Günümüzde artık hemen hemen her şirkette en az bir sunucu bulunuyor. şirket yapısıbüyüdükçe server sayılarıda gittikçe artmaktadır. Bu sunuculara destek veren ve yönetimini yapan Bilgi işlem çalışanlarıve BT şirketleri, sunuculara uzaktan bağlanarak çalışmayıçok severler. Herhangi bir sorun çıktığında hemen uzaktan bir RDP isteği gönderilir, sunucuya uzaktan bağlanılır, istenilen yada oluşan sorun hemen giderilmeye çalışılır…
Microsoft Windows Server’larda RDP hizmetlerini yerine getiren Terminal Server’ın ne kadar güvenli olduğu ise her zaman göz ardıedilir. şirketler, BT çalışanlarısunucularınıinternet ortamına açarak aslında çok büyük riskler almaktadırlar. Casus ataklarıile sunucunuza uzaktan erişilebilir, tüm bilgileriniz çalınabilir ve daha kötüsü sunucunuz çökertilebilir…
Bu makalede internet ortamındaki bir sunucuya RDP atağıyaparak zayıflık kontrolü yapacağız ve son bölümde Terminal Sunucularınız için uygulayabileceğiniz güvenlik seçenekleri konusunda sizlere tavsiyelerde bulunacağım.
Başlamadan önce önemli bir konuyu da netleştirmekte fayda var. Buradaki bilgiler sizin Terminal Sunucularınızın açıklarınıtespit etmeniz ve gidermeniz için verilmiş bilgiler olup, saldırıamacıile kullanmamanız gereken bilgilerdir. Farklısitemlere yapacağınız ataklarda, Doğabilecek suç unsurlarından tamamen siz sorumlu olacaksınız…
SaldırıTIPI: Brute Force Hacking
- Adım : Saldırıyapılacak Sunucuya mstsc.exe ile bağlanmayıdeneyerek RDP portunun(default 3389 ) açık olup olmadığıkontrol edilir.
- Adım : Saldırıyapılacak makinenin Terminal Hizmetlerini verdiği ve logon ekranın geldiği görüldükten sonra çıkılır.
- Adım : şimdi saldırıyapmak için birkaç araca ihtiyacımız var. Bunlardan birincisi Brute Force atağınıyapmak için uygun bir tool ( tsgrinder.exe http://www.hammerofgod.com/download/tsgrinder-2.03.zip adresinden download edebilirsiniz.) diğer ihtiyacımız olan araç ise şifreleri denemek için bir sözlük dosyası. Bu bir txt dosya olabilir, içinde tek tek denemesi için şifreler bulunmasıgerekmektedir.. Bu noktada kendi password key dosyanızıoluşturmanız ve bütün olasılıklarıdenemeniz için bir wordlist hazırlamak için ikinci tool ( dictmake.exe ) kullanacağız.
- Adım : Önce dictmake.exe ile istediğimiz kriterlerde wordlist oluşturuyoruz. Resimde de görüldüğü gibi karakter sayısından küçük harf büyük harf rakam gibi özellikleri biz seçiyoruz. Buna gore wordlist oluşuyor ve exe dosyanın bulunduğu klasörde DICTION.ARY isminde dosya olarak kaydediliyor. Burada önemli olarak hatırlatmak istediğim çok büyük wordlistler oluşturmayın parça parça küçük wordlistler oluşturun, yada büyük bir wordlisti oluşturduktan sonra birkaç dosyaya bölün.
Adım : Artık elimizde Wordlistlerimiz olduğu için saldıraya geçebiliriz. Saldırıiçin kullanacağımız tsgrinder.exe tool’unu aşağıdaki gibi parametreleri ile çalıştırıyoruz.
tsgrinder.exe -w words -l leet -d wordkgroup -u administrator -b -n 2 85.105.102.XXX
parametrelerin açıklamaları:
-w wordlist dosyası(default ‘dict’)
-l ‘leet’ çevirilecek dosya
-d domain ismi
-u bağlanacağımız username (default ‘administrator’ )
-b banner flag
-n number of simultaneous threads
-D debug level (default 9, lower number is more output)
- Adım : komut satırında words dosyasıyerine kendi word listinizin adını, workgroup adına karşıtarafın domain ismini, ve en sona bağlanacağınız IP adresini ekledikten sonra komutunuzu uygulayın
Yukarıdaki resimlerde de görüldüğü üzere komut satırından çalıştırdığınız program Brute Force tekniği ile saldırıyaptığınız sunucuyu zorlayarak wordlistindeki şifreleri tek tek deneyerek girmeye çalışacaktır. Girdiği zaman’da komutu sonlandıracak ve success! Bilgisi ile birlikte şifreyi söyleyecektir.
Terminal Sunucularda Alınabilecek Güvenlik Önlemleri
- Mümkünse Terminal Server’ınızıinternete direk açmayın! VPN hizmetinden faydalanarak önce VPN bağlantısısonra local sunucuya RDP kullanmayıseçin.
- Ä°nternete direk açmak zorunda olduğunuz Terminal Sunucularda Firewall’ınız üzerinden rule’lar tanımlayarak sadece belli IP adreslerinden RDP yapılmasına izin verin
- Başta Admin hesabıolmak üzere RDP hakkına sahip kullanıcılara zor ve karmaşık şifreler verin. Ä°çerisinde mutlaka küçük harf büyük harf rakam ve özel karakter bulunsun ve en az 8 karakter olsun. Brute Force ataklarında kırılmasıoldukça zorlaşmış olacaktır.
- Terminal Server Configration’da ve Group Policy’lerde max 3 kere hatalıgirildiğinde hesabımin 30 dk bloke edecek şekilde düzenleyin.
- Güvenlik kontrollerini yapmak loglarıincelemek için hiçbir program kullanmıyor da olsanız Windows server’ın Event’larınıdüzenli olarak kontrol edin, burada erişimleri görebileceksiniz…
Powered by MightyAdsense
14 Aralık 2007 Saat 17:46
hocam benim için şahane bi bilgi paylaşımıoldu bu, sağolasın. RDP sürekli kullanan ama group policy’le hiç işi olmamış biri olarak 2003 server’da tam olarak nereden hangi seçeneklerle yapmamızıönerdiğin 3 kere hatalıgirişte hesabıbloke etme durumunu sağlayabileyim. şimdiden teşekkürler
Ekrem BOYAALICI