Otomatik Keşif (Auto-Discovery)


Keşif (Discovery) Derken

Hedef ağın bileşenleri hakkında bilgi toplamak, ağı Host/Port taramaları ile aktif olarak keşfetmek diyebiliriz. Ağdaki mevcut makinelerin ve çalışan servislerin bulunması ping ve çeşitli TCP/IP paketleri gönderilmesiyle gerçekleştirilir. Tarama ile makinelerin IPv4, IPv6, Hostname, Mac Address, Mac Vendor, up/down, port, OS (işletim sistemi) bilgilerine erişmek mümkün.


Keşif için tercihimiz; Nmap (Network Mapper). Nmap çeşitli parametrelerin kombinasyonu yapılarak istenilen bilgilere yönelik tarama yapma imkânı sunmakta. Ayrıca çoğu yazılımcıdaki; hayaller Matrix hayatlar “Hello World” hayal kırıklığından kurtulup Trinity moduna geçmeniz de mümkün :)

İzleme ve Keşif (Monitoring ve Discovery)

Web tabanlı izleme aracımız olan UNITMON için bir optimizasyon yaparak kullanıcıya zaman kazandırma ve aracımıza pratiklik katma amacı ile yola çıktık. Ne demiş atalarımız; “Keep it simple stupid!”

UNITMON ağdaki cihazlar için çeşitli izlemeler ekleme ve zafiyet yönetimi imkânı sunarak IT sisteminin kontrol altında tutulmasını, güvenlik zafiyetlerini tespit etmeyi sağlar. Kullanıcı Varlıklar menüsünden her bir varlığı tek tek ekleyerek işlemlerini gerçekleştirirken, otomatik keşif ile aynı anda birden fazla varlık ekleyip yanı sıra bu varlıklara, bulunan servisler aracılığıyla izlemeler de ekleyebilir.

Ağı keşfetmek ile amacımız; kullanıcının manuel eklediği varlıkların ve başlıca servislerin Otomatik Keşif (Auto-Discovery) ile default eklenmesi. Yani tabiri caizse kullanıcıyı amelelikten kurtarmak.

Nasıl mı Keşif?

Keşfi ASP.NET MVC mimarisine Nmap’in implementasyonu ile gerçekleştirdik. İlk etapta kullanıcıya kolaylık olması için Ağ Adresi/Subnet, hostname çözümlemesi için DNS değerleri hesaplanıp keşif ekranına aktarıldı ve kullanıcıya sadece Keşfet butonuna basmak düştü. Arka planda hesapladığımız bu default değerleri kullanıcı istediği takdirde değiştirerek keşif yapabilmekte.

Formatlar:
Ağ Adresi/Subnet - IP/Subnet: 192.168.5.0/24
IP: 192.168.0.1
IP aralığı: 192.168.0.1-30
Belirli IPler: 192.168.0.1 192.168.0.13
Host: xyz.domain.com


Keşif sonucunda bulunan bütün host'lar listelenmeden önce işletim sistemlerine göre spesifik bir şekilde sınıflandırıldı; Windows, Linux/Mac OS/Unix, Virtual Hosts, Yazıcılar, Diğerleri.



Teknik Bağlamda 

Taramayı job manager (görev yöneticisi) aracılığıyla yaptığımız için kullanıcının hangi job manager üzerinden tarama yapmak istediğini seçmesi gerekiyor. İşlem queue'ya alındıktan sonra sırası gelince job manager aktif olduğu takdirde tarama başlıyor.

İhtiyacımız olan bilgiler kapsamında Nmap’in sunduğu parametrelerle ve hesaplamış olduğumuz Ağ Adresi/Subnet, DNS’i ekleyerek en fizibil taramayı yapabileceğimiz Nmap komutumuzu çeşitli testlerin ardından oluşturduk. C# üzerinden nmap.exe dosyasını çalıştıracağımız process’e bu komutu gönderdik. Komutumuzun sonuna eklemiş olduğumuz -oX parametresi ile sonucu xml dosyasına yazdık. Ardından dosyaya yazılan sonucu parse etmek, analiz etmek, anlamlı bir şekilde ekrana aktarmak kaldı.  Ağ yapısını ekranda göstermek için Kendo-TreeView nesnesini tercih ettik. Default olarak hostname'iyle listelenen makineler, tree üzerinde değiştirme imkanı sunularak istenilen bir varlık adıyla veritabanına kaydedilebiliyor. Host'ların ve servislerin yanına checkbox’lar ekleyerek veri tabanına kayıt aşamasında kullanıcıya opsiyon sunduk. Kaydet butonuna basılmasının ardından işaretli host’lar ve servisler kaydedilip takibe alınabiliyor.

Beynimizin Network’e bağlanacağı günleri görür müyüz merak ediyorum :) O zaman neler geliştirmek gerekecek muamma lakin her daim sorunun bir parçası olmamak için çözümün bir parçası olmaya çalışmak gerek.

Tuba Demir
Software Engineer
CRYPTTECH - Cyber Security Intelligence

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun