Proxy and SSH Tunnel over PuTTY (Kurum Ağından İnternete Doğru Olan Trafik Engellemelerinin Bypass Edilmesi)

İstemediğim kadar uzun bir aradan sonra herkese merhaba, öncelikle mutlu yeni yıllar dilerim herkese (:

Bankalar & Kurumlar, son kullanıcı cihazlarının yerel ağ üzerinden internete açık bir sunucuya SSH bağlantısı yapmasını engellerler. Bu engellemenin asıl sebebi kötü niyetli çalışan profilindeki bir son kullanıcının veya kurum çalışanı cihazına erişim elde etmiş olan saldırgan kimselerin kurum verilerini internete açık bir sunucuya aktaramamasını sağlamaktır.

Kurumlar bu motivasyona göre farklı engelleme yöntemleri yapmaktadır. Ama temelde olan 2 engelleme yöntemi şu şekildedir;

  • Son kullanıcı cihazlarının Kurum ağı üzerinden > İnternete doğru olan trafikte sadece 80,443,8080 gibi portlar üzerinden ve sadece HTTP-S servislerine doğru çıkış yapabilmelerine izin verilir.
  • IPS (Intrusion Prevention Systems) gibi güvenlik ürünleri ile yerel ağdaki trafiği analiz ederek, İnternete doğru çıkmaya çalışan SSH,FTP paketleri tespit edilir ve internete çıkamadan yerel ağ üzerinde ilgili paketler (droplanır) engellenir.

Fakat eğer kurum kullandığı Proxy sunucusu üzerinde akan trafikleri analiz etmiyorsa (Inspection yapmıyor ise) kurumun Proxy adresini kullanarak internete açık bir sunucuya SSH bağlantısı yapabilmek mümkün hale geliyor. Yani kurumun aldığı tüm önlem ve engellemeler (bypass edilebiliyor) atlatılabiliyor. Şöyle ki;

Adım 1:

  • PuTTY uygulamasında sol tarafta ki sekmeden “Connection” başlığı altında ki “Proxy” özelliği seçilir.
  • Proxy tipi “HTTP” olarak seçilir.
  • Kurumun kullandığı Proxy sunucu adresi “Proxy hostname” kısmına yazılır.
  • Kurumun kullandığı Proxy sunucusunun port numarası “Port” kısmına yazılır.
  • Kurum çalışanı kimlik bilgileri “Username” ve “Password” kısmına yazılır.

Yaptığımız işlemlerin başarılı olabilmesi için SSH bağlantısı sağlamak istediğimiz internete açık olan sunucumuzun SSH portunu, kurumun internete doğru çıkarken izin verdiği portlardan birisi ile değiştirmemiz gerekir. Örnek olarak kurum, eğer internete doğru olan trafik sırasında 443 ve 8080 portlarına izin veriyorsa o halde bizim bağlanmak istediğimiz sunucumuzun SSH portunu 8080 olarak değiştirmemiz gerekir.

Ve kurum eğer Proxy sunucusu üzerinde bir analiz (Inspection) yapmıyor ise, son kullanıcı cihazının Proxy sunucusunu kullanarak internete doğru gönderdiği SSH paketlerini tespit edemeyecek, bu sayede kötü niyetli çalışan veya son kullanıcı cihazına erişim elde etmiş olan saldırgan internete açık bir sunucuya SSH bağlantısı gerçekleştirebilecektir. Sonrasında dilediği verileri dışarıya kolaylıkla çıkartabilir.

Gerçekleştirilen bu senaryo devamında ise, son kullanıcı bilgisayarı üzerinden internete sınırsız olarak erişim sağlanabilmesi mümkün hale gelmektedir.

Adım 2:

  • Yukarıda anlatılan Proxy Tünelleme ayarları PuTTY üzerinde aktif durumda iken ayrıca sol tarafta bulunan sekmeden “SSH” Başlığı altında ki “Tunnels” sekmesi açılır.
  • Bağlantı sağlanacak Sunucu üzerinde yönlendirilecek Port numarası “Source Port” kısmına girilir ve “Add” ile eklenir.
  • “Destination” kısmında “Dynamic” butonu seçilir.
  • Proxy Tünel ve SSH Tünel ayarları tamamlandıktan sonra internete açık olan sunucuya SSH Bağlantısı gerçekleştirilir.
  • Bu sayede Port yönlendirilmesi yapılarak yerel SOCKS Proxy oluşturulmuş olur.

Adım 3:

  • Artık SSH Bağlantısı sağladığımız Sunucu üzerindeki port yönlendirmemiz (Port Forwarding) aktif durumda.
  • Sonraki adımda, son kullanıcı bilgisayarında ki tarayıcının Proxy ayarlarına SOCKS sunucusu olarak Port Yönlendirmesini yaptığımız Port numarasını yazıyoruz.

Bu ayarlarla birlikte artık kötü niyetli çalışan veya saldırgan, kurum bilgisayarı ile internete “bağlantı sağlamış olduğu Sunucu üzerinden” çıkıyor olacak. Yani kurum ağında var olan tüm internet erişimi engellemelerini atlatıyor (bypass) olacak. Kurum cihazı üzerinden internete sınırsız erişim hakkı sayesinde herkese açık (public) dosya yükleme sitelerine veya zararlı dosyalar indirebileceği internet sitelerine erişim sağlayabilir duruma gelecek.

Bonus:

Pandemi sebebi ile artık bankalar & kurumlar evden çalışmaya (home office) geçiş yaptı ve bu sebep ile son kullanıcılar bilgisayarlarını kendi evlerinde ki yerel ağ üzerinden kullanmaya başladı.

Kurumun, IPS ve Proxy sunucuları konfigürasyonları ile yukarıda anlattığım saldırı senaryolarına da önlem aldığını varsayalım, yine de kötü niyetli çalışan veya evden çalışan bir son kullanıcı cihazına erişim elde etmiş olan saldırgan profillerinde bir farklı saldırı senaryosu daha mümkün olabiliyor.

Kurumlar, aldığı güvenlik önlemleri çerçevesinde internete açık olan bir IP adresine SSH bağlantısı yapılmasını engelliyor olabilir ancak standart kullanıcı profilinde (İK çalışanı, Muhasebe çalışanı vb.) lokal IP adreslerine (örn: 192.168.x.x, 10.0.x.x) SSH bağlantısı yapılmasına karşın bir önlem almamış olabiliyor. Kötü niyetli çalışan veya saldırgan bu konfigürasyon eksikliğini kullanarak;

Lokal ağ’da bulunan bir cihaz üzerinden tünelleme yaparak internete açık bir sunucuya kurum bilgisayarı ile SSH bağlantısı gerçekleştirebilir.

Adım 1:

  • WinSCP uygulaması üzerinde Tünel ayarları konfigüre edildi. Bu adımda lokal ağda bulunan bir makineye SSH bağlantısı yapılacak şekilde ayarlar yapıldı.

Adım 2:

  • SSH Tünelleme ayarlarını konfigüre ettikten sonra, aslında bağlanmak istediğimiz internete açık sunucu adresini ve kullanıcı bilgilerini girerek SSH bağlantısını gerçekleştiriyoruz.

Adım 3:

  • Sonrasında göreceğiniz üzere, Kurum bilgisayarı üzerinden ilk olarak lokal ağ’da bulunan bir makineye SSH Bağlantısı gerçekleştirdik, lokal ağımızda bulunan makine üzerinden tünelleme yaparak, “Kurum bilgisayarı üzerinden internete açık bir sunucuya SSH bağlantısı gerçekleştirebildik.”

Bu sayede yine kurumun almış olduğu önlemler atlatılarak, DLP vb. gibi güvenlik ürünlerine takılmaksızın kurum verilerini dışarıya çıkartabilmek veya zararlı yazılım, fidye yazılımlarını kurum cihazı içerisine dahil edebilmek mümkün hale geliyor.

Veya bu senaryoya bir adım daha ekleyerek, yine internete açık olan sunucu üzerinde Port Forwarding’i aktif ederek kurum bilgisayarı üzerinden internete hiçbir engellemeye takılmaksızın erişim sağlanabilir.

0x033

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da bir web sitesi veya blog oluşturun

Yukarı ↑

%d blogcu bunu beğendi: