Bağlantı noktası tarama saldırıları nasıl önlenir?

Bir bağlantı noktası, iki cihaz ya da bir uygulama ve bir cihaz arasında veri aktarımını kolaylaştıran bir iletişim uç noktasıdır. Bir bağlantı noktası açık olduğunda, belirli bir hizmet veya uygulama için kullanımda ve ilgili uygulamaya gönderilen istekleri etkin bir biçimde dinler durumdadır. Açık bağlantı noktalarını kullanan uygulamaların yama uygulamaları iyi şekilde yapılmadığı takdirde, bu bağlantı noktalarının açıklarından faydalanılabilir ve bu bağlantı noktaları saldırı başlatmak için kullanılabilir. Bağlantı noktası taraması, bir ağdaki açık bağlantı noktalarını tespit etmek amacıyla kullanılan bir yöntemdir. Bir bağlantı noktası taramasının çalıştırılması, ağdaki açık bağlantı noktaları ve gönderen ile alıcı arasına dağıtılmış güvenlik duvarları gibi ağ güvenlik cihazlarını açığa çıkarır.

Normalde, bir ağın bağlantı noktası taraması, ağ güvenliğinin ne kadar güçlü olduğunu tespit etmek üzere yapılan sızma testi sırasında gerçekleştirilir. Ancak, siber saldırganlar da ağ içindeki güvenlik açığı bulunan bağlantı noktalarını tanımlayarak ve hedefin ağ güvenliğini ile ilgili bilgi edinmek için bu yöntemi kullanırlar. Bu yöntem siber saldırganlar tarafından kullanıldığında, buna bağlantı noktası tarama saldırısı denir.

Bir bağlantı noktası tarama saldırısı nasıl gerçekleşir?

Bir saldırgan, mevcut olan 65536 sistem bağlantı noktasının tamamıyla iletişim kurarak hedef ana bilgisayara bağlanmaya çalışır. Güvenlik duvarları, bu saldırıya bağlantı noktasının durumuna bağlı olarak üç farklı şekilde yanıt verir:

• Bağlantı noktası açıksa, trafiği ilgili ana bilgisayara yönlendirir.
• Bağlantı noktası kapalı olduğu takdirde, trafik yeniden yönlendirilmez. Ancak, güvenlik duvarı buna "Reddedildi" bildirimiyle yanıt verir.
• Bağlantı noktası güvenlik duvarınız tarafından engellenmiş olduğu takdirde, isteğe yanıt vermez.

Dolayısıyla, belirli bir bağlantı noktası kapalı olsa dahi saldırgan ilgili bağlantı noktasının arkasındaki cihazı öğrenebilir. Açık bir bağlantı noktası üzerinden başarıyla gerçekleştirilen bir bağlantı, saldırganların ağa yetkisiz bir biçimde erişim sağlamasına imkan verir.

Bağlantı noktası taraması genellikle iki modda gerçekleştirilir: anlık ve gizli.

Bir saldırgan belirli bir süre içinde yalnızca birkaç bağlantı noktasını, (diyelim ki 20'den az bağlantı noktasını) taradığında, buna anlık modda bağlantı noktası taraması denir. Bir diğer yandan, bir saldırganın bir bağlantı noktasını daha uzun süreyle (diyelim ki bir ay boyunca) dinlemesi ve bağlantı noktası taramasını kademeli olarak gerçekleştirmesine gizli mod adı verilir. Her iki modda da saldırgan fark edilmez. Ancak, saldırganlar el sıkışma sürecinden geçmeden uygulama ile iletişim kurabileceğinden, gizli modda gerçekleştirilen bağlantı noktası taramasının tespit edilmesi nispeten daha zordur.

Bir bağlantı noktası tarama saldırısı nasıl önlenir?

• Bağlantı noktası taramasını saldırgandan önce gerçekleştirin: Kötü niyetli kişilerin bağlantı noktası tarama saldırısı yoluyla ağınıza erişmesini önlemek için atılması gereken ilk adım, güvenlik açığı bulunan bağlantı noktalarını tanımlayarak engellemek için sık sık bağlantı noktası taramaları gerçekleştirmektir.
• Uyarlanabilir güvenlik duvarlarının dağıtımını gerçekleştirin: Güvenlik duvarları için belirlenmiş TCP/IP davranış kuralları nedeniyle tüm bağlantı noktalarını engellemeniz mümkün değildir. Ayrıca, tüm bağlantı noktalarını engellemek, işiniz için gereken iletişimleri gerçekleştirmenize engel olur. Dolayısıyla bağlantı noktalarını yalnızca kötü niyetli bir IP tarama yapmaya çalıştığı zaman engelleyen, uyarlanabilir bir güvenlik duvarı kullanılmasını tavsiye ederiz.
• Boş ana bilgisayarlar veya bal küpü sunucular ayarlayın: Başka bir yöntem de kötü niyetli isteklerin tuzaklara yönlendirilmesini içerir. Güvenlik duvarınızı saldırganlar bağlantı noktası taraması yaptığında açık bağlantı noktalarını "boş ana bilgisayara" veya "bal küpü sunuculara" yönlendirecek biçimde yapılandırabilirsiniz. Aldatmaya yönelik bu savunma mekanizmasının uygulamaya koyulması yapılandırma açısından yoğun çaba gerektiriyor olsa da çok etkilidir.

Hızlı ipucu:

Uyarlanabilir güvenlik duvarlarının dağıtımını yapmış ve tuzaklar kurmuş olsanız dahi, kötü amaçlı trafiğin kaynağı ile ilgili bir analiz yapmanız gerekir. Bu şekilde, bu IP'leri ağ düzeyinde güvenlik duvarınızdan engelleyebilir ve açıktan faydalanma girişiminin ölçeğini ve etkisini azaltabilirsiniz.

Bir günlük yönetimi çözümü kullanılması nasıl yardımcı olur?

Kapsamlı bir günlük yönetimi çözümü olan EventLog Analyzer, tüm bağlantı noktası tarama girişimleri ile ilgili ayrıntılı raporlar sunarak size yardımcı olmanın yanı sıra, gerçek zamanlı olay yanıt sistemi aracılığıyla bağlantı noktası taramasının gerçekleştirilme olduğunu size gerçek zamanlı olarak bildirir. Bu çözümün bağlantı noktası tarama saldırılarıyla başa çıkmanıza nasıl yardımcı olabileceğini inceleyin.

Sırada ne var?