Brute Force Saldırıları, Kimlik Doğrulama Güvenliği ve Hydra/Medusa

Kaba kuvvet saldırısı, bir saldırganın doğru kombinasyonu bulana kadar olası tüm kullanıcı adı ve parola eşleşmelerini sistematik olarak denediği bir siber saldırı yöntemidir. Bu işlem genellikle manuel olarak yapılmaz; özel yazılımlar ve araçlar aracılığıyla otomatikleştirilir.


İki temel yaklaşım vardır:

  • Geleneksel Kaba Kuvvet: Belirli bir uzunluktaki tüm olası karakter kombinasyonlarının (örneğin, tüm 4 haneli sayılar veya harfler) denenmesidir.

  • Sözlük Saldırısı (Dictionary Attack): Önceden hazırlanmış, yaygın olarak kullanılan parolaları veya hedefe özel kelimeleri içeren bir "sözlük" dosyasının (wordlist) kullanılmasıdır. Bu yöntem genellikle çok daha hızlı sonuç verir.


Giriş

Kurumsal ağlarda en sık karşılaşılan saldırılardan biri kimlik doğrulama (authentication) saldırılarıdır.

Bir saldırgan sisteme sızmadan önce çoğu zaman açık aramak yerine doğrudan kullanıcı hesabını ele geçirmeye çalışır.

Bunun nedeni oldukça basittir.

Yetkili kullanıcı hesabıyla sisteme giriş yapmak;

  • güvenlik duvarını aşmaktan,

  • exploit geliştirmekten,

  • kernel açığı bulmaktan

çok daha kolay olabilir.

Bu nedenle saldırganların ilk hedeflerinden biri kullanıcı adı ve parola bilgileridir.


Kimlik Doğrulama (Authentication)

Bir sistem önce kullanıcının kim olduğunu doğrular.

Bunun için;

  • kullanıcı adı

  • parola

  • sertifika

  • token

  • OTP

  • biyometrik bilgi

kullanılır.

Kimlik doğrulama başarılı olursa kullanıcı sisteme giriş yapabilir.


Parola Tabanlı Güvenlik

Bugün bile kurumların büyük kısmı aşağıdaki servislerde parola kullanmaktadır.

  • SSH

  • FTP

  • SMB

  • LDAP

  • RDP

  • VPN

  • Web panelleri

  • Mail sunucuları

Dolayısıyla parola güvenliği halen kritik öneme sahiptir.


Brute Force Nedir?

Brute Force;

doğru parola bulununcaya kadar sistematik olarak parola denemesi yapılmasıdır.

Aslında oldukça basit bir mantığı vardır.

123456
123457
123458
123459
...

veya

password
password1
password12
password123

Doğru parola bulunduğunda giriş başarılı olur.

Bu yöntem özellikle zayıf parola kullanan hesaplarda etkili olabilir.


Brute Force Neden Başarılı Olabilir?

Sebepleri şunlardır.

  • Basit parola

  • Varsayılan parola

  • Eski parola

  • Parola tekrar kullanımı

  • MFA bulunmaması

  • Hesap kilitleme olmaması

Örneğin;

Admin123

123456

Password Qwerty
Ankara2025

gibi tahmin edilmesi kolay parolalar ciddi risk oluşturur.


Modern Kurumlarda Durum

Günümüzde kurumların çoğunda;

  • Active Directory

  • Azure AD

  • Entra ID

  • LDAP

  • Kerberos

kullanılır.

Bu sistemler parola politikaları sayesinde brute force saldırılarını zorlaştırır.


Online Password Attack

Hydra ve Medusa'nın kullandığı yöntem budur.

Sistemle gerçek bağlantı kurulur.

İstemci


SSH ↓ Sunucu ↓ Authentication ↓
Başarılı / Başarısız

Her deneme hedef sistem tarafından işlenir.

Bu nedenle log bırakır.


Offline Password Attack

Burada sistemle bağlantı kurulmaz.

Önce parola hash'i ele geçirilir.

Sonra;

  • John the Ripper

  • Hashcat

gibi araçlarla çevrimdışı kırılmaya çalışılır.

Offline saldırılar çoğu zaman online saldırılardan çok daha hızlıdır.


Dictionary Attack

Bu yöntemde milyonlarca olası parola yerine daha önce sızdırılmış gerçek parolalar kullanılır.

Örneğin;

Summer2025

Football123

Welcome1 Company2024
Password123

Bu yöntem brute force'tan daha verimli olabilir.


Password Spraying

En yaygın kurumsal saldırılardan biridir.

Mantığı şöyledir.

Bir kullanıcıya binlerce parola denemek yerine,

binlerce kullanıcıya tek parola denenir.

Örneğin;

Ali


Winter2025 Ayşe ↓ Winter2025 Mehmet ↓
Winter2025

Böylece hesap kilitlenmesi ihtimali azaltılmaya çalışılır.


Credential Stuffing

Burada amaç tahmin yapmak değildir.

Daha önce veri sızıntılarında ele geçirilmiş kullanıcı adı/parola çiftleri farklı hizmetlerde denenir.

Bunun nedeni kullanıcıların aynı parolayı birçok platformda tekrar kullanabilmesidir.


Hybrid Attack

Hybrid Attack;

Dictionary Attack ile Brute Force'un birleşimidir.

Örneğin;

Mustafa


Mustafa123 ↓ Mustafa1234 ↓ Mustafa2025 ↓
Mustafa!

İnsanların parola oluşturma alışkanlıklarından yararlanılır.


Hydra Nedir?

Hydra, çok sayıda ağ servisinde kimlik doğrulama dayanıklılığını yetkili olarak test etmek amacıyla kullanılan açık kaynaklı bir araçtır.

Temel özellikleri:

  • Modüler yapı

  • Çok sayıda protokol desteği

  • Çoklu iş parçacığı (multithreading)

  • IPv4/IPv6 desteği

  • TLS/SSL desteği

  • Esnek modül sistemi

Hydra'nın amacı, güvenlik ekiplerinin zayıf parola politikalarını ve hesap koruma mekanizmalarını tespit etmesine yardımcı olmaktır.


Medusa Nedir?

Medusa da benzer şekilde yetkili parola denetimleri için geliştirilen açık kaynaklı bir araçtır.

Öne çıkan özellikleri:

  • Hafif mimari

  • Yüksek paralellik

  • Modüler tasarım

  • Performans odaklı çalışma

  • Çok sayıda protokol desteği

Büyük kullanıcı listeleri üzerinde kontrollü güvenlik testleri planlanırken tercih edilebilir.


Hydra ve Medusa Arasındaki Temel Farklar

ÖzellikHydraMedusa
Gelişim süresi        Daha eski ve yaygın        Daha yeni modüler yaklaşım
Modül sayısı        Çok geniş        Geniş
Esneklik        Çok yüksek        Yüksek
Performans        Başarılı        Büyük ölçekli paralel denemelerde avantaj sağlayabilir
Topluluk desteği        Çok büyük        Daha sınırlı
Dokümantasyon        Zengin        Daha teknik

Hydra'nın Çalışma Mantığı

Basitleştirilmiş mimari:

Kullanıcı


▼ Hydra Motoru │ ┌───────┴────────┐ SSH FTP SMB HTTP LDAP ... │ Authentication Module │ Target Service │
Success / Fail

Hydra'nın çekirdeği, her protokol için ayrı modüller kullanarak hedef hizmetle kimlik doğrulama denemelerini yönetir. Güvenlik ekipleri bu sayede farklı servislerde parola politikalarının dayanıklılığını değerlendirebilir.


Medusa'nın Çalışma Mantığı

User


Medusa Engine │ Thread Manager │ Protocol Module │ Authentication │
Result

Medusa'nın tasarımı da modülerdir ve iş parçacıklarını verimli kullanmaya odaklanır. Bu yapı, yetkili testlerde büyük kullanıcı envanterlerinin kontrollü şekilde değerlendirilmesine yardımcı olabilir.


Bölüm Sonu Özeti

Bu bölümde:

  • Brute Force saldırılarının temel mantığını,

  • Online ve offline parola denetimleri arasındaki farkı,

  • Dictionary Attack, Password Spraying, Credential Stuffing ve Hybrid Attack kavramlarını,

  • Hydra ve Medusa'nın amaçlarını, mimarilerini ve temel farklılıklarını,

  • Kurumsal ortamlarda parola güvenliğinin önemini

ele aldık.








Authentication Protocol Nedir?

Bir istemcinin gerçekten yetkili bir kullanıcı olup olmadığını doğrulayan iletişim mekanizmasına Authentication Protocol denir.

Basitleştirilmiş akış:

Kullanıcı
Kullanıcı Adı
Parola
Authentication Server
┌──┴──┐
│ │
Başarılı Başarısız

Hydra ve Medusa gibi araçlar, yalnızca yetkili testlerde bu kimlik doğrulama mekanizmalarının dayanıklılığını değerlendirmek amacıyla kullanılmalıdır.


Hydra ve Medusa'nın Modüler Yapısı

Her protokol için ayrı bir modül bulunur.

Core Engine
┌─────────────┼─────────────┐
│ │ │
SSH FTP HTTP
│ │ │
Module Module Module
│ │ │
Authentication Authentication Authentication

Bu yaklaşım, yeni servislerin desteklenmesini ve mevcut modüllerin bağımsız olarak geliştirilmesini kolaylaştırır.


SSH (Secure Shell)

SSH, Linux ve Unix sistemlerinde uzaktan yönetim için en yaygın kullanılan güvenli protokoldür.

Standart port:

22/TCP

Kimlik doğrulama yöntemleri:

  • Parola

  • Açık anahtar (Public Key)

  • Sertifika

  • Çok faktörlü kimlik doğrulama (MFA)

  • Kerberos entegrasyonu

Kurumsal ortamlarda önerilen yaklaşım, parola yerine anahtar tabanlı kimlik doğrulama ve mümkünse MFA kullanmaktır.

SSH Sunucu Akışı

Client
TCP Handshake
SSH Banner
Key Exchange
Encryption
Authentication
Shell Access

Güvenlik Riskleri

  • Zayıf parolalar

  • Root hesabıyla doğrudan giriş

  • Eski SSH sürümleri

  • MFA eksikliği

  • Varsayılan yapılandırmalar

Önerilen Korumalar

  • Public Key Authentication

  • MFA

  • Fail2Ban veya benzeri araçlar

  • CrowdSec gibi davranış temelli koruma

  • Root girişini devre dışı bırakma

  • Güçlü parola politikaları


FTP (File Transfer Protocol)

FTP, eski olmasına rağmen bazı kurumlarda hâlâ kullanılmaktadır.

Standart port:

21/TCP

FTP'nin temel sorunu:

  • Kullanıcı adı

  • Parola

  • Veri

şifrelenmeden iletilebilir.

FTP Kimlik Doğrulama

Client
USER
PASS
Authentication

Güvenlik Riskleri

  • Açık metin parola iletimi

  • Anonymous erişim

  • Zayıf hesap politikaları

Öneri

FTP yerine:

  • SFTP

  • FTPS

kullanılması tavsiye edilir.


SMB (Server Message Block)

Windows dosya paylaşımı için kullanılan temel protokoldür.

Port:

445/TCP

SMB, özellikle:

  • Active Directory

  • Dosya sunucuları

  • Yazıcı paylaşımı

gibi ortamlarda kritik rol oynar.

SMB Kimlik Doğrulama

Client
NTLM
Kerberos
Authentication
Access Granted

Riskler

  • NTLM saldırıları

  • Eski SMBv1 kullanımı

  • Yanlış paylaşım izinleri

  • Zayıf parola politikaları


HTTP Basic Authentication

Web sunucularında kullanılan en basit kimlik doğrulama yöntemlerinden biridir.

İstemci:

Authorization:
Basic Base64(username:password)

Burada dikkat edilmesi gereken nokta:

Base64 şifreleme değildir; yalnızca kodlamadır. Bu nedenle HTTPS kullanılmadığında bilgiler ağ üzerinde ele geçirilebilir.


HTTP Form Authentication

Modern web uygulamalarının büyük çoğunluğu form tabanlı kimlik doğrulama kullanır.

Akış:

Browser
Login Page
Username
Password
Backend
Database
Success

Güvenlik Önlemleri

  • Rate Limiting

  • CAPTCHA

  • MFA

  • CSRF koruması

  • Hesap kilitleme

  • Şüpheli IP izleme


HTTPS

HTTPS, HTTP'nin TLS ile korunmuş sürümüdür.

Port:

443/TCP

Sağladığı avantajlar:

  • Şifreli iletişim

  • Sertifika doğrulaması

  • Veri bütünlüğü

  • Gizlilik

HTTPS, kimlik doğrulama bilgilerinin ağ üzerinde düz metin olarak iletilmesini engeller; ancak zayıf parola politikaları gibi uygulama katmanı sorunlarını tek başına çözmez.


SMTP

SMTP, e-posta gönderimi için kullanılır.

Portlar:

25
465
587

SMTP sunucularında:

  • Authentication

  • Relay kontrolü

  • TLS desteği

önemlidir.


POP3 ve IMAP

E-posta istemcilerinin sunucudan posta alması için kullanılır.

Protokol        Varsayılan Port
POP3110
POP3S995
IMAP143
IMAPS993

Kurumsal ortamlarda şifreli sürümlerin kullanılması önerilir.


LDAP

LDAP, dizin hizmetleri için kullanılan temel protokoldür.

En yaygın kullanım alanı:

  • Active Directory

Akış:

Client
Bind Request
Directory
Authentication
Authorization

Riskler

  • Anonymous Bind

  • Basit (Simple Bind) kimlik doğrulama

  • TLS kullanılmaması

  • Zayıf erişim denetimleri


VNC

VNC, grafik arayüz üzerinden uzaktan erişim sağlar.

Varsayılan port:

5900/TCP

Eski sürümlerde zayıf kimlik doğrulama ve şifreleme eksikliği görülebilir. Mümkünse VPN üzerinden veya güçlü kimlik doğrulama mekanizmalarıyla kullanılmalıdır.


RDP (Remote Desktop Protocol)

Windows sistemlerinde uzaktan masaüstü erişimi sağlar.

Port:

3389/TCP

Güvenlik Önlemleri

  • Network Level Authentication (NLA)

  • MFA

  • VPN üzerinden erişim

  • Güçlü parola politikaları

  • Hesap kilitleme

  • RDP Gateway kullanımı


Veritabanı Servisleri

Kurumsal ortamlarda aşağıdaki veritabanları da kimlik doğrulama mekanizmalarına sahiptir:

ServisVarsayılan Port
MySQL3306
PostgreSQL5432
Microsoft SQL Server1433
Oracle1521
Redis6379

Bu servislerde:

  • Varsayılan hesapların kaldırılması

  • Güçlü parola politikaları

  • Ağ erişiminin sınırlandırılması

  • TLS desteği

  • En az ayrıcalık ilkesi

önem taşır.


SIP (VoIP)

VoIP altyapılarında kullanılan bir sinyalizasyon protokolüdür.

Portlar:

5060
5061

Kurumsal telefon sistemlerinde:

  • SIP Authentication

  • TLS

  • SRTP

kullanılması önerilir.


Telnet

Telnet günümüzde önerilmez.

Sebebi:

Tüm iletişim düz metin olarak gerçekleşir.

Yerine:

  • SSH

kullanılmalıdır.


SNMP

Ağ cihazlarının yönetimi için kullanılır.

Özellikle:

  • Switch

  • Router

  • Firewall

  • Yazıcı

gibi cihazlarda bulunur.

Eski sürümler (SNMPv1/v2c) topluluk dizeleri (community string) nedeniyle risk oluşturabilir. Mümkünse SNMPv3 tercih edilmelidir.


Active Directory

Active Directory;

  • LDAP

  • Kerberos

  • DNS

  • Grup İlkeleri (GPO)

gibi birçok bileşeni bir araya getirir.

Kimlik doğrulama saldırılarının en kritik hedeflerinden biri olduğundan:

  • Güçlü parola politikaları

  • MFA

  • Tiered Administration

  • Privileged Access Workstations (PAW)

  • Ayrı yönetici hesapları

gibi önlemler önemlidir.


Kerberos

Modern Windows alanlarında varsayılan kimlik doğrulama protokolüdür.

Avantajları:

  • Ticket tabanlı yapı

  • Parolanın sürekli iletilmemesi

  • Karşılıklı kimlik doğrulama (Mutual Authentication)


Log Üretimi

Her başarısız kimlik doğrulama denemesi, uygun şekilde yapılandırılmış sistemlerde günlük (log) kaydı oluşturabilir.

Örnek log kaynakları:

Linux

  • /var/log/auth.log

  • journalctl

  • auditd

Windows

  • Security Event Log

  • Event ID 4625 (başarısız oturum açma)

  • Event ID 4624 (başarılı oturum açma)

Bu kayıtlar SIEM platformlarına aktarılarak anomali tespitinde kullanılabilir.


IDS / IPS Açısından Değerlendirme

Ağ güvenlik sistemleri aşağıdaki davranışları izleyebilir:

  • Aynı IP'den kısa sürede çok sayıda başarısız giriş

  • Farklı kullanıcı hesaplarına art arda denemeler

  • Olağandışı coğrafi konumlardan gelen istekler

  • Normal çalışma saatleri dışındaki yoğun kimlik doğrulama trafiği


SOC Analizi

Bir Güvenlik Operasyon Merkezi (SOC) analisti için tipik alarm göstergeleri şunlardır:

  • Başarısız oturum açma sayısında ani artış

  • Aynı kullanıcıya farklı IP adreslerinden denemeler

  • Farklı kullanıcılara aynı IP'den denemeler (password spraying belirtisi)

  • Hesap kilitleme olaylarının artması

  • VPN, RDP ve e-posta sistemlerinde eşzamanlı başarısız girişler

Bu olaylar bir araya geldiğinde, olay müdahale ekipleri daha ayrıntılı inceleme başlatabilir.








1. Brute Force Trafiği Nasıl Görünür?

Bir brute force girişiminde amaç, kısa sürede çok sayıda kimlik doğrulama denemesi yapmaktır. Bu nedenle ağ ve sistem tarafında belirli kalıplar oluşur.

Tipik belirtiler:

  • Aynı IP adresinden art arda başarısız oturum açma denemeleri

  • Çok kısa zaman aralıklarında tekrar eden bağlantılar

  • Aynı kullanıcı hesabına yoğun başarısız girişler

  • Tek bir parolanın çok sayıda kullanıcı üzerinde denenmesi (password spraying belirtisi)

  • Hesap kilitleme olaylarının artması


2. TCP Seviyesinde Gözlemlenebilen Davranışlar

Bir güvenlik cihazı veya ağ izleme sistemi şu davranışları fark edebilir:

İstemci
TCP SYN
TCP Handshake
Kimlik Doğrulama
Bağlantı Kapanışı
Tekrar Yeni Bağlantı

Bu döngünün çok kısa aralıklarla tekrarlanması, otomatik deneme yapan araçların tipik davranışlarından biridir.

İzlenebilecek metrikler:

  • Bağlantı sıklığı

  • Başarısız bağlantı oranı

  • Aynı kaynağın çok sayıda hedefe erişmesi

  • Sürekli yeniden bağlantı kurulması


3. Linux Authentication Logları

Linux sistemlerde kimlik doğrulama kayıtları dağıtıma göre farklı dosyalarda tutulabilir.

Yaygın kaynaklar:

  • /var/log/auth.log

  • /var/log/secure

  • journalctl

  • auditd

Bu kayıtlar aşağıdaki bilgileri içerebilir:

  • Kullanıcı adı

  • Kaynak IP

  • Tarih ve saat

  • Kullanılan servis

  • Başarılı veya başarısız giriş bilgisi

SOC ekipleri bu kayıtları merkezi SIEM sistemlerine aktararak analiz eder.


4. systemd-journald

Modern Linux dağıtımlarında servis günlükleri systemd-journald tarafından yönetilir.

Avantajları:

  • Merkezi günlükleme

  • Servis bazlı filtreleme

  • Zaman bazlı sorgulama

  • Yapılandırılmış kayıt formatı

Bu günlükler, SSH ve diğer servislerdeki başarısız oturum açma denemelerini incelemek için kullanılabilir.


5. auditd

auditd, Linux üzerinde güvenlik açısından kritik olayları kaydeden denetim altyapısıdır.

Kimlik doğrulama ile ilgili olarak:

  • Kullanıcı oturumları

  • Yetki yükseltme girişimleri

  • Hesap değişiklikleri

  • Güvenlik ilkesi ihlalleri

gibi olayların izlenmesine yardımcı olur.


6. SSH Log Analizi

SSH sunucularında aşağıdaki türde olaylar incelenir:

  • Başarısız giriş sayısı

  • Aynı IP'den gelen tekrar eden denemeler

  • Farklı kullanıcı adlarının denenmesi

  • Başarılı girişten önce çok sayıda başarısız deneme olması

Bu tür örüntüler, otomatik parola denemelerine işaret edebilir.


7. Windows Security Event Log

Windows ortamlarında en önemli günlüklerden biri Security Log'dur.

Sık kullanılan olay kimlikleri:

Event IDAçıklama
4624                            Başarılı oturum açma
4625                            Başarısız oturum açma
4634                            Oturum kapatma
4648                            Açık kimlik bilgileriyle oturum açma girişimi
4672                            Ayrıcalıklı oturum açma
4740                            Hesap kilitlendi

Özellikle 4625 ve 4740 olaylarının birlikte değerlendirilmesi, brute-force girişimlerini belirlemede önemlidir.


8. Active Directory Olayları

Etki alanı (Domain) denetleyicileri üzerinde izlenmesi önerilen göstergeler:

  • Aynı kullanıcıya çok sayıda başarısız giriş

  • Bir IP'den çok sayıda farklı kullanıcı hesabına deneme

  • Hesap kilitlenme sayısındaki artış

  • Ayrıcalıklı hesaplara yönelik başarısız girişler

Bu bilgiler, etki alanı genelindeki kimlik doğrulama saldırılarının erken tespitine katkı sağlar.


9. SIEM Korelasyon Kuralları

SIEM çözümleri tek bir olaya değil, olayların birleşimine bakar.

Örnek korelasyon mantıkları:

  • 5 dakika içinde aynı IP'den 20 başarısız giriş

  • Farklı sunucularda aynı kaynaktan başarısız denemeler

  • Başarısız girişleri kısa süre sonra gelen başarılı girişin takip etmesi

  • Aynı kullanıcı için farklı ülkelerden kısa aralıklarla giriş denemeleri

Bu tür kurallar, yanlış pozitifleri azaltırken gerçek saldırıların tespit edilmesini kolaylaştırır.


10. Sigma Kuralları

Sigma, farklı SIEM platformlarına dönüştürülebilen genel amaçlı tespit kuralları tanımlamak için kullanılan açık bir formattır.

Kimlik doğrulama saldırıları için Sigma kuralları genellikle şu alanlara odaklanır:

  • Başarısız oturum açma sayısı

  • Hesap kilitleme olayları

  • Yönetici hesaplarına yönelik denemeler

  • Olağan dışı zamanlarda gerçekleşen girişler


11. Splunk ile Analiz

Splunk üzerinde yaygın paneller:

  • Failed Logins

  • Successful Logins

  • Locked Accounts

  • Authentication Timeline

  • Source IP Analysis

Bu paneller sayesinde güvenlik ekipleri anormal eğilimleri hızla fark edebilir.


12. Wazuh

Wazuh;

  • Log toplama

  • Dosya bütünlüğü izleme

  • Güvenlik yapılandırması denetimi

  • Olay korelasyonu

gibi yetenekleri tek platformda sunar.

Brute-force belirtileri için hazır kuralların yanı sıra özelleştirilebilir alarmlar da oluşturulabilir.


13. Microsoft Sentinel

Microsoft Sentinel, bulut tabanlı bir SIEM/SOAR çözümüdür.

Kimlik doğrulama güvenliği açısından:

  • Azure AD

  • Microsoft Entra ID

  • Windows Sunucuları

  • Microsoft 365

gibi kaynaklardan olay toplayarak gelişmiş analizler yapabilir.


14. IBM QRadar

QRadar, ağ akış verileri ile günlük kayıtlarını birlikte değerlendirerek risk puanı oluşturabilir.

Öne çıkan özellikler:

  • Davranış analizi

  • Korelasyon motoru

  • Anomali tespiti

  • Olay önceliklendirme


15. Fail2Ban

Fail2Ban, Linux sistemlerinde belirli sayıdaki başarısız kimlik doğrulama denemesinden sonra istemcinin IP adresini geçici olarak engelleyen bir savunma aracıdır.

Koruyabildiği servislerden bazıları:

  • SSH

  • FTP

  • Postfix

  • Dovecot

  • Apache

  • Nginx

Başlıca avantajları:

  • Otomatik tepki

  • Esnek yapılandırma

  • Düşük kaynak tüketimi


16. CrowdSec

CrowdSec, yalnızca yerel olayları analiz etmekle kalmayıp topluluk tabanlı tehdit istihbaratından da yararlanabilen modern bir koruma platformudur.

Özellikleri:

  • Davranış analizi

  • Gerçek zamanlı karar mekanizması

  • Merkezi tehdit istihbaratı

  • Birden fazla servis için hazır senaryolar

Kurumsal ortamlarda Fail2Ban'a göre daha kapsamlı görünürlük sağlayabilir.


17. IDS / IPS ile Tespit

Ağ tabanlı güvenlik çözümleri şu davranışları izleyebilir:

  • Aynı istemciden yoğun bağlantı denemeleri

  • Kısa sürede çok sayıda başarısız kimlik doğrulama

  • Şüpheli oturum açma desenleri

  • Olağan dışı trafik hacmi

Bu veriler, ağ katmanındaki olaylarla sistem günlüklerinin ilişkilendirilmesini sağlar.


18. MITRE ATT&CK Eşleştirmesi

Kimlik doğrulama saldırıları, MITRE ATT&CK çerçevesinde ağırlıklı olarak şu tekniğe karşılık gelir:

Teknik    Açıklama
T1110 – Brute Force        Parola tahminine dayalı kimlik doğrulama girişimleri

Alt teknikler arasında parola tahmini, parola püskürtme (password spraying) ve kimlik bilgisi denemeleri gibi yöntemler yer alır. Savunma ekipleri bu sınıflandırmayı kullanarak tespit ve müdahale süreçlerini standartlaştırabilir.


19. Gerçek Kurumsal Senaryo

Bir kuruluşta gece saatlerinde VPN, SSH ve e-posta sunucularında başarısız oturum açma sayısının hızla arttığını düşünelim.

SOC analisti şu adımları izler:

  1. SIEM üzerindeki alarmları doğrular.

  2. Kaynak IP adreslerinin ortak olup olmadığını inceler.

  3. Hesap kilitleme olaylarını kontrol eder.

  4. İlgili IP adreslerinin güvenlik duvarında engellenmesini sağlar.

  5. Etkilenen kullanıcıların parolalarını sıfırlar ve gerekirse MFA etkinleştirir.

  6. Olayın kapsamını ve etkisini raporlayarak iyileştirme önerilerini sunar.

Bu süreç, yalnızca saldırıyı durdurmayı değil, benzer olayların tekrar yaşanmasını önlemeyi de amaçlar.





Kali Linux

Hydra çoğu sürümde hazır gelir.

Kontrol:

hydra -h

Kurulu değilse:

sudo apt update
sudo apt install hydra

Pardus

sudo apt install hydra

Ubuntu

sudo apt install hydra

Fedora

sudo dnf install hydra

Arch Linux

sudo pacman -S hydra

Sürüm Kontrolü

hydra -h

veya

hydra -v

Yardım Menüsü

hydra -h

Yüzlerce parametre görüntülenebilir.


Genel Sözdizimi

hydra [seçenekler] hedef servis

Genel kullanım yapısı:

hydra -l kullanıcı -P parola_listesi servis://hedef

Temel Parametreler

Parametre    Açıklama
-lTek kullanıcı adı
-LKullanıcı listesi
-pTek parola
-PParola listesi
-CKullanıcı:Parola dosyası
-tEşzamanlı iş parçacığı sayısı
-fİlk başarılı oturumda dur
-FHer hedef için ilk başarıda dur
-oSonuçları dosyaya kaydet
-vAyrıntılı çıktı
-VHer denemeyi göster
-dHata ayıklama modu
-IÖnceki oturumu yok say
-RKaldığı yerden devam et
-sÖzel port belirt
-SSSL/TLS kullan
-e nsrBoş, kullanıcı adıyla aynı veya ters kullanıcı adı parolalarını da dene

Modül Listeleme

Hydra'nın desteklediği modülleri görmek için:

hydra -U

Belirli bir modülün kullanımını görmek için:

hydra -U ssh

Benzer şekilde diğer modüller için:

hydra -U ftp
hydra -U smb
hydra -U http-post-form

Bu komutlar, ilgili modülün kabul ettiği seçenekleri ve kullanım biçimini gösterir.


Hydra, yetkili güvenlik testleri sırasında kimlik doğrulama mekanizmalarının dayanıklılığını değerlendirmek için kullanılan modüler bir araçtır. Bir komut oluştururken temel mantık; hedef servis, kimlik bilgileri (veya bunların listeleri) ve isteğe bağlı çalışma parametrelerini bir araya getirmektir.

Genel Komut Yapısı

En temel sözdizimi şu şekildedir:

hydra [seçenekler] <modül>://<hedef>

veya modül hedeften ayrı yazılarak:

hydra [seçenekler] <hedef> <modül>

Her iki kullanım biçimi de birçok modül için desteklenir.


Komutun Bileşenleri

Bir Hydra komutu genellikle şu bölümlerden oluşur:

Hydra
├── Kullanıcı bilgisi
├── Parola bilgisi
├── Hedef
├── Servis (SSH, FTP vb.)
└── Çalışma seçenekleri

Kullanıcı Parametreleri

Tek Kullanıcı

-l kullanici

Örnek:

-l admin

Hydra yalnızca belirtilen kullanıcı üzerinde işlem gerçekleştirir.


Kullanıcı Listesi

-L users.txt

Dosya örneği:

admin
administrator
test
backup

Hydra listedeki her kullanıcıyı sırayla değerlendirir.


Parola Parametreleri

Tek Parola

-p parola

Örnek:

-p Password123

Parola Listesi

-P passwords.txt

Dosya örneği:

123456
password
Welcome123
Company2025

Hydra listedeki her parolayı sırasıyla kullanır.


Kullanıcı ve Parola Çiftleri

-C login.txt

Dosya biçimi:

admin:Password123
user1:Secret2025
test:Test123

Her satır bir kullanıcı–parola çifti içerir.


Hedef Belirtme

Bir hedef IP adresi veya alan adı olabilir:

192.168.1.20

veya

server.example.com

Varsayılan port kullanılmıyorsa uygun seçeneklerle özel port belirtilebilir.


Servis (Modül) Seçimi

Hydra çok sayıda kimlik doğrulama modülü içerir. Örnekler:

  • ssh

  • ftp

  • smb

  • rdp

  • vnc

  • imap

  • pop3

  • smtp

  • ldap

  • mysql

  • postgresql

  • redis

  • http-get

  • http-head

  • http-post-form

  • https-post-form

Her modülün desteklediği seçenekleri görmek için:

hydra -U <modül>

Örneğin:

hydra -U http-post-form

İş Parçacığı (Threads)

Hydra aynı anda birden fazla bağlantı kurabilir.

-t 16

Anlamı:

  • Aynı anda 16 iş parçacığı çalıştır.

Düşük değerler daha az yük oluştururken, yüksek değerler ağ ve hedef sistem üzerinde daha fazla yük oluşturabilir. Test ortamına uygun değer seçilmelidir.


Ayrıntılı Çıktı

-v

Daha ayrıntılı bilgi verir.


-V

Her denemeyi ekrana yazar.


Sonuçları Dosyaya Kaydetme

-o sonuc.txt

Başarılı oturum açma denemeleri ve diğer sonuçlar belirtilen dosyaya kaydedilir.


İlk Başarıda Durma

-f

İlk başarılı kimlik doğrulamasından sonra mevcut hedef için işlemi durdurur.


-F

Çoklu hedef senaryolarında her hedef için ilk başarıdan sonra devam etmez.


SSL/TLS Kullanımı

SSL/TLS ile çalışan servislerde:

-S

seçeneği kullanılabilir.


Özel Port Belirtme

Varsayılan port dışında bir port kullanılacaksa:

-s PORT

Örneğin:

-s 2222

Devam Ettirme

Kesilen bir oturumu devam ettirmek için:

-R

Önceki Oturumu Yok Sayma

-I

Hydra'nın eski oturum bilgisini dikkate almadan yeni bir çalışma başlatmasını sağlar.


Boş veya Kullanıcı Adıyla Aynı Parolaları Deneme

-e nsr

Buradaki seçenekler şunları ifade eder:

  • n → Boş parola

  • s → Kullanıcı adı ile aynı parola

  • r → Kullanıcı adının ters yazılmış hâli

Bu seçenek, zayıf parola politikalarının değerlendirilmesinde faydalı olabilir.


Yardım Menüsü

Genel yardım:

hydra -h

Belirli bir modülün yardımı:

hydra -U ssh

veya

hydra -U http-post-form

Desteklenen Başlıca Modüller

Kategori    Modüller
Uzak erişim    SSH, Telnet, RDP, VNC
Dosya paylaşımı    FTP, SMB, NFS
Web    HTTP Basic, HTTP GET, HTTP POST Form, HTTPS
E-posta    SMTP, POP3, IMAP
Veritabanı    MySQL, PostgreSQL, MSSQL, Oracle, Redis
Dizin servisleri    LDAP
Ağ cihazları    Cisco AAA, SNMP
Diğer    SIP, Rexec, CVS, Teamspeak ve çeşitli özel modüller

İyi Uygulamalar

Yetkili güvenlik testlerinde Hydra kullanırken şu hususlara dikkat edilmesi önerilir:

  • Test başlamadan önce yazılı izin alın.

  • Hedef sistemde hesap kilitleme politikalarını göz önünde bulundurun.

  • Uygun iş parçacığı sayısı seçerek gereksiz yük oluşturmaktan kaçının.

  • Test sonuçlarını güvenli şekilde saklayın ve raporlayın.

  • Kimlik doğrulama günlüklerini inceleyerek savunma mekanizmalarının beklenen şekilde çalıştığını doğrulayın.

  • Mümkünse testleri üretim dışı ortamlarda doğruladıktan sonra canlı sistemlerde planlı bakım pencerelerinde gerçekleştirin.

Bu temel kullanım bilgileri, Hydra'nın farklı modüllerini anlamak ve yetkili güvenlik değerlendirmelerinde doğru şekilde kullanmak için sağlam bir başlangıç sağlar.

5. Medusa Kurulumu

Kali Linux:

sudo apt install medusa

Pardus / Debian:

sudo apt install medusa

Kurulumu doğrulama:

medusa -h

6. Temel Parametreler

Sık kullanılan seçenekler:

Parametre    Açıklama
-hHedef sistem
-HHedef listesi
-uTek kullanıcı
-UKullanıcı listesi
-pTek parola
-PParola listesi
-MKullanılacak modül
-tParalel iş parçacığı sayısı
-fİlk başarılı sonucu bulunca dur
-FHedef bazında dur

7. Modüler Mimari

Her servis için bağımsız modül bulunur.

Örnekler:

ssh.mod

ftp.mod

http.mod

mysql.mod

rdp.mod

imap.mod

Bu yapı yeni servislerin eklenmesini kolaylaştırır ve çekirdek uygulamanın değiştirilmesini gerektirmez.

Medusa'nın Genel Kullanımı (Yetkili Güvenlik Testleri İçin)

Medusa, uzaktaki servislerde kimlik doğrulama güvenlik denetimleri yapmak için kullanılan modüler ve çok iş parçacıklı (multi-threaded) bir araçtır. Farklı servisler için aynı komut yapısını kullanır; yalnızca hedef servis modülü ve ilgili seçenekler değişir.

Not: Medusa yalnızca size ait veya açıkça test etme yetkiniz bulunan sistemlerde kullanılmalıdır.


Genel Komut Yapısı

Temel sözdizimi şöyledir:

medusa [hedef] [kullanıcı] [parola] [modül] [seçenekler]

En yaygın kullanılan biçimi ise:

medusa -h HEDEF_IP -u KULLANICI -p PAROLA -M MODUL

Örneğin (genel yapı):

medusa -h 192.168.1.10 -u admin -p password -M ssh

Bu örnek yalnızca komut yapısını göstermektedir.


Temel Parametreler

Parametre    Açıklama
-hTek hedef IP veya alan adı
-HHedef listesini dosyadan okur
-uTek kullanıcı adı
-UKullanıcı listesini dosyadan okur
-pTek parola
-PParola listesini dosyadan okur
-MKullanılacak modül (ssh, ftp vb.)
-mModüle özel seçenekler
-tParalel iş parçacığı (thread) sayısı
-TAynı anda test edilecek hedef sayısı
-fİlk başarılı kimlik doğrulamada dur
-FHer hedef için ilk başarıdan sonra o hedefi durdur
-vAyrıntılı çıktı
-VDaha ayrıntılı (verbose) çıktı
-OSonuçları dosyaya kaydet
-nServis portunu belirtir

En Sık Kullanılan Kullanım Şekilleri

1. Tek Hedef

medusa -h HEDEF -M MODUL

2. Hedef Listesi

medusa -H hedefler.txt -M MODUL

Örnek hedef dosyası:

192.168.1.10
192.168.1.20
192.168.1.30

3. Tek Kullanıcı

medusa -u admin

4. Kullanıcı Listesi

medusa -U users.txt

Örnek:

admin
root
test
user

5. Tek Parola

medusa -p password123

6. Parola Listesi

medusa -P passwords.txt

7. Modül Seçimi

Her servis için farklı modül kullanılır.

Örnek modüller:

ssh
ftp
http
https
imap
smtp
pop3
ldap
mysql
mssql
postgres
rdp
vnc
telnet
smbnt

Yüklü modülleri görmek için:

medusa -d

Thread (İş Parçacığı)

En önemli parametrelerden biridir.

Varsayılan:

16

Değiştirmek için:

-t 32

veya

-t 64

Daha fazla thread daha yüksek hız sağlayabilir; ancak ağ ve hedef sistem üzerinde daha fazla yük oluşturabilir.


Verbose Seviyeleri

Normal çıktı:

medusa

Ayrıntılı çıktı:

-v

Daha ayrıntılı:

-V

Hata ayıklama amacıyla:

-v 6

Sonuçları Dosyaya Kaydetme

-O sonuc.txt

Çıktılar daha sonra raporlama amacıyla incelenebilir.


Modüle Özel Seçenekler

Bazı modüller ek parametreler destekler.

Örneğin:

-m OPTION

Hangi seçeneklerin desteklendiğini görmek için:

medusa -M MODUL -q

Yardım Menüsü

Genel yardım:

medusa -h

Modül listesi:

medusa -d

Belirli bir modülün seçenekleri:

medusa -M ssh -q

(Örnekte ssh yerine desteklenen başka bir modül adı da kullanılabilir.)


Medusa'nın Çalışma Akışı

Medusa
Hedef Bilgisi
Kimlik Bilgileri
İlgili Protokol Modülü
Kimlik Doğrulama Denemesi
┌──────┴──────┐
▼ ▼
Başarılı Başarısız

En Yaygın Modüller

ModülServis
sshSSH
ftpFTP
httpHTTP
httpsHTTPS
smbntSMB
mysqlMySQL
postgresPostgreSQL
mssqlMicrosoft SQL Server
ldapLDAP
smtpSMTP
imapIMAP
pop3POP3
telnetTelnet
vncVNC
rdpRDP





1. Parola Güvenliği Neden Hâlâ Kritik?

Her ne kadar MFA, biyometri ve passkey gibi teknolojiler yaygınlaşsa da birçok kurum hâlâ parola tabanlı kimlik doğrulama kullanmaktadır.

En sık görülen sorunlar şunlardır:

  • Zayıf parolalar

  • Aynı parolanın farklı sistemlerde kullanılması

  • Varsayılan hesapların değiştirilmemesi

  • Ayrıcalıklı hesapların yeterince korunmaması

  • Parola paylaşımı

Bu nedenle güçlü parola politikaları ve ek koruma mekanizmaları birlikte kullanılmalıdır.


2. Modern Kimlik Doğrulama Yaklaşımları

Kurumsal ortamlarda tek bir parola yerine birden fazla doğrulama katmanı tercih edilir.

Örnek yapı:

Kullanıcı
Parola
MFA
Cihaz Doğrulaması
Koşullu Erişim
Yetkilendirme

Bu yaklaşım, tek bir güvenlik katmanına bağımlılığı azaltır.


3. NIST SP 800-63B Önerileri

ABD'de yaygın referans alınan NIST SP 800-63B kılavuzu, dijital kimlik doğrulama için önemli öneriler sunar.

Başlıca ilkeler:

  • Kullanıcıların uzun ve güçlü parolalar oluşturmasına izin verilmesi

  • Zorunlu ve sık parola değişikliklerinden kaçınılması (risk temelli yaklaşım)

  • Bilinen ihlal edilmiş parolaların engellenmesi

  • MFA'nın mümkün olduğunca kullanılması

  • Güvenli parola saklama (güçlü hash algoritmaları ve uygun parametreler)


4. CIS Controls

Kimlik doğrulama güvenliği açısından öne çıkan kontroller:

  • Ayrıcalıklı hesapların korunması

  • Güçlü parola politikaları

  • MFA kullanımı

  • Hesap envanterinin güncel tutulması

  • Başarısız giriş denemelerinin izlenmesi

  • Günlüklerin merkezi olarak toplanması

Bu kontroller, brute-force riskini azaltmaya yardımcı olur.


5. OWASP ASVS

Web uygulamaları için OWASP Application Security Verification Standard (ASVS) şu gereksinimleri öne çıkarır:

  • Güvenli oturum yönetimi

  • Parola sıfırlama süreçlerinin güvenliği

  • MFA desteği

  • Hesap kilitleme mekanizmaları

  • Hız sınırlama (Rate Limiting)

  • Kimlik doğrulama günlüklerinin tutulması


6. Çok Faktörlü Kimlik Doğrulama (MFA)

MFA, kullanıcının kimliğini doğrulamak için birden fazla bağımsız faktörün birlikte kullanılmasını sağlar.

Yaygın faktörler:

  • Bildiğiniz bir şey (parola)

  • Sahip olduğunuz bir şey (donanım anahtarı, telefon)

  • Olduğunuz şey (biyometrik veri)

MFA, parola ele geçirilmiş olsa bile yetkisiz erişim riskini önemli ölçüde azaltabilir.


7. FIDO2 ve Passkey

Modern kimlik doğrulama teknolojileri arasında FIDO2 ve Passkey öne çıkar.

Avantajları:

  • Parolasız oturum açma desteği

  • Kimlik avına (phishing) karşı daha yüksek direnç

  • Açık anahtar kriptografisi kullanımı

  • Kullanıcı deneyiminin iyileştirilmesi

Bu teknolojiler, gelecekte parola bağımlılığını azaltma potansiyeline sahiptir.


8. Active Directory Güvenliği

Etki alanı altyapısında dikkat edilmesi gereken başlıca konular:

  • Ayrı yönetici hesapları kullanılması

  • Grup İlkeleri (GPO) ile parola politikalarının uygulanması

  • Ayrıcalıklı grupların düzenli denetlenmesi

  • LDAP üzerinden güvenli iletişim (LDAPS)

  • Eski protokollerin ve gereksiz servislerin devre dışı bırakılması


9. Privileged Access Management (PAM)

PAM çözümleri, ayrıcalıklı hesapların güvenli şekilde yönetilmesini amaçlar.

Başlıca özellikler:

  • Ayrıcalıklı hesap kasası

  • Geçici yetki verme

  • Oturum kayıtları

  • Kimlik bilgisi rotasyonu

  • Onay süreçleri

Bu sayede yönetici hesaplarının kötüye kullanılması riski azaltılabilir.


10. Zero Trust Yaklaşımı

Zero Trust'ın temel ilkesi:

"Asla varsayma, her zaman doğrula."

Bu modelde:

  • Ağın içinden gelen istekler de doğrulanır.

  • Kullanıcı, cihaz ve oturum sürekli değerlendirilir.

  • En az ayrıcalık ilkesi uygulanır.

  • Risk seviyesine göre ek doğrulama istenebilir.


11. Güçlü Parola Politikaları

Kurumsal parola politikaları oluşturulurken aşağıdaki prensipler dikkate alınabilir:

  • Uzun ve tahmin edilmesi zor parolalar veya parola ifadeleri (passphrase)

  • Bilinen ihlal edilmiş parolaların reddedilmesi

  • Aynı parolanın tekrar kullanımının engellenmesi

  • Varsayılan hesap parolalarının değiştirilmesi

  • Ayrıcalıklı hesaplar için daha sıkı kontroller

Önemli olan yalnızca karmaşıklık değil, aynı zamanda uzunluk ve benzersizliktir.


12. Hesap Kilitleme ve Rate Limiting

Kimlik doğrulama sistemleri, başarısız giriş denemelerine karşı çeşitli koruma mekanizmaları kullanabilir:

  • Geçici hesap kilitleme

  • Artan bekleme süresi (progressive delay)

  • CAPTCHA

  • IP veya cihaz bazlı hız sınırlama

  • Risk tabanlı ek doğrulama

Bu mekanizmalar, otomatik denemelerin etkisini azaltırken meşru kullanıcıların deneyimini de mümkün olduğunca korumalıdır.


13. Bal Hesaplar (Honey Accounts)

Honey Account, normal kullanıcı gibi görünen ancak gerçek kullanım amacı olmayan izleme hesaplarıdır.

Amaçları:

  • Yetkisiz kimlik doğrulama denemelerini erken fark etmek

  • Alarm üretmek

  • Saldırganın davranışını gözlemlemek

Bu hesaplar düzenli olarak denetlenmeli ve üretim süreçlerini etkilemeyecek şekilde yapılandırılmalıdır.


14. Güvenlik Farkındalığı Eğitimi

Teknik kontroller kadar kullanıcı eğitimi de önemlidir.

Eğitimlerde şu konular ele alınabilir:

  • Güçlü parola oluşturma

  • Kimlik avı saldırılarının tanınması

  • MFA kullanımının önemi

  • Şüpheli oturum açma bildirimlerinin raporlanması

  • Parola yöneticilerinin güvenli kullanımı


15. Kurumsal Vaka Çalışması

Bir kuruluşta, hafta sonu gece saatlerinde VPN ve e-posta sistemlerinde başarısız giriş denemelerinde artış gözlemleniyor.

Olay müdahale süreci şu şekilde ilerleyebilir:

  1. SIEM alarmları doğrulanır.

  2. Kaynak IP adresleri ve kullanıcı hesapları analiz edilir.

  3. Gerekirse ilgili IP adresleri güvenlik duvarında engellenir.

  4. Etkilenen hesaplar için parola sıfırlama ve MFA doğrulaması uygulanır.

  5. Günlükler korunarak olay incelemesi yapılır.

  6. Elde edilen bulgular doğrultusunda parola politikaları ve erişim kontrolleri gözden geçirilir.

Bu yaklaşım, hem olayın etkisini azaltmayı hem de gelecekte benzer girişimlere karşı dayanıklılığı artırmayı hedefler.






1. MITRE ATT&CK Framework

MITRE ATT&CK, gerçek saldırgan davranışlarını modelleyen en yaygın bilgi tabanlarından biridir. Güvenlik ekipleri, tehdit avcılığı (Threat Hunting), olay müdahalesi (Incident Response) ve Purple Team çalışmaları sırasında bu çerçeveyi ortak bir dil olarak kullanır.

Brute-force girişimleri ATT&CK'te Credential Access (Kimlik Bilgisi Elde Etme) taktiği altında değerlendirilir.


2. T1110 – Brute Force

Brute-force davranışları ATT&CK kapsamında T1110 tekniği ile tanımlanır.

Alt başlıklar arasında:

  • Parola tahmini

  • Password Spraying

  • Credential Stuffing

  • Kimlik doğrulama denemeleri

gibi farklı yöntemler bulunur.

Savunma ekipleri için amaç, bu davranışların belirtilerini erken tespit etmek ve uygun kontrolleri devreye almaktır.


3. ATT&CK Matrix Açısından Savunma

Brute-force girişimleri tek başına değerlendirilmemelidir. Saldırganlar çoğu zaman başarılı bir oturum açmanın ardından şu aşamalara geçebilir:

Initial Access
Credential Access
Privilege Escalation
Discovery
Lateral Movement
Persistence

Bu nedenle güvenlik ekipleri yalnızca başarısız girişleri değil, başarılı oturum açmaları da bağlamsal olarak analiz etmelidir.


4. MITRE D3FEND

MITRE D3FEND, ATT&CK'te tanımlanan saldırı tekniklerine karşı uygulanabilecek savunma yöntemlerini sınıflandırır.

Kimlik doğrulama güvenliği açısından öne çıkan yaklaşımlar:

  • Çok faktörlü kimlik doğrulama (MFA)

  • Hesap kilitleme

  • Davranış analizi

  • Günlük (log) toplama ve korelasyon

  • Koşullu erişim politikaları

  • Risk tabanlı kimlik doğrulama


5. NIST Cybersecurity Framework 2.0

NIST CSF 2.0, siber güvenlik faaliyetlerini altı temel fonksiyon altında toplar:

FonksiyonAmaç
GovernGüvenlik yönetişimi ve politika
IdentifyVarlık ve risklerin belirlenmesi
ProtectKoruyucu kontrollerin uygulanması
DetectOlayların tespiti
RespondOlaylara müdahale
RecoverHizmetlerin güvenli şekilde geri kazanılması

Kimlik doğrulama güvenliği özellikle Protect ve Detect fonksiyonlarıyla ilişkilidir.


6. Purple Team Yaklaşımı

Purple Team, Red Team ve Blue Team ekiplerinin birlikte çalışmasını esas alır.

Red Team
Saldırı Senaryosu
Purple Team
Tespit Doğrulaması
Blue Team
İyileştirme

Brute-force senaryolarında Purple Team çalışmaları şu sorulara odaklanabilir:

  • Güvenlik kontrolleri denemeleri tespit edebiliyor mu?

  • SIEM kuralları doğru alarm üretiyor mu?

  • Hesap kilitleme mekanizması beklendiği gibi çalışıyor mu?

  • MFA ve koşullu erişim politikaları etkili mi?


7. SIEM Dashboard Tasarımı

Kurumsal bir gösterge panelinde aşağıdaki metrikler izlenebilir:

Kimlik Doğrulama Panosu

  • Saatlik başarısız giriş sayısı

  • Günlük başarılı giriş sayısı

  • Hesap kilitlenme sayısı

  • En çok hedef alınan kullanıcılar

  • En çok deneme yapılan sistemler

Kaynak Analizi

  • Ülkelere göre oturum açma girişimleri

  • IP adresi dağılımı

  • ASN bazlı analiz

  • VPN ve kurumsal ağ karşılaştırması

Risk Panosu

  • Ayrıcalıklı hesaplara yönelik denemeler

  • Mesai dışı girişler

  • İmkânsız seyahat (Impossible Travel) senaryoları

  • MFA başarısızlık oranları


8. Güvenlik KPI'ları

Kurumlar kimlik doğrulama güvenliğini ölçmek için performans göstergeleri belirlemelidir.

Örnek KPI'lar:

GöstergeAçıklama
Başarısız giriş oranıToplam girişlere göre başarısız denemeler
Hesap kilitlenme oranıKilitlenen hesap sayısı
MTTDOlayın tespit edilme süresi
MTTROlaya müdahale süresi
MFA kullanım oranıMFA etkin hesap yüzdesi
Güvenlik farkındalığı katılımıEğitim tamamlama oranı

Bu göstergeler zaman içinde izlenerek güvenlik olgunluğu değerlendirilebilir.


9. SOC Playbook

Bir brute-force alarmı alındığında örnek olay müdahale akışı:

  1. Alarmın doğrulanması.

  2. Kaynak IP ve kullanıcı analizinin yapılması.

  3. İlgili sistem günlüklerinin incelenmesi.

  4. Gerekirse IP veya oturumun engellenmesi.

  5. Etkilenen hesapların değerlendirilmesi.

  6. Parola sıfırlama ve MFA doğrulaması.

  7. Olayın kök neden analizinin yapılması.

  8. İyileştirme önerilerinin uygulanması.

  9. Olay raporunun oluşturulması.

Bu adımlar kurumun olay müdahale prosedürlerine göre özelleştirilebilir.


10. ISO/IEC 27001:2022 ile İlişkilendirme

Kimlik doğrulama güvenliği şu kontrol alanlarıyla yakından ilişkilidir:

  • Kimlik ve erişim yönetimi

  • Ayrıcalıklı erişimlerin kontrolü

  • Günlükleme ve izleme

  • Olay yönetimi

  • Bilgi güvenliği farkındalığı

  • Güvenli yapılandırma yönetimi

Bu kontroller, bilgi güvenliği yönetim sisteminin (BGYS) önemli parçalarıdır.


11. CIS Controls

Brute-force riskini azaltmada öne çıkan kontroller:

  • Kimlik yönetimi

  • Ayrıcalıklı hesap yönetimi

  • Güvenli yapılandırma

  • Güvenlik günlüklerinin merkezi toplanması

  • Sürekli izleme

  • Olay müdahalesi hazırlığı


12. OWASP ASVS

Web uygulamaları için önerilen başlıca kontroller:

  • Güvenli oturum yönetimi

  • Hesap kilitleme

  • Rate limiting

  • MFA desteği

  • Güvenli parola sıfırlama

  • Günlükleme ve denetim kayıtları


13. Kurumsal Güvenlik Olgunluk Modeli

Kuruluşlar aşağıdaki seviyeleri hedefleyebilir:

SeviyeÖzellik
1Temel parola politikaları
2Hesap kilitleme ve log toplama
3Merkezi SIEM ve korelasyon
4MFA ve koşullu erişim
5Zero Trust, davranış analizi ve sürekli doğrulama

Bu model, zaman içinde güvenlik kontrollerinin gelişimini planlamak için kullanılabilir.


14. Gerçek Kurumsal Vaka Analizi

Bir finans kuruluşunda hafta sonu boyunca başarısız oturum açma sayısında belirgin artış gözlemleniyor.

İzlenen süreç:

  • SIEM alarm üretir.

  • SOC analisti olayları doğrular.

  • Güvenlik duvarı üzerinde şüpheli kaynaklar incelenir.

  • Ayrıcalıklı hesaplara yönelik denemeler kontrol edilir.

  • Hesap kilitleme politikalarının beklendiği gibi çalıştığı doğrulanır.

  • Etkilenen kullanıcılarla iletişime geçilir.

  • İlgili günlükler saklanır ve olay sonrası değerlendirme yapılır.

Bu süreç, teknik kontroller ile organizasyonel süreçlerin birlikte çalışmasının önemini gösterir.










1. Defense in Depth (Katmanlı Savunma)

Kimlik doğrulama güvenliği tek bir kontrolle sağlanamaz. Etkili bir yaklaşım, birden fazla savunma katmanının birlikte çalışmasını gerektirir.

Kullanıcı
Çok Faktörlü Kimlik Doğrulama
Güvenlik Duvarı
SSH / VPN Hizmetleri
Fail2Ban / CrowdSec Koruması
SIEM ve Güvenlik Günlükleri
SOC İzleme ve Olay Müdahalesi

Bu yapı, tek bir güvenlik kontrolünün başarısız olması durumunda diğer katmanların devreye girmesini sağlar.


2. Pardus Sunucularında Kimlik Doğrulama Mimarisi

Kurumsal Pardus sunucularında aşağıdaki bileşenler birlikte kullanılabilir:

  • OpenSSH

  • PAM

  • LDAP / Active Directory entegrasyonu

  • SSSD

  • Kerberos

  • systemd-journald

  • rsyslog

  • auditd

Önerilen mimari:

Kullanıcı
SSH Sunucusu
PAM
SSSD
LDAP / Active Directory

Bu yaklaşım, merkezi kimlik yönetimini kolaylaştırır.


3. SSH Güvenliği

SSH, Linux sistemlerinde en kritik yönetim servislerinden biridir.

Önerilen uygulamalar:

  • Root hesabıyla doğrudan oturum açmayı devre dışı bırakın.

  • Parola yerine anahtar tabanlı kimlik doğrulamayı tercih edin.

  • Mümkün olduğunda MFA kullanın.

  • Eski şifreleme algoritmalarını ve protokolleri devre dışı bırakın.

  • Yönetim erişimini yalnızca gerekli ağlardan sınırlandırın.

  • SSH yapılandırmasını düzenli olarak gözden geçirin.


4. PAM (Pluggable Authentication Modules)

PAM, Linux'ta kimlik doğrulama politikalarının merkezi olarak yönetilmesini sağlar.

Başlıca işlevleri:

  • Parola karmaşıklığı politikaları

  • Hesap kilitleme ilkeleri

  • MFA entegrasyonu

  • Oturum denetimi

  • Merkezi kimlik sağlayıcılarla entegrasyon

PAM sayesinde farklı uygulamalar ortak kimlik doğrulama kurallarını kullanabilir.


5. Merkezi Kimlik Doğrulama

Kurumsal ortamlarda kullanıcı hesaplarının merkezi olarak yönetilmesi önerilir.

Yaygın çözümler:

  • Active Directory

  • LDAP

  • Kerberos

  • Entra ID (hibrit senaryolar)

Avantajları:

  • Tek noktadan hesap yönetimi

  • Merkezi parola politikaları

  • Kolay denetim

  • Ayrıcalıklı hesapların kontrolü


6. Günlükleme (Logging) Mimarisi

Kimlik doğrulama olaylarının güvenilir şekilde kaydedilmesi ve merkezi olarak toplanması önemlidir.

Linux tarafında:

  • systemd-journald

  • rsyslog

  • auditd

Windows tarafında:

  • Security Event Log

  • Sysmon (uygun senaryolarda)

Bu günlükler SIEM çözümlerine aktarılmalıdır.


7. SIEM Entegrasyonu

Merkezi SIEM altyapısı aşağıdaki veri kaynaklarını bir araya getirebilir:

Linux Sunucuları
Windows Sunucuları
Firewall
VPN
LDAP / AD
───────────────
SIEM
───────────────
SOC Analisti

Amaç:

  • Olayların ilişkilendirilmesi

  • Anomali tespiti

  • Alarm üretimi

  • Raporlama


8. Fail2Ban ve CrowdSec Yaklaşımı

Bu tür araçlar, tekrar eden başarısız kimlik doğrulama girişimlerine karşı otomatik tepki verebilir.

Genel çalışma mantığı:

  1. Günlükler izlenir.

  2. Şüpheli desenler belirlenir.

  3. Tanımlanan politika uygulanır (ör. geçici erişim engeli).

  4. Olay kaydedilir ve gerektiğinde merkezi sistemlere bildirilir.

Bu araçlar, özellikle internetten erişilebilen hizmetlerde savunma katmanını güçlendirebilir.


9. Wazuh ile Sürekli İzleme

Wazuh aşağıdaki alanlarda görünürlük sağlar:

  • Kimlik doğrulama olayları

  • Dosya bütünlüğü izleme

  • Güvenlik yapılandırması değerlendirmesi

  • Güvenlik uyarıları

  • Merkezi log toplama

Wazuh, SIEM platformlarıyla birlikte kullanıldığında olay analizini kolaylaştırabilir.


10. Hardening Kontrol Listesi

Kimlik doğrulama güvenliği için örnek kontrol listesi:

KontrolDurum
Root ile doğrudan giriş kapalı
MFA etkin
Anahtar tabanlı SSH kullanılıyor
Güçlü parola politikası uygulanıyor
Ayrıcalıklı hesaplar ayrılmış
LDAP/AD güvenli yapılandırılmış
Günlükler merkezi SIEM'e aktarılıyor
Hesap kilitleme politikası mevcut
Sistem saatleri NTP ile senkron
Eski protokoller devre dışı

Bu liste kurumun ihtiyaçlarına göre genişletilebilir.


11. Güvenlik Denetim Kontrol Listesi

Denetim sırasında aşağıdaki sorular değerlendirilebilir:

Kimlik Yönetimi

  • Kullanılmayan hesaplar devre dışı mı?

  • Ayrıcalıklı hesaplar düzenli gözden geçiriliyor mu?

  • Parola politikaları kurumsal standartlara uygun mu?

Günlükleme

  • Başarısız girişler kaydediliyor mu?

  • Günlükler merkezi olarak saklanıyor mu?

  • Günlük bütünlüğü korunuyor mu?

Erişim Kontrolleri

  • Yönetim servisleri yalnızca gerekli ağlardan erişilebilir mi?

  • MFA uygulanıyor mu?

  • Uzaktan erişim politikaları güncel mi?

İzleme

  • SIEM alarmları düzenli test ediliyor mu?

  • Hesap kilitleme olayları analiz ediliyor mu?

  • Güvenlik ekipleri için playbook'lar güncel mi?


12. Kurumsal Güvenlik Olgunluk Modeli

SeviyeÖzellik
1Temel parola politikaları
2Merkezi log toplama
3SIEM ve korelasyon
4MFA, PAM ve koşullu erişim
5Zero Trust, davranış analizi ve sürekli iyileştirme

Bu model, güvenlik yatırımlarını önceliklendirmek için kullanılabilir.


13. Yönetici Özeti

Yönetim ekipleri için öne çıkan öneriler:

  • Kimlik doğrulama altyapısını düzenli olarak gözden geçirin.

  • MFA kullanımını yaygınlaştırın.

  • Günlükleri merkezi olarak toplayın ve analiz edin.

  • Güvenlik olaylarına yönelik güncel müdahale planları oluşturun.

  • Düzenli güvenlik farkındalık eğitimleri sağlayın.

  • Yetkili güvenlik denetimlerini planlı aralıklarla gerçekleştirin.


14. Genel Sonuç

Hydra ve Medusa gibi araçlar, yalnızca yetkili güvenlik testlerinde kullanıldığında kurumların parola politikalarını ve kimlik doğrulama mekanizmalarını değerlendirmelerine yardımcı olabilir. Asıl amaç, zayıflıkları istismar etmek değil; bunları erken tespit ederek daha güvenli sistemler oluşturmaktır.

Kurumsal güvenlik; güçlü parola politikaları, çok faktörlü kimlik doğrulama, merkezi kimlik yönetimi, sürekli günlük analizi, SIEM entegrasyonu, olay müdahale süreçleri ve kullanıcı farkındalığının birlikte uygulanmasıyla güçlenir.





Yorumlar

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

Pardus Etap 23 Yazıcı Kurulumu