Genelde, Apple istemci ve sunucular ağlarda az bir paya sahiptir. Fakat Apple donanım ve yazılımları dizayn, multimedia ve eğitim alanlarında pek çok başarıya imza atmıştır. AppleTalk ağları da mevcut fakat bilgisayar korsanları ve sistem yöneticileri bunu gözardı ediyor. Birleşik ortamlarda sistem yöneticileri Unix veya Windows konusunda oldukça yeterliler fakat AppleTalk ağlarının nasıl çalıştığını ya bilmiyorlar ya da öğrenmek için uğraşmıyorlar. Apple istemcilerin ağa bağlanabilmelerini sağlamak için minimum adımları gerçekleştiriyorlar ve bağlanıyorlarsa herşeyin tamam olduğunu düşünüyorlar.
Genelde, Apple istemci ve sunucular ağlarda az bir paya sahiptir. Fakat Apple donanım ve yazılımları dizayn, multimedia ve eğitim alanlarında pek çok başarıya imza atmıştır. AppleTalk ağları da mevcut fakat bilgisayar korsanları ve sistem yöneticileri bunu gözardı ediyor. Birleşik ortamlarda sistem yöneticileri Unix veya Windows konusunda oldukça yeterliler fakat AppleTalk ağlarının nasıl çalıştığını ya bilmiyorlar ya da öğrenmek için uğraşmıyorlar. Apple istemcilerin ağa bağlanabilmelerini sağlamak için minimum adımları gerçekleştiriyorlar ve bağlanıyorlarsa herşeyin tamam olduğunu düşünüyorlar. Fakat bu anlayış eksikliği ağınıza girmede bir açık kapı yaratabilir. Bu yazı OS 9.1 ve AppleShare IP 6.3.3 çalıştıran bir Power Macintosh G4 kullanılarak hazırlandı. Yazıda potansiyel güvenlik gedikleri ve AppleTalk ağının hem istemci hem sunucu tarafında güvenliği güçlendirmek için neler yapabileceği anlatılıyor.
İlk olarak istemci tarafı ile ve diğer ağ protokollerininde başına bela olan bir problem ile başlayacağız. Sunuculara bağlanan eski Macintosh istemcileri şifreleri ağa düzyazı olarak gönderiyorlar. Ayrıca eğer sunucu diğer kimlik tanılama algoritmalarını desteklemiyorsa istemciyi düz yazı gönderecek şekilde zorlaması da mümkün (AppleTalk desteği olan Windows 2000’ler bunu yapıyor). Bu düzeltilmesi en kolay problem ve iki iyi yöntem mevcut. Birincisi AppleShare istemcisinin güncellenmiş sürümünü indirip kurmak (http://www.apple.com/appleshareip/text/downloads.html). ikinci çözüm biraz karmaşık. AppleShare istemcisini ResEdit’te açıp “FSMNT” kaynağını bulduğunuzda “ApShare ExFS” adında bir alt-kaynak göreceksiniz. Bu kaynağı açıp “Cleartxt” için bir ASCII arama yapın. Bulduğunuzda “Cleartxt”deki C harfini herhangi başka bir karakter ile değiştirin. Sonra aynı işlemi “EXFS” kaynağında “ApShare ExFS” için yapın. Bu işlemleri tamamladıktan sonra değişikliklerinizi kaydedin ve dosyayı istemci makinada uzantılar klasörüne geri koyun. Bu işlemler istemcinin şifreleri açık metin olarak göndermesini engelleyecektir.
Bir diğer problem kullanıcıların login ismi ve şifrelerini kaydetmelerine izin vermektir. Bu “System Folder” da bulunan “Server” klasörü içinde dosya sunucusu için bir “alias” yaratır. Makine boot ettiğinde bu klasör içindeki tüm dosya sunucularını “mount” eder. Bu, eğer saldırganın istemci makineye fiziksel erişim varsa bir tehlike arz edebilir. AppleShare istemcisinde “Save my name and password” (kullanıcı ismi ve şifremi sakla) özelliği kapatılacak şekilde değişiklik yapmak mümkün. Bunun için bir yama http://homepage.mac.com/skreuzer adresinden temin edilebilir.
İstemci tarafında bahsedeceğim son problem dosya paylaşımı. 7.0 sürümünden beri tüm Mac OS’lar son kullanıcının kendi sürücülerini paylaşabilme ve uzaktan yapılan bağlantılara izin verme desteğine sahiptir. Çoğu zaman bir kullanıcı dosya paylaşımını aktif ettiğinde bir şifre set etmiyor ve böylece uzaktaki kullanıcıların sürücüye okuma/yazma haklarıyla erişebilmesine izin veriyor. Veya kullanıcı paylaşım noktaları yaratmak yerine tüm sürücüyü paylaşıma açarak normal kullanıcıların sistem klasörü dahil tüm sürücüye okuma/yazma haklarıyla erişebilmesine izin veriyor. Bu saldırganların önemli sistem kaynaklarına ve çeşitli uygulamaların şifrelerini içerebilecek ayar dosyalarına erişebilmelerine yol açabilir. Ayrıca “Startup Items” klasörüne trojan veya virüs yerleştirilerek sistemin bir sonraki açılışında çalıştırılmaları da sağlanabilir. Kötü amaçlı bir saldırgan sürücünün belirli kısımlarını veya sürücünün tamamını silebilir. Bunun gerçekleşmesini engellemek için sistem klasöründeki uzantılar klasöründen “File Sharing Extension”ı silebilirsiniz. Bu kişisel dosya paylaşımı özelliğini kaldıracaktır.
Kişisel dosya paylaşımı kullanan AppleShare IP sunucuları ve Macintosh workstation’lar kullanıcı isimlerini, şifreleri ve grup verilerini sistem klasöründeki “preferences” klasöründe “Users and Groups Data File” isimli bir dosyada saklarlar. Kriptolama algoritması oldukça basit ve bu dosyada saklanan şifreleri kırmak mümkün. AppleShare IP sistem klasörünü paylaşıma açmanıza izin vermez, bu sebeple eğer bir saldırganın sunucuya fiziksel erişimi yoksa veya sunucuda bir trojan çalıştıramıyorsa kullanılan basit kriptolama için endişelenmenize gerek yok. Şifreleri dekod etmede kullanılabilecek olan Unix aracı “macfspwd.c” aşağıdaki adresten temin edilebilir:
http://happiness.dhs.org/software/macfspwd/macfspwd.c
Varsayılan kurulumda ASIP (AppleShare IP) oldukça güvenli fakat güvenliği artırmak için bazı işlemler yapılabilir. ASIP’in dezavantajlarından biri erişim kayıtlarını tutmaması (Web ve mesaj sunucusu aktivite kayıtlarını tutuyor fakat dosya paylaşımında bu yok). Sunucuya o an bağlı olanların listesini, bağlantı metodunu ve ne zaman bağlandıklarını görmek mümkün fakat bu veriler bir dosyaya yazılmadığından kullanıcılar sistemden çıktıklarında bu veriler kayboluyor.
ASIP geçerli kullanıcı isimlerinin bulunmasını oldukça kolaylaştırıyor çünkü kullanım kolaylığı için güvenlik kurban edilmiş. AppleShare istemcisi ile sunucuya bağlanmaya kalktığınızda geri dönen cevap geçerli kullanıcı isimlerini “brute force” ile bulmada kullanılabilir. Geçersiz bir kullanıcı ismi girildiğinde sunucu “bilinmeyen kullanıcı, geçersiz şifre veya hesap kapatıldı”ya karşılık gelen “kOAMErrMemberObjectNotFound” (error#29312) mesajını dönüyor. Fakat geçerli bir kullanıcı ismi ile yanlış şifre girildiğinde sunucu “girdiğiniz şifre yanlış”a karşılık gelen “kOAMErrAuthenticationError” (error#29360) mesajını dönüyor. Bu sayede bir script yazarak kullanıcı isimleri bir dosyadan okutulup login işlemi taklit edilerek brute force metodu ile geçerli kullanıcı isimlerini bulmak mümkün. Bundan korunmak için sunucunun belirli sayıda login başarısızlığında hesabı kapatmasını sağlayın. Bu özellik ve güvenli kullanıcı şifreleri kullanarak brute force, imkansız olmasada, riski azaltılabilir. ASIP’in dezavantajlarından biri de sadece şifrede minimum kaç karakter olabileceğini belirlemeye izin vermesidir. Kullanıcıyı harf ve rakam kombinasyonu kullanmaya zorlamanız veya “password” gibi belirli bazı kelimeleri “kara liste”ye alıp kullanımını engellemeniz mümkün değil.
Bahsedeceğim son konu kimlik tanılama ile ilgili. AppleShare kimlik tanılama metodları için olan algoritmaların hepsi herkese açık (public). En çok kullanılan kimlik tanılama metodu ağ üzerinde iki 8 byte’lık DES kriptolanmış rastgele sayı gönderen 2-way randnum metodu. Hesaplama yönünden bakıldığında algoritma 56-bit DES kadar güçlü ve şifrelerde 8 karakter sınır var. Bu sebeple Unix şifre dosyası için crack kullanımı gibi offline şifre kırma saldırısından etkilenebiliyor. Apple 2-Way randnum’un zayıflıklarını gidermek için DHX adında yeni bir kimlik tanılama metodu geliştirdi. DHX 128-bit’lik oturum anahtarının yaratılmasında Diffie-Hellman anahtar takas metodunu kullanıyor ve sonra 64-karakterlik şifreyi sunucuya CAST 128 ile kriptolanmış olarak gönderiyor. Bunun gücü de yaklaşık olarak 128-bitlik SSL ile aynı.
Bu yazıda AppleTalk ağlarında olabilecek muhtemel güvenlik problemlerinden sadece yüzeysel olarak bahsettim. Gerçekte, iyi konfigüre edilmiş bir AppleTalk ağında güvenli atlatmak çok zor. Fakat bazı araçlar ve teknikler sisteminize erişim yolları yaratabilir.
Kaynak: 2600 dergisi 19:1 sayısı
belgesi-344
