Bu dokümanda Liman MYS'nin Ağ Keşif Eklentisinde kullanılan keşif yöntemleri anlatılmaktadır.
SNMP
SNMP (Simple Network Management Protocol), çoğu yönetilen ağ cihazı tarafından kullanılan bir protokoldür. Yaygın olarak kullanılan SNMP versiyonları v1, v2c ve v3'tür. Genellikle sadece veri okumak için kullanılsa da, okuma ve yazma işlemlerini de destekler. Varsayılan olarak 161 numaralı portu kullanır. SNMP, ağ cihazlarının yönetim verilerini MIB (Management Information Base) adı verilen bir yapıda tutar. Bu yapıdaki veriler SNMP ile uzaktan sorgulanabilir. Kimlik bilgileri farklıysa, her cihaz için ayrı keşif işlemleri yapılmalıdır.
SNMP ile keşfedilebilecek veriler, cihazın türüne ve uyumluluğuna göre değişiklik gösterir. Switch'lerin adı, seri numarası, modeli ve üretici bilgileri gibi temel envanter bilgileri, erişim noktaları ise cihaz olarak eklenir. Ayrıca, VLAN'lar, switch'in IP ve MAC adresleri de keşfedilir. ARP tablosu kullanılarak IP ve MAC adresleri eşleştirilir, switch portlarına bağlı MAC adresleri görüntülenir.
ICMP
ICMP (Internet Control Message Protocol) keşfi, ağdaki cihazların durumunu kontrol etmek ve ağ yapısını anlamak için kullanılan bir tekniktir. ICMP, cihazlar arasında hata bildirme, ağ durumu kontrolü ve bağlantı testleri gibi işlevler üstlenen bir protokoldür. Bu protokolün en yaygın kullanımı, "ping" komutuyla gerçekleşir. Ping, belirli bir hedef cihazın ağda ulaşılabilir olup olmadığını ve yanıt süresini ölçmek için kullanılır.
ICMP keşfi, ağ üzerindeki cihazlara ICMP paketleri göndererek hangi cihazların aktif olduğunu tespit eder. Eğer bir cihaz, gönderilen ICMP paketine yanıt verirse, bu, cihazın çevrimiçi olduğu anlamına gelir. Bu keşif yöntemi, temel bağlantı durumu hakkında hızlı bilgi sağlar, ancak SNMP gibi detaylı veriler sunmaz. Dolayısıyla, ICMP, basit ve hızlı bir ağ keşfi aracı olarak sıklıkla tercih edilir.
SSH
SSH (Secure Shell) keşfi, bir ağa bağlı cihazlara uzaktan erişim sağlamak amacıyla gerçekleştirilen bir protokoldür. Bu süreç, genellikle hedef cihazın SSH sunucusuna bağlanarak bilgi toplamak veya sistemleri yönetmek için kullanılır.
- Liman MYS’de SSH keşfi yapılırken, ilk olarak hedef cihazın kullanıcı adı/ip adresi ve parola bilgileri ile SSH bilgisi oluşturulur.Daha sonra keşif yapılır.
SSH keşfi gerçekleştirirken, doğru kullanıcı adı ve parola kullanılması önemlidir. Yanlış bir kullanıcı adı girilmesi durumunda veya hedef makinenin kimliğini belirlemek için gerekli bilgilerin eksik olması durumunda bağlantı kurulamaz. Hedef makinenin hostname veya IP adresi girilerek, SSH istemcisinin bağlanacağı cihaz belirlenmelidir.
SSH Bilgileri Oluşturma
Kullanıcı Adı ve Parola: Bağlantı kurulacak cihazın kimlik doğrulaması için gereklidir. Bu bilgiler, hedef sistemdeki kullanıcı hesabına erişim sağlamak amacıyla gereklidir.
Port: SSH için varsayılan port genellikle 22’dir, ancak farklı portlar da kullanılabilir.
Anahtar Değişim (KEX) Algoritmaları: Bağlantı güvenliği için kullanılan algoritmalardır.
Host Key Algoritmaları: Sunucu kimlik doğrulaması için kullanılan algoritmalardır.
Şifreleme Bilgisi: Veri güvenliği sağlamak amacıyla kullanılan şifreleme algoritmalarıdır.
WMI
WMI (Windows Management Instrumentation), Windows işletim sistemlerinde sistem yönetimi ve izleme işlemlerini gerçekleştirmek için kullanılan bir altyapıdır. WMI kullanılarak donanım, yazılım, ağ gibi sistem bileşenlerinden bilgi toplama, bu bileşenleri yönetme ve izleme imkanı sunar. Örneğin, WMI kullanılarak işletim sistemi bilgileri, ağ ayarları, çalışan süreçler ve donanım durumu gibi sistem verileri alınabilir. Sadece yerel bilgisayarlarda değil, uzak bilgisayarları da yönetmek için kullanılabilir.
WMI servisi bilgileri için Start > Run’a wmimgmt.msc yazılır. WMI kontrol arayüzü görüntülenir. Arayüzde sol taraftaki WMI Control (Local)’e sağ tıklanıp Properties seçilir.
- Liman MYS’de WMI keşfi yapılırken, ilk olarak hedef cihazın kullanıcı adı/ip adresi ve parola bilgileri ile WMI bilgisi oluşturulur.Daha sonra keşif yapılır.
WMI keşfi gerçekleştirilirken, doğru kullanıcı adı ve parola girilmesine dikkat edilmelidir. Eksik olursa hedef makine keşfedilemez.
WMI Terimleri:
WMI Servisi (winmgmt): WMI'nın temel servisidir ve WMI sorgularının işlenip yönetildiği ana bileşendir. WMI işlemleri bu servis aracılığıyla gerçekleştirilir.
Namespace: WMI, bilgileri düzenlemek için namespace adı verilen kategorilere ayrılmıştır. En yaygın kullanılan namespace, işletim sistemi ve donanım bilgilerini içeren root\cimv2 namespace'idir.
Sınıflar: WMI, sistem bileşenlerini sınıflar aracılığıyla temsil eder. Her sınıf belirli bir sistem bileşeni veya işlemle ilişkilidir. Önemli sınıflardan bazıları:
Win32_OperatingSystem: İşletim sistemiyle ilgili bilgileri sunar.
Win32_Process: Sistem üzerindeki çalışan süreçler hakkında bilgi sağlar.
Win32_LogicalDisk: Disk sürücüleri hakkında bilgi almayı sağlar.
WQL (WMI Query Language): WMI, WQL ile veri sorgulama ve alma işlemleri yapar. Bu dil, sistem bileşenleri hakkında spesifik sorgular oluşturmak için kullanılır.
Provider (Sağlayıcılar): WMI sağlayıcıları, sistemden gerekli bilgileri toplar ve WMI servisine sunar. Sağlayıcılar, donanım, yazılım veya ağ bilgilerini WMI’ya ileterek bu bilgilerin sorgulanmasını sağlar.
Nmap
Nmap (Network Mapper), ağ keşfi ve güvenlik denetimi için kullanılan açık kaynak bir araçtır. Nmap bir topoloji veya sistemde hangi cihazların aktif olduğunu anlamak, çalışan cihazların sunduğu servisleri bulmak, açık portları veya bağlantı noktalarını anlamak için kullanılır.
Nmap tekil bir cihaz veya birçok cihazdan oluşan bir ortamı taramak için kullanılabilir.
- Liman MYS üzerinden keşif yapılması için ilk olarak Nmap Seçenekleri bilgileri doldurulur.
Nmap Seçenekleri
Timeout: Nmap'ın belirli bir işlem veya yanıt için bekleyeceği maksimum süreyi belirler tanır. Yanıt alınamazsa, belirlenen süre dolduğunda Nmap, o isteği zaman aşımına uğratır. Özellikle çok sayıda cihaz tararken, ağdaki yavaş yanıt süreleri nedeniyle bu ayar önemlidir.
Timing Template: Tarama hızını ayarlamak için kullanılır. Bu ayarlar 0 ile 5 arasında değişiklik gösterir.
Min Parallelism: Aynı anda yapılacak minimum tarama isteği sayısını belirler.
Version Intensity: Nmap sürüm taraması yaparken, bir prob hedef hizmetle eşleştiğinde tarama sonlanır. Version Intensity kaç probun deneneceğini kontrol eder. Yoğunluk seviyesi 0 ve 9 arasındadır. Seviye ne kadar yüksekse o kadar fazla prob denenir. 0 seviyesi sadece NULL probu kullanır. 9 seviyesinde tğm problar denenir.
OS Detection: Hedef cihazın işletim sistemini tanımlar. Hedefteki işletim sistemini belirler. Ayar istenirse devre dışı bırakılabilir.
Skip Host Detection: Hedef cihazın aktif olup olmadığını kontrol etmeden doğrudan tarama yapar. Ayar istenirse devre dışı bırakabilir.
Connect Scan: TCP bağlantısı kurarak port taraması gerçekleştirir. SYN taramasına göre daha fazla paket gerektirir. NmaTCP Connenct Scan’de Nmap, three way handshake ile SYN, SYN-ACK , ACK olarak tamamlandıktan sonra bağlantıyı hemen kapatmak için RST paketi kullanır. ACK aşamasında hedef makinedeki açık port üzerinden veri akışı başlayabilir. Örneğin SSH Banner gönderilebilir. Ancak Nmap bu aşamada veri iletimi yapmaz ve bağlantıyı RST paketi ile keser. Ayar istenirse devre dışı bırakabilir.
Service Info: Açık portlarda hangi hizmetlerin çalıştığını gösterir. Ayar istenirse devre dışı bırakabilir.
Port
Port keşfi, belirlenen IP adreslerine ait açık portların tespit edilmesidir. Port keşfi sırasında hedef cihazın IP adresi veya IP aralığı ve taranacak port numarası veya port aralığı belirtilir. Buna göre keşif gerçekleştirilir.
Top comments (0)