İzinsiz Sanal Bilgisayarları Bulma

İzinsiz sanal bilgisayarlar (virtual machines) kurumlar için ciddir bir risk taşımaktadır. Sistem yöneticileriniz her ne kadar kurum ağını iyi kontrol ediyor olursa olsunlar izinsiz sanal bilgisayarlar ağınızda olabilir. Bu izinsiz sanal bilgisayarları azaltmanın bazı yolları yazılım politikasını değiştirmek, yönetici hesaplarını sadece gerekli çalışanlara vermektir.

Peki ağınızda hali hazırda duran izinsiz sanal makineleri nasıl tespit edeceksiniz?

Eğer ağınızdaki tüm sanal makineleri biliyorsanız, bunları sizin kurduğunuz makinelerle karşılaştırıp izinsiz sanal makineleri bulabilirsiniz.

Sanal makineleri tespit etmenin en kolay iki yolu aşağıdaki gibidir:

  • MAC adresi
  • Çalışan prosesler.

Sistemin MAC Adresine Bakma

MAC adresi her bir makine için tektir.Eğer bir makinenin MAC adresini buliyorsanız buradan hareketle hangi şirketin o network kartını yaptığını bulabilirsiniz.Tüm sanal makineler kendi sanal ağ adoptörlerini kullanırlar ve bu ağ adaptörlerinin MAC adresleri de her üretici için tektir.Bir başka değişler bir makinenin sahip olduğu MAC adresine bakılarak onun sanal makine mi değil mi olduğunu tespit etmek güç değildir.

Peki ağdaki bilgisayarların MAC adreslerini nasıl bulabiliriz?

Bunun cevabı basittir. Tüm bilgisayarlara ping atıp, arp  tablosundan MAC adreslerini öğrenebiliriz.

Yada nmap’I kullabiliriz.
nmap -sP 192.168.1.1/24
Starting Nmap 5.35DC1 ( http://nmap.org ) at 2011-03-17 22:35 EDT
Nmap scan report for 192.168.1.1
Host is up (0.018s latency).
MAC Address: 00:24:A1:17:44:CD (Motorola CHS)
Nmap scan report for 192.168.1.13
Host is up (0.000094s latency).
MAC Address: 00:26:BB:07:17:DD (Apple)
Nmap scan report for 192.168.1.11
Host is up (0.014s latency).
MAC Address: 00:1B:77:CD:FF:CD (Intel Corporate)
Nmap scan report for 192.168.1.13
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 5.53 seconds
 

Gördüğünüz gibi nmap’te önceden tanımlanmış MAC veritabanı sayesinde MAC adresine karşılık gelen üretici firmayı bulabilmektedir.

 

İkinci Yol: Proses Adlarını Kontrol Etme

 

MAC adreslerini elde edebilmek için tek bir yerel ağda bulunma şartı vardır.Farklı yerel ağlarda bulunan iki bilgisayar ağ iletesimi yoluyla birbirlerinin MAC adreslerini göremezler çünkü kendi aralarındaki iletişim TÇP/İP deki üçüncü katman üzerinden gerçekleşecektir.Dahası bazı sanal makineler NAT modunda olabilir ve bu da bulundukları fiziksel makinenin MAC adresini kullanmalarını sağlar.Bu durumda yanlış positif sonuçlar elde edilir.

 

Her bir sanal makine yazılımı çalışan proseslere sahiptir.Örneğin VM Fusion yazılımı vmware-vmx prosesi ile OSX’de çalışır.Öyleyse herhangi bir fiziksel makinede oturumu açtıktan sonra çalışan prosesleri control edip bunlardan sanal makine yazılımları ile alakalı olanları ayıklayabilirsiniz.Bu kurumunuzdaki tüm sanal makineleri tespit edebilirsiniz.

 

Nessus’un Vmware makinelerini bulan eklentisini ve nasıl kullanılacağı ile ilgili yazı (ingilizce) şurada mevcuttur: http://blog.tenableşecurity.com/2007/04/i_was_speaking_.html

 

Sizde kendi Nessus eklentisini yazarak diğer sanal makineleri bulabilirsiniz.

 

Bu methödün dezavantajı ise yönetici hesabınızın olması gerekliliğidir.Bazı kurumlarda güvenlik mühendislerine yönetici hesabı vermek sık rastlanan durum olabildiği gibi bazı kurumlar bundan çeşitli sebeplerle uzak durmayı tercih edebiliyorlar.

 

Özet

 

İzinsiz sanal makineleri tüm sanal makineleri bulup izinli olanları aralarından seçip bulabiliriz.Tüm sanal makineleri bulmak içinse MAC adresini bulmak veya çalışan proseslere bakmak gereklidir.Her iki metodunda kendine göre iyi ya da kötü yanları mevcuttur.İlk metod ilesadece aynı yerel ağdaki sanal makineleri bulabilirizfakat bunun için yönetici hesabına ihtiyacımız yoktur.İkinci metod da ise tarayacağımız bilgisayarlara yönetici kullanıcısı ile oturum açmak mecburiyetindeyiz fakatsistemle aynı yerel ağda bulunmadan bunu gerçekleştirebiliriz.

İsmail GÜNEYDAŞ