FortiDeceptor ile Zafiyetli CentOS ve SSLVPN Tuzağı Konumlandırma

Merhabalar,

Daha daha önce belirttiğim gibi FortiDeceptor ile ilgili “Saldırganları Tuzağa Düşürün” serili bir yazı paylaşmayı düşünüyorum. Bu yazı serisini 3 veya 4 serili bir yazıda tamamlamayı hedefliyorum. Bir önceki yazımda FortiDeceptor nedir ? Nasıl kurulur ? ile ilgili yazımı paylaşmıştım. Buradan ulaşabilirsiniz.

Bu yazımda ise Zafiyetli CentOS ve SSL VPN tuzakları konumlandırıp bunları network üzerinde nasıl konumlandıracağımı anlatacağım. Bir sonraki yazıda ise bu tuzaklara gelen saldırganların loglarını ve alarmlarını inceleyeğiz.

İlk olarak network üzerindeki assetleri FortiDeceptor ürünüme tanıtıyorum. Network üzerinde hangi cihazlarım var bunları bir tanımasını sağlıyorum.

• Asset Discovery menüsü hangi portların altındaki assetlerin keşfini yapacaksam ona göre yapılandırıyorum.

• Keşfettiği assetleri aşağıdaki başlıklarla bizlere sunuyor.

• Deployment network menüsünde Deceptor (Honeypot) makinemizi konumlandıracağımız VLAN ve networkümüzden boş bir IP adresi veriyoruz.
• Belirlediğiniz diğer networklerinizde de aynı işlemleri yapabilirsiniz.

FortiDeceptor Tuzakların Yapılandırılması ve Konumlandırılması

• İlk olarak Deception OS menüsünden hangi OS’leri konumlandıracaksak onların imajlarını indiriyoruz.
• Aşağıda görüldüğü gibi Centos makinenin içerisinde SSH servisi, HTTP, HTTPS servisi gibi servisleri açarak tuzaklarımızı konumlandırabiliriz.
• Bu menüde Windows, Linux, IOT makine dahil birçok tuzak imajları bulunmaktadır. İsterseniz kendi oluşturduğunuz bir imajı yükleyebilirsiniz.

SSL VPN Tuzağı Konumlandırma

• Deceptos OS menüsünden Fortigate imajını indirdim ve Deployment Wizard menüsünde Create a new deploy diyerek tuzağımı yapılandırmaya başlıyorum.

• FGTSSLVPN adında bir VPN tuzağı yapılandırıyoruz.
• Deception OSes kısmından indirmiş olduğumuz imajı seçiyoruz.
• Model kısmından hangi Fortigate modeli olacağını seçiyoruz.
• 10443 portu ile port belirliyoruz. En çok kullanılan port numarası ile yapılandırması gerçekçi olacaktır 🙂

• SSLVPN kullanıcı isimlerini ve parolalarını belirliyoruz. Bu kısmı biz manuel girdik test için ama Generate lures kısmından en sık kullanılan kullanıcı adı ve şifreyi otomatik oluşturabiliriz.
• SSLVPN bookmark kısmında ise SSH tuzağı yapılandırıyoruz. VPN içinde SSH tuzağı gibi düşünebiliriz bu kısmı 🙂

• Bir üst kısmı yapılandırıp next dedikten sonra, Add network for deployment kısmından port ve Static seçerek bu oluşturduğumuz makineden network üzerinde kaç tane IP vereceğini IP Count kısmından seçiyoruz. SSL VPN tarafı için 1 IP seçtim. (Not: 10.1.1.112 IP adresini dışarıya tuzak olarak açmamız için Firewall üzerinden VIP tanımlaması yapmamız gerekiyor. Bu kısmı bir sonraki yazımda anlayacağım.)

Zafiyetli CentOS Makine Konumlandırma

• Bu sefer yukarıda indirmiş olduğumuz CentOS makineyi konumlandırıyoruz.
• SSH,SAMBA,HTTP,HTTPS servisleri açık şekilde geliyor. Ve biz bu servislere göre yapılandırmalar gerçekleştiriyoruz.

• SAMBA servisi

• HTTPS servisi

• SMTP servisi

• ICMP servisi

• Yukarıdaki sayfalardan yapılandırmalarımızı yaptıktan sonra, Add Network for Deployment butonuna tıklayarak, oluşturulan servisler ve yapılandırmalar ile ilgili hangi network ve VLANda DHCP den kaç makineye ip vereceğimizi belirtiyoruz. (DHCP seçmek ise elimiz ile boş IP lerden 4 tane verebiliriz) — Ayrıca bu tuzak makinemizi birkaç networkümüze konumlandırabiliriz.
• Not: Bu kısımda IP Count ne kadar çok verirsek mayınlarımızı o kadar çok yerleştirmiş oluruz 🙂

Bir sonraki yazımda yukarıdaki CentOS ve SSL VPN tuzaklarımıza gelen saldırganların loglarını inceleyeceğiz.

TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.