SGE Blog Yayınları

Web Sunucu Açık Kaldığı Süre Tespiti Yapılabilmesi Açıklığı

Web Sunucu Açık Kaldığı Süre Tespiti Yapılabilmesi Açıklığı

yazan Hasan Fatih Şimşek -
Number of replies: 0

Kurum web sunucularının ne kadar süredir açık kaldığı bilgisi özel olarak hazırlanmış tcp paketleri ile öğrenilebilmektedir. Aşağıda gönderilen özel tcp paketlerine karşılık yanıt olarak dönen açık kalma süre bilgisi örnek olarak gösterilmiştir.

hping3 -S --tcp-timestamp -p 80 -c 2 web-site-url
Çıktı:
HPING domainaddress.edu.tr (eth0 193.140.9.31): S set, 40 headers + 0 data 
bytes len=56 ip=193.140.9.31 ttl=123 DF id=27721 sport=80 flags=SA seq=0 
win=8192 rtt=15.8 ms
TCP timestamp: tcpts=2029166208
len=56 ip=193.140.9.31 ttl=123 DF id=28681 sport=80 flags=SA seq=1 
win=8192 rtt=11.6 ms
TCP timestamp: tcpts=2029166308
HZ seems hz=100
System uptime seems: 234 days, 20 hours, 34 minutes, 23 seconds
--- domainaddress.edu.tr hping statistic ---
2 packets tramitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 11.6/13.7/15.8 ms

Bu bilgiyi alan saldırgan kurum web sunucunun son gelen güncelleştirmeleri yapıp yapmadığını anlayabilir ve böylelikle kurum web sunucuya sızmak için açık bir kapı var mı yok mu hakkında ipucu edinebilir. Bu bilgi daha çok stratejik öneme sahip hedeflerde ve saldırı deneme yanılmaları yapma lüksünün olmadığı durumlarda (sessiz kalınmak istendiği durumlarda) bir defa saldır sonucu al yöntemini takip eden saldırganların işine yarar.

Önlem olarak Linux sistemlerde sisteminizdeki /etc/sysctl.conf dosyasını açıp dosyaya

net.ipv4.tcp_timestamps = 0

satırını ilave ederek zaman mührünün dışarı çıkması engellenebilir. Ayrıca linux sistemlerin varsayılan firewall'u olan iptables ile de zaman mührünün dışarı çıkması engellenebilir. Fakat bu yöntem web sunucusunun performansını düşürebilir.

Terminal:

iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP

Dolayısıyla sadece /etc/sysctl.conf dosyasına ilgili satırı eklemek ve sunucuyu yeniden başlatmak daha tercih edilir bir yöntemdir.

Windows sistemlerde uptime bilgisinin (zaman mührünü) dışarı verilmesini engellemek için ise kayıt defterinden

HKLM SYSTEM CurrentControlSet Services Tcpip Parameters Tcp1323Opts

dosyasının değeri 0 (sıfır) yapılmalıdır. Eğer kayıt defterinde bu dosya yoksa elle dosya oluşturup değeri 0 (sıfır) yapılmalıdır. Böylece uptime bilgisinin dışarı çıkışı engellenmiş olur. Bunun dışında Windows sistemlerdeki firewall ayarlarından da uptime bilgisinin (zaman mührünün) dışarı çıkışı engellenebilir. Fakat bu yöntem web sunucunuzun performansını düşürebilir.

Komut İstemcisi:

netsh firewall set icmpsetting type = 13 mode = disable

Dolayısıyla sadece kayıt defterindeki ilgili dosyayı 0 (sıfır) yapmak ve sunucuyu yeniden başlatmak daha tercih edilir bir yöntemdir.

367 kelime