Uyarı!  Sitemize Üye Olmak İsteyenler Hakkında:

==========================================================

Görülen lüzum üzerine yönetici onaylı üyelik sistemine geçilmiştir. Yapmanız gereken formumuza üye olduktan sonra kullanıcı adınızı üye olurken kullanmış olduğunuz mail hesabından kral@bilgineferi.com adresine gönderip üyeliğinizin aktif edilmesini talep etmektir.

Not: Yukarıdaki işlemi gerçekleştirmeyen üyelerin üyelikleri kabul edilmeyecektir.

Bilgineferi.com üyesi değilseniz forumlarımıza mesaj yazabilmek için kayıt olmanız gerekmektedir. İsterseniz bilgi içerikli forumlarımızı misafir olarak ta gezebilirsiniz.

==========================================================

Reklam Alanı: | Master Sistem (Tek Anahtar Bütün Kilitleri Açar)  | Otel Kilitleri  |  Kartlı Kilit Sistemleri | Duşakabin  | Kale Çelik  Kapı Kasa Kilit Yetkili Servis/Bayi | Kartlı Otel Kilit Sistemleri
   
Sitemize Reklam vermek ister misiniz ?  
Site Tanıtımı Yap Kapat

     Ana Sayfa     Şarkı Sözleri     Radyo & TV     Yeni Mesajlar     Üye Listesi     Arama            Üye Ol     Giriş

 

Bilgi Neferi Formuna Hoş geldiniz...

Reklam Alanı

  Konuyu Görüntülemek İçin TıklayınSes Aygıtı Devre Dışı - Kab ...    Konuyu Görüntülemek İçin TıklayınMaalesef Bu Video Oynatıla ...    Konuyu Görüntülemek İçin TıklayınBilgisayara takılan Usb Fl ...    Konuyu Görüntülemek İçin TıklayınŞirketler için özel olarak  ...    Konuyu Görüntülemek İçin TıklayınSensible World of Soccer 96 ...    Konuyu Görüntülemek İçin TıklayınDeskGate Firma ve Kurumlara ...    Konuyu Görüntülemek İçin TıklayınBeton Vibratörü    Konuyu Görüntülemek İçin Tıklayıninşaat malzemeleri - Sıfır, ...    Konuyu Görüntülemek İçin TıklayınTürksat Otomatik Kanal Tara ...    Konuyu Görüntülemek İçin Tıklayınok.ru video (dizi - film) i ...    

Güvenlik / Security Makaleleri
 Bilgineferi.com :Bilgisayar Güvenliği / Computer Security :Güvenlik / Security Makaleleri
Mesaj icon Konu: SSL VPN sistemlerde MITM tehlikesi ! Yanıt Yaz Yeni Konu Gönder
  Bu konuyu paylaş  
Translate
Yazar Mesaj
megabros  
Security Professional
Security Professional
Simge
Üye Bilgileri

Kayıt Tarihi: 08-06-2009
Üye Numarası : 4490
Konum: Turkey
Mesajlar: 747
Rep Puan
Rep: 346


Alıntı megabros Cevaplabullet Konu: SSL VPN sistemlerde MITM tehlikesi !
    Gönderim Zamanı: 08-06-2009 Saat 14:28

SSL VPN sistemler son yillarin en moda uzaktan erisim yontemi olma yolunda hizla ilerliyor. Kullanirken ya da satarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari guvenli hale getirip sorunsuz bir sekilde uzaktan sirkete ait her islemi guvenli sekilde yapabilecegimizden bahsederiz fakat barindirdigi riskleri hep gozardi ederiz.

Kullanım oranı ve kullanım rahatlıgı gozonunde bulundurulursa dogru yapilandirilmamis SSL VPN sistemlerin  ciddi MITM riskleri ile karsi karsiya oldugunu soyleyebiliriz.

Aslinda MITM(ortadaki adam) saldirisi tum uygulamalar icin basbelasi bir saldiri yontemi fakat is SSL olunca biraz degisiyor. Zira SSL’in insanlari rahatlatan bir yani var. “Ne olacak ki nasil olsa sifreli gidiyor trafigim, istedigim yerden baglanirim sirkete ve gider finans tablosunu update ederim, maillerime bakarim:) …”. Bir de ustune elimize tutusturduklari sifre ureticiler olunca ultra guvenlik hissi ile uzaktan her tur islemi yapar hale geliyoruz. Yukarda anlattiklarim aslinda cogumuzun orada  burda, halka acik yerlerde sahit oldugu tablolar.

Gecenlerde bir egitim sirasinda (burasi benim sirketimle alakali degil, senaryodur) canım sıkılıp arka sıralarda birinin sirketteki sunucusuna “telnet” ile baglandigini gorunce hey arkadas! gel beraber bir test yapalim dedik…

Arkadas (X firmasi calisani) SSL VPN icin cagirdigi sayfada gelen sertifika uyarisini yes diyerek gecti ve user/pass bilgilerini elindeki token araciligi ile girdi. Sonrasinda ssh ile yonetilemeyen sistemine telnet ile baglanarak komutlar calistirmaya basladi…

Baglantiyi koparip tekrar baglanmasini rica ettim, ben de bu arada ilgili aksiyonlari alarak arkadasin trafigini uzerimden gecirdim. Tekrar SSL VPN sayfasini cagirdi ve yine benzer sertifika uyarisi aldi, uyariyi yes diyerek gecti. Sonrasinda user/pass+pin bilgilerini girince sistemden gecersiz user/pass hatasi aldi. (Bu hatayi almasinin sebebi benim ssl baglantisinda araya girip user/pass +pin bilgisini alip ayni hizda SSL vpn baglantisini kurmamdan kaynaklaniyor.

Hata alinca tekrar user/pass+pin bilgisini girip sistemlerine ulasmaya devam etti.

Bu arada ne oldu?

Ayni kullanici hesabi ile iki farkli kullanici sisteme dahil olmus oldu. Ve bu iki kullanici ayni agda oldugu icin biri digerinin ulastigi tum servislere ek mitm saldirisi gerceklestirerek ulasabilir oldu.

Burada temel problem SSL VPN cihazi icin uretilen sertifikanin self signed olmasi(Dolayisi ile kullanici her login aninda gecersiz sertifika uyarisi aliyor, ek olarak sisteme sertifikayi trusted tanitmadiysa). Kullanici her zaman uyari aldigi icin araya giren sahsin urettigi sertifikayi incelemeden kabul ediyor ve baglanti bilgileri baskalarinin eline geciyor.

Eger sunucu tarafinda istemcinin sertifikasi da kontrol edilse boyle bir problem yasanmaz fakat kullanilan urunlerin cogunda bu ozellik yok.

Aslinda piyasadaki cogu SSL VPN sistemi bu tip saldirilari anlamsiz kilacak secenekler sunuyor ama bu tip ozellikler ya kullanilmiyor ya da eksik yapilandirildigi icin calismiyor.

Mesela baglanan kullanicinin bilgisayarinda bazi degerler kontrol edilerek sirket bilgisayari olup olmadigi belirlenebilir, ayni anda bir kullanici icin tek bir ip adresi atanabilir ve baglanan ip adreslerine gore erisim haklari tanimlanabilir…

Bunun haricinde mutlaka ve mutlaka yapilmasi gereken: ssl vpn sistemlerine ip uzerinden degil de gecerli bir sertifikasi olan hostname uzerinden baglanmak ve kullanicilari sertifika hatasi aldiklarinda islem yapmamalari gerektigi konusunda egitmek/uyarmak.

Bu yazi bir arastirmaya degil, gercek sistem uzerinde yapilan calismaya binaen yazilmistir. Dolayisi ile kullanilan urun, urunde bulunan ve aktif edilmemis/yanlis ayarlanmis konfigurasyonlar gozoununde bulundurulmamistir.

Saygılar..


Düzenleyen megabros - 08-06-2009 Saat 14:28
IP Artı rep ver Eksi rep ver
Yanıt Yaz Yeni Konu Gönder
Konuyu Yazdır Konuyu Yazdır

Forum Atla
Kapalı Foruma Yeni Konu Gönderme
Kapalı Forumdaki Konulara Cevap Yazma
Kapalı Forumda Cevapları Silme
Kapalı Forumdaki Cevapları Düzenleme
Kapalı Forumda Anket Açma
Açık Forumda Anketlerde Oy Kullanma
Bilgi için


| ReklamKale Kapı | Radyo & TV  |  

Bize Yazın - Bilgineferi.com- Başa Dön

Bilgineferi.com



Bu Sayfa 0.469 Saniyede Yüklendi.