CypSec ‘14 siber Güvenlik Konferansı 2014/Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr TwiZer: @bgasecurity/@huzeyfeonal SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri
48
Embed
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Amaç • Siber dünyanın sadece bir eğlence aracı değil, dünyanın gidişa<nı değişArecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının örneklerle anlaşılmasını sağlamak.
• Internet ortamında yasal/yasadışı izlemeler nasıl gerçekleşArilir, nasıl korunulur hakkında bilgi vermek.
Özlü söz • Önce korunmak için teknoloji üreArsiniz, sonra düşmanlarınız o teknolojiyi size karşı kullanır, ardından gelişArdiğiniz teknoloji ile savaşmak zorunda kalırsınız (Anonim)…
Yasal İzleme/Lawful IntercepAon • Kanunlar çerçevesinde yapılan izleme • Genellikle ISP seviyesi izleme gerçekleşArilir. • Bu Ap izlemelerde “akAf işlem” durumu yoksa internet trafiği takip al<na alınan kişinin durumu anlaması imkansızdır (TAP sistemler üzerinden pasif dinleme)
• 5651 sayılı kanun gereksinimleri – Son kullanıcıyı ilgilendiren kısımlar – URL engelleme, DPI işlemleri v.s
DPI (Deep Packet InspecAon) Kavramı • DPI=Derinlemesine Paket Analizi • PakeAn ötesinde taşınan protokole ait başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması – Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala
– Facebook’ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.
Paket Başlık Bilgileri • Mektup zarf ilişkisi • Amaç mektubu meraklı gözlerden Koruyarak hedefe ileAlmesini sağlamak.
• Zarf=header=başlık bilgisi • PakeAn nereye gideceğini belirler. • Mektup=payload=gerçek veri Taşımak istediğimiz veri. Her protokolün header kısmı ve Payload kısmı farklı olabilir. Firewall-‐>Header IPS-‐ >Payload
DPI Panzehiri(!) Şifreleme (SSL/TLS) • DPI benzeri ağ tabanlı izleme/analiz sistemlerinin başarılı olarak sonuç verebilmesi için trafiğin “açık – okunabilir” olması gerekir.
• Şifreli trafikte paketlerin sadece header (başlık) kısmı açık olarak ileAldiği için asıl önemli kısmın (payload) okunması normal yollardan mümkün olmamaktadır.
• SSL doğası gereği “merkezi güvenlik “ merkezi otorite kavramları ile çalış<ğı için DPI sistemleri şartlar yerine geArildiğinde şifreli trafiği de inceleyebilir, kayıt al<na alabilir.
SSL • Secure Sockets Layer (SSL) • Temelleri Netscape firması tarahndan 1994 yılında a<lan SSL aynı yılda Acari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarahndan standart olarak Kabul edildi.
• Aslında standar<n asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.
• İlk zamanlar sadece HTTP trafiğini şifreleme amaçlı gelişArilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.
SSL Güvenliği Nelere Bağlıdır? • SSL kullanım ve yöneAm kolaylığı açısından merkezi bir güvenlik modeline sahipAr. Bizlerin kime güveneceği merkezi otoriteler tarahndan kontrol edilip onaylanır. – Istenildiği takdirde otorite secme islemini kullanıcı yapabilir.
• SSL’in temel güvenliği SerAfika Otoritesi olarak adlandırılan aracı kurumlar ve bu kurumlar bünyesinde tutulan gizli anahtarla ağlanır. – Noter’in mührü gibi…
SerAfika Otoritesi • PKI altyapısının dayandığı en temel güvenlik bileşeni • SerAfika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve yaygınlaşmasındaki en önemli rollerden birine sahipAr.
• SSL’in güvenliğinde serAfika otoritesi tüm gücü elinde bulundurur.
• SerAfika otoritesinde yaşanacak bir güvenlik problemi sadece o serAfika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir. – Diginotar olayı
SerAfika Otoriteleri • En önemli kurumlardır • SerAfika otoritesinin ele geçirilmesi o otorite tarahndan onaylanan tüm serAfikaları güvensiz hale geArir.
Şifreli Trafiği Takip ve İzleme Yöntemleri • SSL bağlan<larında araya girme fikri ilk bakışta zor haya imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir
• Gerekli Şartlar: – İlk olarak hedef sistemin trafiği üzerinizden geçecek şekilde kandırılmalıdır/ayarlanmalı.
– Hedef sistemin ileAşim kurmak istediği HTTPS sayfasına ait serAfika bilgileri ile sahte bir serAfika oluşturulmalıdır.
• Sahte oluşturulan bu serAfika tüm modern browserlarda kullanıcıya uyarı verecekAr.
• Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirAci uyarılarla gösterirler.
SSL Nasıl Alt Edilir? • SSL güvenliğindeki en önemli bileşen serAfika otoritesidir. – SerAfika otoritesi tek başına işe yaramaz, istemci yazılımları tarahndan güvenilir olarak kabul edilmelidir.
• Dünya üzerindeki serAfika otoritelerinden birinin hacklenmesi ve serAfika üreAm için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL kullanımını anlamsız kılabilir! – İsAsnalar mevcuyur.
• Güvenilir bir serAfika otoritesi tarahndan onaylanmış serAfikalar hatasız işleme alınır.
Tunus SerAfika Otoritesi Kullanımı • Tunus hükümeA HTTPS kullanan bazı sitelere üye muhalif grupları belirlemek, engellemek için kendisine bağlı serAfika otoritesi(Microso� tarahndan güvenilir olarak kabul edilen)ni HTTPS kullanan siteler bağlananları izlemek için kullandı. – Detaylar için wikileaks belgeleri