Selamlar,
Penetrasyon testi makale serimiz, Kali Linux’un ağlara, sistemlere ve uygulamalara karşı sızma testleri gerçekleştirmede kullanılan teknik bilgiler içerir.
Peki nedir bu Penetrasyon testi ?
Penetrasyon testi, dışarıdan veya içeriden bir kişi/ekip tarafından bir ağa veya sisteme yönelik bir saldırıyı simüle eder. Güvenlik açığı değerlendirmesinden farklı olarak Penetrasyon testi yararlanma aşamasını içerecek şekilde tasarlanır. Bu nedenle, istismarın mevcut olduğunu ve harekete geçilmediği takdirde sistemin tehlikeye girme riski altında olduğunu kanıtlar.
Penetrasyon testi makale serimizde, ağların ve veri sistemlerinin güvenliğini değerlendirmek için saldırganların kullandığı aynı teknikleri ve araçları inceleyeeğiz.
Makele serimizin takipçileri, penetrasyon amaçlı da olsa açık onay olmaksızın korunan bir bilgisayarı veya ağı bilerek/kasıtlı olarak taramanın veya bunlara erişmenin yasa dışı olduğunun farkında olmalıdır.
Makale serimiz neleri içeriyor ?
Kısacası, sizleri Kali Linux kullanarak bir ağdaki en son açıkları görmeniz ve kapatmanız için birçok kanıtlanmış tekniklerle Penetrasyon testi yolculuğuna çıkaracağız. En etkili araçları seçmekten, Network güvenliğinden hızla ödün vermeye ve tespit edildikten sonra açıkları kapatmanız için kullanılan teknikleri vurgulamaya kadar herşeyi inceleyeceğiz.
Bu makale serisi kimler için ?
Kali Linux’un bazı gelişmiş özelliklerini kullanarak Network bilgisini ilerletmek isteyenler, Siber Güvenlik konusuna ilgi duyanlar ya da BT uzmanı veya güvenlik danışmanıysanız, bu makale serisi tam size göre.
Neler öğreneceğiz ?
Bölüm 1, Hedefe Dayalı Sızma Testi, seri boyunca kullanılacak olan sızma testi metodolojisine dayalı işlevsel bir taslağı sunar. Penetrasyon testine tutarlı ve kapsamlı bir yaklaşımın izlenmesini sağlayacağız.
Bölüm 2, Açık Kaynak İstihbaratı ve Pasif Keşif, halka açık kaynakları ve keşif ile bilgi yönetimini basitleştirebilecek araçları kullanarak bir hedef hakkında nasıl bilgi toplanacağı hakkında bir arka plan oluşturacağız.
Bölüm 3, Dış ve İç Ağların Aktif Keşfi, sizlere hedef hakkında bilgi, özellikle de istismar edilebilecek güvenlik açıklarını tanımlayan bilgiler elde etmek için kullanılabilecek gizli yaklaşımları tanıtıcağız.
Bölüm 4, Güvenlik Açığı Değerlendirmesi, saldırılara karşı savunmasız sistemleri bulmak için bir ağı ve aygıtlarını taramanın yarı otomatik sürecini ve tüm keşif ve güvenlik açığı tarama bilgilerini alma, değerlendirme ve ardından penetrasyon testi sürecini yönlendirmek için bir harita oluşturma sürecini inceleyceğiz.
Bölüm 5, İleri Sosyal Mühendislik ve Fiziksel Güvenlik, sizi bir sisteme fiziksel olarak erişebilmenin veya onu yöneten insanlarla etkileşim kurabilmenin neden istismara giden en başarılı yol olduğunu ikna etmekte zorlanmayacağız.
Bölüm 6, Kablosuz ve Bluetooth Saldırıları, kablosuz teknolojilere ilişkin kısa bir açıklama sağlar ve güvenliği atlayarak bu ağları tehlikeye atmak için kullanılan yaygın tekniklere odaklanacağız.
Bölüm 7, Web Tabanlı Uygulamalardan Yararlanma, güvenliği sağlamak için en karmaşık teknikten birine kısa bir genel bakış atıp halka açık olması gereken web tabanlı uygulamaları inceleyceğiz.
Bölüm 8, Bulut Güvenliği İstismarı, genellikle yanlış güvenlik yapılandırmalarına eğilimli olan ve kuruluşun Primary Network ile aynı derecede korunan AWS bulut altyapısına yönelik saldırılara göz atacağız.
Bölüm 9, Güvenlik Kontrollerini Atlamak, en yaygın güvenlik kontrollerini, bu kontrollerin/açıkların üstesinden gelmek için sistematik bir süreçi tanımlayacağız ve bunu Kali araç setindeki araçları kullanarak göstereceğiz.
Bölüm 10, İstismar, bir sistemin bir saldırgan tarafından ele geçirilmesine izin veren istismarları bulmak ve yürütmek için kullanılabilecek metodolojileri inceleyceğiz.
Bölüm 11, Amaç ve Yanal Harekete İlişkin Eylem, bu bölüm istismardan hemen sonraki faaliyetlere ve yatay yükseltme yönüne odaklanır – istismar edilen bir sistemi Network’te bulunan diğer sistemlere atlamak için bir başlangıç noktası olarak kullanma sürecini anlatacağız.
Bölüm 12, Yetki Yükseltmeleri, Penetrasyon testi uzmanına bir sistemin operasyonlarının tüm yönlerine sahip olmayı öğretir; daha da önemlisi, test cihazının bir ağdaki tüm sistemleri kontrol etmesine izin veren bazı erişim ayrıcalıklarını elde eder.
Bölüm 13, Komuta ve Kontrol, modern teknikleri kullanan bir saldırganın, verilerin saldırganın konumuna sızmasını sağlamak ve saldırının kanıtlarını gizlemek için ne yapacağına odaklanacağız.
Bölüm 14, Gömülü Aygıtlar ve RFID korsanlığı, modern teknikleri kullanan bir saldırganın gömülü aygıtlara ve NFC kartlarına yapılandırılmış bir saldırı gerçekleştirmek için ne yapacağına odaklanacağız.
Son olarak şunları belirtmeliyim ki bu seriden en iyi şekilde yararlanmak için ilerleyen bölümlerde size sunucağım teknikleri uygulamak için VMware veya VirtualBox gibi sanallaştırma araçlarına ihtiyacınız olacak.
Kali Linux işletim sistemini ve araç takımını indirmeniz ve yapılandırmanız gerekecek. Güncel olduğundan ve tüm araçlara sahip olduğunuzdan emin olun. Ne yazık ki, Kali Linux sistemindeki araçların tümü, çok fazla olduğundan ele alınmayacaktır. Bu serinin odak noktası, sizi tüm araç ve seçeneklerle boğmak değil, deneyim ve bilgileriniz zaman içinde değiştikçe yeni araçları öğrenmenize ve dahil etmenize izin verecek bir test yaklaşımı sağlamaktır.
Yine bu seride ki örneklerin çoğu Microsoft Windows’a odaklansa da, metodoloji ve araçların çoğu Linux ve Unix’in diğer çeşitleri gibi diğer işletim sistemlerine aktarılabilir. Son olarak, bu makalelerde Kali’yi hedef sistemlere zarar vermek için kullanacağımız için Lab ortamında hedef işletim sistemine ihtiyacınız olacak.
Serinin diğer makalelerinde görüşmek üzere.