SSL VPN sistemlerde MITM tehlikesi !

SSL VPN sistemler son yillarin en moda uzaktan erisim yontemi olma yolunda hizla ilerliyor. Kullanirken ya da satarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari guvenli hale getirip sorunsuz bir sekilde uzaktan sirkete ait her islemi guvenli sekilde yapabilecegimizden bahsederiz fakat barindirdigi riskleri hep gozardi ederiz.

Kullanım oranı ve kullanım rahatlıgı gozonunde bulundurulursa dogru yapilandirilmamis SSL VPN sistemlerin  ciddi MITM riskleri ile karsi karsiya oldugunu soyleyebiliriz.

Aslinda MITM(ortadaki adam) saldirisi tum uygulamalar icin basbelasi bir saldiri yontemi fakat is SSL olunca biraz degisiyor. Zira SSL’in insanlari rahatlatan bir yani var. “Ne olacak ki nasil olsa sifreli gidiyor trafigim, istedigim yerden baglanirim sirkete ve gider finans tablosunu update ederim, maillerime bakarim:) …”. Bir de ustune elimize tutusturduklari sifre ureticiler olunca ultra guvenlik hissi ile uzaktan her tur islemi yapar hale geliyoruz. Yukarda anlattiklarim aslinda cogumuzun orada  burda, halka acik yerlerde sahit oldugu tablolar.

Gecenlerde bir egitim sirasinda (burasi benim sirketimle alakali degil, senaryodur) canım sıkılıp arka sıralarda birinin sirketteki sunucusuna “telnet” ile baglandigini gorunce hey arkadas! gel beraber bir test yapalim dedik…

Arkadas (X firmasi calisani) SSL VPN icin cagirdigi sayfada gelen sertifika uyarisini yes diyerek gecti ve user/pass bilgilerini elindeki token araciligi ile girdi. Sonrasinda ssh ile yonetilemeyen sistemine telnet ile baglanarak komutlar calistirmaya basladi…

Baglantiyi koparip tekrar baglanmasini rica ettim, ben de bu arada ilgili aksiyonlari alarak arkadasin trafigini uzerimden gecirdim. Tekrar SSL VPN sayfasini cagirdi ve yine benzer sertifika uyarisi aldi, uyariyi yes diyerek gecti. Sonrasinda user/pass+pin bilgilerini girince sistemden gecersiz user/pass hatasi aldi. (Bu hatayi almasinin sebebi benim ssl baglantisinda araya girip user/pass +pin bilgisini alip ayni hizda SSL vpn baglantisini kurmamdan kaynaklaniyor.

Hata alinca tekrar user/pass+pin bilgisini girip sistemlerine ulasmaya devam etti.

Bu arada ne oldu?

Ayni kullanici hesabi ile iki farkli kullanici sisteme dahil olmus oldu. Ve bu iki kullanici ayni agda oldugu icin biri digerinin ulastigi tum servislere ek mitm saldirisi gerceklestirerek ulasabilir oldu.

…

Burada temel problem SSL VPN cihazi icin uretilen sertifikanin self signed olmasi(Dolayisi ile kullanici her login aninda gecersiz sertifika uyarisi aliyor, ek olarak sisteme sertifikayi trusted tanitmadiysa). Kullanici her zaman uyari aldigi icin araya giren sahsin urettigi sertifikayi incelemeden kabul ediyor ve baglanti bilgileri baskalarinin eline geciyor.

Eger sunucu tarafinda istemcinin sertifikasi da kontrol edilse boyle bir problem yasanmaz fakat kullanilan urunlerin cogunda bu ozellik yok.

Aslinda piyasadaki cogu SSL VPN sistemi bu tip saldirilari anlamsiz kilacak secenekler sunuyor ama bu tip ozellikler ya kullanilmiyor ya da eksik yapilandirildigi icin calismiyor.

Mesela baglanan kullanicinin bilgisayarinda bazi degerler kontrol edilerek sirket bilgisayari olup olmadigi belirlenebilir, ayni anda bir kullanici icin tek bir ip adresi atanabilir ve baglanan ip adreslerine gore erisim haklari tanimlanabilir…

Bunun haricinde mutlaka ve mutlaka yapilmasi gereken: ssl vpn sistemlerine ip uzerinden degil de gecerli bir sertifikasi olan hostname uzerinden baglanmak ve kullanicilari sertifika hatasi aldiklarinda islem yapmamalari gerektigi konusunda egitmek/uyarmak.

Bu yazi bir arastirmaya degil, gercek sistem uzerinde yapilan calismaya binaen yazilmistir. Dolayisi ile kullanilan urun, urunde bulunan ve aktif edilmemis/yanlis ayarlanmis konfigurasyonlar gozoununde bulundurulmamistir.