Port tarama saldırıları son yıllarda giderek daha tehlikeli hale geldi - teknikler büyük ölçüde değiştiği için değil, ağımıza giren ve çıkan daha fazla paket olduğu için.
Otomatize port tarama saldırılarına karşı savunma yalnızca doğru güvenlik duvarı filtrelerinin yerinde olmasıyla ilgili değildir. Kendinizi kötü amaçlı bağlantı noktası taramalarından korumak ağ görünürlüğü (visibility) ile başlar.
Port Tarama Saldırısı Nedir?
Bir port tarama saldırısı başlatmak için, bilgisayar korsanları ağınızdaki kullanılabilir ana bilgisayarları sıralamak için Nmap gibi bir araçtan yararlanır. Port taraması, tanımlanan bağlantı noktaları için üç olası sınıflandırmadan birini döndürür:
- Açık: Hedef ana makine port’u dinliyor ve taramada kullanılan hizmet kullanılıyor.
- Kapalı: Paket istekleri alındı ancak hizmet port’u dinlemiyor.
- Filtrelenmiş: Paket isteği gönderilir, ancak bir güvenlik duvarının istek paketini filtrelediğini belirten bir yanıt yoktur.
Port’ları bu şekilde eşlemek, saldırganların ağınızın zayıf noktaları hakkında bilgi verir. Her açık port, saldırganların ağınızda bir dayanak kazanmak veya hizmet reddi işlemleri başlatmak için yararlanabilecekleri savunmasız bir sistemin potansiyelini gösterir.
Yaygın tavsiyeler, kullanmadığınız port’ları kapatmanızı veya filtrelemenizi söyler. Bu şekilde, bilgisayar korsanlarına gereksiz yere potansiyel erişim noktaları (port’lar) sağlamazsınız. Ancak açık portlar, kritik öneme sahip, ağa bağlı uygulamalarınız ve sistemleriniz için gereklidir. Her bağlantı noktasını kapatmak önemlidir, bu nedenle saldırganların tarama sırasında hangi bağlantı noktalarını açmayı umduklarını anlamak çok önemlidir. Bilgisayar korsanları için en popüler port’lardan bazıları şunlardır:
- Port 23: Telnet portu, eski bir hizmet olduğu için nadiren kullanılır. Ancak, yanlışlıkla bu bağlantı noktasını açık bırakırsanız, saldırganlar ağınıza kök erişimi elde edebilir.
- Port 445: Bu port aynı Telnet sorununu sunar ve Windows ana bilgisayarlarında uzaktan erişim elde etmek için kullanılabilir.
- Port 110: POP3 hizmetleri bu bağlantı noktasında tehlikeye girerse, saldırganlar işletmenizdeki e-posta hesaplarına erişebilir.
- Port 80 ve 8080: Bu port’lar sırasıyla ön ve arka uç sistemlerindeki HTTP bağlantılarını kontrol ettiğinden, güvenliği ihlal edilmiş şifreler saldırganların neredeyse tüm kurumsal verilerinize erişmesine izin verebilir.
Saldırganlar bu belirli port’ları hedefliyorsa veya yalnızca ağınızda keşif yapıyor olsalar da, tek bir zorlukla karşılaşırsınız - port tarama saldırılarını nasıl engelleyebilirsiniz. Ağ görünürlüğü, bu kötü amaçlı etkinliğe karşı savunmak için en gerekli temel unsurdur.
Ağ Görünürlüğüne Sahip Port Tarama Saldırısına Hazırlanma
Mükemmel bir dünyada, saldırı tespit sistemleriniz ve güvenlik duvarlarınız kötü amaçlı port taramalarını otomatik olarak algılar. Ve iyi miktarda saldırı yakalayabilmelerine rağmen, gerçek şu ki saldırganlar giderek artan şekilde bu araçları atlayabiliyorlar. Bilgisayar korsanları, port tarama saldırılarının sıklığını, sırasını ve kaynak adreslerini karıştırarak, taramaların engellenmesinden endişe etmeden ağınızın savunmasız noktalarını bulabilir.
Güvenlik araçlarınız tarafından sağlanan korumayı geliştirmek için, ağ davranışındaki anormallikleri proaktif olarak tespit edebilmeniz gerekir. Ağınızda kötü amaçlı port taramaları yapıldığında, giden bağlantı etkinliğindeki ve gelen trafik düzenlerindeki anormallikleri tanımlayabilmeniz gerekir. Saldırganlar önceden yapılandırılmış güvenlik araçlarını atlamayı başarmış olsalar bile, bu anormallikler analiz edilmelidir.
Ancak port tarama saldırılarına karşı bu tür proaktif koruma elde etmenin tek yolu yaygın bir ağ görünürlük katmanı oluşturmaktır. Network Packet Broker, Network Tap ve Network Bypass Swtich’lerin doğru kombinasyonu, doğru trafiğin her zaman doğru araçlara iletilmesini sağlar. Port tarama saldırılarını uzak tutmak için gelişmiş trafik işlemenin kilidini açacak olan artan ağ zekası için bir temel görevi görür.
Saldırganlar, güvenlik ekibiniz için ağ karmaşıklığını, bant genişliğini ve ağ araçlarının hacmini artıran sorunlardan yararlandı. Yönetilecek çok fazla trafik olduğunda, port tarama saldırıları çatlaklardan kayabilir ve bilgisayar korsanlarına ağınızı tehlikeye atmak için gereken her bilgiyi verebilir.
Ancak, Ağ Trafik Analizi (NTA) gibi doğru ağ zekası uygulamalarıyla donatılmış bir görünürlük katmanınız olduğunda, saldırganlar taramalarını tamamlayabilmeden önce anormal davranışı ele alabilirsiniz. Asıl zorluk, özel ağ gereksinimlerinize göre uyarlanmış bir görünürlük katmanının nasıl oluşturulacağını belirlemektir.
Niagara Networks’un Packetron ™ çözümleri ile görünürlük katmanınızı nasıl aktif bir koruma katmanına dönüştürebileceğinizi öğrenmek ve paket tarama saldırılarını engellemek için bizimle iletişime geçebilirsiniz.
Referans: Yigal Amram - https://blog.niagaranetworks.com