OzzTech - SSL ve TLS Güvenliğinin Yanlış Yapılandırılması Ve Bunları Önleme Yolları

SSL ve TLS Güvenliğinin Yanlış Yapılandırılması Ve Bunları Önleme Yolları

SSL Ve TLS Güvenliğinin Yanlış Yapılandırılması Ve Bunları Önleme Yolları

Şifreleme protokolleri, makinelerin güvenli bağlantılar kurarak özel olarak iletişim kurmasını sağladıklarından, iletişim ağlarının çok önemli unsurlarıdır. Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) protokolleri, günümüzde ağ bağlantılarını şifrelemek için kullanılmaktadır ve aktarılan verilerin okunmasının zor olmasını sağlayarak veri gizliliği ve bütünlüğünü sağlar. Ancak, herhangi bir teknoloji türünde olduğu gibi, bu protokollerin de kusurları ve güvenlik açıkları vardır.

SSL güvenlik yanlış yapılandırması, bir teknoloji yığınının en yaygın olarak yararlanılan yönlerinden biridir. Bu, tehdit vektörlerinin hedefi haline gelebilecek bilinen yanlış yapılandırma güvenlik açıkları olduğundan, SSL'nin önceki sürümlerinin kullanımdan kaldırılmasına yol açtı.

Benzer satırlarda, TLS protokollerinin daha geniş sürümlerinde, kötü niyetli saldırganlar tarafından istismar edilmesine neden olan bilinen güvenlik açıkları vardır.

SSL VE TLS GÜVENLİK YANLIŞ YAPILANDIRMALARI

Çoğu TLS ve SSL güvenlik yanlış yapılandırması, uygulama sunucuları için güvenlik önlemleri ayarlanırken en iyi güvenlik uygulamalarının olmaması nedeniyle oluşur. Bu, tehdit vektörlerinin zayıf noktaları belirlemesine ve sistem verilerine erişmesine veya teknoloji yığınının temel bileşenlerini hedeflemesine olanak tanır.

Bununla birleştiğinde, uygulamaların karmaşıklığının artması, güvenlik yanlış yapılandırmalarının yerini belirlemenin zorlaştığı ve bilgisayar korsanlarının saldırıları izlenmeden tırmandırmasına izin verdiği senaryodur.

Bu bölüm, yaygın olarak bilinen bazı yanlış yapılandırmaları, bunların ortak nedenlerini ve bu tür riskleri azaltmaya yönelik yaklaşımları inceler.

GÜVENLİK YANLIŞ YAPILANDIRMASINA NEDEN OLAN YAYGIN HATALAR

TLS/SSL yanlış yapılandırmaları, bilindiklerinden ve kolayca tespit edildiğinden, bir bilgisayar korsanının tipik hedefleridir. Güvenlik ekiplerinin karmaşık iletişim sistemlerinde vektörleri izlemek için zamana ihtiyacı olduğundan, saldırı vektörleri genellikle ayrıcalık yükseltme kullanarak bu tür güvenlik açıklarından yararlanmak için gereken zamana sahiptir  .

Bu tür yanlış yapılandırmalara genellikle bir teknoloji yığını yapılandırılırken yapılan kasıtsız hatalardan kaynaklanır. Bu hatalardan bazıları şunlardır:

VARSAYILAN HESAPLARI VE PAROLALARI SAKLAMA

Her yazılım programı veya cihaz, kimlik doğrulama gerektiren ilk erişim için bir dizi varsayılan kimlik bilgileriyle birlikte gelir. Saldırganlar, savunmasız hesap kimlik bilgilerini kullanarak bu tür programlara/cihazlara erişmek için kaba kuvvet saldırıları da dahil olmak üzere birçok yöntem  kullanır ve ardından teknoloji yığınında daha fazla yer kazanmak için ayrıcalıkları yükseltir.

Düzenli bir güvenlik uygulamasının parçası olarak, bu kimlik bilgilerinin ilk erişimden hemen sonra değiştirilmesi, uzun süreli kullanımdan sonra kullanımdan kaldırılması ve kötüye kullanımı önlemek için sık sık değiştirilmesi önerilir. 

HATA MESAJLARINDA ÇOK FAZLA BİLGİ VERME

Bazı web sunucuları, hassas sistem verilerini ortaya çıkaran ayrıntılı hata mesajları içeren varsayılan yapılandırmalara sahiptir. Ayrıntılı yığın izleri gibi bu bilgiler,  kök düzeyinde sistem erişimi arayan saldırganlar tarafından kullanılabilir.

Bilgisayar korsanları ayrıca  , dikey ve yatay yükseltmelerin tüm uygulama sistemi içinde yetkisiz erişim elde etmesini sağlayan bileşen sürümlerine  ve  yazılım bağımlılıklarına dayalı belirli güvenlik açıklarını da arar  .

GEREKSİZ ÖZELLİKLERİ AKTİF TUTMAK

Gereksiz bileşenlerin, özelliklerin ve kod örneklerinin etkin olması, bir uygulama güvenlik açığına yatkındır. Güvenlik açıkları değerlendirilirken kontrol edilmesi gereken bazı özellikler şunlardır:

  • Gereksiz Açık Bağlantı Noktaları
  • Kullanılmayan ancak Çalışan Hizmetler
  • Erişilebilir Kalan Sayfalar
  • Kullanılmayan Hesaplar

ÜRETİM ORTAMLARINDA HATA AYIKLAMAYI ETKİNLEŞTİRME

Çoğu yazılım ekibi, üretim ve geliştirme ortamlarını yalıtarak geliştiricilerin özellikleri yayınlanmadan önce test etmelerine olanak tanır. Hata ayıklamaya izin veren üretim örnekleri, bir saldırganın kaynak kodu veya hassas müşteri bilgileri dahil olmak üzere hassas bilgilere erişmesine neden olabilecek saldırılara açıktır.

En iyi uygulama olarak, hata ayıklama, kullanım ve trafiğe dayalı yararlı öngörüleri analiz ederek yazılımı iyileştirmeye yardımcı olmak için yalnızca geliştirme kümelerinde etkinleştirilmelidir. 

Yazılım kuruluşlarının dikkat etmesi gereken diğer yaygın hatalar şunlardır:

  • Erişilebilir, korumasız dosyalar ve dizinler
  • Bulut sistemlerinin yanlış yapılandırılması
  • Eski veya güncel olmayan yazılım sürümleri

Tehdit vektörleri, sistem güvenlik açıklarını hedeflemek için bu hatalardan yararlanır. İzleyen bölümde, iyi bilinen bazı TLS/SSL güvenlik yanlış yapılandırmalarını ve bunların önleme stratejilerini tartışacağız.

ORTAK SSL VE TLS YANLIŞ YAPILANDIRMA SALDIRILARI VE ÖNLEME

POODLE

Doldurma Bilgisi On Legacy Şifreleme (POODLE) İndirgenmez  saldırı hala kullanan sunucular yararlanır  SSL 3.0 şifreleme . Bu protokol, eski sistemlerle uyumluluğa izin verir ve sistemi blok doldurmayla ilgili bir  güvenlik açığına maruz bırakır  .

Saldırganlar  , istemci kendileriyle bağlantı kurmak için bir SSL 3.0 şifrelemesi kullanmayı kabul edene kadar bir web sunucusu gibi davranarak bir Ortadaki Adam saldırısı başlatmak için bu güvenlik açığını  kullanır. Saldırgan daha sonra, doldurma bloklarını değiştiren ve sunucunun yanıtını bekleyen otomatik araçları kullanarak istediği bilgileri alır.

POODLE saldırılarını önlemeye yönelik bazı uygulamalar şunları içerir:

  • SSL 3.0'ı tamamen devre dışı bırakma
  • İstemciyi en son sürüme yükseltme
  • TLS_FALLBACK_SCSV etkinleştiriliyor 

BEAST

Tarayıcı Karşı TLS / SSL (BEAST Exploit )  saldırı hackerlar bir açığı kullanarak güvenli verilerin şifresini çözmek için izin verir  Cypher Bloğu Zincirleme  içinde mod  TLS 1.0 . Bir saldırı, paketleri SSL akışına enjekte etmek için bir ortadaki adam saldırısını düzenler, ardından bir başlatma vektörünü tahmin etmek için bu mesajı şifreli mesajla karşılaştırır. 

BEAST saldırıları, TLS 1.1 ve üzeri sürümleri kullanılarak önlenebilir.

CRIME

Saldırganlar  , web sunucusundan gelen geri bildirimleri kullanarak çerez değerlerini yeniden oluşturmak ve şifreli mesajları yakalamalarına izin vermek için  Sıkıştırma Oranı Bilgi Sızıntısı Kolaylaştırıldı (SUÇ)  saldırısını kullanabilir. Bu, bir  sıkıştırma algoritmasında bayt dizilerinin değiştirilmesiyle elde edilir  . SUÇ saldırıları en son tarayıcı sürümleri kullanılarak önlenebilir.

BREACH

Bilgisayar korsanları,  HTTP sıkıştırmasını hedeflemek için genellikle Köprü Metninin Uyarlanabilir Sıkıştırması (BREACH) yoluyla Tarayıcı Keşfi ve Sızma kullanır. Burada saldırgan, istemcinin tarayıcısını TLS'nin etkin olduğu bir üçüncü taraf web sitesine bağlamak için ortadaki adam saldırısı kullanır. Bu şekilde, web sunucusu ve istemci tarayıcıları arasındaki trafiği sürekli olarak izleyebilirler. BREACH saldırılarını önlemenin bazı yolları şunlardır:

  • HTTP sıkıştırmasını devre dışı bırakma
  • Uygulatma  HTTP Katı Taşıma Güvenliği (HSTS)
  • TLS (DNSSEC) için Güvenli Kanalları Etkinleştirme
  • Kullanıcı girişini Sırlar'dan ayırma

HEARTBLEED

OpenSSL kitaplığı  , iletişim kuran taraflar var olduğu sürece bir bağlantıyı canlı tutmak için bir sinyal uzantısı sağlar  . Heartbleed , bu uzantının sunucu belleğinden şifrelenmemiş verileri sızdıracak şekilde yanlış yapılandırılmasıdır. Saldırganlar bunu istemci üzerinden yanlış veri uzunluğu göndererek başarabilir ve sunucu, istemci tarafından alınan verileri veya istemci tarafından belirtilen uzunluğu karşılayan belleğinden bazı rastgele verileri göndererek yanıt verir. Heartbleed saldırıları, OpenSSL'nin güncellenmiş bir sürümü kullanılarak önlenebilir.

SSL VE TLS RENEGOTIATION

Yeniden anlaşma, iki tarafın yeni şifreleme anahtarları veya şifre paketleri talep etmek için mevcut bir anlaşma içinde yeni bir anlaşma başlatmasına olanak tanır. Bilgisayar korsanları, çok sayıda eşzamanlı el sıkışma talep ederek Dağıtılmış Hizmet Reddi (DDoS) saldırılarını başlatmak için yeniden anlaşma sürecini kullanabilir  . Bu, uygulama sunucusunun arabiriminde bir Hizmet Reddine neden olur. En son TLS sürümü kullanılarak ve Güvenli Yeniden Anlaşma sağlanarak yeniden anlaşma önlenebilir  .

Kullanılabilecek diğer yaygın yanlış yapılandırmalar şunları içerir:

CCS Enjeksiyonları  – Saldırganlar, istemciyi zayıf SSL anahtarları kullanmaya zorlayarak güvenli verileri ele geçirmek ve şifresini çözmek için kötü niyetli ana bilgisayarlar kullanır.

Ticketbleed  – TLS yığınının, isteğin çeşitli baytlarını saldırgana göstererek şifrelemeyi geçersiz kıldığı yer

SSL Drown  – Saldırganlar, yakalanan el sıkışmaları için oturum anahtarlarını ortaya çıkarmak için zayıf şifrelemeden yararlanır

SSL Robotu  – Saldırganların, belirli şifre paketleri uygulamalarına sızarak şifreleme gizliliğini kırmasına izin verir.

YANLIŞ GÜVENLİK YAPILANDIRMASI NASIL ÖNLENİR

Güvenlik Yanlış Yapılandırma kaynaklı saldırılar, hem genel bilgi eksikliğinden hem de insan hatasından yararlanabilir. Yazılım kuruluşları, saldırganların kullandığı yaygın hataları ve güvenlik açıklarını bilerek, kaçınma ve önleyici tedbirler uygulayabilir.

Aşağıda, TLS ve SSL ortak güvenlik yanlış yapılandırmalarından kaçınmak için bazı yaygın en iyi uygulamalar ve belirli azaltıcı önlemler verilmiştir:

GÜVENLİK YANLIŞ YAPILANDIRMASINI ÖNLEMEK İÇİN EN İYİ UYGULAMALAR

  1. Kullanılmayan özellikleri kaldırın  – Sistemi boğmanın yanı sıra, kullanılmayan özellikler bir uygulamayı saldırılara açık hale getirir. Yalnızca gerektiği gibi özellikleri etkinleştirmek en iyisidir.
  2. Düzenli güncellemeler gerçekleştirin  – Yazılımın en güncel sürümünün kullanılması, güvenlik ekibinin tespit etmemiş olabileceği kötü amaçlı yazılımlardan cihazların ve uygulamaların korunmasına yardımcı olur.
  3. Güvenlik açığı taramasını otomatikleştirin  – Gereksiz özellikleri, kullanılmayan varsayılan hesapları ve yanlış yapılandırmaları aramak için otomasyon araçlarından ve yazılımlardan yararlanın
  4. Üretim ortamlarında  hata ayıklamayı devre dışı bırakın - Prod örneklerindeki tüm hata ayıklama özelliklerinin yapılandırması, istisnai durumlarda gerekmedikçe devre dışı bırakılmalıdır.
  5. Dizin listesini devre dışı bırakın  – Tüm dosya ve klasörlerin uygun izinlere sahip olduğundan emin olun, ardından kullanıcıların yalnızca izinlerine sahip oldukları dosyaları görüntüleyebilmeleri için erişimi kısıtlayın
  6. Yönetici haklarına sahip hesapları sınırlayın  - Varsayılan olarak, yönetici hakları her kullanıcı için devre dışı bırakılmalı ve yalnızca gerekli görüldüğünde değiştirilmelidir. Bu politika, en az ayrıcalıklara uygun olarak sık sık gözden geçirilmelidir.

YANLIŞ YAPILANDIRMA İÇİN ÖZEL AZALTICILAR

Yanlış yapılandırmaları tespit etmek ve kullanmak kolay olsa da, çoğu iyi bilinir ve standartlara dayalı güvenlik açığı yönetimi verileri deposunda belgelenir. Veritabanı ayrıca çeşitli yanlış yapılandırma istismarları için azaltmalar içerir. Bunlardan bazıları şunlardır:

  • TLS Oturumu Sürdürmeyi Sağlamlaştırma 
  • Mükemmel İletme Gizliliğini Etkinleştirme 
  • SSL Şifre Sırasını Yapılandırma 
  • Sertifika İptal Listelerini (CRL'ler) ve Çevrimiçi Sertifika Durum Protokolünü (OCSP) Kullanma 
  • Eksik SSL Sertifika Yetkilisi Yetkilendirme (CAA) Kayıtlarını Etkinleştirme

İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.