2. BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
@BGASecurity
BGA | Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
4. Ağ Trafiği Üzerinde Loglama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Network forensics çalışmalarının temeli
• İnternetin tamamı loglanabilir mi?
• Tamamen pasif loglama
• Silinme riski yok!
• Performansa etkisi olumsuz yönde yok (pasif loglama)
• SSL kullanılmadığı takdirde tüm sistemlere ait tüm detaylar ağ trafiği içerisinden
elde edilebilir
• Örnek yazılımlar :
o Netwitness, ngrep , Xplico , Tcpdump, Wireshark
5. TAP
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• TAP = Traffic Access Point
• Paket çoğullayıcı
• Donanımsal
• Sniffer/IDS Kullanımında yaygın
6. TAP Kullanımı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• En sık sniffer yerleşiminde tercih edilir
• IDS(Saldırı Tespit Sistemi) için zorunluluk
• Trafik analizi, izleme amaçlı
• Compliance, DLD(Data Leakage Detection)
• SPAN işleminin sınırlı sayıda olması
o Network yöneticileri SPAN alır, güvenlikciler analiz yapacak yer bulamaz.
o Inline ya da pasif olabilir.
7. Sniffing İçin SPAN Port Kullanımı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Switched Port Analyzer (SPAN)
Port mirroring(aynalama), port monitoring olarak da adlandırılır
• Switch yapısının hub’dan farklı olmasından dolayı düşünülmüş bir teknoloji
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml
8. Sniffer Araçları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Farklı protokolleri izlemek ve hassas bilgileri ayıklamak amacıyla çeşitli sniffer yazılımları geliştirilmiştir.
• Açık kaynak kodlu araçlar
Tcpdump
Wireshark, Tshark
Ngrep
Dsniff (urlsnarf, mailsnarf,…..)
Snort
Xplico
• Ticari araçlar
Eyee Iris
Netwitness
9. Sniffer Olarak Tcpmdump
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• UNIX Tabanlı popüler sniffer yazılımı
Windows icin windump
• Libpcap tarafından alınan ham veriler tcpdump tarafından işlenerek okunabilir hale gelir.
• Tamamen ücretsiz bir yazılım.
• Sorun giderme , trafik analizi, hacking amaçlı kullanılabilir.
10. Tcpdump Kurulumu
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux dağıtımları ile birlikte gelir.
• Windows için Winpcap kurulu olmalıdır.
• Konsoldan
o Tcpdump komutunu çalıştırdığınızda hata vermiyorsa sistemde kurulu demektir.
11. Ön Bilgiler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux/UNIX altında tcpdump programını kullanabilmek için ya root haklarına sahip
olmak lazım ya da tcpdump programının suid olarak çalışması lazım.
• Tcpdump, paketleri kernel'a giriş-çıkış yapmadan yakalar bu sebeple iptables(Linux
için) ile yazdığınız kurallar tcpdump'ı etkilemez.
12. Temel Kullanım
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpdump komut satırından çalışan bir araç olduğu için parametreler oldukça önemlidir.
• Uygun parametreler ve filtreler kullanılırsa yoğun trafikte bile istenilen amaca kolaylıkla ulaşılabilir.
• Tcpdump’ın ihtiyaç duyduğu temel parametreler:
Hangi ağ arabirimini dinlemek istersiniz?
İp adreslerinin host isimlerinin çözülmesini ister misiniz?
Ne kadar (süre, sayı) paket yakalamak istersiniz?
• Tcpdump parametre verilmezse tüm paket ve protokolleri ekrana basmaya başlayacaktır.
13. Parametresiz Kullanım Örneği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Parametresiz kullanımda tcpdump oldukça yavaş cevap verecektir.
• Yoğun bir sunucu ise ekranda akan paketlerden asıl erişilmek istenen paketler yakalanamayacaktır.
15. Arabirim Seçimi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpdump ile herhangi bir arabirimi dinlemek için arabirim adının –i parametresi ile verilmesi gerekmektedir.
• -any parametresi aktif tüm ağ arabirimlerini dinlemek için kullanılır.(Linux için)
16. İsim Çözümleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpdump ön tanımlı olarka yakaladığı ip adreslerinin host isimlerini çözerek göstermeye çalışır.
• Bunun için yakaladığı her paket için DNS sunucuya sorgu gönderir.
• Bu işlem yogun trafik altındaki sunucularda tcpdump’ı yavaşlatır.
root@bt:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:32:04.227213 IP tunnel.siberguvenlik.org.https > 94.55.169.17.49793: Flags [P.], seq 1062644000:1062644196, ack
3243674105, win 277, options [nop,nop,TS val 1029719930 ecr 811500890], length 196
10:32:04.234050 IP tunnel.siberguvenlik.org.60873 > google-public-dns-a.google.com.domain: 56302+ PTR? 17.169.55.94.in-
addr.arpa. (43)
10:32:04.235222 IP 94.55.169.17.49793 > tunnel.siberguvenlik.org.https: Flags [.], ack 0, win 65535, options [nop,nop,TS val
811500910 ecr 1029719929], length 0
17. Tcpdump İsim Çözümleme(me)
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• -n parametresi kullanılarak tcpdump’a yakaladığı ip adreslerini olduğu gibi göstermesi
(isimlerini bulmadan) söylenebilir.
• Bu tcpdump’ı daha performanslı çalıştırır.
root@bt:~# tcpdump -i eth0 -n -c 5
10:34:27.763201 IP 85.95.238.172.443 > 94.55.169.17.49793: Flags [P.], seq 1062653896:1062654092, ack 3243674885, win 277,
options [nop,nop,TS val 1029755814 ecr 811644236], length 196
10:34:27.769419 ARP, Request who-has 85.95.243.74 tell 85.95.243.1, length 46
10:34:27.769942 IP 94.55.169.17.49793 > 85.95.238.172.443: Flags [.], ack 0, win 65535, options [nop,nop,TS val 811644264 ecr
1029755812], length 0
10:34:27.771197 IP 85.95.238.172.443 > 94.55.169.17.49793: Flags [P.], seq 424:860, ack 1, win 277, options [nop,nop,TS val
1029755816 ecr 81
18. Yakalanan Paketleri Kaydetme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpdump'ın yakaladığı paketleri sonradan incelemek üzere dosyaya yazılabilir.
• Dosya formatı libpcap uyumludur.
-w parametresi kullanılır.
-c ile kaç adet paket yakalanacağı
-C ile kaydedilen dosyaların ne büyüklükte olacağı belirlenebilir.
19. Kaydedilmiş Paketleri Okuma
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• -w ile kaydettiğimiz paketleri okumak içinde -r parametresini kullanılır.
• -r ile okuma yapılırken istenilen filtrelemeler kullanılabilir.
20. Paket Detaylarını Loglama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• -v parametresi ile tcpump'dan biraz daha detaylı loglama yapmasını isteyebiliriz.
• Örnek olarak bu parametre ile tcpdump çıktıları TTL ve ID değerleri ile birlikte
edinilebilir.
• Yine protokol başlık bilgilerinde yer alan detay bilgiler –v, -vv parametresiyle
ekrana basılabilir.
21. Filtrelerle Çalışmak
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• host Parametresi
Sadece belli bir host a ait paketlerin izlenmesini istiyorsak host parametresi ile belirtim yapabiliriz.
dst host (Hedef Host Belirtimi)
src host (Kaynak Host Belirtimi)
# tcpdump src host 10.1.0.59 and dst host 10.1.0.1
22. Filtrelerle Çalışmak
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Port parametresi
belirli bir portu dinlemek istediğimizde kullanacağımız parametredir. Host gibi src ve dst
oneklerini alabilir.
src ile kaynak portu dst ile hedef portu belirtebiliriz . dst ya da src önekini kullanmazsak hem
kaynak hemde hedef portu alır.
# tcpdump src port 23 and dst port 9876
23. Filtrelerle Çalışmak
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Şartlı ifadeler
o And
o Or
o Not
• # tcpdump -i eth0 -n not tcp port 22 or host 192.168.1.1
24. Layer 2 Başlıklarını Görüntüleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpdump ön tanımlı olarak ip adres ve port bilgilerini gösterir.
• Tcpdump’a MAC adreslerini göstermesini istersek –e parametresini kullanabiliriz.
25. Paket İçeriği (Payload) Görüntüleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• -x ya da –X parametreleri kullanılır.
• Tek paket içerisindeki veri kısmını gösterebilir.
26. İleri Seviye Tcpdump Kullanımı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• DDoS saldırı analizinde tcpdump kullanımı
• ISP’lerde spam gönderim istatistikleri çıkarma amaçlı tcpdump kullanımı
• Tcpdump’ı IDS olarak kullanma
27. SYN Bayraklı TCP Paketlerini Yakalama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
#tcpdump -n –i eth0 'tcp[13] == 2'
30. Traceroute Paketlerini Yakalama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Traceroute programları IP başlığındaki TTL alanını kullanarak çalışır.
• Genellikle bu TTL alanları hedef sisteme ulaştığında 2,1, 0 gibi değerler alır.
• Tcpdump ile bu değer kontrol edilerek Traceroute çalışmaları belirlenebilir.
31. SSL ve Ağ Trafiği Loglama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İşi bozuyor! Neden?
• Tüm cihazları bypass edebilir
• Network IPS sistemlerinin en temel problemi
o Örnek IPS testi
• Hem içerden dışarı hem dışardan içeri günümüz internet dünyasının en temel
problemlerinden biri.
32. IPS SSL Atlatma Çalışması
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
33. Web Sunucu Loglarından Saldırı Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Apache ve IIS günümüzde en yoğun kullanılan web sunucu yazılımlarıdır.
34. Web Sunucu Loglarından Saldırı Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Her iki web sunucu yazılımı da temel düzeyde loglama imkanı sağlamaktadır.
• Web sunucu loglarından analiz yapabilmek için bazı temel bilgilere ihtiyaç vardır.
• Loglar neleri kapsamaktadır, hangi saldırı tipleri ne detayda bu loglarda yer alabilir.
• Standart loglardan görünmeyen karmaşık saldırılar için neler kullanılmalıdır?
35. HTTP Başlık Bilgileri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• HTTP’de bağlantıyı yöneten başlık bilgileri ve bağlantının taşıdığı veri kısmı vardır
• HTTP başlık bilgisi istek ve cevaplarda farklı olabilir
HTTP
İsteği
HTTP
Cevabı
36. HTTP Metodları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
DELETE
GET
POST
HEAD
PUT
OPTIONS
TRACE
CONNECT
37. HTTP GET
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
GET kullanılarak yapılan istekler sunucu loglarında gözükecektir.
38. HTTP POST
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Sunucu loglarında gözükmez
Modsecurity gibi bileşenlerde görülebilir
39. Web Log Analizinde Güvenilir Bileşenler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Web sunucu log analizinde tüm başlık bilgileri güvenilir olmayabilir.
• Hangileri güvenilir değil?
• Kullanıcı tarafında değiştirilebilen tüm başlık bilgileri güvenilmezdir.
• X- başlık bilgileri
• User-agent
• Referrer
40. Sahte X Başlık Bilgisi Örneği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• SMTP başlık bilgisinde bulunan Received-by satırı maili kimin gönderdiği
konusunda yeterli detay vermektedir. Bazı e-posta hizmet sağlayıcıları
kullanıcıların ip adresini saklamak için değişik yöntemler kullanır.
• Hotmail web arabirimi kullanılarak gönderilen e-postalara browser üzerinden maili
gönderene ait ip adresi bilgisini "X-Originating-IP" başlık satırı kullanarak
eklemektedir.
• Çoğu adli bilişim analiz çalışmasında bu başlık bilgilerine güvenilerek işlem
yapıldığı olmuştur.
• Oysa X- ile başlayan başlık bilgileri ara sistemler tarafından eklenen ve kolaylıkla
değiştirilen bilgilerdir.
43. Hotmail X-Originating IP Sahteciliği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
44. Web Sunucu Log Detayları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Apache ve diğer web sunucular ön tanımlı olarak POST isteklerinde gelen değerleri loglamazlar.
• Bunun için mod_forensic gibi ya da mod_security gibi ek bileşenler kullanılmalıdır
• Web sunuculara yönelik POST üzerinden gerçekleştirilecek saldırıları yakalamak için ek olarak WAF,
Load Balancer, IPS gibi ürünlerin loglarına başvurmak gerekebilir.
45. Web Sunucu Log Örnekleri - POST
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Standart yapılandırmaya sahip bir web sunucu logları incelendiğinde POST istekleri
aşağıdaki gibi bir çıktı verecektir.
• Log satırları detaylı incelenirse POST isteği içerisinde gönderilen veri kısmı
(payload) ile ilgili herhangi bir bilginin olmadığı görülecektir.
127.0.0.1 – - [04/Mar/2012:02:10:10 -0500] “POST /dvwa/login.php HTTP/1.1″ 302 454
“http://localhost/dvwa/login.php” “Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1″
46. Web Sunucu Log Örnekleri - POST
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
POST isteğini detaylı olarak incelendiğinde (Network üzerinden) hangi kullanıcı adı ve parola
bilgilerinin girildiği ortaya çıkmaktadır. Bu detay web sunucu loglarında gözükmeyecektir.
Web sunucu loglarında sadece hangi URL’e istek yapıldığı bilgisi kayıt altına alınır.
T 127.0.0.1:47635 -> 127.0.0.1:80 [AP]
POST /dvwa/login.php HTTP/1.1.
Host: localhost.
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1.
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8.
Accept-Language: en-us,en;q=0.5.
Accept-Encoding: gzip, deflate.
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7.
Connection: keep-alive.
Referer: http://localhost/dvwa/login.php.
Cookie: security=high; XpLiCo=i68o2ejvm6jnp3b9pv083i4mi7; PHPSESSID=uvn4olrlfd6sckjhe4eea4jno4.
Content-Type: application/x-www-form-urlencoded.
Content-Length: 49.
username=admin&password=hatali_parola&Login=Login
47. SQL Injection İncelemesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• SQLi saldırı tanımı : Uygulamaların veri tabanı ile ilişkili olan kısımlarının manipüle
edilerek veri tabanında sorgu çalıştırma işlemi.
• Veri tabanıyla ilişkisi olan tüm girdi noktalarında SQLi zafiyeti bulunabilir.
• Web uygulaması özelinde:
• GET isteğinde (URL’de)
• POST isteğinin veri(Payload) kısmında
48. SQL Injection Saldırısı - Detay
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• SQL Injection saldırıları ile hedef sistem ele geçirilebilir, hedef sistemdeki
doğrulama (form based) aşılabilir, hedef sistemde kullanılan veri tabanına ait
tablolar ve diğer bilgilere erişim sağlanabilir.
• SQL Injection saldırıları web üzerinden yapılsa da aslında saldırının istismar
aşaması tamamen veri tabanına yöneliktir.
• Veri tabanından nasıl bilgi çekileceğini bilmeyen biri için saldırı çok bir şey ifade
etmez.
• En fazla görülen ve en tehlikeli saldırı tiplerinden biridir.
49. Örnek SQL Injection Denemesi ve Log Kaydı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
200.96.104.241 - - [12/Sep/2006:09:44:28 -0300] "GET
/modules.php?name=Downloads&d_op=modifydownloadrequest&%20lid=-
1%20UNION%20SELECT%200,username,user_id,user_password,name,%20user_email,user_
level,0,0%20FROM%20nuke_users HTTP/1.1" 200 9918 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
50. GET İsteği Üzerinden SQLi İncelemesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• HTTP GET kullanılarak gerçekleştirilen SQLi saldırıları loglarda olduğu gibi gözükecektir.
• Bazı durumlarda saldırgan çeşitli encoding teknikleri kullanarak saldırıyı gizlemeye çalışır.
• Günümüzde kritik SQLi zafiyetlerinin çoğu POST detaylarında bulunur.
51. POST Üzerinden SQLi İncelemesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Daha önce de belirtildiği gibi POST üzerinden giden detaylar web sunucu loglarında gözükmeyecektir.
• Aşağıdaki log satırında herhangi bir anormallik gözükmemektedir.
• Oysa POST ile gönderilen veri kısmı incelenirse SQL I saldırısı olduğu anlaşılabilir.
127.0.0.1 – - [04/Mar/2012:02:10:10 -0500] “POST /dvwa/login.php HTTP/1.1″ 302 454
“http://localhost/dvwa/login.php” “Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1″
52. POST Üzerinden SQLi İncelemesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
T 127.0.0.1:47632 -> 127.0.0.1:80 [AP]
POST /dvwa/login.php HTTP/1.1.
Host: localhost.
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1.
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8.
Accept-Language: en-us,en;q=0.5.
Accept-Encoding: gzip, deflate.
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7.
Connection: keep-alive.
Referer: http://localhost/dvwa/login.php.
Cookie: security=high; XpLiCo=i68o2ejvm6jnp3b9pv083i4mi7; PHPSESSID=uvn4olrlfd6sckjhe4eea4jno4.
Content-Type: application/x-www-form-urlencoded.
Content-Length: 234.
.
username=ECYH%252C%2528SELECT%2520%2528CASE%2520WHEN%2520%25282167%253D2167%2529%2520THEN%2520E
CYH%2520ELSE%25 202167%252A%2528SELECT%25202167%2520FROM%2520INFORMATION_SCHEMA.CHARACTER_SETS %
2529%2520END%2529&password=parola&Login=Login
53. HTTP POST İsteği Veri Kısmı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• URL encode edilmiş veri decode edilirse aşağıdakine benzer bir SQL sorgusu olduğu ortaya
çıkacaktır.
• Bu tip POST isteği kullanılarak gerçekleştirilen saldırılar Ağ tabanlı IPS/IDS sistemleri ya da
WAF/Load Balancer sistemler kullanarak da belirlenebilir.
ECHO SELECT … CASE … WHEN … THEN ECYH ELSE SELECT FROM
INFORMATION_SCHEMA.CHARACTER_SETS AND password=parola&Login
55. Basit UNIX Araçlarıyla Web Log Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Bu yöntemde önemli olan logların arasından ne tip özellikte olanlarını bulmak istediğimizi belirlemektir.
• Milyonlarca satır log arasında ne aradığını bilmeyen birinin samanlıkta iğne arayandan farkı yoktur.
• Linux araçlarıyla log analizi yapabilmek için öncelikle log içerisinde ne aradığınızı teknik olarak ifade
edebiliyor olmak gerekir.
56. Saldırı Olarak Değerlendirilebilecek Durumlar
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırı yapılan sunucuya özel bazı dizin/dosyaların istenmesi
• Mesela WordPress gibi sistemlerde genellikle /wp-admin gibi dizinler ya da wp-
login.php gibi dosyalara yönelik brute force denemeleri gerçekleştirilir.
• Saldırı imzası olarak /wp-admin ve wp-login.php gibi kelimeleri arattırırsak saldırı
yapanların bir kısmı belirlenmiş olunur.
57. Belirli Dosya Dizinlerin İstenmesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Bazı durumlarda saldırganı ulaşmaması gereken yerlere ulaştığında belirleyebiliriz.
Wordpress için wp-login.php sayfasını normal bir kullanıcı çağırmaz.
• Grep kullanarak belirli dizinlerin veya dosyaların istendiğini loglar arasından
çıkartabiliriz.
# grep wp-login.php mertsarica-access_log |head
94.55.164.119 - - [15/Sep/2012:20:32:51 +0300] "GET /wp-
login.php?redirect_to=http%3A%2F%2Fwww.mertsarica.com%2Fwp-admin%2F&reauth=1 HTTP/1.1" 200 6299 "-" "Mozilla/5.0
(Macintosh; Intel Mac OS X 10.7; rv:15.0) Gecko/20100101 Firefox/15.0.1"
94.55.164.119 - - [15/Sep/2012:20:32:52 +0300] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 200 6986
"http://www.mertsarica.com/wp-login.php?redirect_to=http%3A%2F%2Fwww.mertsarica.com%2Fwp-admin%2F&reauth=1"
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:15.0) Gecko/20100101 Firefox/15.0.1"
94.55.164.119 - - [15/Sep/2012:20:32:52 +0300] "GET /wp-admin/css/wp-admin.css?ver=3.4.2 HTTP/1.1" 200 22741
"http://www.mertsarica.com/wp-login.php?redirect_to=http%3A%2F%2Fwww.mertsarica.com%2Fwp-admin%2F&reauth=1"
58. Bağlantı Kuran IP Adres ve Sayıları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Sunucu üzerinde deneme gerçekleştiren ip adreslerinin normalin üzerinde
bağlantı sayısına sahip olması beklenir.
• Aşağıdaki komutla Apache loglarında hangi ip adresi kaç adet bağlantı
gerçekleştirmiş (top 10) ortaya çıkarılabilir.
# cat siber-access_log |awk -F ” ” ‘{print $1}’|sort -n|uniq -c|sort -nr|head 3556
9.6.2.2 1527 9.2.4.1 1142 1.1.2.8 1055 193.2.2.1 1046 9.1.2.1
59. Directory Traversal Denemelerini Bulma
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Web üzerinden gerçekleştirilebilecek önemli saldırı yöntemlerinden birisi web üzerinden sistemdeki
dosyaları okuma olarak tanımlayabileceğimiz LFI(Local File Inclusion) saldırılarıdır.
60. LFI / RFI Tespit Etme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Web üzerinden gerçekleştirilen LFI vs saldırılarını loglardan yakalamak için ara
bileşen olarak kullanılan ../ .. gibi özel ifadeleri aratmak yeterli olacaktır.
• Yine burada hatırlanması gereken önemli nokta bu karakterler GET isteği
üzerinden taşındığı zaman web sunucu loglarında yer bulacaktır.
61. LFI ve Directory Traversal Log Örneği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
62. Web Sunucu Log Analizinde Cevaplar
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Burada önemli olan bu tip isteklere web sunucunun döndüğü cevaptır .
• Web sunucu 404 değil 300 veya 200 lü cevap dönüyorsa saldırının başarılı olmuş
olma ihtimali vardır.
• 404 alınıyorsa bu saldırganın denediği atakların başarılı olmadığı, sunucu tarafında
bulunmadığı anlamına gelir.
63. SQLi Denemelerini Yakalama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• SQLi denemelerini web sunucu loglarından yakalamak için genellikle tercih edilen
yöntem sqli için kullanılan kelimeler ve evasion amaçlı kullanılan özel karekterlerin
web sunucu loglarından aratılmasıdır.
• SQLi aratmak için Concat, char, union, select, order by, group by gibi komutlar ‘
denenebilir.
• Bu kelimeleri log dosyasında aratmak false positive sonuçlar çıkarabileceği için
çıkan sonuçların teker teker incelenmesi gerekir.
• Burada yine sadece GET üzerinden denenen sqli saldırılarının loglarından anlamlı
bir şeyler çıkacağını belirtmemiz gerekiyor.
65. Command Execution Denemeleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Eğer saldırgan başarılı bir şekilde sisteme sızmayı başardıysa ilk işi Linux
sistemde çalıştırılacak temel komutları id, whoami, wget, /etc/passwd vs
denemek olacaktır.
• Bu komutları sistemde çalıştırarak saldırganın sisteme erişim sağlayıp
sağlayamadığı belirlenebilir.
66. Log Toplama Sistemleri ve Performans
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Loglama sistemleri kullanılarak dos gerçekleştirilebilir mi
• Aktif cihazlar üzerinde loglama yapılmamalı
• Loglama yaptırarak disk doldurulabilir mi
67. Güvenlik Sistemlerinde Loglama / Performans
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Güvenlik duvarı her gelen paketi(SYN, FIN, ACK …) loglamalı mıdır?
• Evet / Hayır
• IPS(Saldırı Engelleme Sistemi) oturum kurulmamış TCP paketlerini loglarsa
performans açısından sıkıntı çıkabilir.
• Normal şartlarda IPS kuralları sadece oturum kurulmuş bağlantıları inceler. (TCP
için)
• Gönderilecek paketlerde oturum kurulmadan saldırı imzası taşıyan paketler
gönderilirse ne olur?
69. Bilgi Güvenliği Bileşenleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
C.I.A.
Confidentiality
AvailabilityIntegrity
Confidentiality
Integrity Availability
70. En Önemli Bileşen : Avaliability
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Erişilebilirlik olmadan güvenlikten söz edilemez!
En güvenli sistem fişi çekilmiş sistemdir!
Confidentiality
AvailabilityIntegrity
Confidentiality
Integrity Availability
71. Bilinmesi Gerekenler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Gelen DDOS saldırısı sizin sahip olduğunuz bant genişliğinden fazlaysa yapılabilecek çok şey yok!
• DDOS saldırılarının büyük çoğunluğu bant genişliği taşırma şeklinde gerçekleşmez!
• Bazı saldırı tiplerinde karşı tarafın gönderim hızı düşürülebilir
Gürcistan DDOS saldırısı 200-800 Mbps arası
72. DoS / DDoS Hakkında Yanlış Bilgiler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Bizim Firewall DOS’u engelliyer
• Donanım tabanlı firewallar DOS’u engeller
• Bizim IPS DOS/DDOS’u engeller
• Linux DOS’a karşı Windows’dan daha dayanıklıdır
• Biz de DDOS engelleme ürünü var, her tür saldırıyı engeller
• Bizde anti virüs programı var, DDoS saldırıları için zombi olmayız
• DOS/DDOS Engellenemez
• DDoS saldırıları sadece ISP seviyesinde engellenebilir.
73. DoS / DDoS Saldırı Çeşitleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• TCP SYN, FIN, ACK Flood
• Dns Flood
• Udp Flood
• ICMP Flood
• Http GET/POST Flood
• Slowloris DoS Saldırısı
• SIP Flood
74. DDoS Saldırı Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırı olduğunu nasıl anlarız?
Sistemimiz açılmıyordur, çalışmıyordur
• Saldırı yapan bulunabilir mi?
• Saldırının tipini nasıl anlarız
Tcpdump, awk, sort, uniq
Ourmon anormallik tespit sistemi
75. DDoS Saldırı Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• DDoS saldırılarında dikkate alınması gereken iki temel husus vardır.
İlki saldırıyı engelleme
ikincisi saldırının kim tarafından ne şiddette ve hangi yöntemler, araçlar kullanılarak
yapıldığının belirlenmesidir.
• Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir
Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış
olmalı
76. DDoS Analizi İçin Gerekli Yapının Kurulması
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Amaç DDoS saldırılarında otomatik olarak devreye girip saldırıya ait delil olabilecek
paketlerin kaydı
• Saldırı anında paketler kaydedilirse saldırıya ait tüm detaylar istenildiği zaman
öğrenilebilir
• Paket kaydı hedef sistem üzerinde (Windows/Linux) veya ağ ortamında TAP/SPAN portu
aracılığıyla yapılabilir
• Paket kaydında tcpdump, Wireshark kullanılabilir
77. DDoS Analizi İçin Gerekli Yapının Kurulması
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
78. Distributed Denail of Service
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Netflow tabanlı ddos algılama
Flow (src/dst IP/port, protocol, ToS, interface – payload yok!)
(90% TCP, 8% UDP, <1% ICMP/GRE/Ipsec/diğerleri - 50% küçük paketler)
79. Saldırı Analizinde Cevabı Aranan Sorular
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Gerçekten bir DDoS saldırısı var mı?
• Varsa nasıl anlaşılır?
• DDoS saldırısının tipi nedir?
• DDoS saldırısının şiddeti nedir?
• Saldırı ne kadar sürmüş?
• DDoS saldırısında gerçek IP adresleri mi spoofed IP adresleri mi kullanılmış?
• DDoS saldırısı hangi ülke/ülkelerden geliyor?
80. Saldırı Analizinde Kullanılan Araçlar
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Tcpstat
• Tcpdstat
• Tcptrace
• Tcpdump, Wireshark
• Ourmon,
• Argus
• Urlsnarf
• Snort
• Aguri
• Cut, grep, awk, wc gibi UNIX araçları
81. MRTG / RRD Grafikleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Normal Trafik
DDOS 1. Gün
DDOS 2.Gün
83. DDoS Saldırılarında Delil Toplama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• DDoS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir.
• Kaydedilen trafik miktarına bağlı olarak ciddi sistemlere(CPU, RAM, Disk alanı
bakımından) ihtiyaç olabilir.
• Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS, DDoS engelleme
Sistemi, Firewall) yapılmamalıdır.
• Tüm paket detayları kaydedilmelidir!
o Tcpdump –s0
84. Paket Kaydetme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Paket kaydetme için Linux/FreeBSD üzerinde tcpdump en uygun seçenektir.
• Windows üzerinde Wireshark ya da windump tercih edilebilir
• 10 Gb ortamlarda klasik libpcap yerine alternatif kütüphaneler tercih edilmelidir.
85. Tcpdump ile DDoS Ataklarını Kaydetme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• #tcpdump –n -w ddostest1.pcap –C 2000 –s0
• -n isim-ip çözümlemesi yapma
• -w ddostest1.pcap dosyasına kaydet
• Dosya boyutu 2GB olduktan sonra başka dosyaya yaz
• -s0 pakete ait başlık ve payload bilgilerini kaydet
86. DDoS Saldırı Tipi Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Amaç yapılan saldırının tipini belirlemek
• Hangi protokol kullanılarak gerçekleştirilmiş
o TCP mi? UDP mi? ICMP mi?
• İlk olarak protokol belirlenmeli
• Protokol tipini belirlemek için tcpdstat aracı kullanılabilir
o tcpdstat -n ddos.pcap
87. Tcpdstat İle DDoS Tipini Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
[2] tcp 529590 ( 98.59%) 178126550 ( 99.60%) 336.35
[3] smtp 238109 ( 44.33%) 14288975 ( 7.99%) 60.01
88. Tcpdstat İle DDoS Tipini Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
89. Saldırıda Kullanılan Protokol Bilgisi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Belirlendikten sonraki aşama hangi ip adreslerinden saldırının yapıldığı
o Spoof ip kullanılmış mı sorusunun cevabı
94. HTTP GET Flood Saldırısı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için
kullanılması gereken parametreler.
• #tcpdump -n -r ddos3.pcap tcp port 80 and ( tcp[20:2] = 18225 )
• Veya urlsnarf programıyla kaydedilen pcap dosyası okutularak hangi URL’in hangi
ip adresleri tarafından istendiği belirlenebilir.
95. Saldırının Şiddetini Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırının şiddetini iki şekilde tanımlayabiliriz
o Gelen trafiğin ne kadar bant genişliği harcadığı
o Gelen trafiğin PPS değeri
• PPS=Packet Per Second
• Tcpstat aracı kullanılarak trafik dosyaları üzerinde saldırının PPS değeri, ne kadar
bantgenişliği harcandığı bilgileri detaylı olarak belirlenebilir.
97. Saldırı Kaynağını Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın
bulunamamasıdır.
• Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak
kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof
edilmiş IP adreslerinin kullanılmasıdır.
• Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed
IPler mi olduğu rahatlıkla anlaşılabilir.
98. Spoof IP Belirleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırının gerçek IP adreslerinden mi Spoof edilmiş IP adreslerinden mi
gerçekleştirildiği nasıl belirlenebilir?
Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing
seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket
gönderildiği görülecektir.
• Fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri
kullanılarak gerçekleştirildiği varsayılabilir.
99. Spoof IP Belirleme - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Tek cümleyle özetleyecek olursak:
Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
100. Saldırıda Kullanılan Top 10 IP Adresi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırıda en fazla paket gönderen 10 IP adresi aşadağıdaki script ile bulunabilir.
• Sol taraf IP adresi, sağ taraf ise ilgili IP adresinden saldırı boyunca kaç adet paket
gönderildiğidir.
101. HTTP GET Flood Saldırısında Kullanılan IP Adresleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• HTTP GET flood saldırılarında IP spoofing yapmak mümkün değildir.
• Bir sistem HTTP isteği gönderebilmesi için öncelikli olarak 3lü el sıkışmasını
tamamlaması gerekmektedir.
• Günümüz işletim sistemi/ağ/güvenlik cihazlarında 3’lü el sıkışma esnasında TCP
protokolünü kandırarak IP spoofing yapmak mümkün gözükmemektedir.
• Dolayısıyla HTTP GET flood saldırıları analizinde saldırı yapan IP adresleri %99
gerçek IP adreslerdir.
102. HTTP Flood Yapan IP Adresleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
103. Tshark Kullanarak HTTP GET Flood Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
root@bt:~# tshark -R http.request -T fields -e ip.src -e http.request.method -e http.host -e http.request.uri
Capturing on eth0
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
85.95.238.172 GET www.lifeoverip.net /
104. Saldırıda Kullanılan IP Adresleri Hangi Ülkeden
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
107. Loglama ve 5651 Sayılı Kanun
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
108. Loglama ve T.C. Kanunları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• T.C.K’ları içerisinde loglama konusuna değinecek bazı maddeler bulunmaktadır.
• En ciddi kanun maddesi olarak 5651 sayılı kanunla birlikte gelen loglama
maddeleridir
• Genellikle yanlış anlaşılır
• Ağ trafiğinde loglama kimi yerlerde “özel hayatın gizliliği” ilkesiyle çakışır
o Bu gibi durumlarda özel hayatın korunması ilkesi ağır basar.
109. 5651 Sayılı Kanun
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• 5651 sayılı “Internet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ve kanuna dayalı
yürürlükteki yönetmelikler
• 2007 yılında tasarlandı
o Aynı yıl içerisinde kanunun maddelerini daha anlaşılır hale getiren çeşitli
yönetmelikler yayınlanarak yürürlüğe girdi
• Yerli “Big Brother” olarak algılandı
o Teknik olarak yetersiz maddeler bulunmakta
110. 5651 Tanımlar
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Erişim sağlayıcı: Internet toplu kullanım sağlayıcılarına ve abone olan
kullanıcılarına internet ortamına erişim olanağı sağlayan işletmeciler ile gerçek
veya tüzel kişileri.
o Internet erişimi sağlayan ISP’ler, GPRS üzerinden internet erişim hizmeti veren
GSM firmaları.
111. Erişim Sağlayıcı Yükümlülükler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Erişim sağlayıcı trafik bilgisi: İnternet ortamına erişime ilişkin olarak abonenin adı,
adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi,
sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili
bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri,
• a) Herhangi bir kullanıcısının yayınladığı hukuka aykırı içerikten, 5651 sayılı Kanun
ve ilgili mevzuat hükümlerine göre Başkanlıkça haberdar edilmesi halinde ve
teknik olarak engelleme imkânı bulunduğu ölçüde erişimi engellemekle,
112. Erişim Sağlayıcı Yükümlülükler - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• b) Sağladığı hizmetlere ilişkin olarak, Başkanlığın Kanunla verilen görevlerini yerine
getirebilmesi için;
• Erişim sağlayıcı trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu,
bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile
birlikte muhafaza etmek ve gizliliğini temin etmekle, …
• … ve ticari amaçla internet toplu kullanım sağlayıcılar için belirli bir IP bloğundan
sabit IP adres planlaması yapmakla ve bu bloktan IP adresi vermekle,
113. Erişim Sağlayıcı Yükümlülükler - 3
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Kullanıcılarına vekil sunucu hizmeti sunuyor ise; vekil sunucu trafik bilgisini bir yıl
saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya
bütünlük değerlerini zaman damgası ile birlikte muhafaza etmek ve gizliliğini
temin etmekle,
• Vekil sunucu trafik bilgisi: İnternet ortamında erişim sağlayıcı tarafından kullanılan
vekil sunucu hizmetine ilişkin talebi yapan kaynak IP adresi ve port numarası,
erişim talep edilen hedef IP adresi ve port numarası, protokol tipi, URL adresi,
bağlantı tarih ve saati ile bağlantı kesilme tarih ve saati bilgisi gibi bilgileri.
114. Erişim Sağlayıcı Yükümlülükler - 4
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• MSISDN-IP Logları:
• MSISDN=Cep telefonu numarası
• Bu kanunda net yazılmamış fakat kanunun amacı göz önünde bulundurulduğunda
olması gerekenlerden.
• Tanımı yapılan “ERİŞİM SAĞLAYICI TRAFİK BİLGİSİ” de abonenin telefon nosu ve
adresi gibi bilgiler istenmekte.
• Bu bilginin verilebilmesi için MSISDN bilgisi tutulmalıdır.
115. 5651 | İçerik Sağlayıcı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya
veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri,
• Pratikte kimleri kapsar?
o Site sahibi olup genele yayın yapan herkes.
o E-posta listeleri, blogların sahibi de bu kapsama girmektedir.
116. İçerik Sağlayıcı Sorumlulukları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten
sorumludur.
• İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak,
sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu
içeriğe ulaşmasını amaçladığı açıkça belli ise, genel hükümlere göre sorumludur.
117. 5651 | Yer Sağlayıcı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İnternet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten
gerçek veya tüzel kişileri,
• Hosting firmaları ya da benzeri işi yapan tüm firmalar
118. Yer Sağlayıcı Yükümlülükleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu,
bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile
birlikte saklamak ve gizliliğini temin etmekle, ...
• Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz
konusu olup olmadığını araştırmakla yükümlü değildir.
119. Yer Sağlayıcı Yükümlülükleri - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Yer sağlayıcı trafik bilgisi: İnternet ortamındaki her türlü yer sağlamaya ilişkin
olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa
adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri,
• http, ftp ve smtp icin detay bilgi isteniyor.
o Http ve ftp için url, Smtp için basit smtp başlık bilgileri.
• Log Türleri :
HTTP log
FTP log
Mail log
120. 5651 | Log Detayları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İçerden dışarı yapılan bağlantılarda değil,
o Özel hayatın gizliliğini ihlal ediyor
• Internete hizmet veren sistemlere gelen web, ftp ve mail paketleri için log isteniyor
• HTTP için
o GET ve POST istek detayları
o Web sunucu yazılımları POST detaylarını loglamaz
o Ara sistemlere ihtiyaç vardır
121. 5651 | Internet Toplu Kullanım Sağlayıcı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan
gerçek ve tüzel kişileri.
• Internet erişimi sağlayan her şirket bu kapsama giriyor. Halka açik kablosuz ağlar
da bu kapsama girer.
122. I.T.K Sağlayıcı Yükümlülükleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• I.T.K=Internet Toplu Kullanım Sağlayıcı
• a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
• b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.
o DHCP logları
o DHCP kullanılmıyorsa IP-MAC ikilileri
123. 5651 | Ticari Amaçlı Internet Toplu Kullanım Sağlayıcı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Internet salonu ve benzeri umuma açık yerlerde belirli bir ücret karşılığı internet
toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda
bilgi ve beceri artırıcı veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân
sağlayan gerçek ve tüzel kişileri,
• Internet kafeler
124. 5651 Sayılı Kanun İncelemesi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Kanunda temel olarak iki eksik nokta var:
o Sayısal zaman damgasını kurumun kendisinin basıyor olması içeriğini istediği
zaman değiştirip tekrar basabileceği anlamına gelir.
o Genel olarak sistemlerin NAT yapısında çalıştığı düşünülürse suç işleyen bir şirket
çalışanını bulmak neredeyse imkansızdır
• Neden?
125. Örnek Olay
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• X şirketi çalışanı politik düşüncelerini ifade etmek için Y sitesine yorum yazıyor
• Y sitesindeki bu yorumu okuyan politikacının tepesi atıyor ve X şirketindeki bu
şahsa dava açmak istiyor
o Y sitesini barındıran firmadan loglar alınır
o Yorumun yazıldığı saate bakılarak yorumun hangi ip adresinden geldiği belirlenir.
o X firmasının IP adresi olduğu belirlenerek X firmasına gelinir
o X firması güvenlik sistemlerinde NAT yapısı kullandığını belirterek istenen
logları(DHCP, ip-mac) verir.
o Analizi yapan mühendisin elinde yorumun yazıldığı saate dair NAT tablosu
olmadığı için içerden kimin bu yorumu yazdığını bulamaz
o Tüm bilgisayarların disk imajları alınarak merkeze götürülür…
126. Diğer TCK Maddeleri - 1
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
127. Diğer TCK Maddeleri - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
129. Bölüm İçeriği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Router ve işlevi
o OSI ve TCP/IP’deki görevleri
• Firewall ve kullanım amaçları
o Firewall çeşitleri
o OSI ve TCP/IP’deki görevleri
o Örnek firewall kuralları ve analizi
o Firewall log analizi
• IPS ve kullanım amaçları
o Firewall, IPS farklılıkları
o Örnek IPS, ADS kuralı geliştirme çalışmaları
o IPS loglarını yorumlama
130. Sınır Koruma Evrimi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Routerler üzerine yazılan erişim kontrol listeleri(ACL)
• Güvenlik duvarlarının gelişimi
o Durum korumasız güvenlik duvarları
o Durum korumalı (Stateful packet inspection)
• Saldırı Tespit Sistemleri(IDS)
• Saldiri Engelleme (IDP) Sistemler
• Application Firewalls
o Web Application Firewall
• Log Tabanlı IDS
o Ossec
• DLP(Veri Sızma Engelleme)
o Snort, OpenDLP
131. Router (Yönlendirici)
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Ağlar arası yönlendirme işlevini yerine getirir
• Basit sistemlerdir
o Gelen paketin sadece hedef IP bilgisine bakarak işlem yaparlar
o Oturum bilgisi tutmazlar
o Çok hızlı çalışırlar
• Bazı routerlar(günümüzdeki tüm routerlar) ACL adı verilen ek paket engelleme
özelliklerine sahiptir.
• ACL özelliğini kullanmak sistemleri yorar
o Paketin başka bilgilerine de bakılacak
• Linux/UNIX sistemler de yönlendirici vazifesi görebilir
o Çeşitli ek yazılımlarla
132. Router Üzerinden Log Toplama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• İki çeşit log toplanabilir
o Akan trafik logu
o Router’a yapılan erişimlerin logu
• Router’a ait tüm bilgiler uzaktan SNMP aracılığıyla edinilebilir.
o CPU durumu
o Yük durumu
o Ağ arabirimlerine ait trafik durumları
133. CISCO Router Config Değişiklik Logu
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
134. CISCO Router ACL Log Örneği
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik
135. Adli Bilişim İnceleme Açısından Router
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Genellikle kurumsal ortamlarda routerlar sadece problem esnasında log
toplayacak şekilde yapılandırılır
• Router logları Firewall loglarından daha fazla bilgi vermeyeceği için genellikle adli
bilişim çalışmalarında kullanılmaz
• Router’ın kendisine yapılacak bağlantı logları –eğer durum router’i ilgilendiriyorsa-
önem kazanır.
136. Netflow
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Trafik bilgisi toplama amaçlı kullanılır
• Cisco tarafından geliştirilmiş ve endüstri standartı haline gelmiş bir ağ
protokolüdür
• Değişik üreticiler Netflow’u örnek larak kendi flow protokollerini geliştirmiştir.
o Jflow or cflowd for Juniper Networks
o NetStream for 3Com/H3C|HP
o NetStream for Huawei Technology
o Cflowd for Alcatel-Lucent
o Rflow for Ericsson
138. NetFlow - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Flow mesajlarının gönderilmesi için Genellikle UDP veya SCTP kullanılır
• Bir flow aşağıdaki bileşenleri taşır
• Versiyon numarası, sıra numarası, input-output interface, byte ve paket sayısı
• Layer 3 başlıkları
o Source ip, destination ip , source-destination port, ip protocol, TOS,
o TCP ise bayrak bilgileri de taşınır
139. NetFlow Sampling
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Her gelen paket için bir adet flow kaydı göndermek flow toplayıcı sistemleri ve
gönderici sistemleri yorar
• Cisco, hem alıcı hem de gönderici tarafların performans sıkıntısı yaşamaması için
her gelen paket için değil de rastgele seçilmiş paketler için flow gönderim işlemi
yapar.
• Bir flow içerisinde kaç adet paket gönderileceği ayarlanabilir.
140. Durum Korumasız Güvenlik Duvarı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Durum Korumasız Güvenlik Duvarı(Non stateful Firewall)
•Kaynak IP Adresi
•Kaynak Port numarası
•Hedef IP Adresi
•Hedef Port Numarası
142. Durum Korumalı Güvenlik Duvarı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Durum Korumalı Güvenlik Duvarı(stateful Firewall)
•Kaynak IP Adresi
•Kaynak Port numarası
•Hedef IP Adresi
•Hedef Port Numarası
•Oturum Bilgisi
Oturum başlatan kim?
Gelen paket hangi
oturuma ait?
TCP Bayrakları bağlantı
aşamasına uygun mu?..
143. Durum (state) Korumalı Firewall
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• OpenBSD Packet Filter
o Keep state, modulate state, synproxy state
o Iptables -> ESTABLISHED
pass in quick on $ext_if proto udp from any to $ext_if port 53 keep state
144. Firewall Log Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Firewall’un temel iki amacından birisi log tutmaktır
o Kim ne zaman nereye erişti
o Kim ne zaman nereye erişmeye çalıştı, başarılı olamadı.
• Log tutma Firewall yapısına göre dikkatlice karar verilmesi gereken önemli bir
husustur
o Log tutarken sistem performansını zora sokabilir
o Log kesinlikle ayrı bir sistem üzerinde tutulmalıdır.
• Nasıl alınır?
o Syslog aracılığıyla
o Özel protokoller kullanılarak(opsec)
145. CheckPoint Firewall Log Formatı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Time | Action | Firewall | Interface | Product| Source | Source Port | Destination |
Service | Protocol | Translation | Rule
Örnek:
14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12
s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49
14:55:20 accept gw.foobar.com >eth1 product VPN-1 & Firewall-1 src 10.5.5.1
s_port 4523 dst xxx.xxx.10.2 service http proto tcp xlatesrc xxx.xxx.146.12 rule 15
resource=http://xxx.xxx.10.2/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
147. Firelwall Log Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• CheckPoint Firewall logu
• Pakete ait L3, L4 bilgileri edinilebilir.
148. NetScreen
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
İçerik0 Emergency System is unusable
1 Alert
Action must be taken
immediately
2 Critical Critical conditions
3 Error Error conditions
4 Warning Warning conditions
5 Notification
Normal but significant
conditions
6 Informational Informational conditions
7 Debugging Debugging-level messages
149. NetScreen Log Formatı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Paket Filtreleme Kuralı
Feb 5 19:39:42 10.1.1.1 ns25: Netscreen device_id=00351653456 system-notification-00257(traffic):
start_time="2003-02-05 19:39:04" duration=0 policy_id=320001 service=1434 proto=17 src zone=Untrust dst
zone=Trust action=Deny sent=0 rcvd=40
• Audit Logu
Feb 7 14:37:30 10.1.1.1 ns25: NetScreen device_id=00351653456 system-warning-00515: duration=0
start_time="2003-02-07 14:37:04" netscreen: Admin User "netscreen" logged in for Web(https) management
(port 443) from 12.146.232.2:3473. (2003-02-07 14:34:32)
150. Juniper SRX Firewall Logları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Web Filter izin verilmiş URL Logu
Sep 9 16:34:48 utmd[1140]: WEBFILTER_URL_PERMITTED: WebFilter: ACTION="URL Permitted"
192.168.9.231(3509)->80.239.230.137(80) CATEGORY="News" REASON="by predefined category"
PROFILE="test_webfilter" URL=i1.nyt.com OBJ=/images/misc/nytlogo379x64.gif
• IDP Attack Logu (Drop)
Sep 12 11:21:16 RT_IDP: IDP_ATTACK_LOG_EVENT: IDP: at 1315815676, SIG Attack log <192.168.9.231/41231-
>74.125.39.105/512> for ICMP protocol and service SERVICE_IDP application NONE by rule 1 of rulebase IPS in
policy test_block. attack: repeat=0, action=DROP, threat-severity=INFO, name=ICMP:INFO:ECHO-REQUEST, NAT
<192.168.1.9:52740->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:trust:fe-
0/0/7.0->untrust:ge-0/0/0.0, packet-log-id: 0 and misc-message -
151. Juniper SRX Audit Logu
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Sep 12 13:57:04 sshd[7185]: Accepted password for root from 192.168.1.51 port 8316 ssh2
Sep 12 13:57:08 mgd[7203]: UI_AUTH_EVENT: Authenticated user 'root' at permission level 'super-user'
Sep 12 13:57:08 mgd[7203]: UI_LOGIN_EVENT: User 'root' login, class 'super-user' [7203], ssh-connection '192.168.1.51 8316
192.168.1.9 22', client-mode 'cli'
Sep 12 13:57:09 mgd[7203]: UI_CMDLINE_READ_LINE: User 'root', command 'configure '
Sep 12 13:57:09 mgd[7203]: UI_DBASE_LOGIN_EVENT: User 'root' entering configuration mode
• Audit logu 1) Firewall’a giriş 2) Kural ekleme
Jul 24 05:49:40 mgd[3638]: UI_CMDLINE_READ_LINE: User 'root', command 'set security policies from-zone trust to-zone
untrust policy test_policy match source-address any destination-address any application junos-ftp '
Jul 24 05:50:09 mgd[3638]: UI_CMDLINE_READ_LINE: User 'root', command 'set security policies from-zone trust to-zone
untrust policy test_policy then deny log session-close session-init '
Jul 24 05:50:11 mgd[3638]: UI_CMDLINE_READ_LINE: User 'root', command 'commit '
152. IPS
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Saldırı Engelleme Sistemi
• Genellikle L2 modda çalıştırılır
• Pakete ait bilgilere L2-L7 arasındaki tüm katmanlarda bakarak aksiyon alabilir
• Aksiyon tipleri
o Engelle ve cevap dön:RST
o Engelle ve cevap dönme
153. IPS Loglama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• IPS’ler genellikle statefull yapıda çalışır
• Yani TCP bağlantılarında üçlü el sıkışma tamamlanmadan veri içeriğine bakmaz
o Gönderilen PUSH paketi içerisinde yer alan “/etc/passwd” paketini
engellememesi gerekir.
• Eğer iyi yapılandırılmamışsa loglama IPS sistemi için performans sıkıntılarına yol
açabilir.
o McAfee IPS örneği
155. IPS Loglama Detaylı
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Engellediği saldırılara ait detay paket kayıtları gerekmektedir.
Bunu da genelde pcap formatında yaparlar
158. İçerik
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux ağ servisi logları
• Linux sistemlerde güvenlik olaylarının logları
• Başarılı başarısız giriş deneyimleri
159. Sistem Ağ Analiz Çalışmaları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Ağ servisleri üzerinden yapılan giriş deneyimleri
• Linux loglama altyapısı
• Log dosyalarının içeriklerinin değişikliğe uğratılmaması
• Sistem üzerinde yüklü yazılımların ağ hareketlerinde bulunması ve fark edilmesi
160. Linux Sistemlerde Loglama
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Temelde iki tür loglama vardır
o Syslog aracılığıyla loglama
o Kernel audit logu açma
• Kernel audit logu açma çok sık tercih edilen bir yöntem değildir
• Bilinen tüm Linux/UNIX sistemler syslog aracılığıyla log üretme/toplama yapar.
161. /var/log Dizini
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Linux sistemlerde log dosyalarının tutulduğu ana dizindir
162. Genel Linux Logları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
auth.log – Authentication info
boot.log – Boot info
crond – Scheduled cron tasks
daemon.log – Daemon specific alerts like, dhcpd, gnome-session, ntfs-3g
dmesg – Kernel specific messages
errors.log – As you may have guess this logs errors
everything.log – A misc. catch all log
httpd – Apache access and error logs
mail.log – Mail server logs
messages.log – General system alerts
mysqld.log – MySQL database log
secure – Security log
syslog.log – A log for the log system
vsftpd.log – A log for the FTP server, vsftpd
163. /var/log/messages
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Ana log dosyasıdır
• Sistemle ilgili temel loglar bu dosyaya yazılır
• Bir anormallik olduğunda ilk bakılması gereken log dosyasıdır
• Dosya içeriği text olduğu için herhangi bir editörle incelenebilir
164. Tail / Head Komutları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux sistemlerde bir dosyayı baştan veya sondan okutmak için kullanılır
o Tail -50 dosya
Dosya’nın son 50 satırını göster
o Head -100 dosya
Dosyanın ilk 100 satırını göster
• Tail –f komutuyla log dosyasına eklenen son satırlar anlık olarak gösterilir.
165. /var/log/auth.log
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• SSH servisi ve bu servisi kullanarak sistme yapılan erişimlerin loglandığı dosyadır
• Sisteme SSH üzerinden yapılacak girişler bu dosya tarafından loglanır
166. Başarısız Giriş Deneyimleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Faillog komutuyla edinilebilir.
• /var/log/faillog dosyası ikili bir dosya olduğu için text editörler tarafından okunamaz
#file faillog
faillog: data
167. Sisteme Son Güncel Girişler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Lastlog komutuyla edinilebilir
• /var/log/lastlog dosyası ikili dosya
olduğu için text editörler
tarafından okunamaz
169. Apache Logları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Genellikle yeri her Linux dağıtımı için farklı olsa da /var/log/apache dizini veya
/var/log/httpd dizini altında yer alır
• Httpd.conf dosyasındaki yapılandırmaya göre log tutar
170. Apache Logları - 2
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• GET metodu kullanılarak yapılan HTTP isteklerinde tüm bilgiler logda gözükecektir.
• POST metodu kullanılarak yapılan HTTP isteklerinde sadece post için kullanılan
URL bilgisi loglarda gözükecektir.
• Post detaylarının gözükmesi için ek bileşenler kurulmalıdır
o Modsecurity gibi.
171. Ağ Servisleri ve Ağ Hareketleri
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux sistemlerde ağ hareketleri ağ arabirimleri üzerinden gerçekleştirilir.
• En basit yoldan Linux sistemdeki ağ hareketleri ifconfig komutuyla öğrenilebilir.
172. Ağ Hareketlerini İzleme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Tcpdump yazılımı yüklü ise tcpdump komutu çalıştırılarak hangi ip
hangi port üzerinden nereye iletişim kuruyor belirlenebilir.
173. Sistemdeki Socket Durumları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Bir bağlantı varsa bu bağlantı socketler aracılığıyla gerçekleştirilir
• Netstat komutuyla socket durumları hakkında detaylı bilgi alınabilir
174. Ağ Bağlantılarını Kullanan Servisler
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
Netstat –p parametresiyle hangi port hangi servis tarafından kullanılıyor bilgisine ulaşılabilir.
175. Audit Log ile Syslog Farkları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Syslog sistem tarafında log atmak ve almak için kullanılan bir bileşendir.
• Syslog’a nelerin, hangi işlemlerin log atılacağı tamamen uygulamanın yazarının
tercihidir. Bu şekilde olan bir sürecte tam bir kayıt altına alma işlemi
gerçekleşmeyecektir.
• Audit log uygulamanın veya kullanıcıların yaptığı her işlemin çekirdek tarafında
loglanmasını sağlar
• Syslog olayın olduğunu loglarken , audit bir olay olmadan ÖNCESİNİ ve SONRASINI
da kayıt altına alabilmektedir.
• Audit logu syslog üzerinden merkezi sistemlere aktarılabilir.
176. Windows Sistemlerde Log Yönetimi ve Analizi
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem
işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder.
• Event Viewer, Administrative Tools içinde bulunan bir seçenektir. Event Viewer
içinde değişik olayları tutmak için birçok Log yer alır.
• Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur.
• Sistem düzeyinde oluşan bilgiler System Log’unda,
• Uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur.
177. Windows Server Logları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• System Log: Windows Server sistem bileşenleri tarafından sebep olunan hatalar,
bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin
çalışmaması gibi temel hatalar bu Log’a kaydedilir.
• Application Log: Uygulamalar tarafından neden olunan hatalar bu logda tutulur.
Örneğin, bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga
yazılır.
• Security Log: Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır.
178. Security Log Detayları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Sistemin başlatılması.
• Sistemin kapatılması.
• Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri.
• Bilinmeyen kullanıcıların adları ve parolaları.
• Account yönetimi ile ilgili işlemler.
• Password süresinin aşılması.
• Bir dosyanın açılması.
• İzin düzenlemeleri.
• Domain düzenlemeleri.
• Kullanıcı bilgilerinin düzenlenmesi.
• Grup üyeliklerinin düzenlenmesi.
179. System ve Application Log Detayları
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Information: Başarılı olarak yüklenmiş uygulama, sürücü veya servis hakkında bilgi
verir.
• Warning: Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi
verir.
• Error: Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını
bildiren Loglardır.
• Security Event Tipleri
• Success: Başarılı bir şekilde istenilen işlem gerçekleştirilmiş.
• Failure: Başarısız olarak gerçekleşmiş.
185. Windows Ekranını Kaydetme
Log Yönetimi ve Saldırı Analizi
@BGASecurity
BGA | SOME
• Linux komut satırından çalıştığı için tüm yapılan işlemler loglanabilir.
• Windows adminleri genellikle arabirim kullandığı için klasik audit araçlarıyla
loglanamaz, izlenemez.
• Windows sistemlerin denetimi için ekran görüntüsü alan ve kaydeden programlar
kullanılabilir.