Kurumsal Ağlarda Bile İşe Yarayan Proxy Saldırısı
Kurumsal Vekil İnatçılığı: Kale ve Zayıf Noktaları
Kurumsal ağlar adeta birer kaledir. Yeni nesil güvenlik duvarları, derin paket denetimi (DPI), SSL/TLS engelleme; bunlar sadece moda sözcükler değil, sayısız dijital Odysseuse'un umutlarını suya düşürdüğü surlardır. Standart proxy hileleri (HTTP, SOCKS ve hatta VPN'ler) genellikle hızla engellenir ve girişimci kullanıcıyı 403 hataları ve sessiz paket düşüşleriyle dolu bir denizde sürüklenmeye bırakır.
Ancak bu surların arasında, eğitimsiz gözlerin neredeyse fark edemeyeceği kıvrımlı, ince çatlaklar var. Burada, labirentte bir rota çizerek, gözden kaçan, sıradan ve temel olan şeyleri kullanan bir proxy hack'ini ortaya çıkaracağız: bulut hizmetleriyle alan adı önyüzlemeyi kullanma.
Saldırının Anatomisi: Bulut Sağlayıcıları Aracılığıyla Alan Adı Önizleme
Alan Adı Önyüzleme Nedir?
Alan adı yönlendirme, bir HTTPS isteğinin dışa dönük alan adının (SNI ve Ana Bilgisayar başlıkları), gerçekte erişilen alan adından farklı olduğu bir tekniktir. Bu, İçerik Dağıtım Ağları'nın (CDN'ler) ve bulut sağlayıcılarının tek bir IP adresi arkasındaki birden fazla alan adı için trafiği çoklu olarak işleme biçiminden yararlanır.
- SNI (Sunucu Adı Göstergesi): TLS el sıkışması sırasında gönderilen alan adı.
- Ana Bilgisayar Başlığı: Şifreli el sıkışma sonrasında HTTP isteğinde belirtilen alan adı.
Bu ikisi farklı olduğunda, yalnızca SNI'yi denetleyen ve güvenilir bulut alanlarına trafiğe izin veren birçok kurumsal güvenlik duvarı aşılabilir.
Bu Neden Kurumsal Ağlarda İşe Yarar?
| Kontrol noktası | Geleneksel VPN/Proxy | Alan Adı Önyüzleme |
|---|---|---|
| SNI Denetimi | Onaylanmazsa engellenir | İzin verilen bulut alanı olarak görünüyor |
| DPI Direnci | Zayıf | Güçlü (TLS şifreli) |
| Beyaz listeye alma | Açıkça izin verilmesi gerekiyor | Zaten izin verilen bulut alanlarını kullanır |
| Tespit Riski | Yüksek | Düşük |
Kurumsal ağlar genellikle aşağıdaki gibi etki alanlarını beyaz listeye alır: azureedge.net, cloudfront.net, veya google.com çünkü onları engellemek meşru iş akışlarını bozacaktır.
Proxy'nin Uygulanması: Pratik Kılavuz
1. Önkoşullar
- Bir VPS veya bulut işlevi (AWS Lambda, Google Cloud Run, Azure Functions)
- Alan adı ön yüzünü destekleyen bir CDN veya bulut sağlayıcısı (örneğin, AWS CloudFront, Azure Front Door)
- SNI ve Ana Bilgisayar başlıklarını (örneğin,) belirtme yeteneğine sahip bir istemci, Caddy, GoProxy, veya özel komut dosyaları)
2. Bulut Proxy Uç Noktasını Yapılandırma
Örnek: AWS CloudFront'u kullanma
- Proxy Arka Ucunuzu Dağıtın
Basit bir HTTPS proxy sunucusu dağıtın (örneğin, Gölge çorapları, V2Ray, veya KüçükProxy) VPS'inizde.
-
Bir CloudFront Dağıtımı Oluşturun
-
Menşe Alan Adı: Bunu VPS veya arka uç sunucunuza ayarlayın.
- Alternatif Alan Adları (CNAME'ler): Zararsız, iş açısından kabul edilebilir bir alan adı ekleyin (örneğin,
d3c4w.cloudfront.net). -
SSL Sertifikası: Varsayılan CloudFront SSL sertifikasını kullanın.
-
Ana Bilgisayar Başlıklarının İletilmesini Etkinleştir
CloudFront davranış ayarlarında, Ana Bilgisayar başlığını kaynağınıza iletin.
3. İstemci Tarafı Yapılandırması
Curl Örneği (Test İçin):
curl -k -H "Ana Bilgisayar: your-proxy-backend.com" https://d3c4w.cloudfront.net
Shadowsocks Örneği:
– Sunucu adresini şu şekilde ayarlayın: d3c4w.cloudfront.net.
– İstemcinizdeki SNI'yi şu şekilde ayarlayın: d3c4w.cloudfront.net.
– Host başlığını arka uç etki alanınıza ayarlayacak bir eklenti yapılandırın.
Özel Ana Bilgisayar Başlığına Sahip GoProxy:
goproxy socks -s "ss://method:[email protected]:443" --plugin "host=your-proxy-backend.com""
4. Trafik Akış Şeması
[İstemci] --SNI:cloudfront.net, Host:proxy-backend.com--> [Kurumsal Güvenlik Duvarı (cloudfront.net'e bakın)] --> [CloudFront] --Host:proxy-backend.com--> [Arka Uç Proxy'niz] --> [İnternet]
Uyarılar ve Karşı Önlemler
Sınırlamalar
| Sınırlama | Azaltma |
|---|---|
| Bazı CDN'ler artık alan adı ön plana çıkarmayı kısıtlıyor | Daha az popüler CDN'leri kullanın veya sağlayıcıları döndürün |
| Bulut sağlayıcıları kötüye kullanımı askıya alabilir | Düşük trafikli, kötüye kullanım içermeyen kalıpları kullanın |
| SNI/Ana Bilgisayar denetimi derin ise kesintiler | Karartma eklentilerini kullanın veya geri dönün Uysal |
Tespit Vektörleri
- İzin verilen etki alanlarında alışılmadık Ana Bilgisayar başlıkları
- Beyaz listeye alınmış alan adlarına yüksek trafik hacmi
- Davranışsal analiz (günün saati, trafik kalıpları)
Araçlar ve Kaynaklar
- Gölge çorapları
- V2Ray
- GoProxy
- Caddy Sunucusu
- Tor Meek Takılabilir Taşıma
- AWS CloudFront Belgeleri
- Azure Ön Kapı Belgeleri
- Google Cloud CDN
Tablo: Karşılaştırılan Vekâletten Kaçınma Teknikleri
| Yöntem | DPI Kaçınma | SNI/Ana Bilgisayar Kaçışı | Bulut Beyaz Listeleme | Zorluk |
|---|---|---|---|---|
| AçıkVPN | Zayıf | Zayıf | HAYIR | Düşük |
| Gölge çorapları | Ilıman | Zayıf | HAYIR | Orta |
| Tel Koruması | Zayıf | Zayıf | HAYIR | Orta |
| Alan Adı Önyüzleme | Güçlü | Güçlü | Evet | Yüksek |
| Uysal (Tor) | Güçlü | Güçlü | Evet | Yüksek |
Adım Adım: Alan Adı Tabanlı Bir Proxy'yi Dağıtma
- Bir arka uç proxy'si oluşturun (örneğin, DigitalOcean'daki Shadowsocks).
- Bir CloudFront dağıtımı oluşturun arka ucunuzu işaret ediyor.
- Alternatif CNAME'yi ayarla ve gerektiğinde SSL.
- İstemciyi yapılandırın:
- SNI: CloudFront alanı
- Ana Bilgisayar: Arka uç proxy etki alanı
- Gerekirse bir eklenti veya özel istemci kullanın
- curl veya bir tarayıcı ile test edin (yerel bir SOCKS proxy'si kurun).
Daha Fazla Okuma ve Derinlemesine İncelemeler
- Atlatmak İçin Alan Adı Önizleme
- EFF: Alan Adı Önyüzleme Konusunda Derinlemesine Bir İnceleme
- Meek ile Atlatma
SNI ve Host'un titiz uyumu ve bir kod zanaatkarının şiirsel kesinliği sayesinde, kişi kurumsal nöbetçilerin arasından görünmez, kırılmamış ve bağlanmamış bir şekilde geçebilir.
Yorumlar (0)
Burada henüz yorum yok, ilk siz olabilirsiniz!