP adresleri dönmesine ve trafiğin başka bir bilgisayara (sıklıkla da saldırıyı gerçekleştirenin bilgisayarına) yönlendirilmesine neden olan bir saldırıdır.

Port Stealing: Saldırgan, sahte ARP çerçevesi oluşturarak hedef sunucunun MAC adresini kaynak adres olarak kullanır. Switch, kurban bilgisayarın aslında bir saldırganın bağlı olduğu porta bağlı olduğunu sanarak kandırılır. Böylece kurbanın bilgisayarı için gönderilen tüm veri çerçeveleri, saldırganın switch portuna gönderilir.

STP Mangling: STP protokolünün çalışmasını engelleyen ve sürekli topoloji değişim isteği yollayan bir saldırı türüdür.

Yerel Ağdan Uzak Ağa Gateway Aracılığıyla Yapılabilecek Saldırılar

ARP Poisoning (ARP Zehirlenmesi)

DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma)

DHCP Spoofing (DHCP Aldatma): Saldırgan DHCP sunucusu görevi görerek kurban bilgisayarlara IP dağıtır ve gateway olarak kendi adresini verir. Bu şekilde ağ trafiği kendi üzerinden akar.

ICMP Redirection: Yayınlanan ICMP Redirect mesajları saldırı amacıyla saldırganlar tarafından trafiğini üzerlerine almak için kullanılan saldırı yöntemidir.

IRDP Spoofing: ICMP Router keşif protokolü, ana bilgisayarın aktif yönlendiricilerin IP adresini keşfetmesini sağlar. Saldırgan, sahte ağdaki IRDP yönlendirici reklam iletisini alt ağdaki ana bilgisayara göndererek varsayılan yönlendiricisini değiştirmesine neden olur.

Route Mangling: Saldırgan internetteki istemci için en iyi route olduğunu gatewaye sahte paketler yollayarak kandırır. Paketler gatewaye uğramadan doğruca istemciye iletilir.

Uzak Ağ Üzerinde Yapılabilecek Saldırılar

DNS Poisoning (DNS Zehirlenmesi)

Traffic Tunneling: Saldırganın bir tünel oluşturarak kendisini iç ağa yerleştirmesine olanak tanıyan saldırı türüdür

Route Mangling

Tespit ve Korunma Yöntemleri

-Ortadaki adam saldırısının tespiti oldukça zor olduğu için korunma yöntemlerine önem vermek daha uygun olacaktır.

-Kimlik doğrulama, mesajın nereden geldiğine dair doğrulama sağlanması korunma ve tespit için yöntemlerden biri olabilir. Sunucuyla değiştirilen iletinin orijinal olduğunu doğrulamak sahte paketlerden korunmayı sağlamaktadır. Sertifikalar kullanılarak kimlik doğrulaması yapılabilir. TLS gibi bir açık anahtara altyapısı MITM saldırısına karşı TCP’yi sağlamlaştırabilir. DNSSEC, DNS kayıtlarını doğrulayarak kötü niyetli ıpye yönlendirmesini engelleyerek DNS protokolünün güvenliğini sağlayabilir. SSH ve potansiyel olarak IPSec gibi güvenli protokolleri kullanmak ağı daha güvenli hale getirebilir, verileri doğrulayabilir ve şifreleyebilir. Ağda bulunan her noktanın güvenli sağlamlaştırılmalıdır.

-Kablosuz erişim noktalarında güçlü bir şifreleme mekanizmasına sahip olmak, istenmeyen kullanıcıların ağınıza katılmasını önler. Şifreleme uygulaması ne kadar güçlü olursa, ağ oa kadar güvenli olur. Halka açık ve şifresiz WiFi ağlarını kullanmaktan kaçının.

-Ağınızın yetkisiz erişimi engellemek için güçlü güvenlik duvarları ve protokolleri olmalıdır.

-Sahtecilik denemelerini tespit etmek ve engellemek için üçüncü taraf penetrasyon test araçlarını, yazılımını ve HTTPS şifrelemesini kullanın. HTTPS destekli siteleri kullanın.

-Sisteminizde çalışan açılışta çalışan bir tarayıcı içeren etkin virüs ve kötü amaçlı yazılım koruması yükleyin.

-Çalışanların bu konuda bilinçli olmasını sağlamak için eğitimler verin.

-VPN kullanın. Hassas veri alışverişi için güvenli olan yerel bir ağ çerçevesinde bir alt ağ oluşturmak için kullanılabilir. Anahtar tabanlı şifreleme, tüm trafiğin şifrelenmesini sağlayacak ve şifrelenen verileri yalnızca yetkili kişiler görebilecektir. Bu nedenle VPN varsa ortadaki adam saldırılarının gerçekleştirilmesi zor olmaktadır.

Adli Analiz

Ağda bir MiTM saldırısı olup olmadığını ve saldırısı gerçekleştiyse kaynağını tespit etmek için bakılacak kayıtlar şunlardır.

- Sunucunun IP adresi – DNS adı
- Sunucunun X.509 sertifikası geçerlilik durumu, hangi sertifika otoritesi tarafından imzalanmış vb. sertifika ile ilgili detayların incelenmesiyle saldırı analizi yapılabilir.

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog