By Biznet Bilişim A.Ş.

RDP Tunneling & Port Forwarding ile IT-OT Ağ Geçişlerini Atlatma ve Korunma Yöntemleri

Endüstriyel altyapılar genellikle birbirleriyle ilişkili ve birbirlerini besleyen çok sayıda farklı süreçten oluşmaktadır. Bu sebeple Endüstriyel Kontrol Sistemleri (EKS), yapıları gereği geleneksel IT altyapılarında sıkça karşılaştığımız düz (flat) ağ mimarilerin aksine çok katmanlı mimarilere sahip kritik altyapılardır. Bu katmanlı yapı içerisinde, her katmanda bulunan varlıklar birbirleriyle ilişkili ve birbirlerini besleyen endüstriyel süreçlere hizmet etmektedir. EKS altyapıları temelde iki ayrı yapıdan oluşmaktadır: IT ve OT altyapısı. IT ve OT altyapıları gerek işlevsellik, gerekse işleyiş ve süreçler bakımından birbirlerinden oldukça farklı özelliklere sahip yapılardır.

IT ve OT altyapıları arasındaki geçişler, ağ yapılandırmaları (DMZ) veya çeşitli kontrol mekanizmaları kullanılarak (uzak erişim sunucuları, terminal sunucular veya jumpbox sunucuları) gerçekleştirilmektedir. “Jumpbox” olarak da adlandırılan Terminal Sunucuları, gerek operasyon sürelerini kısaltarak verimliliği arttırması gerekse son kullanıcıya sağladığı grafik ara birimleri sayesinde önemli işlevsellikleri beraberinde getirmektedir. Bu avantajlar sebebiyle Jumpbox’lar, IT-OT geçişlerinde sıkça tercih edilmektedir. Bu geçişlere ilişkin detaylara, “Endüstriyel Kontrol Sistemleri için Purdue Katmanlı Güvenlik Mimarisi“ isimli blog yazımızda değinmiştik. İlgili blog yazısına erişmek için buraya tıklayabilirsiniz.

Uzak Masaüstü Servisi (Remote Desktop Service) ise; Microsoft Windows işletim sistemi içerisindeki çok sayıda servisten bir tanesi olup, genellikle grafik ara birimi gerektiren kurum içi uzak bağlantılarda çeşitli kullanıcı profilleri tarafından (sistem yöneticileri, IT ve OT mühendisleri, bakım personelleri vb.) sıklıkla kullanılmaktadır. Yukarıda bahsedilen Jumpbox sunucular ise Uzak Masaüstü Protokolü (Remote Desktop Protocol-RDP) üzerinden bu servis aracılıyla IT-OT geçişlerini sağlayan yapılardır. Jumpbox sunucular gerek IT gerekse OT personeline uzak erişim konusunda çok sayıda avantaj sağlamasının yanında, doğru güvenlik prosedürleri ve beraberinde doğru yapılandırmaların yapılmaması sonucunda ciddi güvenlik ihlallerine sebebiyet verebilmektedir. Kötü niyetli saldırganların ya da ulus-destekli (national-state) APT grupların kritik altyapılara yönelik gerçekleştirdiği saldırılar incelenlendiğinde, saldırıların odak noktasının genellikle terminal sunucu ve Jumpbox gibi IT-OT arasında geçiş sağlayan atlama noktalarının olduğunu görmekteyiz.

Bu blog yazısında; kötü niyetli bir saldırganın çeşitli RDP tünelleme ve port yönlendirme işlemlerini kullanarak internet üzerinden başlayıp önce kurumsal IT ağına sızarak, devamında ise ağ içerisinde dikey ilerleme (pivoting) yaparak OT ağındaki bir sunucu-istemciyi ele geçirebileceği bir senaryo anlatılmaktadır.

Yazının tamanına aşağıdaki bağlantı üzerinden erişebilirsiniz.

Refaranslar:

https://www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html
http://rdp2tcp.sourceforge.net
https://www.saotn.org/tunnel-rdp-through-ssh/
https://www.nsslabs.com/blog/analyst-insights/tunneling-through-the-sky-using-ssh-rdp-to-cross-the-network-perimeter/
https://blog.devolutions.net/2017/4/how-to-configure-an-ssh-tunnel-on-putty
https://blog.netspi.com/how-to-access-rdp-over-a-reverse-ssh-tunnel/