CEH by BGA - Gün 3 - Ders 1

Firewall ve İçerik Filtreleme Atlatma

• "Tek port/protokol ile sınırsız internet"
• Günümüziçerik filtreleme araçları, içten dışa akan trafikte araya girerek SSL trafiğini kendi üzerinde sonlandırıyor, kendi aldığı SSL sertifikasını kullanıcıya dönüyor ve kendisi ilgili siteye erişiyor. Yani SSL'de araya girerek trafiği cleartext olarak görüyor, inceliyor, gerek duyarsa filtreliyor.
• Şu şu şu sitelere yapılan SSL bağlantılarına güveniyorum, onlara bakma denebiliyor bu tür cihazlarda. Misal "garanti.com.tr'ye giden SSL trafiğinde araya girme".
• Dünya SSL üzerinde akmayı artırdıkça bu kaçınılmaz hale geliyor.
• Gizli kanallarda mutlaka dışarıda ek bir sunucuya ihtiyaç vardır.
• TCP üzerinden tünelleme yöntemleri (Dışarı doğru herhangi bir TCP portu açıksa):
• OpenVPN kullanarak doğrudan VPN kurma
• SSH tünelleme
• Dışarıdaki bir kullanıcıyıiç ağa sokma. Yerel ağdaki tüm sistemler aynı değerde/ağırlıkta.
• (Parantez) Syn-Proxy: Her porta gelen taleplere SYN-ACK dönüyor.
• UDP Tünelleme
• HTTP Tünelleme
• (Parantez) SSH paketleri hep "SSH-" ile başlar.
• Webtunnel.  İncele!!
• 2 adet Perl scriptinden oluşuyor.
• Bilinen IPS cihazları tarafından tanınmıyor. Gerekli saldırı imzası için kural yazılması gerekir. wts.pl, user-agent vs kontrolleri yapılabilir basitinden.
• Tünel içine tünel sokuluyor. Abartıp birkaç tünel de oluşturulabilir (SSL içi HTTP, onun içine SSH, onun içinden HTTP trafiği)
• Kurumsal ortamlarda içerik filtreleme cihazları genellikle 443 portunu kontrol etmezler.
• DNS Tünelleme
• Kapalı network diyorsan, gerçekten / fiziksel olarak kapalı olması gerekir. Switch'e uplink yapayım da gitsin DNS sunucuya baksın vs dediğimiz anda artık kapalı değil ağ. "Bir port/protokol..."
• iodined => IP Over DNS'in daemon tarafı.