2 Mart 2012 Cuma

CheckPoint Firewall Güvenlik Denetimi


Internet/Intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya donanımlarıdır. Firewall sistemleri farklı ağlar arasında geçit noktası olarak konumlandırılarak izin verilen servislerin ve uygulamaların istenilen kaynaklara güvenli biçimde erişimine olanak tanırlar. Bununla birlikte hatalı yapılandırılmış firewall sistemleri korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına izin verebilir. Bunun yanı sıra önemli firewall güvenlik ayarlarının, sadece sorunsuz bağlantı gerçekleştirilebilmesini sağlamak için kapatılmış olması değişik güvenlik risklerinin ortaya çıkması ihtimalini de ortaya koymaktadır.
Bu durum yapılan yatırımların hatalı veya eksik yapılandırma yüzünden boşa gitmesine neden olacaktır. Kural sayısı arttıkça bu konuda yapılabilecek hata ve potansiyel riskte artacaktır. Yapılan araştırmalar yönetilen firewall sistem sayısı ve firewall yönetici sayısı arttıkça, yanlış veya eksik tanımlanan firewall kurallarında artış olduğunu göstermiştir. Bu konuda yaşanan bir başka problem ise uzun süredir firewall kullanılan sistemlerde geçmişten kalan kuralların değiştirilmemesidir. Genellikle kaldırılması bağlantı sorunlarına neden olabileceği düşünülerek, silinmesine cesaret edilemeyen bu kurallar güvenlik riskleri taşıyabilmektedirler.
Güvenlik denetlemelerinde genellikle yapılandırma hatalarının tamamının uzaktan tespit edilmesi oldukça güçtür. Eksiksiz, tüm riskleri ortaya çıkartmak için en doğru yol tanımlı ayarların, konunun uzmanları tarafından yapılandırma dosyaları içinden kontrol edilmesidir. Bununla birlikte uzaktan da önemli yapılandırma hatalarının tespit edilmesi belirli bir oranda mümkün olmaktadır. Ancak otomatik güvenlik taraması gerçekleştiren araçlar genellikle mevcut risklerin çok düşük bir oranını kontrol etmekte ve eksiklikler taşımaktadır. Bu sebeple güvenlik duvarı sisteminizde bulunabilecek hataların yaygın olarak kullanılan denetim araçları ile tespit edilemeyeceğini ve ek kontroller yapılması gerektiğini söylemek yanlış olmayacaktır.
Bu yazı özelikle Check Point tabanlı güvenlik duvarı sistemlerine, basit açık kaynak kodlu araçlar ile yapılabilecek ek kontrolleri ve otomatik tarama araçları ile tespit edilemeyen bazı yapılandırma hatalarının nasıl belirlenebileceğini göstermek amacıyla hazırlanmıştır. Her ne kadar kontroller Check Point Firewall sistemine özel olsa da benzer yapılandırma hatalarının bulunabileceği diğer firewall sistemleri de için anlatılan yöntemler kullanılabilir.

Limitasyonlar
Uzaktan gerçekleştirilecek denetleme çalışmaları ile risklerin tamamını belirlemek maalesef mümkün değildir. Internet üzerinden gerçekleştirilen çalışmalarda;
o    Sadece internet erişim kuralları tam anlamı ile belirlenebilir, belirli IP adresleri veya yerel ağ sistemleri arasında erişim izin vermek için tanımlanmış kurallar için risk analizi gerçekleştirmek mümkün değildir.
o    Internet üzerinden uzak erişim için kullanılan vpn ayarları belirlenebilir. Site-to-Site vpn ayarlarının belirlenebilmesi için topoloji hakkında detaylı bilgi sahibi olunması gerekmektedir.
o    Gereksiz servisler portlardan alınan cevaplara göre belirlendiği için, o kuralın veya servisin ne kadar süredir kullanılmadığını bilmek mümkün değildir. Gereksiz kuralların en doğru belirlenme şekli, mevcut logların analizi ile mümkün olacaktır.
Firewall sisteminde bulunabilecek tüm risklerin ortaya çıkartılması ancak detaylı bir yapılandırma analizi ile mümkün olabilir. Bunun için infoview, cpinfo gibi Check Point araçlarından yardım alınabileceği gibi, Algosec gibi risk analiz araçları da kullanılabilir.
Uzaktan Gerçekleştirilebilecek Kontroller
1- Sistemde Check Point Güvenlik Duvarı Çalıştığını Nasıl Belirlerim?
Kontrol edilen sistemlerin Check Point firewall arkasında olduğunu belirlemenin en basit yolu port taraması ve eğer sistem üzerinde VPN aktif edilmiş ise VPN ayarlarının kontrol edilmesidir.Ek bir ayar değişikliği gerçekleştirilmemiş ve VPN özelliği aktif bir CheckPoint Firewall sistemine yapılan port taramalarında en az aşağıdaki TCP/UDP servislerinin açık olduğunu görmeniz gerekecektir.
# nmap -sS -p 264,500,18264 192.168.0.1 -P0 -sV
Starting Nmap 5.21 ( http://nmap.org ) at 2010-05-05 10:35 EEST
Nmap scan report for 192.168.0.1
Host is up (0.00026s latency).
PORT      STATE SERVICE      VERSION
264/tcp   open  fw1-topology Checkpoint FW1 Topology
500/tcp   open  isakmp?
18264/tcp open  http         Check Point SVN foundation httpd
Bunun dışında TCP/UDP 500 portu açık bir sistemi ike-scan aracı ile kontrol ederek mevcut sistemin Check Point tabanlı olup olmadığını da ortaya çıkartabilmek mümkündür. Ike-scan aracını yazının ilerleyen bölümlerinde VPN ayarlarını kontrol etmek içinde kullanacağız.
# ike-scan 192.168.0.1
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=5f0edfaf40159fb4) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be11fc10000000018300000 (Firewall-1 NGX)
cp_services dosyası içinde Check Point tarafından kullanılan tüm servisler ve ne amaçla kullanıldığı yer almaktadır. Bu dosya kullanılarak nmap ile port taraması gerçekleştirilirse hedef Check Point firewall üzerinde çalışabilecek tüm servisler kontrol edilecektir.
# nmap -F --servicedb=/etc/cp_services 192.168.0.1 --open
Starting Nmap 5.21 ( http://nmap.org ) at 2010-05-05 11:32 EEST
Nmap scan report for 192.168.0.1
Host is up (0.00021s latency).
Not shown: 39 filtered ports, 1 closed port
PORT      STATE SERVICE
264/tcp   open  FW1_topo
500/tcp   open  IKE_tcp
18264/tcp open  FW1_ica_services
Düzgün yapılandırılmış bir sistemde eğer VPN kullanılmıyor ise yukarıdaki servislerin açık olmasına gerek duyulmamaktadır. Eğer VPN kullanılıyor ise yukarıdakiler dışında yapılandırmaya bağlı olarak 444/tcp, 18231/tcp, 18233/udp servisleri de erişilebilir durumda bulunabilir.
Bunun yanı sıra özellikle X11 ve H.323 protokollerine izin vermek için Check Point firewall üzerinde özel tanımlamalar yapılması gerekliliğinden dolayı, firewall veya firewall arkasında bulunan sistemlere yönelik gerçekleştirilen SYN taramalarında H.323 (TCP/170) portu için SYN-ACK, X11 servisleri için cevap alınabilmektedir. Bu davranışta genellikle korunan ağın önünde bir Check Point firewall kullanıldığını anlamamıza yardımcı olmaktadır. Örneğin firewall arkasında yer alan bir sisteme yönelik gerçekleştirilen port taraması sonuçları aşağıda sunulmuştur.
# nmap -sS 192.168.0.2 -P0 --reason
Starting Nmap 5.21 ( http://nmap.org ) at 2010-05-05 14:56 EEST
Nmap scan report for 192.168.0.2
Host is up, received user-set (0.031s latency).
Not shown: 986 closed ports
Reason: 986 resets
PORT     STATE    SERVICE     REASON
22/tcp   open     ssh         syn-ack
80/tcp   open     http        syn-ack
1720/tcp open     H.323/Q.931 syn-ack
6000/tcp filtered X11         no-response
6001/tcp filtered X11:1       no-response
6002/tcp filtered X11:2       no-response
6003/tcp filtered X11:3       no-response
6004/tcp filtered X11:4       no-response
6005/tcp filtered X11:5       no-response
6006/tcp filtered X11:6       no-response
6007/tcp filtered X11:7       no-response
6009/tcp filtered X11:9       no-response
6025/tcp filtered unknown     no-response
6059/tcp filtered X11:59      no-response
Yukarıdaki çıktılarda özellikle test edilen sistemin 1720 numaralı portunun açık olduğu görülmektedir. Ancak alınan SYN-ACK paketlerinin TTL değerlerine bakıldığı zaman bu cevapların farklı bir sistemden geldiği anlaşılabilmektedir.
# hping --scan 22,80,1720 192.168.0.2 -S -V -i u1650
Scanning 192.168.0.2, port 22,80,1720
3 ports to scan, use -V to see all the replies
+----+-----------+---------+---+-----+-----+-----+
|port| serv name |  flags  |ttl| id  | win | len |
+----+-----------+---------+---+-----+-----+-----+
   22 ssh        : ..R.A... 126 57859     0    46
   80 http       : .S..A... 126 58115 16384    46
 1720 h323hostcal: .S..A... 254 28085  8192    46
Yukarıdaki durum H.323 protokolü için Check Point firewall'un bir proxy gibi araya girip, detaylı VOIP kontrolleri gerçekleştirmesinden kaynaklanmaktadır.
Bunlar dışında herhangi bir servisin erişilebilir durumda olması bir yapılandırma hatasının olduğunun göstergesidir. Özellikle Stealth kuralın tanımlı olmadığı durumlarda yetkisiz kullanıcıların normalde erişmesinin mümkün olmadığı portlara bağlantı gerçekleştirebilir.
2- Check Point Security Server Mesajları
CheckPoint 4.1 ve NG sürümlerinde FTP, HTTP, SMTP, RLOGIN, User Authentication gibi servisler için daha üst katmanlarda kontrol yapabilmek için kullanılan security server adı verilen hizmetler bulunmaktadır. Özellikle Check Point 4.1 ve NG sürümlerinde CVP ve UFP gibi protokoller ile mevcut SMTP veya HTTP trafiğini farklı sistemlere yönlendirerek, içerik kontrolü gerçekleştirmek veya erişim yapılan FTP gibi servisler için ek bir yetkilendirme sistemi kurmak gibi işlevler için yaygın olarak kullanılmışlardır. Ancak NGX sürümü ile bu hizmetlerin önemli bir bölümü SmartDefense Modulü içinde ve kernel seviyesinde işlenmeye başlandığı için eskisi kadar sık kullanılmamaktadırlar.
Check Point Security Server hizmetleri kurallar içinde kullanılır ve bu servisler için geçerli banner bilgisi değiştirilmemiş ise test edilen sistemde Check Point firewall kullanıldığını anlamak ve çalışan modülün hostname bilgisini öğrenmek mümkündür. Örneğin FTP için bu özellik devreye alınmış ise aşağıdaki gibi bir banner bilgisi, bağlantı çıktılarında yer alacaktır.
Connected to 192.168.0.10
Escape character is '^]'.
220 Check Point FireWall-1 Secure FTP server running on testfw01
Söz konusu durum kullanılan sistemler hakkında bilgi toplamak için kullanılabilir.
3- Check Point Internal CA Fetch CRL and User Registration Web Servisi
Check Point ICA servisi (TCP/18264) , Check Point Yönetim modülü üzerinde çalışan Internal CA için, web tabanlı yönetim uygulamalarına ev sahipliği yapmakta ve CRL listelerinin yayınlanması için kullanılmaktadır. Ancak bu web uygulamaları, ilk kurulum ayarlarında aktif değildirler. Söz konusu port aslında Check Point yönetim modülü üzerinde çalıştığı için, eğer firewall yönetim ve enforcement modülleri farklı sistemler üzerinde çalışıyor ise, firewall IP adresinin bu portuna gelen bağlantı istekleri otomatik PAT (port address translation) işlemine tabi tutularak yönetim sistemine aktarılır. Dolayısı ile eğer dağıtık bir yapı söz konusu ise bu port üzerinden elde edilebilecek bilgiler, muhtemelen korumalı bir ağda bulunan yönetim modülüne ait bilgiler olacaktır.
Bu port üzerinden, sistem üzerinde çalışan firewall sürümü, hostname bilgisi (eğer dağıtık yapıda kurulmuş ise yönetim modülünün hostname bilgisi), CRL listeleri gibi bilgileri toplayabilir. Bu port $FWDIR/conf/crls dizini altındaki dosyaları yayınlamaktadır.
http://<firewall-ip>:18264/
http://<firewall-ip>:18264/index.htm
http://<firewall-ip>:18264/internal_ca.cer
http://<firewall-ip>:18264/ICA_CRL0.crl
Sisteme ait hostname bilgisi internal_ca.cer dosyası içinden öğrenilebilir. CRL dosyaları incelendiği zaman ise detaylı bilgiler elde etmek mümkündür.
# vpn crlview -view ICA_CRL0.crl
Issuer: O=fwmng..du5kkv
This update: Wed May 5 09:39:11 2010 Local Time
Next update: Wed May 12 09:39:11 2010 Local Time
Extensions:
        Issuing distribution points (Critical):
                URI: http://fwmng.test.com:18264/ICA_CRL0.crl
                DN: CN=ICA_CRL0,O=fwmng..aa11v
Check Point Internal CA uygulaması nessus tarafından yapılan kontrollerde tespit edilebilmektedir. checkpoint_ica_detect.nasl (PluginId:22094) isimli plugin kullanılarak bu uygulama kontrol edilebilir.
# nessuscmd -sT -p 18264 192.168.0.1 -i 22094 -V -v
Internal CA uygulamasının güncel olmayan Check Point sürümlerinde Directory Traversal saldırılarından etkilendiği bilinmektedir. Söz konusu saldırı Hex encoded yollanan ../ (%2e%2e%2f) karakterlerinin, sunucu yazılımı tarafından yanlış yorumlanması nedeni ile, webroot dizini dışında yer alan önemli sistem dosya ve dizinlerine erişimi mümkün kılmaktadır. Halen Check Point NGX R60, R60A veya R61 öncesi sistemler kullanıyorsanız, bu problemden etkileniyor olabilirsiniz.
4- VPN Ayarları (Desteklenen Yetkilendirme Mekanizmaları)
Check Point Firewall üzerindeki VPN ayarlarını belirlemek için ike-scan aracını kullanabiliriz. CheckPoint üç temel yetkilendirme mekanizmasını desteklemektedir. PreShared Key, RSA ve Checkpoint Hybrid. Checkpoint Hybrid radius, X.509, ldap gibi harici sistemler üzerinden kullanıcıların yetkilendirilmesi istendiği zaman aktif durumda bulunması gereken bir özelliktir. Bu yetkilendirme mekanizmalarından özelikle PSK (Pre-Shared Key), kullanılan parolaların sabit olması, herhangi bir etkin parola yönetimi uygulanmaması gibi nedenlerden dolayı kullanılan parolaların tahminine olanak tanımaktadır. Bu sebeple PSK 'nın aktif olarak kullanıldığı sistemler risk taşıyacaktır.
ike-scan aracının -m parametresi ile kullanılan VPN sisteminin yetkilendirme mekanizmaları belirlenebilir. RFC 2409'a göre -m parametresinin alabileceği değerler aşağıda verilmiştir.
pre-shared key- 1
DSS signatures - 2
RSA signatures - 3
Encryption with RSA - 4
Revised encryption with RSA - 5
Bunların dışında 65001 ve 65535 arasındaki numaralar VPN üreticilerinin kendilerine has tasarladıkları yetkilendirme sistemleri için tahsis edilmiştir.
Checkpoint hybrid mode - 64221
GSS (Windows "Kerberos") - 65001
XAUTH - 65001 - 65010
Bu değerlere göre hedef sistem tarafından VPN için kullanılabilecek yetkilendirme mekanizmaları belirlenerek, risk taşıyanlar raporlanabilir.
# ike-scan 192.168.0.1 -m 1 (PSK)
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=131b7aecd445ae50) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be1747b0000000018300000 (Firewall-1 NGX)
# ike-scan 192.168.0.1 -m 2
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=0000000000000000, msgid=fc12d521)
# ike-scan 192.168.0.1 -m 3
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=ada3d0699dcb9bb1) SA=(Enc=3DES Hash=SHA1 Auth=RSA_Sig Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be175040000000018300000 (Firewall-1 NGX)
# ike-scan 192.168.0.1 -m 64221
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=09c9f1f84a03629b) SA=(Enc=3DES Hash=SHA1 Auth=Hybrid Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be175470000000018300000 (Firewall-1 NGX)
Yukarıdaki kontrollerden görülebileceği üzere test ettiğimiz VPN sisteminin 3 farklı yetkilendirme mekanizmasını desteklediği anlaşılmaktadır.
5- VPN Ayarları (Desteklenen Şifreleme Algoritmaları)
Check Point firewall üzerinde DES, 3DES, AES-128, AES-256 gibi değişik şifreleme algoritmalarını kullanarak VPN kurmak mümkündür. Ancak bu algoritmalardan DES artık güçlü olarak nitelendirilmemekte ve kırılabileceği kabul edilmektedir. Bu sebeple VPN ayarlarının ilgili algoritmanın kullanılıp kullanılmadığına yönelik kontrol edilmesi ve eğer kullanılıyor ise risk olarak belirtilmesi önem taşımaktadır.
Kullanılan şifreleme algoritmalarını ortaya çıkartmak için ike-scan aracı kullanılabilir. İke-scan aracının -trans parametresi ile desteklenen değişik şifreleme ve hash algoritmaları ile vpn kurulmaya çalışılabilinir. -trans parametresinin formatı aşağıdaki gibidir.
-trans=(Şifrelme Algoritması,Hash,Yetkilendirme Mekanizması,DH Grubu)
DES algoritması desteğini belirlemek için "-trans=1,2,1,2" kullanılabilir. 1 DES, 5 3DES, 7/128 AES-128, 7/256 AES-256 için kullanılmaktadır. Diğer alanların ne gibi değerler alabileceği "ike-scan -h" komutunun çıktılarından görülebilir.
# ike-scan 192.168.0.1 -trans=1,2,1,2
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=3b929cd124124609) SA=(Enc=DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be177850000000018000000 (Firewall-1 NGX)
6- VPN Agressive Mode
IPSEC bağlantı kurulurken, yetkilendirme sırasında kullanılabilecek yöntemlerden birisi de PSK(Pre Shared Key)'dır. Aggressive mode, PSK kullanıldığı durumlarda anahtar bilgilerinin aktarılmasında kullanılan yöntemlerden biridir. Ancak aggressive mode taşıdığı tasarım hataları nedeni ile aktif olması durumunda kullanıcı adı bilinen hesapların parolası deneme-yanılma yöntemi ile kırılabilir. Bu sebeple agressive mode aktif olan sistemler potansiyel risk taşımaktadır. Cisco tabanlı VPN sistemlerinde agressive mode grup parolalarının aktarılması için kullanıldığı için risk seviyes Check Point firewall'a göre daha düşüktür. Check Point Firewall'da ise agressive mode yetkilendirme aşamasında kullanıldığı için, VPN sistemine yetkisiz erişimi mümkün kılabilir. Agressive mode CheckPoint tabanlı sistemlerde, tanımlı kullanıcı hesaplarının belirlenmesi içinde kullanılabilir. Bu sebeple Check Point tabanlı VPN sistemlerinde agressive mode özelliğinin kapalı olup olmadığı mutlaka kontrol edilmelidir.
Agressive Mode Check Point 4.1 tabanlı sistemlerde ilk kurulum sonrası otomatik olarak aktif durumda gelirken, NG ve sonrası sistemlerde kapalı durumda bulunmaktadır. Bununla birlikte firewall sisteminiz 4.1 sürümünden bugüne kadar sürekli güncellenerek geldi ise söz konusu özelliğin aktif durumda bulunma ihtimali yüksektir. VPN sisteminiz üzerinde agressive mode özelliğinin aktif durumda olup olmadığını anlamak için ikeprobe veya ike-scan araçları kullanılabilir. Sistemde agressive mode özelliğinin aktif olduğunu anlamak için ikeprobe komutu kullanılabilir.
C:\>ikeprobe.exe 192.168.0.1
IKEProbe 0.1beta   (c) 2003 Michael Thumann (www.ernw.de)
Portions Copyright (c) 2003 Cipherica Labs (www.cipherica.com)
Read license-cipherica.txt for LibIKE License Information
IKE Aggressive Mode PSK Vulnerability Scanner (Bugtraq ID 7423)
Supported Attributes
Ciphers              : DES, 3DES, AES-128, CAST
Hashes               : MD5, SHA1
Diffie Hellman Groups: DH Groups 1,2 and 5
IKE Proposal for Peer: 192.168.0.1
Aggressive Mode activated ...
Attribute Settings:
Cipher DES
Hash SHA1
Diffie Hellman Group 1
  0.000 3: ph1_initiated(00443ee0, 00374a70)
  0.016 3: << ph1 (00443ee0, 244)
  2.016 3: << ph1 (00443ee0, 244)
  5.016 3: << ph1 (00443ee0, 244)
8.016 3: ph1_disposed(00443ee0)
*****************************************************************************
* System is vulnerable!! See http://www.securityfocus/bid/7423/ for details *
*****************************************************************************
Benzer işlemi için ike-scan aracının -A parametresinden de yararlanılabilir.
# ike-scan -A 192.168.0.1 -m 1
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Main Mode Handshake returned HDR=(CKY-R=3a76b77c72864c3a) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be275c50000000018300000 (Firewall-1 NGX)
CheckPoint firewall üzerinde tanımlı vpn kullanıcı hesaplarını belirlemek için ise --id parametresi kullanılabilir. Eğer kullanıcı sistem üzerinde tanımlı ise agressive mode özelliği aktif olan NGX R65 ve üstü sistemlerde "AUTHENTICATION-FAILED" veya "Aggressive Mode Handshake returned" hata mesajı alınırken, kullanıcı hesabının doğru tahmin edilemediği durumlarda NO-PROPOSAL-CHOSEN hata mesajı alınmaktadır.
Tanımlı olmayan bir kullanıcı için alınan mesaj
# ike-scan -A 192.168.0.1 -id=deneme
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=0000000000000000, msgid=462cd2ad)
Sistemde tanımlı olan bir kullanıcı için alınan mesaj
# ike-scan -A 192.168.0.1 -id=test
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Notify message 24 (AUTHENTICATION-FAILED) HDR=(CKY-R=47b45ec69a7def29, msgid=3d3cbeed)
Agressive Mode tasarımındaki zayıflıklar nedeni ile alınan hata mesajlarındaki farklılıklar sistemde tanımlı kullanıcıların belirlenmesine izin vermektedir. Agressive mode kullanıcı hesabı belirlenmiş parolaların hash bilgisini almamıza izin vermektedir. Buda bize elde edilen bilgileri kırarak, VPN sistemine yetkisiz erişim gerçekleştirme olanağı sunmaktadır.
# ike-scan -A -id=test --pskcrack=test.psk 192.168.0.1
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
192.168.0.1    Aggressive Mode Handshake returned HDR=(CKY-R=66a447f71562d9c8) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) KeyExchange(128 bytes) Nonce(20 bytes) ID(Type=ID_IPV4_ADDR, Value=192.168.0.1) VID=f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d4be27b620000000018300000 (Firewall-1 NGX) Hash(20 bytes)
Elde edilen hash bilgisini ike-scan ile birlikte gelen psk-crack aracı ile kırarak sisteme erişim için gereli parola bilgisi öğrenilebilir.
# psk-crack test.psk
Starting psk-crack [ike-scan 1.9] (http://www.nta-monitor.com/tools/ike-scan/)
Running in dictionary cracking mode
key "12345678" matches SHA1 hash 674c5324a01b5fbe1e244bcb3c3c7f041dca436a
Ending psk-crack: 38 iterations in 0.035 seconds (1088.89 iterations/sec)
Yukarıdaki örneklerden görülebileceği üzere agressive mode aktif durumdaki VPN sistemlerinin risk altında olacağını söylemek yanlış olmayacaktır. İke-scan aracı hakkında daha detaylı bilgiye aşağıdaki linkten erişim sağlanabilir.
7- Basit Parolaya Sahip VPN Kullanıcıları
Firewall ayarlarında en sık yapılan hatalardan birisi de basit parolaya sahip vpn kullanıcılarının tanımlanmış olmasıdır. Genellikle test amaçlı veya geçici erişim için açılan bu hesaplar, parolalarının tahmin edilmesi durumunda önemli güvenlik problemleri oluşturacaktır. Bu sebeple Check Point tabanlı VPN sistemleri test, deneme, vpn gibi yaygın kullanılan test hesap isimleri için parola tahmin saldırılarına tabi tutulmalıdır.
8- Erişilebilir Check Point Yönetim Arabirimi
Firewall kuralları ve ayarları genellikle SmartDashboard adı verilen bir grafik tabanlı yazılım ile tanımlanabilmekte ve değiştirilebilmektedir. Bu yazılım CPMI(TCP/18190) servisi üzerinden firewall yönetim arabirimine bağlanmaktadır. Bu arabirime bağlantı yapabilecek sistemler $FWDIR/conf/gui-clients isimli bir dosya içinden tanımlanmaktadır. Eğer Check Point global ayarlarında "Accept Firewall-1 Power/UTM Control Connections" özelliği aktif durumda(ilk kurulum ayarlarında aktif olarak gelmektedir) ise sorunsuz erişimi garanti etmek için otomatik olarak dosyaya eklenen IP adresinden firewall yönetim sistemine doğru erişim izni veren bir kural tanımlanacaktır.
Burada en sık yapılan hata, firewall kurulurken ilk tanımlarının yapıldığı esnada firewall yöneticisinin IP adresi belirli değil ise genellikle ayarı gerçekleştirilen kişi tarafından "ANY" değeri atanmasıdır. Eğer gui-clients dosyası içine ANY değeri atanır ise, her yerden firewall yönetim arabirimine doğru erişim izni verilecektir. Eğer firewall yönetim ve enforcement modülleri de aynı sistem üzerine çalışıyor, dağıtık yapıda kurulmamış ise ki bu çok sık karşılaşılan bir durumdur, yapılan bu tanımlar firewall yönetim arabiriminin herkes tarafından erişilebilir olmasına yol açacaktır. Herkes tarafından erişim yapılabilen yönetim arabirimleri deneme-yanılma yöntemi ile gerçekleştirilen parola tahmin saldırılarının hedefi olacaktır. Eğer kullanıcı parolası basit ise yetkisiz kullanıcılar bu yapılandırma hatası nedeni ile firewall yönetimini ele geçirebilirler.
CheckPoint firewall sistemine yönelik yapılan port taramalarında TCP/18190 portunu açık olarak görüyor iseniz, yukarıda detayları verilen bir yapılandırma hatası ve güvenlik riski ile karşı karşıya olabilirsiniz.
9- SecurePlatform Yönetim Arabirimi
SecurePlatform Check Point tarafından geliştirilen kolay kurulum ve yönetim imkânı ile birlikte yüksek firewall performansı elde edilmesine olanak tanıyan bir işletim sistemidir. Bu işletim sisteminin yönetimi ve yapılandırması web arabirimi üzerinden de gerçekleştirilebilmektedir. Söz konusu arabirim eğer herhangi bir değişiklik yapılmamış ise 443 numaralı port üzerinden çalışmaktadır. Normalde yetkisiz erişime kapalı olması gereken bu port, firewall ayarlarında visitor mode özelliğinin aktif edilmesi durumunda, her yerden erişilebilir hale gelebilir.
Visitor mode, SSL üzerinden IPSEC VPN kurulmasına yardımcı olmaktadır. Bu sayede başka firewallar arkasında bulunan vpn client yazılımları için ek portlar açılmasına gerek kalmadan HTTPS portu üzerinden bağlantı sağlanabilmektedir. Visitor mode aktif hale getirildiğinde otomatik olarak firewall enforcement modülüne doğru her yerden 443 numaralı porta erişim izni verecek bir kural eklenir. Eğer firewall modül secureplatform üzerinde çalışıyor ve web tabanlı yönetim arabiriminin çalıştığı port önceden değiştirilmemiş ise, yetkisiz kullanıcılar yönetim arabirimine bağlantı sağlayabilir.
Bu durum yetkisiz kullanıcıların deneme-yanılma yöntemi kullanarak kullanıcı adı ve şifre tahminine yönelik saldırılar gerçekleştirmesine olanak tanıyacaktır. Mevcut yönetici parolalarının zayıf tanımlanmış olması durumunda, yönetim arabiriminin erişilebilir olması güvenlik duvarı sisteminin yetkisiz kullanıcılar eline geçmesi gibi ciddi sorunlara yol açabilir.
Eğer port taramalarında firewall sistemine doğru TCP/443 numaralı portun açık olduğu belirlenmiş ise ilgili servis üzerinde yönetim arabiriminin çalışıp çalışmadığı kontrol edilmeli, eğer securepaltform yönetim arabirimi var ise risk olarak belirtilmelidir.
https://<firewall-ip>/
10- Check Point Client Authentication Servisleri
CheckPoint Client Authetication servisi uzak kullanıcıların tanımlı parola ile izin verilen sistemlere telnet (TCP-259) veya http(TCP-900) üzerinden bağlanmasına olanak tanımaktadır. Eğer erişim için gerekli kullanıcı parolası güçlü tanımlamaz ise saldırganlar deneme-yanılma yöntemi ile tanımlı kullanıcılara ait parolaları tahmin edebilirler.
Yetkilendirme işleminin TELNET veya HTTP servisi üzerinden yapılması durumunda ise iletim sırasında şifreleme kullanılmaması nedeni ile ağ dinleme yöntemlerini kullanarak aktarılan şifrelerin tespit edilmesi ihtimali bulunmaktadır. Client Authentication servisi banner bilgilerinin değiştirilmemesi durumunda firewall sistemine ait hostname, sürüm gibi bilgileri de açığa çıkartabilmektedir.
# telnet 192.168.0.1 259
Connected to 192.168.0.1.
Escape character is '^]'.
Check Point FireWall-1 Client Authentication Server running on testfw01
User:
CheckPoint Client Authetication servisleri gerek kullanıcı adı ve parola yollama mekanizmasında herhangi bir şifreleme bulundurmaması, gerekse de bağlanılan IP adresinden ikinci bir parola sorulmasına gerek kalmadan sınırsız sayıda bağlantı kurulmasına izin vermesi sebebi ile kullanımı riskler taşıyan bir sistemdir. Bu sebeple ilgili servislerin aktif olduğunun belirlenmesi durumunda risk olarak belirtilmesi yararlı olacaktır.
11- LDAP Üzerinden Kullanıcı Hesaplarını Belirleme
CheckPoint firewall sistemi, VPN, Client Authentication gibi yetkilendirme kullanılan servisleri için kullanıcı bilgilerini LDAP, Radius gibi 3. sistemlerden çekebilme yeteneklerine sahiptir. Bu sayede daha gelişmiş yetkilendirme fonksiyonlarını sağladığı hizmetlere katmaktadır.
Eğer yetkilendirme işleminde LDAP entegrasyonu kullanılmış ve firewall üzerindeki LDAP ayarlarında "Display User's DN at Login" özelliği aktif edilmiş ise, LDAP sisteminde tanımlı olan kullanıcı hesaplarını belirlemek, bu hesaplara yönelik parola tahmin saldırıları gerçekleştirmek, parola kilitleme politikaları mevcut ise tanımlı hesapları kilitlemeye yönelik saldırılar gerçekleştirmek mümkün olabilir.
Kullanıcı DN bilgisini görüntüleme özelliği genellikle ilk ayarların yapıldığı sırada sistemin çalışırlığının test edilmesi için devreye alınmakta ve sonrasında bu halde bırakılmaktadır. Eğer yetkilendirme sırasında LDAP entegrasyonu yapıldığı belirlenmiş ise, kullanıcı hesaplarını belirlemeye yönelik denemeler yapılmalıdır. Örneğin Client-Authentication ile birlikte LDAP entegrasyonu kullanılmış ve yukarıda bahsi geçen ayarlar aktif durumda bırakılmış ise tanımlı olan ve olmayan kullanıcılar için aşağıdaki çıktılarda verilen hata mesajları alınabilir, detaylı  öğrenilebilir.
# telnet 192.168.0.1 259
Connected to 192.168.0.1.
Escape character is '^]'.
Check Point FireWall-1 Client Authentication Server running on testfw01
User:deniz
Password:******
Access denied - wrong user name or password
# telnet 192.168.0.1 259
Connected to 192.168.0.1.
Escape character is '^]'.
Check Point FireWall-1 Client Authentication Server running on testfw01
User:test
Password:******
User DN: CN=Test User,OU=Users,OU=VPNUsers,DC=TEST,DC=LOCAL
Account unit: TEST_AD
Yukarıdaki detayları verilen ayarların aktif durumda bulunması riskine karşın firewall'un yetkilendirme gerektiren uzak erişim vpn ve diğer yetkilendirme mekanizmaları mutlaka kontrol edilmelidir. Uzak erişim vpn için bu kontroller secureclient veya endpoint client yazılımı kullanılarak gerçekleştirilebilir.
12- DOMAIN-UDP Servisi İle Firewall Arkasındaki Sistemlere Erişim
Check Point firewall genel ayarlarında domain-udp servisine global olarak izin vermek mümkündür. (Accept Domain Name over UDP) Eğer bu özellik aktif ise Internet üzerinden, firewall ile korunan ve Internet üzerinden erişilebilen tüm sistemlere domain-udp(DNS/udp-53) servisi ile erişim gerçekleştirilebilir. Benzer şekilde firewall arkasındaki sistemlerden de bu servis ile Internet'e erişim gerçekleştirilebiir.
Bu durum güvenlik duvarı arkasında bulunan ve gereksiz yere DNS servisi açık durumdaki sunucuların ilgili servisine erişimi mümkün kılacaktır. Bunun dışında DNS servisi, güvenlik duvarı kurallarının dns tünelleme teknikleri ile devre dışı bırakılması veya ağ haritasının çıkartılması için kullanılabilir. Yerel ağdaki kullanıcılar bu yapılandırma hatasını normalde izin verilmeyen servislere udp tünel kurarak erişmek, saldırganlar ise ele geçirdikleri sistemlere bu servis üzerinden çalıştırdıkları backdoor yazılımları ile erişmek için yararlanabilirler.
İlgili özelliğin aktif durumda olup olmadığını belirlemek için, firewall arkasında bulunan sistemlere doğru udp-53 portu üzerinden bağlantı kurulmaya çalışılmalıdır. Eğer bu servis üzerinden hedef sistemlere erişim sağlanabiliyor ve bu port üzerinde çalışan DNS gibi bir servis bulunmuyor ise "ICMP Port Unreachable" mesajlarının alınması gerekmektedir. ICMP mesajlarının alınması aynı zamanda, paket yollanan sistem için firewall üzerinde ICMP servisleri için izin verildiğini de göstermektedir.
# hping -2 -p 53 192.168.0.10
HPING 192.168.0.10 (eth2 192.168.0.10): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=192.168.0.1 name=testfw
# hping -2 -p 53 192.168.0.11
HPING 192.168.0.11 (eth2 192.168.0.11): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=192.168.0.1 name=testfw
# hping -2 -p 53 192.168.0.12
HPING 192.168.0.12 (eth2 192.168.0.12): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=192.168.0.1 name=testfw
Yukarıdaki örneklerde olduğu gibi firewall arkasında bulunduğu bilinen çok sayıda sistemden benzer cevapların alınması durumunda domain-udp servisine genel olarak izin verildiğini söylememiz yanlış olmayacaktır. Eğer domain-udp servisine genel olarak izin veren ayar, kural tabanında ilk sırada çalışacak şekilde yapılandırılmış ise firewall sistemine de bu servis üzerinden erişimi mümkün kılacaktır.
13- ICMP Servisi
ICMP Internet üzerinden gerçekleştirilen haberleşmede kontrol amaçlı kullanılan bir protokoldür. Check Point ilk kurulum ayarları tüm sistemlere doğru her türlü ICMP mesajını geçirecek şekilde yapılandırılmıştır. ICMP mesajları hedef sistem hakkında, sistemin ayakta olduğu, işletim sisteminin ne olduğu, kullanılan ağ maskesi, sunucunun uptime bilgisi gibi değişik bilgileri elde etmek ve ağ haritasını çıkartmak için kullanılabilir.
Özellikle yerel ağdaki sistemlerin dışarıya ICMP mesajları yollamasına izin verilmiş ise, ttl-expired, port unreachable gibi ICMP mesajları ile birlikte yerel ağdaki sistemlere ait IP adresi gibi bilgilerin de açığa çıkmasına neden olabilirler. Bu sebeple ICMP mesajlarının firewall üzerinde, hem firewall tarafından korunan bölgelerden Internet'e doğru, hem de Internet üzerinden yerel ağa doğru geçişi engellenmelidir.
Internet üzerinden firewall kurallarında genel olarak ICMP servislerine izin verildiğinin anlaşılabilmesi için, firewall arkasında bulunduğu bilinen ağ bloğuna doğru ICMP taraması gerçekleştirilebilir.
# nmap -sP 192.168.0.0/24 --reason
Starting Nmap 5.21 ( http://nmap.org ) at 2010-05-06 15:45 EEST
Nmap scan report for 192.168.0.1
Host is up, received echo-reply (0.028s latency).
Nmap scan report for 192.168.0.10
Host is up, received echo-reply (0.032s latency).
Nmap scan report for 192.168.0.11
Host is up, received echo-reply (0.034s latency).
Nmap scan report for 192.168.0.15
Host is up, received echo-reply (0.034s latency).
Firewall tarafından korunan bölgelerden ICMP mesajına izin verildiğinin belirlenebilmesi için ise, değişik portlara yollanan mesajlara alınacak ICMP mesajları incelenmelidir. Örneğin traceroute istekleri, ttl değeri düşürülerek yollanmış istekler, domain-udp servisine yollanan istekler gibi değişik yöntemler kullanılarak alınan cevaplar ICMP mesajları için kontrol edilebilir.
14- StateFull Inspection Ayarları
Check Point FW-1, StateFull Inspection mekanizması, gelen trafiği 3. OSI katmanından başlayarak inceleyip, bağlantıya ait tüm detayları belleğinde tutmaktadır. Bağlantı bir kere kurulduktan ve durum tablosuna yazıldıktan sonra bu bağlantıya ait tüm devam paketleri firewall kurallarındaki kontrole gerek kalmaksızın işlenmektedir. Ek olarak bağlantının RFC'lerde belirtilen standartlara uygun bir biçimde kurulduğu, sequence numaraları ve IP ID değerleri gibi TCP ve IP başlığında bulunan önemli bilgilerin değişmeden veya bozulmadan geldiği kontrol edilerek gelişmiş güvenlik kontrolleri sağlamaktadır.
Ancak bu özellikleri sağlayan StateFull inspection mekanizması, Check Point ayarlarından iptal edilebilmektedir. Pek çok firewall yöneticisinin karşılaştığı hataları bu ayarı kapatarak gidermeye çalışması aslında güvenlik açısından büyük risk doğurmaktadır. Oysa Statefull Inspection sebebi ile görülen hata mesajlarının artması çoğu kez bir saldırıyı, ağ üzerinde yapılmış yapılandırma hatalarını, asimetrik yönlendirmelerden kaynaklanan problemleri işaret etmektedir.
Statefull Inspection özelliğinin iptal edilmesi, firewall kurallarının izin vermesi durumunda 3 way handshaking tamamlanmamış bağlantılara ait SYN harici paketlerin geçmesine neden olacaktır. Bu durum SYN harici metodlar ile port taraması gerçekleştirilmesine veya firewall kurallarının devre dışı bırakılarak aşılmasına olanak tanıyacak saldırılara neden olabilir. Yine IPID ve Sequence numarasını üretmede zayıflıklar taşıyan işletim sistemlerine açılmış bağlantılar, statefull inspection mekanizmasının devre dışı olması nedeni ile farklı sistemlere yönlendirilebilir. Söz konusu özelliğin kapatılması önemli güvenlik ihlallerine neden olabilir.
Örneğin aşağıda firewall arkasında bulunan sistemlere değişik TCP flagları aktif edilerek yollanan paketlere alınan cevaplar yer almaktadır.
#hping -p 80 -SA 192.168.0.11 (SYN+ACK)
HPING 192.168.0.11 (eth2 192.168.0.11): SA set, 40 headers + 0 data bytes
len=46 ip=192.168.0.11 ttl=116 id=0 sport=80 flags=R seq=0 win=0 rtt=9.1 ms
#hping -p 80 -SAR 192.168.0.15 (SYN+ACK+RST)
HPING 192.168.0.15 (eth2 192.168.0.15): SA set, 40 headers + 0 data bytes
len=46 ip=192.168.0.15 ttl=62 id=0 sport=80 flags=R seq=0 win=0 rtt=8.9 ms
len=46 ip=192.168.0.15 ttl=62 id=0 sport=80 flags=R seq=0 win=0 rtt=1.7 ms
Eğer Check Point firewall üzerinde state-full inspection mekanizması devrede olsa idi bu isteklerin firewall tarafından kesilmesi ve paketi yollayan sisteme herhangi bir cevap gelmemesi gerekirdi. 3-way handshake işlemi tamamlanmamış şekilde yollanan paketlere alınan cevaplar, bizlere firewall üzerinde state-full inspection mekanizmasının kapalı olduğu bilgisini vermektedir.
15- AntiSpoofing Ayarları
Spoofing, yollanan paket içindeki IP adres bilgisini, kurum ağları içinde kullanılabilecek IP adresleri ile değiştirerek daha fazla erişim hakkı sağlamaya çalışmak için kullanılan bir yöntemdir. Check Point AntiSpoofing mekanizması gelen ve giden paketlerin doğru interface üzerinden çıkmasını garanti etmektedir. Bu sayede firewall, yerel ağda bulunmayan bir IP bloğundan dışarıya paket çıkmasını engelleyeceği gibi, firma bünyesinde kullanılan IP adresleri ile dış dünyadan yollanacak paketleri de bloke edecektir. Anti-spoofing ayarları otomatik olarak firewall yönlendirme tablosundan üretilebilir.
Anti-spoofing ayarlarının devre dışı olduğunu uzaktan anlamak için idle-scan teknikleri kullanılabilir. Bunun için hedef güvenlik duvarı arkasında olan ve IPID değerini ardışık olarak üreten bir sistem gerekecektir. IPID değerindeki artışlar izlenerek spoof edilmiş IP adreslerinin hedef sisteme ulaşıp ulaşmadığı, dolayısı ile firewall üzerinde AntiSpoofing ayarlarının aktif olup olmadığı görülebilir. Normal HTTP istekleri yollandığı zaman IPID değerinin ardışık olarak üretildiği aşağıdaki çıktılarda görülebilmektedir.
# hping -S -p 80 192.168.0.11
HPING 192.168.0.11(eth2 192.168.0.11): S set, 40 headers + 0 data bytes
len=46 ip=192.168.0.11 ttl=126 id=341 sport=80 flags=RA seq=0 win=0 rtt=9.0 ms
len=46 ip=192.168.0.11 ttl=126 id=342 sport=80 flags=RA seq=1 win=0 rtt=8.7 ms
len=46 ip=192.168.0.11 ttl=126 id=343 sport=80 flags=RA seq=2 win=0 rtt=9.0 ms
Kaynak IP adresini 127.0.0.1 olarak değiştirerek aynı sistemin 80 numaralı portuna iki adet istek yollandığı zaman, loopback IP adresleri için kontrollerin CheckPoint’in kernel seviyesinde yapılması nedeni ile IPID değerinin kaldığı yerden devam ettiği görülmektedir. Eğer bu paketler hedef sisteme ulaşsaydı, normal istekler için IPID değerinin 346’dan başlaması gerekecekti.
Loopback IP adresleri için gerçekleştirilen kontrolleri de fw ctl komutları ile kapatmak mümkündür. Eğer 127.0.0.1 kaynak IP adresi ile yollanan paketlerin hedef sisteme ulaştığı belirlenmiş olsaydı, bu ayarın da kapatılmış olduğu ortaya çıkacaktı.
# hping -a 127.0.0.1 -p 80 192.168.0.11 -S -c 2
HPING 192.168.0.11(eth2 192.168.0.11): S set, 40 headers + 0 data bytes
--- 192.168.0.11 hping statistic ---
2 packets tramitted, 0 packets received, 100% packet loss
# hping -S -p 80 192.168.0.11
HPING 192.168.0.11(eth2 192.168.0.11): S set, 40 headers + 0 data bytes
len=46 ip=192.168.0.11 ttl=126 id=344 sport=80 flags=RA seq=0 win=0 rtt=9.0 ms
len=46 ip=192.168.0.11 ttl=126 id=345 sport=80 flags=RA seq=1 win=0 rtt=8.7 ms
Ancak kaynak IP adresi olarak, normalde anti-spoofing kurallarının geçişine izin vermeyeceği, firewall kurallarında idle sisteme erişime izin verilmiş ve yerel ağda kullanılan başka bir IP adresi seçildiğinde, IPID değerinin arttığı görülmektedir. Bu durum spoof edilen paketin hedef sisteme ulaştığını ve firewall üzerinde AntiSpoofing ayarlarının aktif olmadığını göstermektedir.
# hping -a 192.168.0.12 -p 80 192.168.0.11 -S -c 2
HPING 192.168.0.11(eth2 192.168.0.11): S set, 40 headers + 0 data bytes
--- 192.168.0.11 hping statistic ---
2 packets tramitted, 0 packets received, 100% packet loss
# hping -S -p 80 192.168.0.11
HPING 192.168.0.11(eth2 192.168.0.11): S set, 40 headers + 0 data bytes
len=46 ip=192.168.0.11 ttl=126 id=348 sport=80 flags=RA seq=0 win=0 rtt=9.0 ms
len=46 ip=192.168.0.11 ttl=126 id=349 sport=80 flags=RA seq=1 win=0 rtt=8.7 ms
Eğer AntiSpoofing ayarları aktif olsaydı, kaynak IP adresi değiştirilerek yollanan paketler hiçbir zaman hedefe ulaşmayacak, dolayısı ile sonrasında yollanacak normal istekler için IPID değerinin 346'dan başlaması gerekecektir.
AntiSpoofing ayarlarının aktif olmaması durumunda firewall kurallarının belirlenmesi, kurallarda izin verilen ip adreslerinden paketler üretilmesi ve UDP tabanlı servislere yönelik saldırılar gerçekleştirilmesi mümkün olabilir. Spoofing teknikleri özellikle UDP tabanlı servislerde IP tabanlı filtrelerin atlatılması, TCP tabanlı servislerde ise DoS, SYN-Attack gibi saldırılarda yaygın olarak kullanılmaktadır. Özellikle sequence numarası belirlenebilen TCP bağlantılarını RST paketi yollayarak kesme, bağlantıyı başka sistemlere yönlendirme gibi saldırılar IP spoofing tekniklerinden yararlanmaktadır. AntiSpoofing ayarlarının özellikle dış dünyaya bakan interface için aktif edilmemiş olması, önemli güvenlik riskleri ile karşılaşmanıza neden olabilir.
16- Gereksiz Yere Erişim İzni Verilmiş IP ve Servisler
Uzaktan gerçekleştirilecek basit SYN taramaları ile firewall kurallarında gereksiz yere izin verilmiş port ve IP adreslerini belirlemek mümkündür. Bunun için firewall arkasında yer alan tüm IP adreslerine TCP tabanlı servisler için full, UDP tabanlı servisler için yaygın kullanılan servislere yönelik port taraması gerçekleştirilmesi yeterli olacaktır.
Test edilen sunucuya yollanan SYN paketlerine SYN+ACK cevabı alınırsa, cevabın alındığı port arkasında bir servis çalıştığını ve bağlantı isteğimize cevap verdiğini, RST veya RST+ACK cevabı alınırsa, paketin yollandığı port arkasında bir servis çalışmadığı bilgisini elde ederiz. Bu bulgular neticesinde test edilen portun artık kullanılmadığını veya firewall üzerinde gereksiz yere açıldığını söylemek yanlış olmayacaktır. Eğer test edilen IP üzerinde cevap alınan tüm portlardan RST cevabı geliyor ise, ilgili IP adresine erişim de gereksiz yere açılmış olabilir.
# hping --scan 1-65535 -S -V 192.168.0.22 -i u1650
+----+-----------+---------+---+-----+-----+-----+
|port| serv name |  flags  |ttl| id  | win | len |
+----+-----------+---------+---+-----+-----+-----+
   21 ftp        : .S..A...  56     0  5840    46
   80 http       : ..R.A...  56 11164     0    46
  443 https      : ..R.A...  56 11164     0    46
Nmap --reason parametresi kullanılarak ta benzer taramalar gerçekleştirilebilir.
# nmap -sS -p1-65535 192.168.0.22 --reason
Starting Nmap 5.21 ( http://nmap.org ) at 2010-05-06 18:56 EEST
Nmap scan report for 192.168.0.22
Host is up, received echo-reply (0.44s latency).
PORT   STATE    SERVICE REASON
21/tcp  open     ftp     syn-ack
80/tcp  closed   http    reset
443/tcp closed   http    reset
Söz konusu kontrol firewall arkasında bulunabilecek ve Internet üzerinden erişilebilen tüm sistemler için gerçekleştirilirse, Internet üzerinden erişimler için tanımlanmış kuralları belirlemek mümkün olacaktır.
Gereksiz yere izin verilmiş portlar değişik güvenlik sorunlarına neden olacaklardır. Örneğin kullanılan port üzerinde çalışan bir serviste uzaktan erişime imkan tanıyan bellek taşması veya benzeri bir güvenlik açığı tespit edilmesi durumunda, güvenlik duvarı tarafından izin verilmiş ve sunucu üzerinde kullanılmayan bu portlar sayesinde uzak kabuk erişimi gerçekleştirilebilir.
17- Kaynak Port Kontrolleri
Bazı özel servisler için belirli kaynak portları kullanarak normalde erişim yapılamayan sistemlere erişim sağlamak mümkün olabilir. Özellikle aktif ftp kullanıldığı durumlarda kaynak portu 20 olacak şekilde 1024 üzeri servislere izin verilmesi gerekmektedir. Check Point firewall bu işlemi otomatik olarak gerçekleştirmekte ve sadece ftp bağlantısını açan sistemler arasında bu portların açılmasına izin vermektedir. Bununla birlikte base.def dosyası içinde tanımlı bu kontrollere yönelik yapılabilecek hatalı değişiklikler kaynak portu değiştirilerek önemli sistemlere erişimi mümkün kılabilir.
Bunun dışında değişik kaynak portları kullanılarak erişim gerçekleştirme denemeleri yapılması yararlı olacaktır. Kimi zaman DNS servisi içinde benzer yapılandırma hataları gerçekleştirildiği görülmüştür. Bu sebeple testler sırasında yaygın kullanılan kullanılan portlar kaynak portu olarak kullanılarak mutlaka erişim kontrolleri gerçekleştirilmelidir.
# hping -p 53 192.168.0.21 -S -c 1
HPING 192.168.0.21 (eth2 192.168.0.21): S set, 40 headers + 0 data bytes
len=46 ip=192.168.0.21 ttl=62 id=0 sport=53 flags=RA seq=0 win=0 rtt=21.0 ms
1 packets tramitted, 0 packets received, 100% packet loss
# hping -s 25 -p 53 192.168.0.21 -S
HPING 192.168.0.21 (eth2 192.168.0.21): S set, 40 headers + 0 data bytes
len=46 ip=192.168.0.21 ttl=126 id=0 sport=53 flags=SA seq=0 win=16384 rtt=42.8 ms
18- Check Point Firewall Yazılımının Etkilendiği Bilinen Güvenlik Açıkları
Check Point firewall NGX R60 ve sonrası sistemlerin etkilendiği bilinen üç önemli güvenlik açığı bulunmaktadır.
- Check Point InternaCA Directory Traversal Güvenlik Açığı
InternalCA uygulaması TCP/18264 numaralı port üzerinde çalışmaktadır. Bu port üzerinde çalışan web sunucusu kendisine gelen hex encoded ../ isteklerini yanlış yorumlaması nedeni ile webroot dizini dışındaki önemli dizin ve dosyalara erişimi mümkün kılmaktadır. R60, R60A, R61 ve öncesi sürümlerin bu açıktan etkilendiği bilinmektedir. Aşağıdaki gibi bir istek söz konusu problemin varlığını test etmek için kullanulabilir.
http://firewall-ip:18264/%2e%2e/%2e%2e/%2e%2e/etc/passwd
Problem ile CheckPoint tarafından hazırlanan duyuruya aşağıdaki linkten ulaşmak mümkündür.
- Check Point VPN-1 PAT Bilgi Yayınlama Açığı
Firewall dış IP adresine doğru gelen paketlerin yerel ağdaki sistemlere yönlenmesine izin veren PAT (Port Address Translation) kuralları, PAT işlemine tabi tutulmuş sistemin yerel ağ IP adreslerinin ICMP hata mesajları içinde, dış dünyaya yayınlanmasına neden olmaktadır. Söz konusu sorun PAT için kullanılan porta TTL değeri düşük paketler yollanması ile ortaya çıkmaktadır.  Firewall’un geriye yolladığı ICMP TTL mesajlarını hatalı encapsule etmesi nedeni ile dış dünyadan yerel ağda kullanılan IP adresleri belirlenebilmektedir. NGX R65 HFA30 öncesi tüm sürümler bu sorundan etkilenmektedir.
Firewall’un 18264 numaralı portu da benzer bir şekilde PAT işlemine tabi tutulmaktadır. Firewall IP adresinin 18264 numaralı portuna gelen istekler, PAT ile yönetim modülüne yönlendirilmektedir. Bu sebeple TTL değeri firewall üzerinde sonlanacak şekilde, firewall'un 18264 numaralı portuna yollanan istekler, yönetim modülünün yerel ağda kullanılan IP adresinin belirlenmesi için kullanılabilir.
Konuyla ilgili detaylı bilgiye aşağıdaki linkten erişim sağlanabilir.
Problemi ortaya çıkartmak için hping aracı kullanılabilir. Bu problemi test etmek için gerekli plugin'de openvas içinde bulunmaktadır.
# hping -p 18264 <firewall-ip> -S -t <ttl>
CheckPoint tarafından konuyla ilgili yapılmış açıklamaya ise aşağıdaki adresten erişmek mümkündür.
- Check Point Socketress TCP DoS Güvenlik Açığı
TCP/IP alt yapısında tespit edilen bir güvenlik açığı sistemlerin servis dışı kalmasına yol açmaktadır. Check Point Firewall R70.1, R65 HFA50, R62 HFA01, R60 HFA07 öncesi tüm sürümler bu açıktan etkilenmektedir. Aşağıdaki linkten konuyla ilgili detaylı bilgi temin edilebilir.
Tüm Check Point ürünlerini etkileyen zafiyetleri araştırmak için ise değişik zafiyet arama motorları kullanılabilir.

Hiç yorum yok:

Yorum Gönder