CEH Sertifikasyon Sınavı Notları – 4: Enumeration

Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “Enumeration” başlığı incelenecektir.

Bilgi toplama aşamasından sonra, sistemin kendisi hakkında daha detaylı bir inceleme yapılır. Bu incelemeye Enumaration denir. Sızma testlerinin Enumaration (Fingerprinting) adımında hedef sisteme aktif bağlantı kurulur ve hedefe sorgu/paket gönderilir. Bu adımda bağlantı kurulan sistemlerden, sisteme ait bazı bilgiler elde edilir. Bu bilgiler; tespit edilen servisin arkasında çalışan teknoloji detayı (üreticisi, sürümü,…), sisteme bağlanan kullanıcılar, makinenin adı, paylaşımlar, servisler, ağ routing bilgileri,… olabilir.

Sızma testlerinde Enumaration işlemi için kullanılabilecek temel servisler aşağıdaki gibidir:

  • NetBIOS
  • SNMP
  • DNS
  • SMTP
  • NTP
  • LDAP
  • Unix / Linux
  • Windows

 

NetBIOS Servisi

  • NetBIOS (Network Basic Input Output System); ağ üzerinden dosya ve yazıcı paylaşımı, isim çözme gibi amaçlarla kullanılır. UDP 137/138/139 portlarından (varsayılan olarak 139) hizmet verir. NetBIOS’un kullanım amacı; LAN üzerindeki kaynakların birbirleri ile haberleşebilmesi, isim çözümlemesinin yapılabilmesi,… için API sağlamaktır.
  • NetBIOS, OSI 5. katmanda çalışır.
  • Windows işletim sisteminde NetBIOS isimlendirmesi 16 karakterli olup, son karakteri servisi veya kayıt adı tipini ifade ederken diğer ilk 15 karakteri ise cihaz/bilgisayar adını tanımlar. NetBIOS kaydı o ağda benzersiz olmalıdır.
  • NetBIOS isimleri internete çıkmaz, sadece yerel ağda kullanılır.
  • Windows Server 2000’de SMB servisi sadece NETBIOS bağlantısından sonra başlarken; sonraki sürümlerde Direct Message (Microsoft-DS: TCP 445) üzerinden de SMB bağlantısı desteklenmeye başlanmıştır. Bu sebeple NETBIOS devre dışı bırakılabilir. Bu amaçla “Network and Dial-up Connection > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > Advanced > WINS > Disable NetBIOS over TCP/IP” adımları izlenebilir.
  • NetBIOS genel olarak 3 amaçla kullanılır:
    • İsim çözümlemek
    • Datagram dağıtımı gerçekleştirmek
    • Oturum hizmeti vermek
  • Sızma testleri sırasında NetBIOS üzerinden gerçekleştirilebilecek çalışmalar aşağıdaki gibidir:
    • NETBIOS kötüye kullanılarak bilgisayarın NETBIOS adı, MAC adresi, paylaşımlar, etki alanı adı, oturum açan kullanıcılar, parola politikaları,… elde edilebilir.
    • DOS gerçekleştirilebilir.
    • NETBIOS kötüye kullanılarak parola özetleri de elde edilebilir. Ayrıntılı bilgi için bakınız: LLMNR&NetBIOS – Lostar veya LLMNR&NetBIOS-BGA
  • NetBIOS tablosundaki suffix kodları ve çalıştığını belirttiği servisler aşağıdaki gibidir:
    • 01 ve 1D: Master Browser
    • 20: Dosya sunucusu
    • 03: Messenger servisi
    • 00: Workstation servisi
    • 1E: Browser Service Elections
  • Nbtstat Aracı: NetBT (NetBIOS over TCP/IP) kullanarak mevcuttaki (önbellekteki) TCP/IP bağlantılarını ve protokol istatistiklerini görüntüler. Windows işletim sisteminde gömülü gelmektedir. Ayrıca uzak bilgisayarlar için de çalışabilmektedir. Örnek kullanımı: nbtstat -A 192.168.2.24
  • NetBIOS Enumeration araçları: SuperScan, Hyena, Winfingerprint…
  • SMB sürümleri ve kullanıldıkları işletim sistemleri:
    • SMB1: Windows Server 2000/2003 ve Windows XP
    • SMB2: Windows Server 2008 ve Windows Vista SP1
    • SMB2.1: Windows Server 2008 R2 ve Windows 7
    • SMB3: Windows Server 2012 ve Windows 8

 

SNMP Servisi

  • SNMP (Simple Network Management Protocol); ağa bağlı cihazları (router, switch, bridge, yazıcı, sunucu, bilgisayar,…) yönetimi ve denetimi (sıcaklığı, performansı, internet hızı, çalışma süresi,…) için kullanılan bir protokoldür.
  • SNMP varsayılan olarak UDP 161-162 portlarını kullanır. OSI 7. katmanda çalışır.
  • SNMP 3 bileşenden oluşur:
    • Ajan uygulama: Yönetilecek istemci uygulamalarda çalışır.
    • Yönetici uygulama: Ajan uygulama ile Ağ yöneticisi arasında çalışarak ikisi arasındaki veri/komut iletimini sağlar.
    • Ağ yönetim sistemi: Yönetici sistemde çalışır ve istemcileri toplu olarak izleme ve yönetmeye yarar.
  • Yönetim Bilgi Birimleri (Management Information Base – MIB): İstemcilerin bilgisini tutan ve önceden tanımlanmış olan parametreleri saklayan birimdir. XML gibi ID’lerden oluşan (OID) bir hiyerarşik yapısı vardır. Örneğin 1.3.6.1.2.1.2 OID değeri, cihaz açıklamasıdır.
  • SNMP’nin 3 sürümü vardır. SNMPv1, SNMPv2 ve SNMPv2c güvenilir değil (örneğin, trafik açık metin gider) iken SNMPv3’te ise şifreleme ve kimlik doğrulama vardır.
  • SNMP topluluk isimleri (community name) varsayılan olarak 2 tanedir. Okuma işlemi için Public, okuma ve yazma işlemleri için Private kullanılır. Bu isimlerin karmaşık verilmesi tavsiye edilmektedir.
  • SNMP konfigürasyon dosyası, Cisco VPN konfigürasyon dosyası (*.pcf uzantılı) içerisindeki parolayı (password-7) açık olarak elde edebilmek için Cain & Abel aracı kullanılabilir.
  • Sızma testleri sırasında SNMP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
    • Ağ cihazları hakkında bilgi edinilebilir.
    • Trafik istatistikleri, ARP, yönlendirme tabloları, VLAN bilgileri,… elde edilebilir.
    • Cihaza özel bilgiler, kullanıcı erişim bilgileri, anahtarlar,… alınabilir.
  • SNMP servisine karşı saldırılar ile ilgili ayrıntılı bilgi için bakınız: SMNP-Pentest-Full
  • SNMP tespit / sorgu araçları: OpUtils, SNMPUtil, SNScan, Solarwinds IP Network Browser, SNMP Scanner, SNMP walk…

SNMP ile ilgili ayrıntılı bilgi için bakınız: BIDB-SNMP

 

DNS Servisi

  • DNS (Domain Name System); etki alanı adını ve IP adresi arasında dönüşüm yapan hiyerarşik dağıtılmış bir servistir.
  • DNS varsayılan olarak UDP 53 (sorguları çözümlemek için) ve TCP 53 (bölge transferleri için) portlarını kullanır. OSI 7. katmanda çalışır.
  • Örnek DNS kayıtları:
    • A: Host adının IP adresi
    • PTR: IP adresinin alan adı
    • NS: DNS sunucularının IP adreslerini
    • MX: Mail sunucusu
    • CNAME: Takma adı
    • SRV: Servis adı
    • SOA: Zone için birincil sunucuyu belirtir. Örnek kayıt; 200302028 3600 3600 604800 2400 (Version/SeriNo – Refresh – UpdateRetry – Expiry – MinTTL). Bu kayıt ile DNS kayıtlarındaki değişiklikler görülebileceğinden; DNS zehirlenmesi gibi bir saldırı için bilgi edinilebilir.
  • DNS tespit / sorgu araçları: Belirtilen araçlar DNS sunucudan bilgi almaya yarar. Örnek:
    • Nslookup Aracı:
      • Bir etki alanının DNS sunucusunun tespit edilmesi: nslookup > server 8.8.8.8 > set type=ns > facebook.com
      • Gelen tüm kayıtların çekilmesi: nslookup -query=any facebook.com
    • Dig Aracı:
      • Gereksiz komut ve bayrakların kaldırılarak gelen tüm kayıtların çekilmesi: dig +nocmd milliyet.com ANY +noall +answer
    • Host Aracı:
      • Mail sunucunun tespiti: host -t mx yahoo.com
    • Diğer Araçlar:
      • DNSrecon: dnsrecon -d websitesi.com.tr -t axfr
      • DNSenum: dnsenum -f /root/Desktop/Paylasim/AltEtkiAlani -o /root/Desktop/Rapor.xml -w –enum –dnsserver DnsSunucusu -v -r -u r websitesi.com.tr
        • Ayrıntılı bilgi için bakınız: @DnsEnum
      • Fierce: Ayrıntılı bilgi için bakınız: @Fierce
    • İnternet: Örnek:
  • Zone (Bölge): DNS’teki belli bir etki alanındaki kayıtların bütünüdür.
  • DNS’e yönelik saldırılar:
    • Alan adı tespiti: Kaba kuvvet saldırısı ile etki alanına ait alan adları (A kayıtları) ve IP adresleri elde edilmeye çalışılır. AlanAdiListesi.txt dosyasına www,ftp,test,… gibi alan adlar varsa;
      • for AlanAdi in $(cat AlanAdiListesi.txt);do host $IPAdresi.hedefsite.com.tr;done
    • PTR tespiti: Kaba kuvvet saldırısı ile IP adresine veya IP bloğuna ait alan adları (A kayıtları) ve IP adresleri elde edilmeye çalışılır.
      • for SonOktet in $(seq 1 255);do host 50.40.30.$SonOktet;done
    • Bölge transferi: Bir bölge içerisindeki tüm kayıtlar elde edilebilir.
      • SOA ID değeri düşük olan, yüksek olandan transfer etme talebinde bulunur.
      • TCP 53’ten hizmet veriliyorsa gerçekleştirilebilir.
      • Bölge transferi için kullanılablecek araçlar: nslookup, dig, sam spade, host,…
      • Örnek komutlar:
        • nslookup; server ns3.dnssunucu.com; set type=any; ls -d websitesi.com.tr
        • dig @ns3.dnssunucu.com AXFR websitesi.com.tr
        • host -t AXFR websitesi.com.tr ns3.dnssunucu.com
        • host -l websitesi.com.tr ns3.dnssunucu.com
        • nmap dnssunucusu.com -p 53 –script dns-zone-transfer.nse –script-args dnszonetransfer.domain=websitesi.com.tr
        • Ayrıntılı bilgi için bakınız: @BölgeTransferi
    • Bölge zehirleme: Birincil DNS sunucusu ele geçirilerek zone dosyası değiştirilir.
    • DNS önbellek zehirleme
    • Reflection DOS: Sahte sorgular ile cevap veremez duruma getirilir.

DNS ile ilgili ayrıntılı bilgi için bakınız: Btrisk-DNS

 

SMTP Servisi

  • SMTP (Simple Mail Transfer Protocol); elektronik posta göndermeye/iletmeye yarar.
    • Not: Eposta almak için ise IMAP veya POP kullanılır.
  • SMTP varsayılan olarak TCP 25 ve 587 portlarını kullanır.
  • Sızma testleri sırasında SMTP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
    • Herkese açık relay mail sunucuları tespit edilebilir.
    • SMTP’nin sağladığı yerleşik (built-in) komutlar ile bir kullanıcının var olup olmadığı anlaşılabilir. SMTP’nin bu 3 komutu aşağıdaki gibidir:
      • VRFY: Kullanıcıyı doğrular. Örneğin aşağıdaki komutların çıktısı sonucunda; “Ahmet” kullanıcısı yoksa “550 User Unknown” gibi varsa “250 Super-User <Ahmet@ornek.com.tr>” gibi bir sonuçla karşılaşılır.
        • telnet 192.168.24.6 25
          HELO mail.ornek.com.tr
          VRFY Ahmet
        • nc -nv 192.168.24.6 25
          VRFY Ahmet
          VRFY OlmayanKullanici
      • EXPN: Mail listesini (veya Alias’ı) ve üyelerini doğrular.
      • RCPT TO: Mesajın alıcısını tanımlar.
  • SMTP tespit / sorgu araçları: NetScan Tools Pro,…

 

NTP Enumaration

  • NTP (Network Time Protocol); ağdaki cihazların zamanını senkronize etmeye yarar.
  • NTP varsayılan olarak UDP 123 portunu kullanır. OSI 7. katmanda çalışır.
  • Sızma testleri sırasında NTP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
    • NTP sunucusuna bağlanan istemcilerin bilgileri (IP adresi, adı, işletim sistemi,…) elde edilebilir.
  • NTP tespit / sorgu araçları: ntptrace, ntpdc, ntpq

 

LDAP Enumeration

  • LDAP (Light Weight Directory Access Protocol); Microsoft Aktif Dizin, OpenLDAP gibi dağıtık dizin servislerine erişim için kullanılır.
  • LDAP varsayılan olarak TCP 389 portunu kullanır. OSI 7. katmanda çalışır.
  • Sızma testleri sırasında LDAP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
    • Dağıtık dizin servislerinde bulunan kullanıcı adları, adresler, iletişim detayları,… elde edilebilir.
  • LDAP tespit / sorgu araçları: Active Directory Explorer, Active Directory Domain Services Management Pack, LDAP Administration Tool, Softerra LDAP Administrator

 

UNIX/LINUX Enumaration Araçları

  • finger: Sistem ve kullanıcı hakkında bilgi verir. Kullanıcıların ev (home) dizini, oturum açma zamanı, boş zamanı, ofis/soyadı gibi özellikleri, mail alma/okuma zamanları… gibi bilgileri verir. Örnek kullanımı: finger admin@192.168.3.65
  • rpcclient: Kullanıcı adlarını verir.
  • rpcinfo: RPC bilgileri elde edilir.
  • showmount: NFS üzerinden paylaşım bilgilerini verir.
  • enum4linux: SAMBA üzerinden Linux/Windows sistemlerden bilgi elde etmeye yarar. Grup üyelikleri, paylaşımlar, etki alanı, politikalar,…

 

Windows Enumaration Araçları

  • psexec: Uzak veya yerel bilgisayarda proses çalıştırmaya yarar. Ayrıntılı bilgi için bakınız: http://www.siberportal.org/tag/sysinternals-psexec-tool/
  • psgetsid: Windows nesnelerine ait SID bilgilerini verir.
  • pskill: Uzak veya yerel bilgisayarda çalışan prosesleri sonlandırır.
  • pslist: Uzak veya yerel bilgisayardaki prosesleri, CPU veya bellek istatistiklerini verir.
  • psloggedon: Oturum açan kullanıcıları listeler.
  • psloglist: Olay kayıtlarını listeler.
  • sid2user / user2sid: Kullanıcı ve SID değişimini sağlar.

 

Enumaration Önlemleri

  • Gereksiz servisler (NETBIOS gibi) veya özellikler (SMTP’de open-relay, DNS’te alan adı transferi,… gibi) kapatılmalıdır. Kapatılamıyorsa, sadece belli IP’lerden erişilecek şekilde kısıtlanmalıdır.
  • Güvenlik duvarları kullanılarak erişimler sınırlandırılmalıdır.
  • Şifreli protokoller (SNMP v3, LDAPs, Kerberos, IPSec tünelleme…) tercih edilmelidir.
  • Varsayılan (SNMP için public/private topluluk isimleri) veya gereksiz (DNS için HINFO ve diğerleri) değerler/bilgiler bulunmamalıdır.
  • SMTP sunucuları gönderen mail adresini doğrulamalıdır.
  • Loglama ve alarm mekanizmaları oluşturulmalıdır.

 

Diğer Araçlar

  • İşletim sistemi fingerprinting araçları: SolarWinds, Netcraft, HTTrack, Nmap, Queso
  • Sistem enumaration araçları: DumpSec, NAT, Enum,…

 

CEH v9 Eğitimi Konu Başlıkları

  • Enumeration Concepts
    • What is Enumeration?
    • Techniques for Enumeration
    • Services and Ports to Enumerate
  • NetBIOS Enumeration
    • NetBIOS Enumeration Tool
      • SuperScan
      • Hyena
      • Winfingerprint
      • NetBIOS Enumerator and Nsauditor Network Security Auditor
    • Enumerating User Accounts
    • Enumerating Shared Resources Using Net View
  • SNMP Enumeration
    • Working of SNMP
    • Management Information Base (MIB)
    • SNMP Enumeration Tool
      • OpUtils
      • Engineer’s Toolset
    • SNMP Enumeration Tools
  • LDAP Enumeration
    • LDAP Enumeration Tool: Softerra LDAP Administrator
    • LDAP Enumeration Tools
  • NTP Enumeration
    • NTP Enumeration Commands
    • NTP Enumeration Tools
  • SMTP Enumeration
    • SMTP Enumeration Tool: NetScanTools Pro
    • Telnet Enumeration
    • DNS Zone Transfer Enumeration Using NSLookup
  • Enumeration Countermeasures
  • SMB Enumeration Countermeasures
  • Enumeration Pen Testing

 

 

Kaynak:

What is Enumeration?

 

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.