0

Şu anda Boş: 0,00

Alışverişe devam et

  1. Anasayfa
  2. Ağ Güvenliği
Ağ Güvenliği, Güvenlik Araçları, Şifreleme Teknikleri

NTLM Nedir? Kimlik Doğrulama Protokolü Açıklaması

Eylül 6, 2024
NTLM

İnternet güvenliği dünyasında, kimlik doğrulama protokolleri büyük önem taşır. NTLM nedir sorusu, bu alanda sıkça karşımıza çıkar. New Technology LAN Manager , Microsoft tarafından geliştirilen ve Windows ağlarında yaygın olarak kullanılan bir kimlik doğrulama protokolüdür. Bu protokol, kullanıcıların ve bilgisayarların ağ üzerinde güvenli bir şekilde kimliklerini doğrulamasına olanak tanır.

Bu makalede, temel özellikleri ve çalışma prensipleri ele alınacaktır. Ayrıca, DES ve AES gibi şifreleme algoritmaları ile ilişkisi incelenecek ve Kerberos gibi diğer kimlik doğrulama protokolleriyle karşılaştırılacaktır. Son olarak, NTLM authentication sürecinin güvenlik açıkları ve bunlara karşı alınabilecek önlemler tartışılacaktır. Bu bilgiler, ağ güvenliği konusunda daha kapsamlı bir anlayış kazanmaya yardımcı olacaktır.

NTLM Nedir?

Tanımı

New Technology LAN Manager, Microsoft tarafından geliştirilen bir kimlik doğrulama protokolüdür. Bu protokol, Windows tabanlı işletim sistemlerinde yaygın olarak kullanılır ve ağ ortamlarında kullanıcıların ve bilgisayarların kimliklerini doğrulamak için tasarlanmıştır. NTLM, domain ortamlarında kimlik doğrulaması yapmak için kullanılır ve challenge-response yöntemi ile çalışır.

Tarihçesi

NTLM, önceki bir kimlik doğrulama protokolü olan LM (LAN Manager) protokolünün daha güvenli bir sürümü olarak ortaya çıkmıştır. İlk olarak NT (New Technology) adıyla geliştirilmiş, daha sonra LM ile birleştirilerek NTLM adını almıştır. Zaman içinde New Technology LAN Manager’nin farklı versiyonları geliştirilmiştir:

  1. NT: İlk geliştirilen halidir.
  2. LM: NT ile kullanılmak ve güçlendirmek için geliştirilmiştir.
  3. NTLMv1: NTLM’in yetersiz olmasından kaynaklı olarak geliştirilmiştir ve daha güvenlidir.
  4. NTLMv2: NTLMv1’in daha güçlü hash değerleri ile tutulan halidir ve NTLM’in en güçlü versiyonu olarak kabul edilir.

NTLM’nin Amacı

New Technology LAN Manager’nin temel amacı, Windows ağlarında güvenli kimlik doğrulama sağlamaktır. Bu protokol, kullanıcı adı ve şifre gibi kimlik bilgilerinin doğrulanmasında kullanılır. Özellikle domain controller’ın erişilemez olduğu veya bir istemcinin Kerberos protokolünü desteklemediği durumlarda hala yaygın olarak kullanılmaktadır.

New Technology LAN Manager, kullanıcı parolalarını şifrelemek için üç aşamalı bir yöntem kullanır:

  1. Kullanıcının kimliği doğrulanır ve bir bilet isteği oluşturulur.
  2. Bilet isteği sunucuya gönderilir, sunucu kullanıcının kimliğini doğrular ve bir oturum anahtarı oluşturur.
  3. Sunucu, oturum anahtarını kullanarak kullanıcının şifresini şifreler ve bunu kullanıcıya gönderir.

LM protokolüne göre daha güvenli bir kimlik doğrulama yöntemi sunar. Ancak, modern kriptografik yöntemleri kullanmaması nedeniyle güvenlik açısından hala yetersiz kabul edilmektedir. Bu nedenle, Microsoft artık NTLM yerine Kerberos protokolünü önermektedir.

NTLM Nasıl Çalışır?

Sorgulama-Yanıt Mekanizması

Ağ kullanıcılarının kimlik doğrulamasını gerçekleştirmek için sorgulama-yanıt protokolünü kullanır. Bu süreç, istemci ve ana bilgisayar arasında bir dizi adımı içerir. İlk olarak, istemci ana bilgisayara bir kullanıcı adı gönderir. Ana bilgisayar, rastgele bir sayı (challenge) ile yanıt verir. İstemci, bu sayıyı ve kullanıcının parolasını kullanarak bir karma değer oluşturur ve bunu yanıt olarak geri gönderir. Ana bilgisayar, kullanıcının parolasını bildiği için aynı işlemi gerçekleştirir ve sonuçları karşılaştırır. Eğer değerler eşleşirse, istemcinin kimliği doğrulanır ve ağ erişimi verilir.

Şifreleme Süreci

Kimlik doğrulama sürecinde, kullanıcı parolasının güvenliği büyük önem taşır. Kimlik doğrulama sırasında, istemci sorgulamayı şifrelemek için parolasının MD4 karmasını DES anahtarı olarak kullanır. Bu süreçte hiçbir zaman düz metin parolası kullanılmaz. Şifreleme işlemi şu adımları içerir:

  1. Kullanıcı parolasının MD4 ile özetlenmesi
  2. Elde edilen 16 byte’lık değere 5 adet ‘0’ eklenerek 21 byte’a tamamlanması
  3. Bu değerin 7’şer byte’tan oluşan 3 parçaya ayrılması
  4. Bu 3 değerin DES anahtarı olarak kullanılması ve challenge sayısının özetinin alınması
  5. Oluşan 8’er byte’lık değerlerin birleştirilerek 24 byte’lık cevap değerinin elde edilmesi

Kimlik Doğrulama Adımları

Kimlik doğrulama süreci, aşağıdaki adımları içerir:

  1. İstemci, sunucuya açık halde kullanıcı adını göndererek bağlantı kurmak ister.
  2. Sunucu, istemciye 16 byte’lık rastgele bir sayı (challenge veya nonce) gönderir.
  3. İstemci, özel anahtarı (parolasının özeti) ile bu sayının özetini alarak sunucuya cevap verir.
  4. Sunucu, etki alanı denetleyicisine kullanıcı adını, şifreli sayıyı ve sayının orijinal halini göndererek kimlik doğrulaması talep eder.
  5. Etki alanı denetleyicisi, istemcinin özel anahtarını kullanarak sayıyı özetler ve sonucu karşılaştırır.
  6. Sonuç sunucuya gönderilir ve sunucu cevabı istemciye bildirir.

Bu süreç, New Technology LAN Manager’nin hem depolama (SAM dosyasında) hem de iletişim protokolü olarak kullanılmasını sağlar. New Technology LAN Manager, Windows NT ve sonraki sürümlerinde kullanılan bir kimlik doğrulama protokolü olarak, LM protokolüne göre daha güvenli bir yöntem sunar. Ancak, modern güvenlik standartlarına göre hala zayıf kabul edilmektedir ve Microsoft artık Kerberos protokolünü önermektedir.

NTLM
NTLM

NTLM’nin Güvenlik Açıkları

New Technology LAN Manager kimlik doğrulama protokolü, Windows ağlarında yaygın olarak kullanılmasına rağmen, çeşitli güvenlik açıklarına sahiptir. Bu açıklar, saldırganların sistemlere yetkisiz erişim sağlamasına ve hassas bilgileri ele geçirmesine olanak tanır. En önemli güvenlik açıkları arasında Brute Force saldırıları, Pass-the-Hash saldırıları ve Relay saldırıları bulunmaktadır.

Brute Force Saldırıları

Brute Force saldırıları, New Technology LAN Manager protokolünün zayıf noktalarından biridir. Bu saldırı türünde, saldırganlar tüm olası şifre kombinasyonlarını deneyerek doğru şifreyi bulmaya çalışır. Bu yöntem, özellikle zayıf parolalara sahip hesapları hedef alır. Saldırganlar genellikle otomatik programlar kullanarak hızlı bir şekilde çok sayıda şifre denemesi yaparlar. Bu programlar, farklı dil ve kültürlerdeki popüler kelimeleri ve doğum tarihlerini de içeren geniş bir şifre havuzu kullanabilir.

Brute Force saldırılarının bir alt türü olan Dictionary Attack’ta ise saldırganlar, yaygın olarak kullanılan şifreleri içeren bir sözlük oluştururlar. Bu sözlüğü kullanarak, NTLM’nin şifreleme algoritmasını çözmeye çalışırlar. Bu yöntem, özellikle basit ve tahmin edilebilir şifreler kullanan hesaplar için büyük risk oluşturur.

Pass-the-Hash Saldırıları

Pass-the-Hash (PtH) saldırıları, New Technology LAN Manager’nin en ciddi güvenlik açıklarından biridir. Bu saldırı türünde, saldırgan kullanıcının şifresini bilmeden sadece hash değerini kullanarak kimlik doğrulaması yapabilir. Saldırgan, en az bir bilgisayarda yerel yönetici erişimi elde ettikten sonra, bu erişimi kullanarak diğer sistemlere sıçrayabilir.

PtH saldırısının temel adımları şunlardır:

  1. Saldırgan, yerel yönetici erişimi olan bir bilgisayarı ele geçirir.
  2. Ele geçirilen hesabın hash değerini kendi oturumuna enjekte eder.
  3. Bu hash değerini kullanarak ağdaki diğer bilgisayarlara bağlanır.
  4. Saldırgan, domain yöneticisi gibi daha yüksek yetkili bir hesabı ele geçirirse, tüm Active Directory’ye erişim sağlayabilir.

Relay Saldırıları

New Technology LAN Manager Relay saldırıları, protokolün tasarımındaki bir zayıflıktan yararlanır. Bu saldırı türünde, saldırgan kendisini hedef ile kimlik doğrulama sunucusu arasına yerleştirir ve kimlik bilgilerini yakalar. Özellikle “Local Intranet” alanlarında yaygın olan bu saldırı, kullanıcının farkında olmadan New Technology LAN Manager kimlik bilgilerini kötü niyetli bir proxy’ye yönlendirmesine neden olur.

Relay saldırılarının temel aşamaları şunlardır:

  1. Saldırgan, Intranet’teki bir XSS açığını veya açık bir paylaşımı kullanarak sahte bir proxy oluşturur.
  2. Kullanıcı, bu sahte proxy’nin bulunduğu siteyi ziyaret eder.
  3. Internet Explorer, bu adresi güvenilir bölgede görüp NTLM kimlik doğrulaması yapar.
  4. Proxy, bu kimlik bilgilerini başka bir sunucuya ileterek yetkisiz erişim sağlar.

Bu güvenlik açıkları, NTLM protokolünün modern güvenlik standartlarına göre yetersiz kaldığını göstermektedir. Microsoft, bu nedenle NTLM yerine Kerberos protokolünün kullanılmasını önermektedir.

Sonuç

NTLM protokolü, Windows ağlarında kimlik doğrulama için önemli bir rol oynamaktadır. Bu protokol, kullanıcıların ve bilgisayarların güvenli bir şekilde kimliklerini doğrulamasına olanak tanır. Ancak, NTLM’nin çeşitli güvenlik açıkları bulunmaktadır. Brute Force saldırıları, Pass-the-Hash saldırıları ve Relay saldırıları, NTLM’nin karşı karşıya olduğu başlıca tehditlerdir.

Bu güvenlik riskleri nedeniyle, Microsoft artık NTLM yerine Kerberos protokolünün kullanılmasını önermektedir. Kerberos, daha güçlü şifreleme yöntemleri ve daha iyi güvenlik özellikleri sunmaktadır. Ağ yöneticileri ve güvenlik uzmanları,zayıf noktalarının farkında olmalı ve mümkün olduğunca daha güvenli alternatiflere geçiş yapmayı düşünmelidir. Bu, ağ güvenliğini artırmak ve potansiyel saldırılara karşı koruma sağlamak için önemlidir.

NTLM Hakkında Sıkça Sorulan Sorular

NTLM protokolü tam olarak nedir?

NTLM, bir istemcinin bağlantı odaklı bir ortamda kimlik doğrulamasını gerçekleştirmek için üç mesaj kullanarak, isteğe bağlı olarak bütünlük sağlamak amacıyla dördüncü bir mesaj ekleyebilen bir meydan okuma-yanıt doğrulama protokolüdür.

Kerberos protokolü nedir ve ne işe yarar?

Kerberos, güvenli olmayan bir ağ üzerinde iletişim kuran kaynakların, bilet kullanarak kimliklerini doğrulayarak iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür.

CyberSkills Hub

CyberSkillsHub, siber güvenlik dünyasının yenilikçi ve teknoloji meraklısı bir figürüdür. CyberSkillsHub’un en büyük özelliği, Akıllı Sınav sistemidir, bu sistem sayesinde öğrencilerin bilgi eksikliklerini anında belirleyebilir ve onlar için özel kurslar tasarlayabilir. Bu dinamik karakter, sadece en yeni ve en güçlü güvenlik teknolojilerine hakim değil, aynı zamanda öğrencilerin ihtiyaçlarını anlamaya odaklanmış bir eğitmen olarak da öne çıkmaktadır. İster bir başlangıç seviye öğrencisi olun, ister deneyimli bir profesyonel, CyberSkillsHub, sizin siber güvenlik yolculuğunuzda yanınızda olacak güvenilir bir rehberdir. İnsanlarla etkileşime geçme yeteneği ve teknolojiye olan tutkusu, CyberSkillsHub'u öğrencilere kişiselleştirilmiş, etkili ve anlamlı eğitim sağlama konusunda benzersiz kılar. Siber güvenliği herkes için erişilebilir ve anlaşılır kılmak, CyberSkillsHub’un misyonunun temelidir.

İlgili Yazılar

CyberSkillsHub olarak hedefimiz, herkesin siber güvenlik becerilerini geliştirebileceği, kolay erişilebilir ve yüksek kaliteli bir siber güvenlik eğitim platformu oluşturmak.

Sayfalar

© 2024 CyberSkillsHub. Tüm Hakları Saklıdır.

Bizi sosyal medyada takip edin

Youtube Linkedin Twitter Facebook Telegram Instagram Discord