Bu bir DNS yazısıdır

İnternet’i kullanılabilir hale getiren ve bir anlamda belkemiğini oluşturan DNS (Domain Name Server – Alanadı Sunucuları) saldırganlar için de önemli hedeflerdir.

Aşağıdaki ekran görüntüsünde görülebileceği gibi örnek olarak ele aldığım yerlerden birisi web sayfasını basit port taramalarına karşı korumaktadır. NMAP’in hiç bir parametre kullanılmadan yapılan taramalarda kullandığı 1000 port filtreli durumda ve sadece internet sayfasının hizmet verebilmesi için ihtiyaç duyduğu portlar görece açık.

Filmlerde gösterilenin aksine hackerlar kolay yolu ararlar, bu durumda bu portları filtreleyen güvenlik cihazını atlatmaya uğraşmaktansa daha kolay istismar edebilecekleri saldırı yüzeyleri arayacaklardır. Sistem yöneticisi olarak kapatamadığımız 3 ana nokta, doğal alarak saldırganların başlıca tercihleri olacaktır bunlar;

E-posta hizmeti: Sosyal mühendislik saldırıları için önemli vektörlerdir. E-posta sunucularının doğru konfigüre edilmediği durumlarda ise saldırganlar, kurum e-posta kaynaklarını kullanarak hem üçüncü şahıslara saldırabilir (istenmeyen e-posta gönderimi ve oltalama saldırıları), hem de kurumsal ağ, sistemler ve yapı hakkında bilgi elde edebilirler. 

Web sayfaları (web uygulamaları): Web sayfaları üzerindeki zafiyetleri istismar eden saldırganlar kurum bilgilerini ele geçirebilir, itibar ve para kaybına yol açabilir. 

DNS Tehditleri

Saldırganlar DNS sunucularını kullanarak 4 temel saldırı türünü gerçekleştirebilir.

Bilgi Toplama: Özünde bir saldırı olmasa da hedef hakkında bilgi toplamak geçerli saldırıları belirlemek, planlamak ve yürütmek için önemlidir. Saldırganlar hedefin dışarıya bakan ağını nasıl düzenlediği ve yönettiğini DNS üzerinden bilgi toplayarak anlayabilir.

Hizmet dışı bırakma: Alanadı sunucusuna kapasitesinin çok üstünde talep gönderen saldırganlar hedef DNS sunucusunun iş görmez hale gelmesine neden olabilir.

Sahte kaynaktan talep gönderme: Yanlış ayarlanmış bir alanadı sunucusu başka bir hedefe hizmet dışı bırakma saldırısı düzenlenmek için kullanılabilir. Saldırganların hedef ağdan geliyor gibi düzenleyip göndereceği paketlere cevap veren alanadı sunucusu istemeden karşıdaki sunucuyu hizmet veremez hale getirebilir.

Kayıt yönlendirme: Kurumdan çıkan DNS taleplerini kendi kontrolündeki bir sunucuya yönlendiren saldırgan bu sayede kullanıcıları zararlı içerik barındıran bir siteye veya sosyal mühendislik saldırılarına uygun olarak hazırladığı başka bir siteye yönlendirebilir.

Yukarıda portlarını koruduğunuz bildiğimiz hedefin Alanadı Sunucusuna saldırgan gözüyle bakacak olursak aşağıdaki bilgileri elde edebildiğimizi görebiliriz.

DNSSEC kurulu değil

DNSSEC kullanılmadığı durumlarda saldırganlar DNS trafiğini yakalayıp değiştirebilirler. Aşağıdaki 4 grafik DNSSEC kullanmayan bir sunucuya yönelik düzenlenebilecek etkili bir saldırıyı özetlemektedir.

Adım 1: Kurban tarayıcının adres çubuğuna gitmekistediğimsite.com yazar ve tarayıcı bu sitenin IP adresini tespit edebilmek için DNS sunucusuna bir sorgu gönderir.

Adım 2: DNS sunucusu gerekli bilgilendirmeyi yaparak kurbanı gitmek istediği siteye yönlendirir.

Adım 3: DNSSEC olmamasından faydalanan saldırgan DNS sorgularına müdahale eder.

Adım 4: Kurban gitmekistediğimsite.com adresini yazmasına rağmen farkında olmadan saldırgan tarafından hazırlanmış siteye yönlendirilir.

 Cisco ve Lync kullanımı

Aşağıdaki ekran görüntüsünde görüldüğü gibi örnek olarak ele aldığım şirket Cisco video konferans sistemi olduğunu tahmin ettiğim (vcse. İle başlayan alandı ve 5060/5061 portlarını ipucu olarak değerlendirerek yürüttüğüm bir tahmin) ve Microsoft LYNC’i haberleşme için kullanıyorlar.

İlginç altalanadları

Smtp., test. Vpn. Gibi saldırgan açısından ilgi çekici olabilecek bir kaç altalanadının yanında hedefin kullandığı IP adresleri aralıkları hakkında da bilgi sahibi olduk.

DNS güvenliği konusunda ülke olarak ne durumda olduğumuzu anlamak için 21 Bakanlık DNS sunucuları üzerinde yaptığım çalışmada gördüğüm şunlar oldu;

21 Bakanlık içerisinde;

20 tanesinde DNSSEC kullanılmadığını,

5 tanesinin DNS sunucusunun dışarıdan gelen isteklere cevap verdiği için başka hedeflere karşı hizmet dışı bırakma saldırılarında kullanılabileceğini,

3 tanesinde Microsoft Lync kullanıldığını,

8 tanesinin internet üzerinden telefon görüşmesi yaptığını sadece DNS sorguları aracılığıyla tespit etmek mümkün olmuştur.

DNS güvenliği için öneriler:

Alanadı sunucunuzun güvenliğini sağlamak için kullanabileceğiniz tek bir hap ne yazık ki yoktur. Bilgi güvenliğiyle ilgili diğer bütün konularda olduğu gibi gizlilik, bütünlük ve erişilebilirlik başlıkları ayrı olarak değerlendirilmelidir. Güvenlik seviyesini hızlıca arttırmanızı sağlayacak bazı öneriler şunlar olabilir;

DNS sunucunuz sadece kurumunuza hizmet etmelidir ve DNS sunucunuza sadece yetkisi olanlar erişebilmelidir.

DNS taleplerinin trafiğinin denetlenmesi gereklidir: Bu sayede hem DNS’e gelebilecek saldırıları fark eder hem de  saldırganların DNS tüneli benzeri yöntemlerle kurum dışına veri kaçırdığını tespit edebilirsiniz.

DNS sunucularınız güncel tutulmalıdır: Diğer bütün sistemlerde olduğu gibi DNS yazılımları için güvenlik güncellemeleri ve yamaları yayınlanır, bunların zamanında kurulması çok önemlidir.

DNS sunucunuz üzerinde çalışan servisleri sınırlayın: DNS sunucunuz üzerinde FTP, HTTP, SMTP gibi hizmetleri kaldırmakta fayda var.

Metasploit ile Nmap Kullanmak

Nispeten geniş ağları test ederken süre kısıtımız olduğunda zaman kazandırdığına inandığım için taramaların bir kısmını doğrudan Metasploit içerisinden yapmayı tercih ediyorum.

Ağ taramalarının (scan) benim için 4 temel amacı vardır;

• Ağ üzerindeki sistemleri tespit etmek
• Bulunan sistemlerde açık olan portları ve çalışan servisleri bulmak
• Bulunan servislerde ve sistemlerdeki zafiyetleri tespit etmek
• Ağ üzerinden iş süreçlerini ve genel işleyişi anlamaya çalışmak (Sıramatik var mı?, Misafirlere wi-fi hizmeti veriliyor mu?, NAS cihazı var mı? vs.)

Normal şartlar altında tarama aşaması en çok zaman harcadığım ve en iyi yapmaya çalıştığım şeydir. İyi yapılmış bir tarama hem ağ topolojisini doğru çıkartmamızı sağlar hem de testler için kullanılabilir ve etkili bir plan hazırlamamıza imkan verir.
Bazen de testi hızlı yapmak gerekir, ağ çok karmaşık değildir, "whitebox" dediğimiz, müşterinin topoloji ve sistem detaylarını bizimle paylaştığı türden bir testtir ve zaman esastır. Bu durumlarda Metasploit'un üzerinde bulunan tarama modüllerini kullanmakta fayda görüyorum.
Metasploit'un üzerindeki tarama modüllerini tespit etmek için Metasploit'u başlattıktan sonra "search scan" ile arama yapmanız yeterlidir.

En yaygın olarak kullanılan tarama yazılımı Nmap olduğu için bu yazıdaki örnekleri onun üzerinden yaptım.

Bu işlem için kurduğum topoloji aşağıdaki gibidir. Görüldüğü üzere 192.168.1.34 IP adresli makine saldırgan, diğer ikisi kurbandır. 

Resim 1: Topoloji (evet, bunları çizerken çok eğleniyorum)

Metasploit içerisinde Nmap'i kullanabilmek için Metasploit'u başlatmadan önce aşağıda görüldüğü gibi Postgresql'i ve Metasploit'u servis olarak başlatmak gerekiyor.

Resim 2: Postgresql'i çalıştırmak

Resim 3: Metasploit'u servis olarak başlatmak

Bu iki aşamadan sonra "msfconsole" komutuyla Metasploit konsolünü çalıştırabiliriz.

Resim 4: Metasploit konsolü çalıştırmak

Resim 5: Her zaman olduğu gibi Metaslpoit bizi sevimli bir grafikle karşılıyor

Metasploit içerisinden Nmap'e ulaşmak için kullanacağımız komutlar bildiğimiz Nmap komutlarıdır.

Ağdaki diğer makineleri tespit etmek için kullanabileceğimiz yöntemlerden biri Ping paketi gönderip, cevap veren makinelere bakmaktır. Bazı sistemlerin açık ve ağa bağlı oldukları halde Ping paketlerine cevap vermeyeceklerini hatırlatmak isterim. Bu durumda kullandığımız komut aşağıdaki gibidir:

msf > db_nmap -sP 192.168.1.*

db_nmap: Metasploit içerisinden Nmap'i çalıştırmama imkan veriyor.

-sP: Ping taraması yapar ve hedef olarak belirlediğimiz IP veya IPlere ping paketi gönderir.

***Edit: -sP basitçe Ping paketi göndermekten fazlasını yapıyor, daha doğrusu sadece ping göndermiyor. Ayrıntılar için Nmap'in kendi dokümantasyonuna http://nmap.org/book/man.html adresinden ulaşabilirsiniz. Uyarı ve düzeltme için teşekkür ederim @kadiraltan kendimi geliştirmemde ve vizyon kazanmamda katkın büyük. 

192.168.1.*: 192.168.1.0 ile 192.168.1.255 arasındaki bütün IP adreslerini kapsar

Resim 6: Ping taraması

Aşağıda görüldüğü gibi Ping sorgusu ile 192.168.1.20 adresinde bir makine tespit ettik. 

Resim 7: Ping taraması sonucu

Ping taramasından sonra ağ ve apdaki makineler hakkında daha fazla bilgi almak için bir de SYN taraması yapıyoruz. 

Resim 8: SYN Taraması

SYN taraması yapmak için kullanacağımız komut db_nmap -sS 192.168.1.* dir. 

Resim 9: SYN taraması sonuçları ve hosts komutu

SYN taraması sonuçlandığında "hosts" komutu ile tarama sonucu tespit ettiğimiz makineleri listelememiz mümkündür. Yukarıda görüldüğü üzere 192.168.1.20 ve 192.168.1.27 IP adreslerini kullanan makineleri tespit ettik. 

Makineler hakkında biraz daha bilgi sahibi olmak için daha kapsamlı bir tarama komutu kullanılabilir. Bunun için -sS parametresi ile birlikte -sV (versiyon/sürüm bilgisi) ve -O (işletim sistemi) parametreleri eklenebilir. 

Resim 10: İşletim sistemi ve sürüm bilgilerini de almaya çalıştığımız tarama

Bu tarama sonucunda "hosts" komutunu tekrar çalıştırdığımızda tespit ettiğimiz makinelerin birinin Linux, diğerinin Windows olduğunu görüyoruz. 

Resim 11: Hosts komutu ile işletim sistemi bilgisini görmek

Taramadan sonra "services" komutu ile ağ üzerinde tespit edilen sistemlerde Nmap'in bulduğu makineler üzerinde çalışan servisleri listeleyebiliyoruz. Amacımız zaman kazanmak olduğu için kolay istismar edilebilir olarak bildiğimiz servislerin hangi IP adreslerinde bulunan makinelerde aktif olduğunu tespit etmemize yardımcı olacak bir komuttur. 

Resim 12: services komutu ile ağ üzerinde çalışan servisleri listelemek

Ağ üzerinde birkaç sisteme hızlı şekilde sızmanın gerektiği durumlarda hosts komutunu -c address,os_flavor parametreleriyle kullanmak hedef makinleri listelememizi hızlandıracaktır. Bu durumda gerçek ağlarda çoğunlukla olduğu gibi ilk seçeneğimiz Linux makinelere saldırmak olacaktır. Linux sistemlerin hem daha seyrek olarak güncellenmeleri hem de "virüs bulaşmaz" düşüncesiyle antivirüs kurulmadan ağa bağlanmaları saldırganlar için çok güzel bir fırsat sunmaktadır. 

İstismar Sonrası Linux Komutları

Geçtiğimiz sene yaklaşık 20 üniversitede “Siber Güvenlik ve Hacking” konulu çeşitli seminerler verdim. Uygulamalı olarak ele aldığım bölümde ise aşağıdaki basit networkü oluşturup port taraması ve zafiyet tespiti aşamalarından sonra hedef sistemi ele geçiriyorum.
Seminerin süresinin kısıtlı olması nedeniyle bundan sonraki aşamaları çok detaylı ele alma imkanım pek olmadı. Bu yazı, sistemi ele geçirdikten sonra saldırganın yapabileceklerini ele alırken aynı zamanda sistem yöneticilerinin de bilmesi ve kullanması gereken basit bazı Linux komutlarını ele alacak.

 Aşağıdaki gibi basit bir topoloji oluşturdum. Saldırı için kullandığım sanal makine Kali Linux, hedef olarak kullandığım sanal makine ise Metasploitable (http://sourceforge.net/projects/metasploitable/files/Metasploitable2/). Metasploitable sızma testleri konusunda pratik yapmak için geliştirilmiş ve üzerinde çeşitli zafiyetler barındıran bir Linux dağıtımıdır. Yeri gelmişken: lütfen Metasploitable yüklü hiç bir sanal makineyi internete açmamaya dikkat edin.

Resim 1: Topoloji

Hedef sistemde olduğunu bildiğim bir açığı bulmak için Nmap kullanıyorum. Hedef Metasploitable olduğu için üzerindeki zafiyetleri biliyorum, bu kısmı biraz "hikayenin bütünlüğünü sağlamak" için ekledim. 

Resim 2: Nmap ile hedef sistemde zafiyet barındıran hizmeti ve portu tespit etmek

Unreal IRC hizmetinde var olduğunu bildiğim zafiyeti istismar etmek için Metasploit'u kullanacağım. 

Resim 3: Metasploit'un esprili başlangıç bannerlarından birisi

Metasploit'ta var olan ve Unreal IRC'i hedef alan istismarı kullanıyorum ama meterpreter benzeri bir shell yüklemek yerine bana hedef sistemin komut satırını getirmesini istiyorum. 

Resim 4: Unreal IRC istismarı

Komutlar sırasıyla: 

Kullanacağım istismarı seçmek için: use exploit/unix/irc/unreal_ircd_3281_backdoor

Hedef sistemi belirlemek için: set RHOST 192.168.1.20

Saldırıyı başlatmak için: exploit

Resim 5: Hedef sistemin komut satırına erişim sağlamak

Hedef sistemde birden fazla kullanıcı ve yetkinin tanımlı olabileceğini düşünerek ilk adım hangi kullanıcı ve dolayısıyla hangi yetki ile erişim sağladığımı anlamaya çalışmak olabilir. Böylece bundan sonra atacağım adıma karar verebilirim.

Resim 6: Hedef sistemde ilk adımlar

Yukarıdaki komutlar sırasıyla;

Hedef sistem üzerinde kim olduğumu anlamak için: whoami ve/veya id

Hedef sistem üzerinde neler yapabileceğimi anlamak için: sudo -l

Hedef metasploitable olduğu için bu durum her saldırganın rüyasıdır, ROOT kullanıcısı ile bağlıyım ve hedef sistem üzerinde tam yetkiliyim. Gerçek hayatta arada bir bu durumla karşılaşsak bile çoğunlukla sıradan bir kullanıcı veya bir servisin yetkileri ile bir sisteme bağlandığımız için o anda neler yapabileceğimizi anlamamız çok önemlidir. 

Hedef sistemin nereye bağlı olduğunu ve erişebileceğimiz diğer sistemlerin ne olduğunu anlamak için ele geçirdiğimiz sistemin ağ bağlantılarını anlamak önemlidir. 

Resim 7: ifconfig komutu

 Resim 8: route komutu

Route komutu bize ele geçirdiğimiz sistemin sahip olduğu network routeları konusunda bilgi verdiği için önemli bir adımdır.

Sistem hakkında bize önemli bilgiler verebilecek diğer komutlara aşağıda değineceğim. Ele geçirilen sistemin ne olduğu, nerelere bağlı olduğu ve sizin bu sistem üzerinizdeki yetkilerinizi anlamak saldırının başarılı olup olmayacağı konusunda hayati önem taşır. Bir sızma testi sırasında en kolay ele geçirdiğimiz sistemin hiç bir yere bağlı olmayan bir sıramatik (banka veya hastane gibi yerlerde sıra numarası dağıtmak için kullanılan kiosklar) olduğunu anlamak biraz moral bozmuş olsa da kurum ağına bağlı olduğunu görmek ve üzerinde antivirüs olmadığı için iç ağa saldırmak için istediğimiz yazılımı yükleyebileceğimizi anladığımızda keyfimiz yerine gelmişti.

Resim 9: Ele geçirilen sistem üzerinde çalışan servisleri listelemek

cat /etc/services komutu ele geçirdiğimiz sistemin hangi amaçla kullanıldığına dair önemli bilgiler verir.

Resim 10: env komutu

Ortam değişkenlerini listemelek için kullandığımız env komutu. PATH değişkenine eklemeler yapmak hedef sistemin istediğimiz şekilde davranmasını sağlamak için gerekli olabilir. PWD ise "Print Working Directory", yani içerisinde bulunduğumuz dizini gösterir.
Bu bilgiye doğrudan pwd komutunu kullanarak da ulaşabiliriz.

Resim 11: pwd komutu

Sistemi Unreal IRC servisini istismar ederek ele geçirdiğimiz için /etc/unreal klasöründe olmamız doğal.

Resim 12: Uname ailesi

Ele geçirdiğimiz sistemi daha yakından tanımak için kullanabileceğimiz komutlardan birisi de uname'dir. Bu komutu farklı parametreler ile birlikte kullanarak sistemin adını ve sistem üzerinde daha kalıcı bir varlık elde etmek için kullanılabilecek başka istismarlar olup olmadığını bulabiliriz.

Resim 13: Beklenen an; parola hashleri

Sistem hakkında bilgi toplamak için kullanabileceğiniz komutlar arasında tabii ki en cazip olan "cat /etc/shadow"dur. Bu aslında bir komut değil, /etc/shadow dizininde bulunan dosyanın açılmasıdır. Bu dosyada bizim için önemli olan bilgi kullanıcı parolalarının hash değerleridir. 

İstismar sonrası kullanılabilecek komutları toparlarsak;

whoami: sistem üzerinde kim olduğumuzu anlamak için

sudo -l: sahip olduğumuz kullanıcının yapabileceklerini anlamak için

pwd: bulunduğumuz dizini görmek için

ps aux | grep root: root yetkisiyle çalışan servisleri görmek için

/sbin/ifconfig -a: mevcut ağ bağlantılarını görmek için

route: sistemin network routelarını görmek için

iptables -L: iptables kurallarını görmek için

arp -a: ARP bağlantılarını görmek için

last: Sisteme en son giriş yapan kullanıcılar

users: Sistemde bulunan kullanıcıları listeler

SNMP Tehlikesi: Yalnız (161) yazı ile yüzaltmışbir

Saldırganların DDoS (Distributed Denial of Service - Dağıtık Hizmet Dışı Bırakma) saldırılarının etkisini arttırmak için DNS ve NTP sunucularından sonra SNMP protokolünü de kullanmaya başladıklarını görüyoruz.

DDoS saldırının etkisi yükseltmek için sadece DNS, NTP veya SNMP kullanılmayabilir. İstek göndermeye imkan veren, bu isteğin gönderildiği IP adresini denetleyemeyen ve isteğe oranla daha büyük bir paketle cevap veren bütün protokol ve sunucular DDoS saldırılarının etkisi arttırmak (DDoS amplification) için kullanılabilir.

SNMP protokolünün DDoS saldırılarında nasıl kullanıldığını anlatan sayısız makaleden birini okurken aklıma temel sızma eğitimi testlerinde gösterilen SNMP üzerinden bilgi alma yöntemleri geldi.

SNMP (Simple Network Management Protocol), ağ üzerindeki cihazlardan bilgi toplamak için kullanılan bir protokoldür. Sunuculardan switchlere, routerlardan yazıcılara kadar ağ üzerinde bulunan pek çok cihaza ait bilgilerin kolayca toplanmasına imkan veren bir protokoldür.

Şekil 1: Nijerya'da SNMP ile bilgi paylaşan bir cihaz (temsili)

Hedefi bulmak

Bu yazıyı hazırlamak için “uzak bir ülkeyi” tercih ettim. Bu işlemi sadece bilgi toplamak için ve hali hazırda paylaşmadıkları bilgilere ulaşmak için yaptığımdan vicdanım rahat. Nijerya’da IP adreslerini seçmiş olmam ise vicdanımı, nedense, bir miktar daha rahatlatıyor.

Eski dostumuz Google’a “Nijerya’daki internet servis sağlayıcılarına atanmış IP adreslerini” sordum. Aşağıdaki listeye ulaştım.

Şekil 2: Nijerya'daki internet servis sağlayıcılarına tahsis edilmiş IP adresleri

SNMP Bulmak

SNMP genelde 161 numaralı UDP portunda çalıştığı için NMAP kullanarak tespit etmek oldukça kolay oldu. Aşağıdaki komutta verdiğim IP aralığına UDP taraması (-sU) yapılmasını ve sadece 161 numaralı portun test edilmesini (-p161) istedim.

Şekil 3: NMAP ile SNMP hizmeti tespit etmek

Bu IP aralığında UDP 161 portu açık olan birkaç makine buldum ve içlerinden birine daha yakından bakmaya karar verdim.

Yüzaltmışbir

SNMP konusunda yakından bakmak için kullanılabilecek araçlardan birisi OneSixtyOne’dir. OneSixtyOne Kali Linux ile birlikte gelmektedir, ancak bunu ayrıca yüklemek isterseniz https://labs.portcullis.co.uk/tools/onesixtyone/ adresinden de indirebilirsiniz.

Gördüğünüz gibi bazı parametreleri ayarlamamıza imkan veren bir komut satırı var.

Şekil 4: Onesixtyone

Bizim için en önemli olanlar "–c" ile belirttiğimiz sözlük (denenecek “community” isimlerinin listesi) ve  "–i" ile belirttiğimiz hedeflerdir. Sıkça kullanılan SNMP community isimlerinin listelerini internette kolayca bulabilirsiniz.

OneSixtyOne bize bu cihazın Cisco marka olduğu bilgisini veriyor. Bunun yanında yazılım sürümü ve tarihi hakkında da bilgi ediniyoruz.

Şekil 5: Onesixtyone çıktısı

SNMP ile bilgi almak için kullanabileceğimiz bir diğer araç ise snmpcheck’tir. Snmpcheck Kali Linux üzerinde bulunmaktadır ancak özünde Perl dilinde yazılmış bir betik’tir (bkz. Script), kaynak koduna http://www.nothink.org/codes/snmpcheck/snmpcheck-1.8.pl adresinden ulaşabilirsiniz.

Şekil 6: snmpcheck

Snmpcheck ile bulduğumuz hedefe bakıyoruz.

Şekil 7: snmpcheck çıktısı

Snmpcheck bize, SNMP hizmetinin 106 gündür ayakta olduğu, bu cihazla ilgili iletişime geçebileceğimiz Ağ Operasyon Merkezinin (Network Operation Center  - NOC) adresini ve telefon numarası gibi ek bilgiler veriyor.

Bunların yanında snmpcheck kullanarak elde edilen önemli bilgiler var.

Şekil 8: snmpcheck çıktısında arayüz, IP adresi ve VLAN bilgileri

Cihazın arayüz bilgileri, IP adresi, bağlantı hızı, VLAN bilgisi gibi bilgilerin ulaşılabilir olduğu görülmektedir.

Şekil 9: snmpcheck çıktısı (devamı) cihaz üzerindeki aktif TCP ve UDP bağlantıları

SNMP dost mu, düşman mı?

Görüldüğü gibi ağınızda açık olabilecek SNMP hizmeti saldırganlar tarafından başka hedeflere DDoS saldırısı yapmak için ve ağ yapınız hakkında önemli bilgilere ulaşmak için kullanılabilir. 

Her iki duruma da imkan vermemek için ilk yapılması gereken şey ağınızdaki açık SNMP hizmetlerinin listesini çıkartmak olacaktır. Bu sayede ihtiyacınız olmadığı halde açık olan hizmetleri tespit edip kapatabilirsiniz. SNMP hizmetine gerçekten ihtiyaç duyduğunuz noktalarda ise cihaz üreticilerinin tavsiye ettiği güvenlik önlemlerini almanızda fayda var.