BGA CEH Eğitimi Notları #Gün 2 – Ders 5

ÜstNot:Bilgi Güvenliği AKADEMİSİ’nde verdiğim Beyaz Şapkalı Hacker eğitimi katılımcılarından bir arkadaşın ders boyunca aldığı kısa notlar. Eğitime katılmayan arkadaşlar için eğitim içeriği ve kalitesi hakkında ipucu verecektir.

  • 1. nesil: Firewall; 2. nesil: IPS/IDS; 3. nesil: WAF
  • Örnek kural satırı: DROP tcp any 80 URICONTENT cmd.exe
  • IPS Keşif çalışması
    • Genelde Rule/Signiture bazlı sistemlerdir.
    • L2 sistem olduğundan TTL gibi yöntemlerle tespit edilemez.
    • Onu devreye alacak / kızdıracak birşeyler göndermek lazım. /etc/passwd ya da cmd.exe ya da ../../../ gibi. IPS bunlara kızmıyorsa çöpe at zaten 🙂
    • DROP ya da TCP Reset ya da UDP için ICMP port unreachable dönüyorsa IPS olduğunu söyleyebiliriz.
  • IPS atlatma yöntemleri
    • Google’dan IPS evasion diye arat…
    • IPS Blacklist ile paket içeriği yakalamaya çalıştığı için, çöp karakterler, etc/a/s/d/../../../passwd, etc///////pwd vb birçok yolla IPS atlatılabilir. Denemek lazım. Aynı şekilde URL encoding (hatta double, triple vs) denenebilir saldırı cümlesi…
    • SSL üzerinden paket gönderme. Bu yöntemi yemeyen sistem görmemiş henüz hoca. IPS kesemiyor paketin içeriğini bilemediği için. Cipher (Private Key) yok elinde çünkü. ncat –ssl ve nssl uygulamalarını bu amaçla kullanabiliriz (paket göndermek ve sonucunu görmek adına)
    • Bazı IPS firmaları, SSL decryption ile içeriğine bakabiliyor. Private key’lerin IPS üzerine yüklenmesi lazım (eğer IPS destekliyorsa tabi)
This entry was posted in Activity. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

15 − 7 =