Brute Force Saldırıları, Kimlik Doğrulama Güvenliği ve Hydra/Medusa
Kaba kuvvet saldırısı, bir saldırganın doğru kombinasyonu bulana kadar olası tüm kullanıcı adı ve parola eşleşmelerini sistematik olarak denediği bir siber saldırı yöntemidir. Bu işlem genellikle manuel olarak yapılmaz; özel yazılımlar ve araçlar aracılığıyla otomatikleştirilir.
İki temel yaklaşım vardır:
Geleneksel Kaba Kuvvet: Belirli bir uzunluktaki tüm olası karakter kombinasyonlarının (örneğin, tüm 4 haneli sayılar veya harfler) denenmesidir.
Sözlük Saldırısı (Dictionary Attack): Önceden hazırlanmış, yaygın olarak kullanılan parolaları veya hedefe özel kelimeleri içeren bir "sözlük" dosyasının (wordlist) kullanılmasıdır. Bu yöntem genellikle çok daha hızlı sonuç verir.
Giriş
Kurumsal ağlarda en sık karşılaşılan saldırılardan biri kimlik doğrulama (authentication) saldırılarıdır.
Bir saldırgan sisteme sızmadan önce çoğu zaman açık aramak yerine doğrudan kullanıcı hesabını ele geçirmeye çalışır.
Bunun nedeni oldukça basittir.
Yetkili kullanıcı hesabıyla sisteme giriş yapmak;
güvenlik duvarını aşmaktan,
exploit geliştirmekten,
kernel açığı bulmaktan
çok daha kolay olabilir.
Bu nedenle saldırganların ilk hedeflerinden biri kullanıcı adı ve parola bilgileridir.
Kimlik Doğrulama (Authentication)
Bir sistem önce kullanıcının kim olduğunu doğrular.
Bunun için;
kullanıcı adı
parola
sertifika
token
OTP
biyometrik bilgi
kullanılır.
Kimlik doğrulama başarılı olursa kullanıcı sisteme giriş yapabilir.
Parola Tabanlı Güvenlik
Bugün bile kurumların büyük kısmı aşağıdaki servislerde parola kullanmaktadır.
SSH
FTP
SMB
LDAP
RDP
VPN
Web panelleri
Mail sunucuları
Dolayısıyla parola güvenliği halen kritik öneme sahiptir.
Brute Force Nedir?
Brute Force;
doğru parola bulununcaya kadar sistematik olarak parola denemesi yapılmasıdır.
Aslında oldukça basit bir mantığı vardır.
123456123457123458123459...
veya
passwordpassword1password12password123
Doğru parola bulunduğunda giriş başarılı olur.
Bu yöntem özellikle zayıf parola kullanan hesaplarda etkili olabilir.
Brute Force Neden Başarılı Olabilir?
Sebepleri şunlardır.
Basit parola
Varsayılan parola
Eski parola
Parola tekrar kullanımı
MFA bulunmaması
Hesap kilitleme olmaması
Örneğin;
Admin123123456Password QwertyAnkara2025
gibi tahmin edilmesi kolay parolalar ciddi risk oluşturur.
Modern Kurumlarda Durum
Günümüzde kurumların çoğunda;
Active Directory
Azure AD
Entra ID
LDAP
Kerberos
kullanılır.
Bu sistemler parola politikaları sayesinde brute force saldırılarını zorlaştırır.
Online Password Attack
Hydra ve Medusa'nın kullandığı yöntem budur.
Sistemle gerçek bağlantı kurulur.
İstemci↓SSH ↓ Sunucu ↓ Authentication ↓Başarılı / Başarısız
Her deneme hedef sistem tarafından işlenir.
Bu nedenle log bırakır.
Offline Password Attack
Burada sistemle bağlantı kurulmaz.
Önce parola hash'i ele geçirilir.
Sonra;
John the Ripper
Hashcat
gibi araçlarla çevrimdışı kırılmaya çalışılır.
Offline saldırılar çoğu zaman online saldırılardan çok daha hızlıdır.
Dictionary Attack
Bu yöntemde milyonlarca olası parola yerine daha önce sızdırılmış gerçek parolalar kullanılır.
Örneğin;
Summer2025Football123Welcome1 Company2024Password123
Bu yöntem brute force'tan daha verimli olabilir.
Password Spraying
En yaygın kurumsal saldırılardan biridir.
Mantığı şöyledir.
Bir kullanıcıya binlerce parola denemek yerine,
binlerce kullanıcıya tek parola denenir.
Örneğin;
Ali↓Winter2025 Ayşe ↓ Winter2025 Mehmet ↓Winter2025
Böylece hesap kilitlenmesi ihtimali azaltılmaya çalışılır.
Credential Stuffing
Burada amaç tahmin yapmak değildir.
Daha önce veri sızıntılarında ele geçirilmiş kullanıcı adı/parola çiftleri farklı hizmetlerde denenir.
Bunun nedeni kullanıcıların aynı parolayı birçok platformda tekrar kullanabilmesidir.
Hybrid Attack
Hybrid Attack;
Dictionary Attack ile Brute Force'un birleşimidir.
Örneğin;
Mustafa↓Mustafa123 ↓ Mustafa1234 ↓ Mustafa2025 ↓Mustafa!
İnsanların parola oluşturma alışkanlıklarından yararlanılır.
Hydra Nedir?
Hydra, çok sayıda ağ servisinde kimlik doğrulama dayanıklılığını yetkili olarak test etmek amacıyla kullanılan açık kaynaklı bir araçtır.
Temel özellikleri:
Modüler yapı
Çok sayıda protokol desteği
Çoklu iş parçacığı (multithreading)
IPv4/IPv6 desteği
TLS/SSL desteği
Esnek modül sistemi
Hydra'nın amacı, güvenlik ekiplerinin zayıf parola politikalarını ve hesap koruma mekanizmalarını tespit etmesine yardımcı olmaktır.
Medusa Nedir?
Medusa da benzer şekilde yetkili parola denetimleri için geliştirilen açık kaynaklı bir araçtır.
Öne çıkan özellikleri:
Hafif mimari
Yüksek paralellik
Modüler tasarım
Performans odaklı çalışma
Çok sayıda protokol desteği
Büyük kullanıcı listeleri üzerinde kontrollü güvenlik testleri planlanırken tercih edilebilir.
Hydra ve Medusa Arasındaki Temel Farklar
| Özellik | Hydra | Medusa |
|---|---|---|
| Gelişim süresi | Daha eski ve yaygın | Daha yeni modüler yaklaşım |
| Modül sayısı | Çok geniş | Geniş |
| Esneklik | Çok yüksek | Yüksek |
| Performans | Başarılı | Büyük ölçekli paralel denemelerde avantaj sağlayabilir |
| Topluluk desteği | Çok büyük | Daha sınırlı |
| Dokümantasyon | Zengin | Daha teknik |
Hydra'nın Çalışma Mantığı
Basitleştirilmiş mimari:
Kullanıcı│▼ Hydra Motoru │ ┌───────┴────────┐ SSH FTP SMB HTTP LDAP ... │ Authentication Module │ Target Service │Success / Fail
Hydra'nın çekirdeği, her protokol için ayrı modüller kullanarak hedef hizmetle kimlik doğrulama denemelerini yönetir. Güvenlik ekipleri bu sayede farklı servislerde parola politikalarının dayanıklılığını değerlendirebilir.
Medusa'nın Çalışma Mantığı
User│Medusa Engine │ Thread Manager │ Protocol Module │ Authentication │Result
Medusa'nın tasarımı da modülerdir ve iş parçacıklarını verimli kullanmaya odaklanır. Bu yapı, yetkili testlerde büyük kullanıcı envanterlerinin kontrollü şekilde değerlendirilmesine yardımcı olabilir.
Bölüm Sonu Özeti
Bu bölümde:
Brute Force saldırılarının temel mantığını,
Online ve offline parola denetimleri arasındaki farkı,
Dictionary Attack, Password Spraying, Credential Stuffing ve Hybrid Attack kavramlarını,
Hydra ve Medusa'nın amaçlarını, mimarilerini ve temel farklılıklarını,
Kurumsal ortamlarda parola güvenliğinin önemini
ele aldık.
Authentication Protocol Nedir?
Bir istemcinin gerçekten yetkili bir kullanıcı olup olmadığını doğrulayan iletişim mekanizmasına Authentication Protocol denir.
Basitleştirilmiş akış:
Kullanıcı│▼Kullanıcı Adı│▼Parola│▼Authentication Server│┌──┴──┐│ │Başarılı Başarısız
Hydra ve Medusa gibi araçlar, yalnızca yetkili testlerde bu kimlik doğrulama mekanizmalarının dayanıklılığını değerlendirmek amacıyla kullanılmalıdır.
Hydra ve Medusa'nın Modüler Yapısı
Her protokol için ayrı bir modül bulunur.
Core Engine│┌─────────────┼─────────────┐│ │ │SSH FTP HTTP│ │ │Module Module Module│ │ │Authentication Authentication Authentication
Bu yaklaşım, yeni servislerin desteklenmesini ve mevcut modüllerin bağımsız olarak geliştirilmesini kolaylaştırır.
SSH (Secure Shell)
SSH, Linux ve Unix sistemlerinde uzaktan yönetim için en yaygın kullanılan güvenli protokoldür.
Standart port:
22/TCP
Kimlik doğrulama yöntemleri:
Parola
Açık anahtar (Public Key)
Sertifika
Çok faktörlü kimlik doğrulama (MFA)
Kerberos entegrasyonu
Kurumsal ortamlarda önerilen yaklaşım, parola yerine anahtar tabanlı kimlik doğrulama ve mümkünse MFA kullanmaktır.
SSH Sunucu Akışı
Client│TCP Handshake│SSH Banner│Key Exchange│Encryption│Authentication│Shell Access
Güvenlik Riskleri
Zayıf parolalar
Root hesabıyla doğrudan giriş
Eski SSH sürümleri
MFA eksikliği
Varsayılan yapılandırmalar
Önerilen Korumalar
Public Key Authentication
MFA
Fail2Ban veya benzeri araçlar
CrowdSec gibi davranış temelli koruma
Root girişini devre dışı bırakma
Güçlü parola politikaları
FTP (File Transfer Protocol)
FTP, eski olmasına rağmen bazı kurumlarda hâlâ kullanılmaktadır.
Standart port:
21/TCP
FTP'nin temel sorunu:
Kullanıcı adı
Parola
Veri
şifrelenmeden iletilebilir.
FTP Kimlik Doğrulama
Client│USER│PASS│Authentication
Güvenlik Riskleri
Açık metin parola iletimi
Anonymous erişim
Zayıf hesap politikaları
Öneri
FTP yerine:
SFTP
FTPS
kullanılması tavsiye edilir.
SMB (Server Message Block)
Windows dosya paylaşımı için kullanılan temel protokoldür.
Port:
445/TCP
SMB, özellikle:
Active Directory
Dosya sunucuları
Yazıcı paylaşımı
gibi ortamlarda kritik rol oynar.
SMB Kimlik Doğrulama
Client↓NTLM↓Kerberos↓Authentication↓Access Granted
Riskler
NTLM saldırıları
Eski SMBv1 kullanımı
Yanlış paylaşım izinleri
Zayıf parola politikaları
HTTP Basic Authentication
Web sunucularında kullanılan en basit kimlik doğrulama yöntemlerinden biridir.
İstemci:
Authorization:Basic Base64(username:password)
Burada dikkat edilmesi gereken nokta:
Base64 şifreleme değildir; yalnızca kodlamadır. Bu nedenle HTTPS kullanılmadığında bilgiler ağ üzerinde ele geçirilebilir.
HTTP Form Authentication
Modern web uygulamalarının büyük çoğunluğu form tabanlı kimlik doğrulama kullanır.
Akış:
Browser↓Login Page↓Username↓Password↓Backend↓Database↓Success
Güvenlik Önlemleri
Rate Limiting
CAPTCHA
MFA
CSRF koruması
Hesap kilitleme
Şüpheli IP izleme
HTTPS
HTTPS, HTTP'nin TLS ile korunmuş sürümüdür.
Port:
443/TCP
Sağladığı avantajlar:
Şifreli iletişim
Sertifika doğrulaması
Veri bütünlüğü
Gizlilik
HTTPS, kimlik doğrulama bilgilerinin ağ üzerinde düz metin olarak iletilmesini engeller; ancak zayıf parola politikaları gibi uygulama katmanı sorunlarını tek başına çözmez.
SMTP
SMTP, e-posta gönderimi için kullanılır.
Portlar:
25465587
SMTP sunucularında:
Authentication
Relay kontrolü
TLS desteği
önemlidir.
POP3 ve IMAP
E-posta istemcilerinin sunucudan posta alması için kullanılır.
| Protokol | Varsayılan Port |
|---|---|
| POP3 | 110 |
| POP3S | 995 |
| IMAP | 143 |
| IMAPS | 993 |
Kurumsal ortamlarda şifreli sürümlerin kullanılması önerilir.
LDAP
LDAP, dizin hizmetleri için kullanılan temel protokoldür.
En yaygın kullanım alanı:
Active Directory
Akış:
Client↓Bind Request↓Directory↓Authentication↓Authorization
Riskler
Anonymous Bind
Basit (Simple Bind) kimlik doğrulama
TLS kullanılmaması
Zayıf erişim denetimleri
VNC
VNC, grafik arayüz üzerinden uzaktan erişim sağlar.
Varsayılan port:
5900/TCP
Eski sürümlerde zayıf kimlik doğrulama ve şifreleme eksikliği görülebilir. Mümkünse VPN üzerinden veya güçlü kimlik doğrulama mekanizmalarıyla kullanılmalıdır.
RDP (Remote Desktop Protocol)
Windows sistemlerinde uzaktan masaüstü erişimi sağlar.
Port:
3389/TCP
Güvenlik Önlemleri
Network Level Authentication (NLA)
MFA
VPN üzerinden erişim
Güçlü parola politikaları
Hesap kilitleme
RDP Gateway kullanımı
Veritabanı Servisleri
Kurumsal ortamlarda aşağıdaki veritabanları da kimlik doğrulama mekanizmalarına sahiptir:
| Servis | Varsayılan Port |
|---|---|
| MySQL | 3306 |
| PostgreSQL | 5432 |
| Microsoft SQL Server | 1433 |
| Oracle | 1521 |
| Redis | 6379 |
Bu servislerde:
Varsayılan hesapların kaldırılması
Güçlü parola politikaları
Ağ erişiminin sınırlandırılması
TLS desteği
En az ayrıcalık ilkesi
önem taşır.
SIP (VoIP)
VoIP altyapılarında kullanılan bir sinyalizasyon protokolüdür.
Portlar:
50605061
Kurumsal telefon sistemlerinde:
SIP Authentication
TLS
SRTP
kullanılması önerilir.
Telnet
Telnet günümüzde önerilmez.
Sebebi:
Tüm iletişim düz metin olarak gerçekleşir.
Yerine:
SSH
kullanılmalıdır.
SNMP
Ağ cihazlarının yönetimi için kullanılır.
Özellikle:
Switch
Router
Firewall
Yazıcı
gibi cihazlarda bulunur.
Eski sürümler (SNMPv1/v2c) topluluk dizeleri (community string) nedeniyle risk oluşturabilir. Mümkünse SNMPv3 tercih edilmelidir.
Active Directory
Active Directory;
LDAP
Kerberos
DNS
Grup İlkeleri (GPO)
gibi birçok bileşeni bir araya getirir.
Kimlik doğrulama saldırılarının en kritik hedeflerinden biri olduğundan:
Güçlü parola politikaları
MFA
Tiered Administration
Privileged Access Workstations (PAW)
Ayrı yönetici hesapları
gibi önlemler önemlidir.
Kerberos
Modern Windows alanlarında varsayılan kimlik doğrulama protokolüdür.
Avantajları:
Ticket tabanlı yapı
Parolanın sürekli iletilmemesi
Karşılıklı kimlik doğrulama (Mutual Authentication)
Log Üretimi
Her başarısız kimlik doğrulama denemesi, uygun şekilde yapılandırılmış sistemlerde günlük (log) kaydı oluşturabilir.
Örnek log kaynakları:
Linux
/var/log/auth.logjournalctlauditd
Windows
Security Event Log
Event ID 4625 (başarısız oturum açma)
Event ID 4624 (başarılı oturum açma)
Bu kayıtlar SIEM platformlarına aktarılarak anomali tespitinde kullanılabilir.
IDS / IPS Açısından Değerlendirme
Ağ güvenlik sistemleri aşağıdaki davranışları izleyebilir:
Aynı IP'den kısa sürede çok sayıda başarısız giriş
Farklı kullanıcı hesaplarına art arda denemeler
Olağandışı coğrafi konumlardan gelen istekler
Normal çalışma saatleri dışındaki yoğun kimlik doğrulama trafiği
SOC Analizi
Bir Güvenlik Operasyon Merkezi (SOC) analisti için tipik alarm göstergeleri şunlardır:
Başarısız oturum açma sayısında ani artış
Aynı kullanıcıya farklı IP adreslerinden denemeler
Farklı kullanıcılara aynı IP'den denemeler (password spraying belirtisi)
Hesap kilitleme olaylarının artması
VPN, RDP ve e-posta sistemlerinde eşzamanlı başarısız girişler
Bu olaylar bir araya geldiğinde, olay müdahale ekipleri daha ayrıntılı inceleme başlatabilir.
1. Brute Force Trafiği Nasıl Görünür?
Bir brute force girişiminde amaç, kısa sürede çok sayıda kimlik doğrulama denemesi yapmaktır. Bu nedenle ağ ve sistem tarafında belirli kalıplar oluşur.
Tipik belirtiler:
Aynı IP adresinden art arda başarısız oturum açma denemeleri
Çok kısa zaman aralıklarında tekrar eden bağlantılar
Aynı kullanıcı hesabına yoğun başarısız girişler
Tek bir parolanın çok sayıda kullanıcı üzerinde denenmesi (password spraying belirtisi)
Hesap kilitleme olaylarının artması
2. TCP Seviyesinde Gözlemlenebilen Davranışlar
Bir güvenlik cihazı veya ağ izleme sistemi şu davranışları fark edebilir:
İstemci│TCP SYN│TCP Handshake│Kimlik Doğrulama│Bağlantı Kapanışı│Tekrar Yeni Bağlantı
Bu döngünün çok kısa aralıklarla tekrarlanması, otomatik deneme yapan araçların tipik davranışlarından biridir.
İzlenebilecek metrikler:
Bağlantı sıklığı
Başarısız bağlantı oranı
Aynı kaynağın çok sayıda hedefe erişmesi
Sürekli yeniden bağlantı kurulması
3. Linux Authentication Logları
Linux sistemlerde kimlik doğrulama kayıtları dağıtıma göre farklı dosyalarda tutulabilir.
Yaygın kaynaklar:
/var/log/auth.log/var/log/securejournalctlauditd
Bu kayıtlar aşağıdaki bilgileri içerebilir:
Kullanıcı adı
Kaynak IP
Tarih ve saat
Kullanılan servis
Başarılı veya başarısız giriş bilgisi
SOC ekipleri bu kayıtları merkezi SIEM sistemlerine aktararak analiz eder.
4. systemd-journald
Modern Linux dağıtımlarında servis günlükleri systemd-journald tarafından yönetilir.
Avantajları:
Merkezi günlükleme
Servis bazlı filtreleme
Zaman bazlı sorgulama
Yapılandırılmış kayıt formatı
Bu günlükler, SSH ve diğer servislerdeki başarısız oturum açma denemelerini incelemek için kullanılabilir.
5. auditd
auditd, Linux üzerinde güvenlik açısından kritik olayları kaydeden denetim altyapısıdır.
Kimlik doğrulama ile ilgili olarak:
Kullanıcı oturumları
Yetki yükseltme girişimleri
Hesap değişiklikleri
Güvenlik ilkesi ihlalleri
gibi olayların izlenmesine yardımcı olur.
6. SSH Log Analizi
SSH sunucularında aşağıdaki türde olaylar incelenir:
Başarısız giriş sayısı
Aynı IP'den gelen tekrar eden denemeler
Farklı kullanıcı adlarının denenmesi
Başarılı girişten önce çok sayıda başarısız deneme olması
Bu tür örüntüler, otomatik parola denemelerine işaret edebilir.
7. Windows Security Event Log
Windows ortamlarında en önemli günlüklerden biri Security Log'dur.
Sık kullanılan olay kimlikleri:
| Event ID | Açıklama |
|---|---|
| 4624 | Başarılı oturum açma |
| 4625 | Başarısız oturum açma |
| 4634 | Oturum kapatma |
| 4648 | Açık kimlik bilgileriyle oturum açma girişimi |
| 4672 | Ayrıcalıklı oturum açma |
| 4740 | Hesap kilitlendi |
Özellikle 4625 ve 4740 olaylarının birlikte değerlendirilmesi, brute-force girişimlerini belirlemede önemlidir.
8. Active Directory Olayları
Etki alanı (Domain) denetleyicileri üzerinde izlenmesi önerilen göstergeler:
Aynı kullanıcıya çok sayıda başarısız giriş
Bir IP'den çok sayıda farklı kullanıcı hesabına deneme
Hesap kilitlenme sayısındaki artış
Ayrıcalıklı hesaplara yönelik başarısız girişler
Bu bilgiler, etki alanı genelindeki kimlik doğrulama saldırılarının erken tespitine katkı sağlar.
9. SIEM Korelasyon Kuralları
SIEM çözümleri tek bir olaya değil, olayların birleşimine bakar.
Örnek korelasyon mantıkları:
5 dakika içinde aynı IP'den 20 başarısız giriş
Farklı sunucularda aynı kaynaktan başarısız denemeler
Başarısız girişleri kısa süre sonra gelen başarılı girişin takip etmesi
Aynı kullanıcı için farklı ülkelerden kısa aralıklarla giriş denemeleri
Bu tür kurallar, yanlış pozitifleri azaltırken gerçek saldırıların tespit edilmesini kolaylaştırır.
10. Sigma Kuralları
Sigma, farklı SIEM platformlarına dönüştürülebilen genel amaçlı tespit kuralları tanımlamak için kullanılan açık bir formattır.
Kimlik doğrulama saldırıları için Sigma kuralları genellikle şu alanlara odaklanır:
Başarısız oturum açma sayısı
Hesap kilitleme olayları
Yönetici hesaplarına yönelik denemeler
Olağan dışı zamanlarda gerçekleşen girişler
11. Splunk ile Analiz
Splunk üzerinde yaygın paneller:
Failed Logins
Successful Logins
Locked Accounts
Authentication Timeline
Source IP Analysis
Bu paneller sayesinde güvenlik ekipleri anormal eğilimleri hızla fark edebilir.
12. Wazuh
Wazuh;
Log toplama
Dosya bütünlüğü izleme
Güvenlik yapılandırması denetimi
Olay korelasyonu
gibi yetenekleri tek platformda sunar.
Brute-force belirtileri için hazır kuralların yanı sıra özelleştirilebilir alarmlar da oluşturulabilir.
13. Microsoft Sentinel
Microsoft Sentinel, bulut tabanlı bir SIEM/SOAR çözümüdür.
Kimlik doğrulama güvenliği açısından:
Azure AD
Microsoft Entra ID
Windows Sunucuları
Microsoft 365
gibi kaynaklardan olay toplayarak gelişmiş analizler yapabilir.
14. IBM QRadar
QRadar, ağ akış verileri ile günlük kayıtlarını birlikte değerlendirerek risk puanı oluşturabilir.
Öne çıkan özellikler:
Davranış analizi
Korelasyon motoru
Anomali tespiti
Olay önceliklendirme
15. Fail2Ban
Fail2Ban, Linux sistemlerinde belirli sayıdaki başarısız kimlik doğrulama denemesinden sonra istemcinin IP adresini geçici olarak engelleyen bir savunma aracıdır.
Koruyabildiği servislerden bazıları:
SSH
FTP
Postfix
Dovecot
Apache
Nginx
Başlıca avantajları:
Otomatik tepki
Esnek yapılandırma
Düşük kaynak tüketimi
16. CrowdSec
CrowdSec, yalnızca yerel olayları analiz etmekle kalmayıp topluluk tabanlı tehdit istihbaratından da yararlanabilen modern bir koruma platformudur.
Özellikleri:
Davranış analizi
Gerçek zamanlı karar mekanizması
Merkezi tehdit istihbaratı
Birden fazla servis için hazır senaryolar
Kurumsal ortamlarda Fail2Ban'a göre daha kapsamlı görünürlük sağlayabilir.
17. IDS / IPS ile Tespit
Ağ tabanlı güvenlik çözümleri şu davranışları izleyebilir:
Aynı istemciden yoğun bağlantı denemeleri
Kısa sürede çok sayıda başarısız kimlik doğrulama
Şüpheli oturum açma desenleri
Olağan dışı trafik hacmi
Bu veriler, ağ katmanındaki olaylarla sistem günlüklerinin ilişkilendirilmesini sağlar.
18. MITRE ATT&CK Eşleştirmesi
Kimlik doğrulama saldırıları, MITRE ATT&CK çerçevesinde ağırlıklı olarak şu tekniğe karşılık gelir:
| Teknik | Açıklama |
|---|---|
| T1110 – Brute Force | Parola tahminine dayalı kimlik doğrulama girişimleri |
Alt teknikler arasında parola tahmini, parola püskürtme (password spraying) ve kimlik bilgisi denemeleri gibi yöntemler yer alır. Savunma ekipleri bu sınıflandırmayı kullanarak tespit ve müdahale süreçlerini standartlaştırabilir.
19. Gerçek Kurumsal Senaryo
Bir kuruluşta gece saatlerinde VPN, SSH ve e-posta sunucularında başarısız oturum açma sayısının hızla arttığını düşünelim.
SOC analisti şu adımları izler:
SIEM üzerindeki alarmları doğrular.
Kaynak IP adreslerinin ortak olup olmadığını inceler.
Hesap kilitleme olaylarını kontrol eder.
İlgili IP adreslerinin güvenlik duvarında engellenmesini sağlar.
Etkilenen kullanıcıların parolalarını sıfırlar ve gerekirse MFA etkinleştirir.
Olayın kapsamını ve etkisini raporlayarak iyileştirme önerilerini sunar.
Bu süreç, yalnızca saldırıyı durdurmayı değil, benzer olayların tekrar yaşanmasını önlemeyi de amaçlar.
Kali Linux
Hydra çoğu sürümde hazır gelir.
Kontrol:
hydra -h
Kurulu değilse:
sudo apt updatesudo apt install hydra
Pardus
sudo apt install hydra
Ubuntu
sudo apt install hydra
Fedora
sudo dnf install hydra
Arch Linux
sudo pacman -S hydra
Sürüm Kontrolü
hydra -h
veya
hydra -v
Yardım Menüsü
hydra -h
Yüzlerce parametre görüntülenebilir.
Genel Sözdizimi
hydra [seçenekler] hedef servis
Genel kullanım yapısı:
hydra -l kullanıcı -P parola_listesi servis://hedef
Temel Parametreler
| Parametre | Açıklama |
|---|---|
| -l | Tek kullanıcı adı |
| -L | Kullanıcı listesi |
| -p | Tek parola |
| -P | Parola listesi |
| -C | Kullanıcı:Parola dosyası |
| -t | Eşzamanlı iş parçacığı sayısı |
| -f | İlk başarılı oturumda dur |
| -F | Her hedef için ilk başarıda dur |
| -o | Sonuçları dosyaya kaydet |
| -v | Ayrıntılı çıktı |
| -V | Her denemeyi göster |
| -d | Hata ayıklama modu |
| -I | Önceki oturumu yok say |
| -R | Kaldığı yerden devam et |
| -s | Özel port belirt |
| -S | SSL/TLS kullan |
| -e nsr | Boş, kullanıcı adıyla aynı veya ters kullanıcı adı parolalarını da dene |
Modül Listeleme
Hydra'nın desteklediği modülleri görmek için:
hydra -U
Belirli bir modülün kullanımını görmek için:
hydra -U ssh
Benzer şekilde diğer modüller için:
hydra -U ftphydra -U smbhydra -U http-post-form
Bu komutlar, ilgili modülün kabul ettiği seçenekleri ve kullanım biçimini gösterir.
Genel Komut Yapısı
En temel sözdizimi şu şekildedir:
hydra [seçenekler] <modül>://<hedef>
veya modül hedeften ayrı yazılarak:
hydra [seçenekler] <hedef> <modül>
Her iki kullanım biçimi de birçok modül için desteklenir.
Komutun Bileşenleri
Bir Hydra komutu genellikle şu bölümlerden oluşur:
Hydra│├── Kullanıcı bilgisi├── Parola bilgisi├── Hedef├── Servis (SSH, FTP vb.)└── Çalışma seçenekleri
Kullanıcı Parametreleri
Tek Kullanıcı
-l kullanici
Örnek:
-l admin
Hydra yalnızca belirtilen kullanıcı üzerinde işlem gerçekleştirir.
Kullanıcı Listesi
-L users.txt
Dosya örneği:
adminadministratortestbackup
Hydra listedeki her kullanıcıyı sırayla değerlendirir.
Parola Parametreleri
Tek Parola
-p parola
Örnek:
-p Password123
Parola Listesi
-P passwords.txt
Dosya örneği:
123456passwordWelcome123Company2025
Hydra listedeki her parolayı sırasıyla kullanır.
Kullanıcı ve Parola Çiftleri
-C login.txt
Dosya biçimi:
admin:Password123user1:Secret2025test:Test123
Her satır bir kullanıcı–parola çifti içerir.
Hedef Belirtme
Bir hedef IP adresi veya alan adı olabilir:
192.168.1.20
veya
server.example.com
Varsayılan port kullanılmıyorsa uygun seçeneklerle özel port belirtilebilir.
Servis (Modül) Seçimi
Hydra çok sayıda kimlik doğrulama modülü içerir. Örnekler:
ssh
ftp
smb
rdp
vnc
imap
pop3
smtp
ldap
mysql
postgresql
redis
http-get
http-head
http-post-form
https-post-form
Her modülün desteklediği seçenekleri görmek için:
hydra -U <modül>
Örneğin:
hydra -U http-post-form
İş Parçacığı (Threads)
Hydra aynı anda birden fazla bağlantı kurabilir.
-t 16
Anlamı:
Aynı anda 16 iş parçacığı çalıştır.
Düşük değerler daha az yük oluştururken, yüksek değerler ağ ve hedef sistem üzerinde daha fazla yük oluşturabilir. Test ortamına uygun değer seçilmelidir.
Ayrıntılı Çıktı
-v
Daha ayrıntılı bilgi verir.
-V
Her denemeyi ekrana yazar.
Sonuçları Dosyaya Kaydetme
-o sonuc.txt
Başarılı oturum açma denemeleri ve diğer sonuçlar belirtilen dosyaya kaydedilir.
İlk Başarıda Durma
-f
İlk başarılı kimlik doğrulamasından sonra mevcut hedef için işlemi durdurur.
-F
Çoklu hedef senaryolarında her hedef için ilk başarıdan sonra devam etmez.
SSL/TLS Kullanımı
SSL/TLS ile çalışan servislerde:
-S
seçeneği kullanılabilir.
Özel Port Belirtme
Varsayılan port dışında bir port kullanılacaksa:
-s PORT
Örneğin:
-s 2222
Devam Ettirme
Kesilen bir oturumu devam ettirmek için:
-R
Önceki Oturumu Yok Sayma
-I
Hydra'nın eski oturum bilgisini dikkate almadan yeni bir çalışma başlatmasını sağlar.
Boş veya Kullanıcı Adıyla Aynı Parolaları Deneme
-e nsr
Buradaki seçenekler şunları ifade eder:
n → Boş parola
s → Kullanıcı adı ile aynı parola
r → Kullanıcı adının ters yazılmış hâli
Bu seçenek, zayıf parola politikalarının değerlendirilmesinde faydalı olabilir.
Yardım Menüsü
Genel yardım:
hydra -h
Belirli bir modülün yardımı:
hydra -U ssh
veya
hydra -U http-post-form
Desteklenen Başlıca Modüller
| Kategori | Modüller |
|---|---|
| Uzak erişim | SSH, Telnet, RDP, VNC |
| Dosya paylaşımı | FTP, SMB, NFS |
| Web | HTTP Basic, HTTP GET, HTTP POST Form, HTTPS |
| E-posta | SMTP, POP3, IMAP |
| Veritabanı | MySQL, PostgreSQL, MSSQL, Oracle, Redis |
| Dizin servisleri | LDAP |
| Ağ cihazları | Cisco AAA, SNMP |
| Diğer | SIP, Rexec, CVS, Teamspeak ve çeşitli özel modüller |
İyi Uygulamalar
Yetkili güvenlik testlerinde Hydra kullanırken şu hususlara dikkat edilmesi önerilir:
Test başlamadan önce yazılı izin alın.
Hedef sistemde hesap kilitleme politikalarını göz önünde bulundurun.
Uygun iş parçacığı sayısı seçerek gereksiz yük oluşturmaktan kaçının.
Test sonuçlarını güvenli şekilde saklayın ve raporlayın.
Kimlik doğrulama günlüklerini inceleyerek savunma mekanizmalarının beklenen şekilde çalıştığını doğrulayın.
Mümkünse testleri üretim dışı ortamlarda doğruladıktan sonra canlı sistemlerde planlı bakım pencerelerinde gerçekleştirin.
Bu temel kullanım bilgileri, Hydra'nın farklı modüllerini anlamak ve yetkili güvenlik değerlendirmelerinde doğru şekilde kullanmak için sağlam bir başlangıç sağlar.
5. Medusa Kurulumu
Kali Linux:
sudo apt install medusa
Pardus / Debian:
sudo apt install medusa
Kurulumu doğrulama:
medusa -h
6. Temel Parametreler
Sık kullanılan seçenekler:
| Parametre | Açıklama |
|---|---|
-h | Hedef sistem |
-H | Hedef listesi |
-u | Tek kullanıcı |
-U | Kullanıcı listesi |
-p | Tek parola |
-P | Parola listesi |
-M | Kullanılacak modül |
-t | Paralel iş parçacığı sayısı |
-f | İlk başarılı sonucu bulunca dur |
-F | Hedef bazında dur |
7. Modüler Mimari
Her servis için bağımsız modül bulunur.
Örnekler:
ssh.modftp.modhttp.modmysql.modrdp.modimap.mod
Bu yapı yeni servislerin eklenmesini kolaylaştırır ve çekirdek uygulamanın değiştirilmesini gerektirmez.
Medusa'nın Genel Kullanımı (Yetkili Güvenlik Testleri İçin)
Medusa, uzaktaki servislerde kimlik doğrulama güvenlik denetimleri yapmak için kullanılan modüler ve çok iş parçacıklı (multi-threaded) bir araçtır. Farklı servisler için aynı komut yapısını kullanır; yalnızca hedef servis modülü ve ilgili seçenekler değişir.
Not: Medusa yalnızca size ait veya açıkça test etme yetkiniz bulunan sistemlerde kullanılmalıdır.
Genel Komut Yapısı
Temel sözdizimi şöyledir:
medusa [hedef] [kullanıcı] [parola] [modül] [seçenekler]
En yaygın kullanılan biçimi ise:
medusa -h HEDEF_IP -u KULLANICI -p PAROLA -M MODUL
Örneğin (genel yapı):
medusa -h 192.168.1.10 -u admin -p password -M ssh
Bu örnek yalnızca komut yapısını göstermektedir.
Temel Parametreler
| Parametre | Açıklama |
|---|---|
-h | Tek hedef IP veya alan adı |
-H | Hedef listesini dosyadan okur |
-u | Tek kullanıcı adı |
-U | Kullanıcı listesini dosyadan okur |
-p | Tek parola |
-P | Parola listesini dosyadan okur |
-M | Kullanılacak modül (ssh, ftp vb.) |
-m | Modüle özel seçenekler |
-t | Paralel iş parçacığı (thread) sayısı |
-T | Aynı anda test edilecek hedef sayısı |
-f | İlk başarılı kimlik doğrulamada dur |
-F | Her hedef için ilk başarıdan sonra o hedefi durdur |
-v | Ayrıntılı çıktı |
-V | Daha ayrıntılı (verbose) çıktı |
-O | Sonuçları dosyaya kaydet |
-n | Servis portunu belirtir |
En Sık Kullanılan Kullanım Şekilleri
1. Tek Hedef
medusa -h HEDEF -M MODUL
2. Hedef Listesi
medusa -H hedefler.txt -M MODUL
Örnek hedef dosyası:
192.168.1.10192.168.1.20192.168.1.30
3. Tek Kullanıcı
medusa -u admin
4. Kullanıcı Listesi
medusa -U users.txt
Örnek:
adminroottestuser
5. Tek Parola
medusa -p password123
6. Parola Listesi
medusa -P passwords.txt
7. Modül Seçimi
Her servis için farklı modül kullanılır.
Örnek modüller:
sshftphttphttpsimapsmtppop3ldapmysqlmssqlpostgresrdpvnctelnetsmbnt
Yüklü modülleri görmek için:
medusa -d
Thread (İş Parçacığı)
En önemli parametrelerden biridir.
Varsayılan:
16
Değiştirmek için:
-t 32
veya
-t 64
Daha fazla thread daha yüksek hız sağlayabilir; ancak ağ ve hedef sistem üzerinde daha fazla yük oluşturabilir.
Verbose Seviyeleri
Normal çıktı:
medusa
Ayrıntılı çıktı:
-v
Daha ayrıntılı:
-V
Hata ayıklama amacıyla:
-v 6
Sonuçları Dosyaya Kaydetme
-O sonuc.txt
Çıktılar daha sonra raporlama amacıyla incelenebilir.
Modüle Özel Seçenekler
Bazı modüller ek parametreler destekler.
Örneğin:
-m OPTION
Hangi seçeneklerin desteklendiğini görmek için:
medusa -M MODUL -q
Yardım Menüsü
Genel yardım:
medusa -h
Modül listesi:
medusa -d
Belirli bir modülün seçenekleri:
medusa -M ssh -q
(Örnekte ssh yerine desteklenen başka bir modül adı da kullanılabilir.)
Medusa'nın Çalışma Akışı
Medusa│▼Hedef Bilgisi│▼Kimlik Bilgileri│▼İlgili Protokol Modülü│▼Kimlik Doğrulama Denemesi│┌──────┴──────┐▼ ▼Başarılı Başarısız
En Yaygın Modüller
| Modül | Servis |
|---|---|
| ssh | SSH |
| ftp | FTP |
| http | HTTP |
| https | HTTPS |
| smbnt | SMB |
| mysql | MySQL |
| postgres | PostgreSQL |
| mssql | Microsoft SQL Server |
| ldap | LDAP |
| smtp | SMTP |
| imap | IMAP |
| pop3 | POP3 |
| telnet | Telnet |
| vnc | VNC |
| rdp | RDP |
1. Parola Güvenliği Neden Hâlâ Kritik?
Her ne kadar MFA, biyometri ve passkey gibi teknolojiler yaygınlaşsa da birçok kurum hâlâ parola tabanlı kimlik doğrulama kullanmaktadır.
En sık görülen sorunlar şunlardır:
Zayıf parolalar
Aynı parolanın farklı sistemlerde kullanılması
Varsayılan hesapların değiştirilmemesi
Ayrıcalıklı hesapların yeterince korunmaması
Parola paylaşımı
Bu nedenle güçlü parola politikaları ve ek koruma mekanizmaları birlikte kullanılmalıdır.
2. Modern Kimlik Doğrulama Yaklaşımları
Kurumsal ortamlarda tek bir parola yerine birden fazla doğrulama katmanı tercih edilir.
Örnek yapı:
Kullanıcı│▼Parola│▼MFA│▼Cihaz Doğrulaması│▼Koşullu Erişim│▼Yetkilendirme
Bu yaklaşım, tek bir güvenlik katmanına bağımlılığı azaltır.
3. NIST SP 800-63B Önerileri
ABD'de yaygın referans alınan NIST SP 800-63B kılavuzu, dijital kimlik doğrulama için önemli öneriler sunar.
Başlıca ilkeler:
Kullanıcıların uzun ve güçlü parolalar oluşturmasına izin verilmesi
Zorunlu ve sık parola değişikliklerinden kaçınılması (risk temelli yaklaşım)
Bilinen ihlal edilmiş parolaların engellenmesi
MFA'nın mümkün olduğunca kullanılması
Güvenli parola saklama (güçlü hash algoritmaları ve uygun parametreler)
4. CIS Controls
Kimlik doğrulama güvenliği açısından öne çıkan kontroller:
Ayrıcalıklı hesapların korunması
Güçlü parola politikaları
MFA kullanımı
Hesap envanterinin güncel tutulması
Başarısız giriş denemelerinin izlenmesi
Günlüklerin merkezi olarak toplanması
Bu kontroller, brute-force riskini azaltmaya yardımcı olur.
5. OWASP ASVS
Web uygulamaları için OWASP Application Security Verification Standard (ASVS) şu gereksinimleri öne çıkarır:
Güvenli oturum yönetimi
Parola sıfırlama süreçlerinin güvenliği
MFA desteği
Hesap kilitleme mekanizmaları
Hız sınırlama (Rate Limiting)
Kimlik doğrulama günlüklerinin tutulması
6. Çok Faktörlü Kimlik Doğrulama (MFA)
MFA, kullanıcının kimliğini doğrulamak için birden fazla bağımsız faktörün birlikte kullanılmasını sağlar.
Yaygın faktörler:
Bildiğiniz bir şey (parola)
Sahip olduğunuz bir şey (donanım anahtarı, telefon)
Olduğunuz şey (biyometrik veri)
MFA, parola ele geçirilmiş olsa bile yetkisiz erişim riskini önemli ölçüde azaltabilir.
7. FIDO2 ve Passkey
Modern kimlik doğrulama teknolojileri arasında FIDO2 ve Passkey öne çıkar.
Avantajları:
Parolasız oturum açma desteği
Kimlik avına (phishing) karşı daha yüksek direnç
Açık anahtar kriptografisi kullanımı
Kullanıcı deneyiminin iyileştirilmesi
Bu teknolojiler, gelecekte parola bağımlılığını azaltma potansiyeline sahiptir.
8. Active Directory Güvenliği
Etki alanı altyapısında dikkat edilmesi gereken başlıca konular:
Ayrı yönetici hesapları kullanılması
Grup İlkeleri (GPO) ile parola politikalarının uygulanması
Ayrıcalıklı grupların düzenli denetlenmesi
LDAP üzerinden güvenli iletişim (LDAPS)
Eski protokollerin ve gereksiz servislerin devre dışı bırakılması
9. Privileged Access Management (PAM)
PAM çözümleri, ayrıcalıklı hesapların güvenli şekilde yönetilmesini amaçlar.
Başlıca özellikler:
Ayrıcalıklı hesap kasası
Geçici yetki verme
Oturum kayıtları
Kimlik bilgisi rotasyonu
Onay süreçleri
Bu sayede yönetici hesaplarının kötüye kullanılması riski azaltılabilir.
10. Zero Trust Yaklaşımı
Zero Trust'ın temel ilkesi:
"Asla varsayma, her zaman doğrula."
Bu modelde:
Ağın içinden gelen istekler de doğrulanır.
Kullanıcı, cihaz ve oturum sürekli değerlendirilir.
En az ayrıcalık ilkesi uygulanır.
Risk seviyesine göre ek doğrulama istenebilir.
11. Güçlü Parola Politikaları
Kurumsal parola politikaları oluşturulurken aşağıdaki prensipler dikkate alınabilir:
Uzun ve tahmin edilmesi zor parolalar veya parola ifadeleri (passphrase)
Bilinen ihlal edilmiş parolaların reddedilmesi
Aynı parolanın tekrar kullanımının engellenmesi
Varsayılan hesap parolalarının değiştirilmesi
Ayrıcalıklı hesaplar için daha sıkı kontroller
Önemli olan yalnızca karmaşıklık değil, aynı zamanda uzunluk ve benzersizliktir.
12. Hesap Kilitleme ve Rate Limiting
Kimlik doğrulama sistemleri, başarısız giriş denemelerine karşı çeşitli koruma mekanizmaları kullanabilir:
Geçici hesap kilitleme
Artan bekleme süresi (progressive delay)
CAPTCHA
IP veya cihaz bazlı hız sınırlama
Risk tabanlı ek doğrulama
Bu mekanizmalar, otomatik denemelerin etkisini azaltırken meşru kullanıcıların deneyimini de mümkün olduğunca korumalıdır.
13. Bal Hesaplar (Honey Accounts)
Honey Account, normal kullanıcı gibi görünen ancak gerçek kullanım amacı olmayan izleme hesaplarıdır.
Amaçları:
Yetkisiz kimlik doğrulama denemelerini erken fark etmek
Alarm üretmek
Saldırganın davranışını gözlemlemek
Bu hesaplar düzenli olarak denetlenmeli ve üretim süreçlerini etkilemeyecek şekilde yapılandırılmalıdır.
14. Güvenlik Farkındalığı Eğitimi
Teknik kontroller kadar kullanıcı eğitimi de önemlidir.
Eğitimlerde şu konular ele alınabilir:
Güçlü parola oluşturma
Kimlik avı saldırılarının tanınması
MFA kullanımının önemi
Şüpheli oturum açma bildirimlerinin raporlanması
Parola yöneticilerinin güvenli kullanımı
15. Kurumsal Vaka Çalışması
Bir kuruluşta, hafta sonu gece saatlerinde VPN ve e-posta sistemlerinde başarısız giriş denemelerinde artış gözlemleniyor.
Olay müdahale süreci şu şekilde ilerleyebilir:
SIEM alarmları doğrulanır.
Kaynak IP adresleri ve kullanıcı hesapları analiz edilir.
Gerekirse ilgili IP adresleri güvenlik duvarında engellenir.
Etkilenen hesaplar için parola sıfırlama ve MFA doğrulaması uygulanır.
Günlükler korunarak olay incelemesi yapılır.
Elde edilen bulgular doğrultusunda parola politikaları ve erişim kontrolleri gözden geçirilir.
Bu yaklaşım, hem olayın etkisini azaltmayı hem de gelecekte benzer girişimlere karşı dayanıklılığı artırmayı hedefler.
1. MITRE ATT&CK Framework
MITRE ATT&CK, gerçek saldırgan davranışlarını modelleyen en yaygın bilgi tabanlarından biridir. Güvenlik ekipleri, tehdit avcılığı (Threat Hunting), olay müdahalesi (Incident Response) ve Purple Team çalışmaları sırasında bu çerçeveyi ortak bir dil olarak kullanır.
Brute-force girişimleri ATT&CK'te Credential Access (Kimlik Bilgisi Elde Etme) taktiği altında değerlendirilir.
2. T1110 – Brute Force
Brute-force davranışları ATT&CK kapsamında T1110 tekniği ile tanımlanır.
Alt başlıklar arasında:
Parola tahmini
Password Spraying
Credential Stuffing
Kimlik doğrulama denemeleri
gibi farklı yöntemler bulunur.
Savunma ekipleri için amaç, bu davranışların belirtilerini erken tespit etmek ve uygun kontrolleri devreye almaktır.
3. ATT&CK Matrix Açısından Savunma
Brute-force girişimleri tek başına değerlendirilmemelidir. Saldırganlar çoğu zaman başarılı bir oturum açmanın ardından şu aşamalara geçebilir:
Initial Access│Credential Access│Privilege Escalation│Discovery│Lateral Movement│Persistence
Bu nedenle güvenlik ekipleri yalnızca başarısız girişleri değil, başarılı oturum açmaları da bağlamsal olarak analiz etmelidir.
4. MITRE D3FEND
MITRE D3FEND, ATT&CK'te tanımlanan saldırı tekniklerine karşı uygulanabilecek savunma yöntemlerini sınıflandırır.
Kimlik doğrulama güvenliği açısından öne çıkan yaklaşımlar:
Çok faktörlü kimlik doğrulama (MFA)
Hesap kilitleme
Davranış analizi
Günlük (log) toplama ve korelasyon
Koşullu erişim politikaları
Risk tabanlı kimlik doğrulama
5. NIST Cybersecurity Framework 2.0
NIST CSF 2.0, siber güvenlik faaliyetlerini altı temel fonksiyon altında toplar:
| Fonksiyon | Amaç |
|---|---|
| Govern | Güvenlik yönetişimi ve politika |
| Identify | Varlık ve risklerin belirlenmesi |
| Protect | Koruyucu kontrollerin uygulanması |
| Detect | Olayların tespiti |
| Respond | Olaylara müdahale |
| Recover | Hizmetlerin güvenli şekilde geri kazanılması |
Kimlik doğrulama güvenliği özellikle Protect ve Detect fonksiyonlarıyla ilişkilidir.
6. Purple Team Yaklaşımı
Purple Team, Red Team ve Blue Team ekiplerinin birlikte çalışmasını esas alır.
Red Team│Saldırı Senaryosu│Purple Team│Tespit Doğrulaması│Blue Team│İyileştirme
Brute-force senaryolarında Purple Team çalışmaları şu sorulara odaklanabilir:
Güvenlik kontrolleri denemeleri tespit edebiliyor mu?
SIEM kuralları doğru alarm üretiyor mu?
Hesap kilitleme mekanizması beklendiği gibi çalışıyor mu?
MFA ve koşullu erişim politikaları etkili mi?
7. SIEM Dashboard Tasarımı
Kurumsal bir gösterge panelinde aşağıdaki metrikler izlenebilir:
Kimlik Doğrulama Panosu
Saatlik başarısız giriş sayısı
Günlük başarılı giriş sayısı
Hesap kilitlenme sayısı
En çok hedef alınan kullanıcılar
En çok deneme yapılan sistemler
Kaynak Analizi
Ülkelere göre oturum açma girişimleri
IP adresi dağılımı
ASN bazlı analiz
VPN ve kurumsal ağ karşılaştırması
Risk Panosu
Ayrıcalıklı hesaplara yönelik denemeler
Mesai dışı girişler
İmkânsız seyahat (Impossible Travel) senaryoları
MFA başarısızlık oranları
8. Güvenlik KPI'ları
Kurumlar kimlik doğrulama güvenliğini ölçmek için performans göstergeleri belirlemelidir.
Örnek KPI'lar:
| Gösterge | Açıklama |
|---|---|
| Başarısız giriş oranı | Toplam girişlere göre başarısız denemeler |
| Hesap kilitlenme oranı | Kilitlenen hesap sayısı |
| MTTD | Olayın tespit edilme süresi |
| MTTR | Olaya müdahale süresi |
| MFA kullanım oranı | MFA etkin hesap yüzdesi |
| Güvenlik farkındalığı katılımı | Eğitim tamamlama oranı |
Bu göstergeler zaman içinde izlenerek güvenlik olgunluğu değerlendirilebilir.
9. SOC Playbook
Bir brute-force alarmı alındığında örnek olay müdahale akışı:
Alarmın doğrulanması.
Kaynak IP ve kullanıcı analizinin yapılması.
İlgili sistem günlüklerinin incelenmesi.
Gerekirse IP veya oturumun engellenmesi.
Etkilenen hesapların değerlendirilmesi.
Parola sıfırlama ve MFA doğrulaması.
Olayın kök neden analizinin yapılması.
İyileştirme önerilerinin uygulanması.
Olay raporunun oluşturulması.
Bu adımlar kurumun olay müdahale prosedürlerine göre özelleştirilebilir.
10. ISO/IEC 27001:2022 ile İlişkilendirme
Kimlik doğrulama güvenliği şu kontrol alanlarıyla yakından ilişkilidir:
Kimlik ve erişim yönetimi
Ayrıcalıklı erişimlerin kontrolü
Günlükleme ve izleme
Olay yönetimi
Bilgi güvenliği farkındalığı
Güvenli yapılandırma yönetimi
Bu kontroller, bilgi güvenliği yönetim sisteminin (BGYS) önemli parçalarıdır.
11. CIS Controls
Brute-force riskini azaltmada öne çıkan kontroller:
Kimlik yönetimi
Ayrıcalıklı hesap yönetimi
Güvenli yapılandırma
Güvenlik günlüklerinin merkezi toplanması
Sürekli izleme
Olay müdahalesi hazırlığı
12. OWASP ASVS
Web uygulamaları için önerilen başlıca kontroller:
Güvenli oturum yönetimi
Hesap kilitleme
Rate limiting
MFA desteği
Güvenli parola sıfırlama
Günlükleme ve denetim kayıtları
13. Kurumsal Güvenlik Olgunluk Modeli
Kuruluşlar aşağıdaki seviyeleri hedefleyebilir:
| Seviye | Özellik |
|---|---|
| 1 | Temel parola politikaları |
| 2 | Hesap kilitleme ve log toplama |
| 3 | Merkezi SIEM ve korelasyon |
| 4 | MFA ve koşullu erişim |
| 5 | Zero Trust, davranış analizi ve sürekli doğrulama |
Bu model, zaman içinde güvenlik kontrollerinin gelişimini planlamak için kullanılabilir.
14. Gerçek Kurumsal Vaka Analizi
Bir finans kuruluşunda hafta sonu boyunca başarısız oturum açma sayısında belirgin artış gözlemleniyor.
İzlenen süreç:
SIEM alarm üretir.
SOC analisti olayları doğrular.
Güvenlik duvarı üzerinde şüpheli kaynaklar incelenir.
Ayrıcalıklı hesaplara yönelik denemeler kontrol edilir.
Hesap kilitleme politikalarının beklendiği gibi çalıştığı doğrulanır.
Etkilenen kullanıcılarla iletişime geçilir.
İlgili günlükler saklanır ve olay sonrası değerlendirme yapılır.
Bu süreç, teknik kontroller ile organizasyonel süreçlerin birlikte çalışmasının önemini gösterir.
1. Defense in Depth (Katmanlı Savunma)
Kimlik doğrulama güvenliği tek bir kontrolle sağlanamaz. Etkili bir yaklaşım, birden fazla savunma katmanının birlikte çalışmasını gerektirir.
Kullanıcı│Çok Faktörlü Kimlik Doğrulama│Güvenlik Duvarı│SSH / VPN Hizmetleri│Fail2Ban / CrowdSec Koruması│SIEM ve Güvenlik Günlükleri│SOC İzleme ve Olay Müdahalesi
Bu yapı, tek bir güvenlik kontrolünün başarısız olması durumunda diğer katmanların devreye girmesini sağlar.
2. Pardus Sunucularında Kimlik Doğrulama Mimarisi
Kurumsal Pardus sunucularında aşağıdaki bileşenler birlikte kullanılabilir:
OpenSSH
PAM
LDAP / Active Directory entegrasyonu
SSSD
Kerberos
systemd-journald
rsyslog
auditd
Önerilen mimari:
Kullanıcı│▼SSH Sunucusu│▼PAM│▼SSSD│▼LDAP / Active Directory
Bu yaklaşım, merkezi kimlik yönetimini kolaylaştırır.
3. SSH Güvenliği
SSH, Linux sistemlerinde en kritik yönetim servislerinden biridir.
Önerilen uygulamalar:
Root hesabıyla doğrudan oturum açmayı devre dışı bırakın.
Parola yerine anahtar tabanlı kimlik doğrulamayı tercih edin.
Mümkün olduğunda MFA kullanın.
Eski şifreleme algoritmalarını ve protokolleri devre dışı bırakın.
Yönetim erişimini yalnızca gerekli ağlardan sınırlandırın.
SSH yapılandırmasını düzenli olarak gözden geçirin.
4. PAM (Pluggable Authentication Modules)
PAM, Linux'ta kimlik doğrulama politikalarının merkezi olarak yönetilmesini sağlar.
Başlıca işlevleri:
Parola karmaşıklığı politikaları
Hesap kilitleme ilkeleri
MFA entegrasyonu
Oturum denetimi
Merkezi kimlik sağlayıcılarla entegrasyon
PAM sayesinde farklı uygulamalar ortak kimlik doğrulama kurallarını kullanabilir.
5. Merkezi Kimlik Doğrulama
Kurumsal ortamlarda kullanıcı hesaplarının merkezi olarak yönetilmesi önerilir.
Yaygın çözümler:
Active Directory
LDAP
Kerberos
Entra ID (hibrit senaryolar)
Avantajları:
Tek noktadan hesap yönetimi
Merkezi parola politikaları
Kolay denetim
Ayrıcalıklı hesapların kontrolü
6. Günlükleme (Logging) Mimarisi
Kimlik doğrulama olaylarının güvenilir şekilde kaydedilmesi ve merkezi olarak toplanması önemlidir.
Linux tarafında:
systemd-journald
rsyslog
auditd
Windows tarafında:
Security Event Log
Sysmon (uygun senaryolarda)
Bu günlükler SIEM çözümlerine aktarılmalıdır.
7. SIEM Entegrasyonu
Merkezi SIEM altyapısı aşağıdaki veri kaynaklarını bir araya getirebilir:
Linux Sunucuları│Windows Sunucuları│Firewall│VPN│LDAP / AD│───────────────SIEM───────────────│SOC Analisti
Amaç:
Olayların ilişkilendirilmesi
Anomali tespiti
Alarm üretimi
Raporlama
8. Fail2Ban ve CrowdSec Yaklaşımı
Bu tür araçlar, tekrar eden başarısız kimlik doğrulama girişimlerine karşı otomatik tepki verebilir.
Genel çalışma mantığı:
Günlükler izlenir.
Şüpheli desenler belirlenir.
Tanımlanan politika uygulanır (ör. geçici erişim engeli).
Olay kaydedilir ve gerektiğinde merkezi sistemlere bildirilir.
Bu araçlar, özellikle internetten erişilebilen hizmetlerde savunma katmanını güçlendirebilir.
9. Wazuh ile Sürekli İzleme
Wazuh aşağıdaki alanlarda görünürlük sağlar:
Kimlik doğrulama olayları
Dosya bütünlüğü izleme
Güvenlik yapılandırması değerlendirmesi
Güvenlik uyarıları
Merkezi log toplama
Wazuh, SIEM platformlarıyla birlikte kullanıldığında olay analizini kolaylaştırabilir.
10. Hardening Kontrol Listesi
Kimlik doğrulama güvenliği için örnek kontrol listesi:
| Kontrol | Durum |
|---|---|
| Root ile doğrudan giriş kapalı | ☐ |
| MFA etkin | ☐ |
| Anahtar tabanlı SSH kullanılıyor | ☐ |
| Güçlü parola politikası uygulanıyor | ☐ |
| Ayrıcalıklı hesaplar ayrılmış | ☐ |
| LDAP/AD güvenli yapılandırılmış | ☐ |
| Günlükler merkezi SIEM'e aktarılıyor | ☐ |
| Hesap kilitleme politikası mevcut | ☐ |
| Sistem saatleri NTP ile senkron | ☐ |
| Eski protokoller devre dışı | ☐ |
Bu liste kurumun ihtiyaçlarına göre genişletilebilir.
11. Güvenlik Denetim Kontrol Listesi
Denetim sırasında aşağıdaki sorular değerlendirilebilir:
Kimlik Yönetimi
Kullanılmayan hesaplar devre dışı mı?
Ayrıcalıklı hesaplar düzenli gözden geçiriliyor mu?
Parola politikaları kurumsal standartlara uygun mu?
Günlükleme
Başarısız girişler kaydediliyor mu?
Günlükler merkezi olarak saklanıyor mu?
Günlük bütünlüğü korunuyor mu?
Erişim Kontrolleri
Yönetim servisleri yalnızca gerekli ağlardan erişilebilir mi?
MFA uygulanıyor mu?
Uzaktan erişim politikaları güncel mi?
İzleme
SIEM alarmları düzenli test ediliyor mu?
Hesap kilitleme olayları analiz ediliyor mu?
Güvenlik ekipleri için playbook'lar güncel mi?
12. Kurumsal Güvenlik Olgunluk Modeli
| Seviye | Özellik |
|---|---|
| 1 | Temel parola politikaları |
| 2 | Merkezi log toplama |
| 3 | SIEM ve korelasyon |
| 4 | MFA, PAM ve koşullu erişim |
| 5 | Zero Trust, davranış analizi ve sürekli iyileştirme |
Bu model, güvenlik yatırımlarını önceliklendirmek için kullanılabilir.
13. Yönetici Özeti
Yönetim ekipleri için öne çıkan öneriler:
Kimlik doğrulama altyapısını düzenli olarak gözden geçirin.
MFA kullanımını yaygınlaştırın.
Günlükleri merkezi olarak toplayın ve analiz edin.
Güvenlik olaylarına yönelik güncel müdahale planları oluşturun.
Düzenli güvenlik farkındalık eğitimleri sağlayın.
Yetkili güvenlik denetimlerini planlı aralıklarla gerçekleştirin.
14. Genel Sonuç
Hydra ve Medusa gibi araçlar, yalnızca yetkili güvenlik testlerinde kullanıldığında kurumların parola politikalarını ve kimlik doğrulama mekanizmalarını değerlendirmelerine yardımcı olabilir. Asıl amaç, zayıflıkları istismar etmek değil; bunları erken tespit ederek daha güvenli sistemler oluşturmaktır.
Kurumsal güvenlik; güçlü parola politikaları, çok faktörlü kimlik doğrulama, merkezi kimlik yönetimi, sürekli günlük analizi, SIEM entegrasyonu, olay müdahale süreçleri ve kullanıcı farkındalığının birlikte uygulanmasıyla güçlenir.
Yorumlar