VPN Güvenlik Testleri ve Denetimi

VPN Nedir? Neden Gereklidir?

VPN (Virtual Private Network) Genele açık haberleşme altyapıları üzerin, kullanıcıları güvenli bir şekilde iletişim kurmasını sağlayan sanal ağ altyapısıdır. Uygulandığı OSI katmanı ve ya protokole bağlı olarak farklı olarak farklı uygulamaları mevcuttur. SSL VPN ve IPSec VPN bunların en bilinen türleridir.

VPN teknolojisini en temel de açık haberleşme kanalları üzerinde gizlilik ve mahremiyeti sağlama hizmeti sağlamaktadır.

Kurumsal işletmeler açısından bakıldığında ise aşağıdaki gibi bir durum söz konusudur. 

Kurum çalışanlarının çalışma şekli, iş seyahati gibi farklı nedenlerle çalıştıkları kurumun dışından , kurum iç ağına ve sistemlerine ulaşma ihtiyacı ortaya çıkmaktadır. Oysa bu durumda, kullanıcıların internete erişim noktaları; otel, havaalanı veya restoran gibi ortak kullanım alanları olup bu noktalardan yapılacak bağlantılar siber saldırganlar için kolay bir hedef teşkil etmektedir. Benzer bir durum, kurum ortamına göre sistem ve ağ güvenliği anlamında önlemlerin olmadığı veya görece az olduğu ev ortamından yapılan bağlantılar için de mevcuttur.

VPN altyapısı sayesinde, kullanıcılar kişisel bilgisayarlarından kurum iç ağı veya sistemleri arasına sanal bir tünel kurmakta ve bu sayede siber saldırganlara hedef olmaktan büyük ölçüde kaçınılmaktadır.

VPN Güvenliği Neden Önemlidir?

VPN teknolojisi teorik olarak, açık haberleşme altyapıları üzerinden güvenli bir iletişim sağladığı varsayılabilir. Ancak pratikte bunun gerçekleşmesi için ilgili altyapının güvenli bir şekilde uygulanması gerekmektedir.

Özellikle tüm dünyayı etkisi altına alan Pandemi sürecinde, çalışma hayatındaki faaliyetlerin büyük çoğunluğu uzaktan yapılan bağlantılarla gerçekleşmektedir. Bu durum VPN teknolojilerinin kullanım oranında çok yüksek bir artışa sebep olmuştur.

Öte yandan, bu durum siber saldırganların VPN altyapılarına yönelik ilgisini artırmıştır. Konu ile ilgili olarak “United States Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA)”   tarafından Alert AA20-073A kodu ile bir alert yayınlanmıştır.

VPN Güvenliğinin Test Edilmesi

Genel olarak uygulama ve sistemler güvenli bir şekilde tasarlanıp kullanılmaya çalışılsa da,  güvenliklerinin sağlanması için bunları üçüncü bir göz tarafından kontrollerinin yapılması kritiktir.

Güvenlik sağlayıcı bir sistem olarak VPN altyapılarının da güvenliklerinin test edilmesi gerekmektedir.

Bu test işlemlerinde yapılacak çalışmalar genel sızma testi çalışmalarının bir parçası veya benzeri şekilde olacaktır.

Bu çalışmalarda da genel sızma testi çalışmaları gibi bir metodoloji izlenmesi, testlerin uzman kişi ve kurumlar tarafından otomatize ve manuel yöntemlerle yapılması, test sonuçlarının raporlanarak ilgili tarafların bilgisine sunulması gibi adımların gerçekleştirilmesi gerekir.

Aşağıda VPN altyapılarının güvenlik ilkelerinin kontrol edilmesi için uygulanacak adımların başlıkları ve genel kontrol maddeleri verilmiştir.

Gereksinimlerin Temin Edilmesi

Güvenlik alanında yapılacak testler testi yaptıran tarafın tercihine göre; test edici tarafa hiçbir bilgi vermeden veya bazı kısıtlı verileri sunarak gerçekleştirilebilir.

Hiçbir bilgi vermeden yapılacak testlerde test edici taraf tüm araştırma ve adımları kendi çabaları ile geçmek zorunda kalacağından bu hem ciddi bir efor yükü hemde maliyet oluşturur. Ayrıca,  bu yöntemde test edici taraf bazı geçici operasyone zorluklarla karşılaşabilir. Bunlara bağlı olarak asıl odaklanması gereken kapsama yoğunlaşamayabilir. Bu nedenle etkin bir test için test öncesinde bazı gereksinimlerin sağlanamsı gerekir. Bunlar uygulanan VPN altyapısına bağlı olarak bazı değişiklikler gösterebilse de, genel olarak aşağıdaki maddeleri içerir.

• Test edilecek VPN uygulamasına ait Domain ve IP bilgilerinin sağlanması
• Client tarafı kontroller için standart bir client bilgisayarı temin edilmesi
• Standart bir kullanıcı için VPN üzerinden sisteme erişim yetkisi verilmesi
• Sunucu üzerinde yapılacak kontroller için sunucuya erişim yetkisi verilmesi
• Kullanılan User-Group Policy hakkında bilgi verilmesi

Bilgi Toplama ve Blackbox Bakış Açısıyla Güvenlik Analizi

Bilgi toplama aşaması tüm güvenlik testlerinde olduğu gibi VPN güvenliği için yapılacak testlerde de yer almakta ve çalışma aşamasının başlangıcını oluşturmaktadır.

Her ne kadar “Gereksinimlerin Temin Edilmesi” başlığı altında, test edilecek tarafa belirli bilgiler sağlanmış olsa da, bu aşamada tamamen kötü niyetli ve kendisine fazladan bir bilgi sağlanmamış bir saldırgan bakış açısıyla araştırma ve kontroller yapılır. Hatta mümkünse, sisteme sızmaya çalışılır.

Bu kapsamda genel olarak gerçekleştirilen adımlar ve kontrol maddeleri aşağıdadır.

• Kurum adı noktasından hareketle firmaya ait genel IP/Domain bilgilerinin tespit edilmesi
• VPN sistemine ait IP/Domain bilgilerinin tespit edilmesi
• Kuruma ait internete sızmış hesap bilgilerinin araştırılması
• Zafiyet arama motorları/araçları üzerinden verilen IP/Domainlerin araştırılması, buradan sunulan bir imkan varsa doğrudan sisteme sızılmaya çalışılması
• Kullanılan VPN uygulamasının  ve buna dair zafiyetlerin araştırılması
• VPN uygulamasına ait kullanıcı arayüzü araştırması için fuzzing ve brute force denemeleri yapılması
• Erişilen paneller üzerinde, daha önce sızmış parolaların denenerek sistemlere erişim imkanı araştırılması
• Erişilen paneller üzerinde, dictionary ve brute force denemeleri yapılması
• Erişilen domain ve paneller üzerinden web uygulama zafiyetleri araştırılması
• VPN sunucusuna yönelik (eğer erişilebilmişse) keşif ve devamında zafiyet taraması yapılarak zafiyetlerin istismar edilmesi
• Kullanılan SSL versiyonu ve kripto kütüphanelerinin tespit edilerek buna yönelik zafiyetlerin araştırılması

Son Kullanıcı  (Endpoint) Taraflı Güvenlik Analizlerinin Yapılması

SSL VPN tüneli genellikle; masaüstü, dizüstü bilgisayar ve cep telefonu gibi uç nokta aygıtlarından başlatır. Bu uç noktalar, onları saldırı vektörü olarak kullanmaya çalışan kötü aktörler için hem giriş noktaları hem de ana hedeflerden biri haline gelir. Bu nedenle, bir VPN altyapısı kurmadan önce bir uç noktanın güvenli olduğundan daima emin olunması önemlidir.

Bu nedenler VPN testleri kapsaminda, örnek bir son kullanıcı bilgisayarı temine dilerek güvenlik analizi ve buradan kaynaklanabilecek tehditler için kontrol yapılır.

Bu kapsamda genel olarak gerçekleştirilen adımlar ve kontrol maddeleri aşağıdadır.

• Bilgisayarda yer alan antivirüs vb. güvenlik konfigürasyonlarının kontrol edilmesi
• Bilgisayar üzerinde kullanılan işletim sistemi ve diğer yazılımların güncelliklerinin kontrol edilmesi
• Kullanılan browser konfigürasyonu ve sürümünün kontrol edilmesi
• Bilgisayar üzerinde genel güvenlik konfigürasyonunun (host integrity checks- may look for operating system type and version, antivirus and personal firewall status and configurations, or a specific file, registry key, or running process) kontrol edilmesi
• Bilgisayar üzerine dışarıya açık port ve servis konfigürasyonlarının kontrol edilmesi
• Bilgisayar üzerinde kuruma ait veri depolama durumunun kontrol edilmesi
• Veri depolama söz konusu ise disk şifreleme konfigürasyonlarının kontrol edilmesi
• Bilgisayar üzerinde; bios parolası, USB boot, Secure boot konfigürasyonlarının kontrol edilmesi
• Bilgisayar kullanıcıs yetki durumların kontrol edilmesi

VPN Uygulaması Güvenliği Kontrolü

Bu aşama VPN güvenliği testleri için çekirdek noktayı oluşturur. Bu aşamada bir şekilde VPN uygulaması giriş paneline gelmiş saldırganın güvenlik mekanizmaları atlatarak sisteme erişim yapabilmesine yönelik test senaryoları uygulanır.

Test kapsamında, “Gereksinimlerin Temin Edilmesi” ve “Bilgi Toplama” aşamasına temin edilen bilgiler kullanılır.

Bu kapsamda genel olarak gerçekleştirilen adımlar ve kontrol maddeleri aşağıdadır.

• VPN uygulaması (ve kullanılan 3. party yazılımlar) ve sürümüne yönelik zafiyetlerin araştırılması
• Genel Kimlik doğrulama ve 2FA mekanizmalarının varlığının kontrol edilmesi
• Erişim paneli üzerinden dictionary ve brute force denemeleri yapılması
• Web uygulama zafiyetlerine yönelik kontrol yapılması
• Kimlik doğrulama mekanizmalarının bypass edilmeye çalışılması
• Oturum yönetimi zafiyetlerinin kontrol edilmesi
• Kullanılan SSL versiyonu ve kripto kütüphanelerinin tespit edilerek buna yönelik zafiyetlerin araştırılması

VPN Sistemine Giriş Sonrası Güvenlik Mekanizmalarının Kontrolü

Siber saldırganların bir şekilde kimlik doğrulama mekanizmasını atlatarak sisteme erişmesi durumunda halen oluşacak zararı minimize edebilmek için alınabilecek tedbirler söz konusudur. Veya VPN sisteminde sınırlı yetki hakkına sahip kullanıcılardan birinin kötü niyetli olması durumunda, ulaşabileceği noktalar ve verebileceği zararın minimize edilmesi önemli bir noktadır. Bu aşamada, testi gerçekleştirecek tarafa standart bir kullanıcı hesabı ile sisteme erişim yetkisi verilir.

Bu kapsamda genel olarak gerçekleştirilen adımlar ve kontrol maddeleri aşağıdadır.

• Kullanıcının kendinin hesap ayarlarının değiştirme yeteneğinin kontrol edilmesi
• Kullanıcının diğer kullanıcıların hesap ayarlarının değiştirme yeteneğinin kontrol edilmesi
• Kullanıcının genel olarak dikey yetki artırımının kontrol edilmesi
• VPN cihazının ağ topolojisi içindeki konumunun kontrol edilmesi
• Kuruma özel tanımlanmış bir Access Control Policy (Rol tabanlı, grup tabanlı vb.) varlığının kontrol edilmesi
• VPN için tanımlanmış Access Control Policy’e bağlı olarak erişilen ağ ve sistemlerin kontrol edilmesi
• FW kurallarının ve LAN’lar arası segmentasyonun kontrol edilmesi
• Kullanıcı açma, düzenleme yetkilerinin kontrol edilmesi
• Yerel ağda zehirleme (Arp, Netbios, LLMNR) ve buna bağlı MITM imkanlarının kontrol edilmesi
• Yerel ağda yetkisiz erişimlerin kontrol edilmesi
• Yerel ağda Internet çıkışı için alınan güvenlik önlemlerinin kontrol edilmesi

VPN Sunucusu Güvenliğinin Kontrol Edilmesi

VPN hizmetininsağlayan sunucu tarafından güvenlik önlemelrinin alınma ve uygulanan durumu sistemin güvenliği için önem arz etmektedir. Bu aşamada, testi gerçekleştirecek tarafa sunucuya erişim yetkisi verilir.

Bu kapsamda genel olarak gerçekleştirilen adımlar ve kontrol maddeleri aşağıdadır.

• Sunucu için yetkilendirme mekanizmalarının kontrol edilmesi
• Port ve servis konfigürasyonlarının kontrol edilmesi
• Loglama mekanizmasının varlığı ve etkinliğinin kontrol edilmesi
• Sunucunun sıkılaştırmasına yönelik Lynis ve Qualys raporu varsa bunun incelenmesi
• Parola politikalarının kontrol edilmesi
• VPN config dosyası güvenliğinin kontrol edilmesi
• SSL konfigürasyonu ve sertifika güvenliğinin kontrole edilmesi

VPN Test Çalışmasının Raporlanması

Uygulama ve sistemlerin güvenliğine yönelik her çalışmada olduğu verimli bir sonuç alınabilmesi için test sonuçlarının ilgili taraflara raporlanması kritik önem arz etmektedir. Bu nedenle test çalışması sonucunda bir rapor hazırlanarak ilgili taraflara sunulur.

Rapor kapsamında genel olarak aşağıdaki bilgilendirmeler yapılır.

• Teste dair genel bilgiler (tarih, taraflar, aysal sorumluluklar vb.)
• Test çalışması kapsamında izlenen metodoloji
• Test edilen uygulama ve sistemlerin kapsamı
• Test kapsamı ve sonucunu kısaca anlatan bir Yönetici Özeti
• Test kapsamında gerçekleştirilen adımlar
• Test sonucu elde edilen bulgular
• Bulguların kapanmasına yönelik çözüm önerileri

VPN Güvenliğinin Sürekliliğinin Sağlanması

VPN altyasınına yönelik güvenlik mekanizmalarını önceleyen bir yapı kurulup ardından bu yapının testi gerçekleştirilirse de, süreklilik için çalışmaların devamı gerekmektedir.

Bu kapsamda genel olarak uygulanması önerilen adımlar ve kontrol maddeleri aşağıdadır.

• Test sonuçları kapsamında tespit edilen zafiyetlerin kapatılması
• Zafiyetlerin kapanmasına yönelik kontrollerin (doğrulama testleri) yapılması
• VPN altyapısına yönelik logların takip edilerek gerekli durumlarda aksiyon alınması
• Belirli periyotlarda testlerin gerçekleştirilerek yeni ortaya çıkan zafiyetler veya konfigürasyon değişikliğine bağlı  zafiyetlerin kontrol edilmesi