Bir ağdaki bağlantı noktalarının diğer cihazlardan paket almaya açık olup olmadığını belirlemek için kullanılan bağlantı noktası taramaları, savunmaların desteklenmesine yardımcı olmak için güvenlik ekiplerine faydalı olabilir. Ancak süreç, saldırıya açık bağlantı noktaları bulmaya çalışan kötü niyetli aktörler tarafından da kullanılabilir.
Port tarama saldırılarının ne olduğunu ve bunlara karşı nasıl önlem alınacağını ve bunlara karşı nasıl savunulacağını incelemeden önce, port ve port taramasının ne olduğuna bakalım.
PORT (BAĞLANTI NOKTASI) NEDİR ?
Port, paketler olarak bilinen veri birimlerinin içinden geçtiği bir iletişim uç noktasıdır . Taşıma katmanı protokolleri, paketleri iletmek ve değiş tokuş etmek için port numaralarını kullanır. En iyi bilinen aktarım katmanı protokolleri, veri göndermeden önce kurulmuş bir bağlantı gerektiren bağlantı odaklı bir protokol olan İletim Kontrol Protokolü ( TCP ) ve iki yönlü bir bağlantı gerektirmeyen bağlantısız bir protokol olan Kullanıcı Datagram Protokolü ( UDP )'dir. iletişimin başlaması için kurulmalıdır.
TCP ve UDP tarafından kullanılan her bağlantı noktası belirli bir işlem veya hizmetle ilişkilendirilir. 0 ile 65535 arasında değişen bağlantı noktası numaraları, ağa bağlı cihazlarda standartlaştırılmıştır. Bağlantı noktası 0, TCP/IP ağlarında ayrılmıştır ve TCP veya UDP mesajlarında kullanılmamalıdır . 1'den 1023'e kadar olan bağlantı noktaları, Internet Assigned Numbers Authority (IANA) tarafından tanımlandığı gibi, internet protokolleri için varsayılan olarak kullanılan iyi bilinen bağlantı noktalarıdır.
1024 ila 29151 aralığındaki bağlantı noktası numaraları, belirli protokollerle ilişkilendirilmek üzere IANA'ya kayıtlı bağlantı noktaları için ayrılmıştır . 49152 ila 65535 aralığındaki bağlantı noktaları, gerektiğinde dinamik bağlantıları adreslemek için kullanılan kısa ömürlü bağlantı noktalarıdır.
En çok kullanılan bağlantı noktalarından bazıları şunlardır:
- HTTP için TCP bağlantı noktası 80 ve UDP bağlantı noktası 80 kullanılır.
- HTTPS için TCP bağlantı noktası 443 ve UDP bağlantı noktası 443 kullanılır.
- TCP bağlantı noktası 465, Basit Posta Aktarım Protokolü (SMTP) gibi posta sunucuları için kullanılır .
PORT TARAMASI NEDİR ? NE İÇİN KULLANILIR ?
Port taraması, belirli bir bilgisayarın hangi bilgisayar ağı hizmetlerini sağladığını öğrenmek için birileri tarafından gönderilen bir dizi mesajdır. Port tarayıcıları, internete bağlı bir cihazda hangi bağlantı noktalarının ve hizmetlerin açık veya kapalı olduğunu belirleyen uygulamalardır. Bir port tarayıcı, 65.536 portun tamamında hedef bilgisayara bir bağlantı talebi gönderebilir ve hangi portların nasıl yanıt verdiğini kaydedebilir. Bağlantı noktalarından alınan yanıt türleri, kullanımda olup olmadıklarını gösterir.
Kurumsal güvenlik duvarları, bir bağlantı noktası taramasına üç şekilde yanıt verebilir:
- Açık : Bir bağlantı noktası açıksa isteğe yanıt verecektir.
- Kapalı : Kapalı bir bağlantı noktası, açık isteği aldığını ancak reddettiğini belirten bir mesajla yanıt verecektir. Bu şekilde, gerçek bir sistem açık bir istek gönderdiğinde, isteğin alındığını bilir, ancak yeniden denemeye devam etmeye gerek yoktur. Ancak bu yanıt, taranan IP adresinin arkasında bir bilgisayarın varlığını da ortaya koymaktadır.
- Cevap yok : Ayrıca filtrelenmiş veya bırakılmış olarak da bilinir , bu, ne isteği kabul etmeyi ne de bir yanıt göndermeyi içerir. Bağlantı noktası tarayıcısına yanıt gelmemesi, bir güvenlik duvarının istek paketini büyük olasılıkla filtrelediğini, bağlantı noktasının engellendiğini veya orada bağlantı noktası olmadığını gösterir. Örneğin, bir bağlantı noktası engellenirse veya gizli moddaysa, güvenlik duvarı bağlantı noktası tarayıcısına yanıt vermez. İlginç bir şekilde, engellenen bağlantı noktaları TCP/IP davranış kurallarını ihlal eder ve bu nedenle, bir güvenlik duvarı bilgisayarın kapalı portların yanıtlarını bastırmak zorundadır. Güvenlik ekipleri, kurumsal güvenlik duvarının tüm ağ bağlantı noktalarını engellemediğini bile görebilir. Örneğin, Tanımlama Protokolü tarafından kullanılan 113 numaralı bağlantı noktası tamamen engellenirse, İnternet Geçişli Sohbet gibi bazı uzak internet sunucularına bağlantılar, ertelenebilir veya tamamen reddedilebilir. Bu nedenle, birçok güvenlik duvarı kuralı, 113 numaralı portu tamamen engellemek yerine kapalı olarak ayarlar.
PORT (BAĞLANTI NOKTASI) TARAMA TÜRLERİ
TCP ve UDP en çok kullanılan taşıma katmanı protokolleri olduğundan, genellikle port taramada kullanılırlar.
Tasarım gereği TCP, göndericiye bir paketin alınıp alınmadığını bildirmek için bir alındı ( ACK ) paketi gönderir . Bilgi alınmazsa, reddedilirse veya yanlışlıkla alınırsa, negatif bir ACK veya NACK paketi gönderilir. Öte yandan UDP, bir paket alındığında bir ACK göndermez; bilgi alınmazsa, yalnızca "ICMP [İnternet Kontrol Mesaj Protokolü] bağlantı noktasına erişilemiyor" mesajıyla yanıt verir.
Bu nedenle, aşağıdakiler de dahil olmak üzere çeşitli port tarama teknikleri mevcuttur:
TCP ve UDP en çok kullanılan taşıma katmanı protokolleri olduğundan, genellikle port taramada kullanılırlar.
Tasarım gereği TCP, göndericiye bir paketin alınıp alınmadığını bildirmek için bir alındı ( ACK ) paketi gönderir . Bilgi alınmazsa, reddedilirse veya yanlışlıkla alınırsa, negatif bir ACK veya NACK paketi gönderilir. Öte yandan UDP, bir paket alındığında bir ACK göndermez; bilgi alınmazsa, yalnızca "ICMP [İnternet Kontrol Mesaj Protokolü] bağlantı noktasına erişilemiyor" mesajıyla yanıt verir.
Bu nedenle, aşağıdakiler de dahil olmak üzere çeşitli port tarama teknikleri mevcuttur:
- Bir ping taraması veya sweep taraması , etkin olup olmadıklarını görmek için birkaç bilgisayardaki aynı bağlantı noktasını tarar. Bu, hangi bilgisayarların yanıt verdiğini görmek için bir ICMP yankı isteği göndermeyi içerir.
- Bir TCP SYN taraması veya TCP yarı açık tarama , port taramaları için en yaygın türlerinden biridir. İletişimi başlatmak için TCP eşitleme (SYN) paketlerinin gönderilmesini içerir ancak bağlantıyı tamamlamaz.
- Vanilla taraması olarak da bilinen bir TCP bağlantısı , iletişimi başlatmak için TCP SYN paketleri göndermesi bakımından bir TCP SYN taraması gibidir, ancak bu tarama bir ACK göndererek bağlantıyı tamamlar.
- Bir strobe taraması , yalnızca seçilen bağlantı noktalarına, genellikle 20'den az bağlanma girişimidir.
- Bir UDP taraması , açık UDP bağlantı noktalarını arar.
- Bir FTP bounce taramasında , diğer ana bilgisayarları taramak için bir FTP sunucusu kullanılır. Bir FTP sunucusu aracılığıyla yönlendirilen tarama girişimleri, bağlantı noktası tarayıcısının kaynak adresini gizler.
- Bir de fragmented tarama , TCP başlığı bir güvenlik duvarı tespiti önlemek için çeşitli paketler üzerinden yapılanır.
- Stealth taramalar , bağlantı isteğinin günlüğe kaydedilmesini önleme girişimini taramak için çeşitli teknikler içerir.
PORT SCAN ATTACK NEDİR ?
Port taraması mutlaka bir saldırı olduğunu göstermez. Bağlantı noktası tarama bilgilerinin neden toplandığını ve ne için kullanıldığını bilmek önemlidir.
Port tarama, kötü niyetli aktörler tarafından kullanılan en popüler bilgi toplama yöntemlerinden biridir. Saldırgan , keşif sürecinin bir parçası olarak, bir cihazın hangi hizmetleri çalıştırdığını bulmak ve kullanılan işletim sistemi hakkında bir fikir edinmek için port taramasıyla toplanan verileri kullanabilir. Bu veriler daha sonra, ağa erişim elde etmek için bunlardan yararlanma niyetiyle savunmasız sistemleri işaretlemek için kullanılabilir.
Öte yandan, güvenlik ekipleri ve sızma test cihazları , güvenlik açıklarını, ağdaki dikkat edilmesi gerekebilecek yeni cihazları, olası yanlış yapılandırmaları ve güvenlik kapsamındaki diğer açıkları tespit etmek için bağlantı noktası tarama verilerini kullanabilir ve savunmaları destekleyebilir.
Bir yönlendirici, kaba kuvvetle birden çok periyodik sondalama vakası bildirdiğinde, yönlendirici, bir bağlantı noktası tarayıcısından gelen bağlantı noktası isteklerini kaydeder. Bu, internete bakan sistemlerin çoğu her gün tarandığından kötü amaçlı olabilir veya olmayabilir.
Port tarama uygulaması internet kadar eskidir. Protokoller zamanla değişmiş ve güvenlik araçları ve sistemleri yıllar içinde gelişmiş olsa da, özellikle kendi sistemlerini tarayan güvenlik ekibi olmadığında, bağlantı noktası tarama uyarılarının hala algılanması ve bunlara dikkat edilmesi gerekir.
PORT SCAN ATTACK NASIL TESPİT EDİLİR ?
Bir port tarama saldırısının durdurulabilmesi için önce tespit edilmesi gerekir. Uygun şekilde kurulduğunda ve yapılandırıldığında, modern güvenlik cihazları, yerel ağdaki sistemlere erişim girişimlerini takip ederek bağlantı noktası taramalarını tespit etmede oldukça etkilidir.
Çoğu güvenlik cihazı, ister tek bir ana bilgisayarı ister birden çok ana bilgisayarı hedeflesin, aynı kaynaktan devam eden tekrarlanan tarama denemelerini birbirine bağlayabilir. Etkili olmak için, bağlantı noktası tarama saldırılarının nispeten kısa bir süre içinde birçok farklı sistemdeki birçok farklı bağlantı noktasını araştırması gerekebilir, bu da girişimlerin tespit edilmesini kolaylaştırır. Buna karşı koymak için, bazı saldırganlar çok daha uzun bir zaman diliminde açık portları araştırmayı tercih edebilirler, bu durumda port tarama saldırısını tespit etmek daha zor hale gelir. Ancak saldırganın dezavantajı, savunmasız bir sistemi bulması saatler, günler veya daha uzun sürebilir.
AĞDAKİ PORT TARAMALARI NASIL ENGELLENİR ?
Port tarama hareketini engellemek imkansızdır; herkes bir IP adresi seçip açık portlar için tarayabilir. Bir kurumsal ağı düzgün bir şekilde korumak için güvenlik ekipleri, kendi taramalarını çalıştırarak ağlarının bağlantı noktası taraması sırasında saldırganların neler keşfedeceğini öğrenmelidir. Ancak, AWS gibi birçok bulut barındırma hizmetine yönelik güvenlik değerlendirmelerinin ve kalem testlerinin taramadan önce onaylanması gerektiğini unutmayın.
Güvenlik yöneticileri, hangi bağlantı noktalarının açık olarak yanıt verdiğini öğrendikten sonra, bu bağlantı noktalarına kurumsal ağ dışından erişilmesi gerekip gerekmediğini gözden geçirebilirler. Değilse, güvenlik yöneticileri bunları kapatmalı veya engellemelidir. Açık portlar gerekli görülürse, yöneticiler ağın hangi güvenlik açıklarına ve istismarlara açık olduğunu araştırmaya başlamalı ve ağı korumak için uygun yamaları uygulamalıdır .
Bazı güvenlik duvarı türleri, uyarlanabilir davranış kullanır; bu, şüpheli bir IP adresi onları araştırıyorsa önceden açık ve kapalı bağlantı noktalarını otomatik olarak engelleyecekleri anlamına gelir. Güvenlik duvarları ayrıca, tek bir ana bilgisayardan çok çeşitli bağlantı noktalarında bağlantı isteklerini algılarlarsa yöneticileri uyaracak şekilde yapılandırılabilir. Ancak bilgisayar korsanları, strobe veya stealth modda bir bağlantı noktası taraması yaparak bu korumayı aşabilir.
Güvenlik duvarları ve izinsiz giriş tespit sistemleri her zaman olağandışı bağlantı girişimlerini ve isteklerini tespit edecek ve engelleyecek şekilde yapılandırılmalıdır. Örneğin, bir bağlantı noktası taraması tamamlandıktan sonra, saldırganlar daha önceki araştırmaları doğrulamak veya ana saldırılarını geliştirmek için gereken ek bilgileri elde etmek için birkaç araştırma saldırısı başlatabilir. Bir SIEM sistemine anormal aktivite beslemek , gerçek zamanlı geri bildirim sağlayabilir ve olaylara otomatik yanıtları iyileştirebilir .
PORT TARAMA ARAÇLARI
Port taraması gerçekleştirmek için aşağıdakiler dahil çeşitli araçlar kullanılabilir:
- Nmap
- Gelişmiş Bağlantı Noktası Tarayıcı
- Angry IP Tarayıcı
- Metasploit
- NetCat
- NetScanTools
- SolarWinds Bağlantı Noktası Tarayıcı
- UnicornScan
