Ağ yöneticileri ve sızma testi uzmanları, bilgisayar sistemlerindeki açık iletişim kanallarını keşfetmek için bağlantı noktalarını tarama yaparak işe koyulur. Bir saldırgan için, açık bir bağlantı noktasında çalışan hizmetler saldırılara karşı savunmasız olabileceğinden, hedef ağ hakkında bilgi toplamak ve potansiyel bir saldırı yolu belirlemek için ilk adımdır. Nmap, saldırganlar veya sızma testi uzmanları için gerekli olan araçlardan biridir. Nmap çok çeşitli özelliklere sahip olmasına rağmen (nmap komut dosyaları (NSE) dahil), basit şekilde en iyi port tarayıcı olarak başladı ve bizim için mevcut en iyi port tarayıcı olarak hayatımızda kalmaya devam etmektedir. Bu aracı Endüstriyel Kontrol Sistemlerine ait ağlarda kullanmak için bazı noktalara dikkat edilmesi gerekmektedir. Bugünkü yazımda sizlerle Endüstriyel Kontrol Sistemlerinde port taramanın tehlikelerinden ve risk seviyelerine göre kullanılmasını önerdiğim nmap kullanımlarını sizlerle paylaşacağım.
OT sistemlerinde bilinçli bir şekilde kullanılmadan yapılan Port taramalarının bazı tehlikeleri bulunmaktadır. Bağlantı noktası taramaları dikkatli bir şekilde yapılmazsa eskimiş gömülü sistemleri çökertebilir. Bu tehlikeleri aşağıda kısaca özetleyebiliriz.
- Çok hızlı tarama (Nmap’deki varsayılan tarama her zaman çok hızlı tarayacak şekilde ayarlanmıştır)
- Nmap -T2 ayarını 0.4 saniye olacak şekilde kullanır.
- Ana makine başına bir seferde 1 bağlantı noktasını taramak için Nmap’in –scan-delay 0.1 veya –max-parallelism 1‘i kullanmalısınız.
- İşletim Sistemi Parmak İzleri
- Nmap’de -O veya -A parametrelerini kullanmayın. (Gömülü sistemlerin çökmesinin muhtemel nedenlerinden birisidir.)
- ARP taramalarını her alt ağda yerel olarak yapılabilir ve cihazları tanımlamak için MAC adreslerini kullanmalısınız.
- Servis parmak izi genellikle güvenlidir, fakat bazen sorunlara neden olabilmektedir.
- Yeni alt ağlarda Nmap -sV‘yi dikkatli bir şekilde kullanmalısınız.
- Veya Nmap –script=banner‘ı kullanmalısınız.
- SYN özelliği ile tarama
- RFC sıkıntılarını önlemek için her zaman taramalarınız da -sT parametresini kullanın.
- Boş payloadlarda UDP bağlantı noktalarını tarama (Windows ve Linux’ta ICS yazılımlarını etkileyebilir)
- Nmap’de -sU parametresini kullanmamalısınız.
OT sistemlerinde Nmap ile tarama gerçekleştirirken aşağıda belirttiğim önerileri dikkate almalısınız.
- Her zaman Nmap’i başında “sudo” kullanarak -sT parametresi ile çalıştırın.
- Nmap ile tarama yaparken her zaman -v parametresi ile kullanılmasını öneriyorum.
OT sistemlerinde Düşük Riskli Nmap taramaları için aşağıda belirttiğim şekildeki parametrelerle kullanılabilir.
- sudo Nmap –n -PR -sn
– Risk: Neredeyse Yok (sadece TCP tarafından gerekli olan ARP isteği (IP -> MAC) alınır)
IP adresi canlıysa, parmak izi için kullanılabilen MAC adresi bilgisini alabiliriz. - sudo Nmap -n -sn
– Risk: Çok Düşük (yalnızca ICMP ve TCP 80 / 443 ping istekleri gönderir)
IP adresinin pinglere yanıt verip vermediğini gösterir. Aynı alt ağda yapılırsa MAC adresi bilgisini alabiliriz. - sudo Nmap -n -sT –scan-delay 0.1 –top-ports 100
– Risk: Düşük (her ana bilgisayarın TCP bağlantı noktalarını 1 saniye gecikmeyle seri olarak tarar.) - sudo Nmap -n -sT –scan-delay 0.1 -p <port no>
– Risk: Düşük (her ana bilgisayarın TCP bağlantı noktalarını 1 saniye gecikmeyle seri olarak tarar.)
OT sistemlerinde Orta ve Yüksek Riskli Nmap taramaları için aşağıda belirttiğim şekildeki parametrelerle kullanılabilir.
- sudo Nmap –n -sT –max-parallelism 1 -p <port no>
– Risk: Orta (her ana bilgisayarın TCP bağlantı noktalarını olabildiğince seri olarak tarar.) - sudo Nmap –n -sT –max-parallelism 1 -p- <port no>
– Risk: Orta (her ana bilgisayarın TCP bağlantı noktalarını olabildiğince seri olarak tarar.) - sudo Nmap –n -sT –max-parallelism 1 -p- -sV
– Risk: Orta ve Yüksek (her ana bilgisayarın TCP bağlantı noktalarını olabildiğince seri olarak tarar.) - sudo Nmap –n -sT -p- -A
– Risk: Yüksek (çoğu eski ekipman ve hatta bazı modern ekipmanların bile çökmesi muhtemeldir.)
Olası tüm bağlantı noktalarını tarar, her şeyi parmak izleriyle birlikte gösterir ve NSE’yi çalıştırır. - sudo Nmap –n -sT -sU -p- -A
– Risk: Son derece Yüksek (çoğu eski ekipman ve hatta bazı modern ekipmanların bile çökmesi muhtemeldir.)
Olası tüm bağlantı noktalarını tarar, her şeyi parmak izleriyle birlikte gösterir ve NSE’yi çalıştırır.