Biznet BilişimBiznet Bilişim

By Süleyman Salcı

Forcepoint Security Appliance Manager(SAM) Yayımlandı!

Forcepoint Security Appliance Manager(SAM) Yayımlandı!

 

Bir önceki yazımızda, Forcepoint Security Manager 8.3 sürümüyle ilgili yeni eklenen, güncellenen ve artık desteklenmeyen özellikleri incelemiştik. Önceki yazımızda “yeniliğin habercisi” diyerek tanıttığımız bir şey vardı ki o da: appliance manager arayüzü. Bu yazımızda da, sizlere bu “yeniliği” tanıtmayı amaçlıyoruz.

8.3 versiyonunda, appliance manager’a 9447 portundan bağlandığımızda bizi farklı bir arayüz karşılıyor. Önceki versiyonlarda yapabileceğimiz işlemler, appliance manager ya da content gateway arayüzlerinden birine ilerlemek iken 8.3 versiyonunda, appliance manager komut ekranına nasıl erişebileceğimiz anlatılıyor ve content gateway arayüzüne erişim seçeneği sunuluyor.

8.3 ve öncesi arayüz


8.3 arayüzü

 

Peki bu değişikliğin amacı ne? Merkezi yönetimi (Central Management) sağlamak. Önceki sistemde her appliance ayrı bir arayüze sahip iken şimdi tek bir arayüzden bütün appliance’lar yönetilebiliyor. Üstelik önceden herhangi bir arayüzü olmayan sanal appliance’lar da buna dahil! Bu değişikliği 8.4 sürümüyle bekliyorduk ancak Forcepoint mühendisleri titiz bir çalışmayla kısa sürede bu “yeniliği” hayata geçirdi.

Yeni arayüzün devreye alınma işlemleri, temel olarak 2 adımdan oluşmakta: Triton sunucuda yükleyicinin çalıştırılması ve appliance’lar üzerinde hotfix yüklemeleri.

Sunucu tarafında yapılacaklar;

  1. Forcepoint portal üzerinde, “FSAM” sekmesinde bulunan “Forcepoint Security Appliance Manager Installer” yükleyicisi indirilir.
  2. Yükleyici, Triton sunucu üzerinde çalıştırılır.
  3. Adımlar takip edilerek kurulum sonlandırılır.

Appliance tarafında yapılacaklar;

  1. Listedeki hotfix’lerin indirme & yükleme işlemleri, mevcut tüm appliance’lar için, sırayla yapılır. 9 numaralı hotfix en son yüklenmelidir.
    APP-8.3.0-001
    ● APP-8.3.0-005
    ● APP-8.3.0-008
    ● APP-8.3.0-010
    ● APP-8.3.0-011
    ● APP-8.3.0-009
    “load –hotfix –id APP-8.3.0-XXX”
    “install –hotfix –id APP-8.3.0-XXX”
  2. Hotfix yüklemeleri yeniden başlatma gerektirmektedir ancak yeniden başlatma işlemini yalnızca son yükleme sonrasında yapmak yeterlidir.

 

  1. Bu aşamadan sonra, Forcepoint Triton arayüzünden, “Appliances” sekmesi altında kayıtlı olan appliance’ların silinip tekrar kaydedilmesi önerilir.

 

Artık https://<Triton-IP-address->:9443/cm adresinden appliance arayüzüne erişim sağlanabilir ve mevcut Triton kullanıcı adı – şifre ikilisi ile giriş yapılabilir.

Neler Yapılabilir:

  • Appliance ve üzerinde çalışan servisler ile ilgili bilgi alınabilir.
  • IP, DNS, Interface bilgileri düzenlenebilir.
  • Uzak bağlantı için ihtiyaç duyulan kodlar (Token code) alınabilir.
  • SNMP ayarları düzenlenebilir.

 

Bilinen Problemler ve Kısıtlar:

  • FQDN ile bağlantı sağlarken sorun yaşanabilir. Problem çözülene kadar IP adresi ile bağlantı sağlanması tavsiye olunur.
  • Appliance, Triton arayüzüne, “Single Sign On” seçeneği ile kayıt edilmediği takdirde problem yaşanabilir.

 

 

By Can Demirel

Burp Extension: BurpValueEncoder

Burp Extension: BurpValueEncoder
BurpSuite, web uygulama kontrollerinde gerekli pek çok kontrolün oldukça rahat bir şekilde gerçekleştirilmesine olanak tanıyan yardımcı bir araçtır. Test edilen uygulamanın teknolojisinden bağımsız olarak istekleri işlemeye ve oluşan çıktıları çeşitli şekillerde incelemeye izin vermesi ek olarak ihtiyaca özel uygulamalar yazmasına olanak tanıması en önemli avantajları arasındadır.

Güncel web uygulamalarında bazı verilerin kullanıcı tarafında encode edilerek sunucuya gönderildiği, sunucu tarafında ise gelen verinin öncelikle decode edilip, sonrasında işleme alındığı görülmektedir. Özellikle dosya yükleme uygulamalarında böyle durumlar ile oldukça sık bir şekilde karşılaşılmakta olup bu tip uygulamalarda otomatik tarama gerçekleştirirken, gönderilen her payload için encoding işlemi de yapılması gerekmektedir. Aksi takdirde gönderilen değer işleme alınmadan önce sunucu üzerinde decoding aşamasından geçeceği için Sizin gönderdiğiniz değer sunucuda işleme alındığında değiştirilmiş olacaktır.

Web uygulamalarında yüklenilen dosyalar sonrasında işleme alınıyor ise her kolondaki veri Sizin için ayrı bir parametre alanı olarak düşünülmelidir. Fakat bu parametre alanlarını test etmek her zaman kolay olmayabiliyor. Kullanıcı tarafında encode edilen dosyanın testi için, her parametre denemenizde tekrar excel dosyasına müdahale etmeniz gerekecek ve normal bir taramaya oranla daha az payload deneme şansınız olacaktır. Bu sorunun önüne geçmek ve daha yüksek kaliteli testler ortaya çıkarmak için geliştirdiğimiz burpsuite extenssion ile bu tip uygulamaları da artık kolaylıkla tarama şansı elde edebilirsiniz.

“Value Encoder” isimli extension ile burpsuite üzerindeki bütün isteklerinizde encoding işlemini kolaylıkla gerçekleştirebilirsiniz. Encode etmek istenilen parametrenin başına ve sonuna aşağıdaki gibi encoding değerlerini ekleyerek, girilen değerleri karşı tarafa encode edilmiş halde iletebilirsiniz.

Kullanılabilir encoding değerleri aşağıdaki gibidir.

  • _base64’Payload’_base64
  • _url’Payload’_url
  • _asciiHex’Payload’_asciiHex

“Value Encoder” aktif durumdayken, taramak istediğiniz parametreyi yukarıdaki değerler ile düzenleyerek,  burpsuite üzerinde aktif tarama da gerçekleştirebilirsiniz. Buna dair örnek bir kullanım şekli aşağıda görseller ile anlatılmaktadır.

Örnek olarak yüklenilecek extension.csv dosyası aşağıdaki gibidir.

Buradaki her virgül arası ayrı bir değer olmakta olup, hepsini ayrı ayrı burpsuite ile aktif taramadan geçirebiliriz.

Normalde dosya yüklenmek istenildiğinde oluşan örnek request ise aşağıdaki gibidir.

Yukarıdaki istekte işaretli alanda da görülebileceği gibi, dosya içeriği base64 ile kullanıcı tarafında encode edilmiş ve sonrasında sunucuya gönderilmiştir. İşaretli kısmı base64 decode ettiğimizde aşağıdaki gibi dosya içeriği görülmektedir.

 

Şimdi ilgili isteği Intruder’a göndererek aşağıdaki gibi düzenliyoruz. Intruder’da öncelikle encode edilmiş, “Value Encoder” için aşağıdaki gibi düzenliyoruz.

Sonrasındaki işlemler ise normal kullanımdaki gibi ilerlemektedir. Öncelikle taramak istediğimiz bölümü seçiyoruz, sonrasında ise aktif taramayı başlatıyoruz. Örnek olarak ‘biznet’ yazılı olan kısım aktif taramaya verilecektir.

Tarama başlatıldığında giden istekler incelendiği zaman, hepsinin encode edilerek gönderildiği görülmektedir.

Yukarıdaki ekran alıntısında verilen değer decode edildiğinde, taramak istediğimiz alanı hem burpsuite üzerinden aktif tarama ile hemde encode edilmiş şekilde payload göndererek tarama yapabildiğimiz görülmektedir.

Detaylara aşağıdaki bağlantıdan erişebilirsiniz.

https://github.com/BiznetLab/BurpValueEncoder

By Faruk Ünal

BurpSuite Redirector Extension

BurpSuite, web uygulama kontrollerinde gerekli pek çok kontrolü oldukça rahat bir şekilde gerçekleştirilmesine olanak tanıyan yardımcı bir araçtır. Test edilen uygulamanın teknolojisinden bağımsız olarak istekleri işlemeye ve oluşan çıktıları çeşitli şekillerde incelemeye izin vermesi ek olarak ihtiyaca özel uygulamalar yazmasına olanak tanıması en önemli avantajları arasındadır.

Web uygulama zafiyet tarama araçlarının uygulamaları keşfetmek ve istekleri üretmek için kullandıkları crawler mekanizmaları her zaman yeterli olmayabilmektedir. Özellikle isteklerin scriptler ile üretildiği bazı uygulama framework’leri ve teknolojilerinde scanner araçları scriptleri yorumlamada eksik kalabilmekte ve denetim yapılması gereken tüm istekleri üretemeyebilmektedirler. Bunun dışında bazı alanlara özel veri girilmesi gerektiği durumlarda otomatik form doldurma fonksiyonlarında yetersiz kalabilmektedir. Tüm bunlar uygulamaların tam anlamı ile kontrol edilmesini engellemektedir. Bu eksiklikleri gidermek için genelde manual scan adı verilen özellikler ile uygulamaların ziyaret edilmesini sağlayan ara birimler sağlamaktadırlar.

Ancak bazı durumlarda bu arabirimler üzerinden otomatik tespit edilemeyen veya yollanamayan bu istekleri üretmek de mümkün olmayabilir. Bu gibi durumlarda BurpSuite üzerinden kayıt altına alınan isteklerin, farklı zafiyet araçlarına yönlendirilmesi oldukça faydalı sonuçlar verebilmektedir.

Bunun dışında istenilen uygulamaları hızlı bir şekilde birden fazla araç ile kontrol etmek, login gerektiren veya http isteklerine özel başlıklar eklenmesi gereken durumlarda BurpSuite tarafında bulunan bir isteğin hızlıca farklı tarama yazılımlarına yönlendirilmesi, tarama kalitesini arttırmakta ve aynı anda daha fazla araçla hızlı bir şekilde kontrol imkanı tanımaktadır.

Testlerde bu işlemi hızlıca gerçekleştirmek, istenilen isteği farklı bir tarama aracına yönlendirmek için aşağıdaki linki verilen basit BurpSuite extension’ini hazırladık. Bu extension ile bir yandan BurpSuite üzerinden active scan modülü ile tarama yaparken, istenilen isteği farklı bir zafiyet tarama yazılımına yönlendirmek, dolayısı ile aynı anda farklı iki tarama motorunu kullanarak denetim gerçekleştirmek mümkün olmaktadır.

https://github.com/BiznetLab/BurpRedirector

 

By Behruz Cebiyev

Ağ İzleme Aracı: Baykus

Karmaşık ve sürekli değişim gösteren bir ağ üzerinde IP tabanlı varlıkların takibi, kontrolü ve denetimi, sistem yöneticilerinin ve güvenlik denetçilerinin en sık karşılaştıkları sorunlar arasındadır. Özellikle zafiyet yönetiminin eksiksiz ve doğru bir şekilde yapılabilmesi için kapsamın doğruluğu önem arz etmektedir. Uzun soluklu güvenlik projelerinde değişen ağ altyapısından haberdar olmak, eklenen, çıkarılan varlıkları belirleyerek analizler yapmak oldukça önemlidir. Bizde bu ihtiyacı karşılamak üzere yazdığımız ve Baykuş adını verdiğimiz basit bir aracı paylaşmaya karar verdik.Baykuş, belirlediğiniz ağlar üzerinde tanımladığınız zaman aralıklarında taramalar gerçekleştirip tespit ettiği varlıklara ilişkin bir veritabanı oluşturur. Farklı zamanlarda farklı tarama sonuçları ile ağınız üzerinde yeni bir varlık olup olmadığı, bir varlığın offline/online duruma geçip geçmediği hakkında bilgileri tutar. Belirli bir varlık için gerye dönük arama ve raporlama yapılmasına olanak tanır. Tespit ettiği değişiklikleri sizin tanımladığınız e-posta aracılığı ile anlık olarak bildirir.

Aşağıdaki linkten bu araca ulaşabilirsiniz.
https://github.com/BiznetLab/Baykus

 

By Behruz Cebiyev

Nessus Parser ile Pentest Raporlama Sürecini Hızlandırma

Sanırım Bilgi Güvenliği üzerine çalışıp Nessus ismini duymayan yoktur. Bu otomatik zafiyet tarama aracı, ağ ve uygulamaların güvenliğini test etmek için yaygın kullanılan araçlardan birisidir.Eğer çalışma yaptığınız ağlar çok büyük veya çok sayıda ise çıktı olarak çok sayıda tarama sonucu ile karşılaşmanız kaçınılmazdır. Bu durumda farklı tarama raporları üzerinde anlamlı sonuç ve çıktılar üretmek, bu çıktıları raporlamak ve optimize etmek kaliteli insan kaynağının etkin kullanılmamasına neden olmaktadır.

Bu sorunu çözmek,  danışmanlık için ayrılan zamanı daha etkin kullanmak ve süreçleri hızlandırmak adına basit bir araç geliştirdik. Bu araç, csv formatındaki Nessus çıktısını veya çok sayıda taramalardan alınmış csv çıktısını birleştirmekte, oluşturulan csv dosyasını ayrıştırarak istenen zafiyet numarası için sonuç üretilmesine olanak tanımaktadır. Üretilen sonuç, o zafiyetten etkilenen sistemlerin ip adreslerini alan adları ile beraber ve port numaralarını içerecek şekilde çalışmaktadır.

Uygulama hakkında detaylı bilgilere ve kaynak kodlarına GitHub hesabımızdan erişebilirsiniz.
https://github.com/BiznetLab/nessusParser
Diğer geliştirdiğimiz ve geliştireceğimiz araçlar hakkında bilgi sahibi olmak için GitHub hesabımızı takip edebilirsiniz.
https://github.com/BiznetLab/