Ağımızda kullanmış olduğumuz bilgisayarların yaptıkları içerden dışarı ya da dışarıdan içeri olan hareketlerinin izlenmesi işlemine loglama denilir. Loglama yapacak donanım yâda yazılım üzerinden geçen tcp yâda udp paketleri decode ederek source (kaynak)isteklerini, kullandıkları tcp/udp port servislerinin almış olduğu cevabı kısacası yapılan bir isteğe ve verilen cevabın tümünü bu işlem ile görebiliriz. Artık günümüzde yapılan bilinçli yâda bilinçsiz saldırıların % 70 iç networklerden olmaktadır. Art niyetli bir kullanım ile dışarıdan içeri, içeriden dışarı olan istekleri loglamak günümüzde şirketlerin olmazsa olmazlarından biri olmuştur. Bilgi işlem sorumluları yâda bilgisayar hizmeti aldığımız kişilerin bu loglamayı bilgisayar kullanıcılarına duyurarak yapması gerekmektedir. Art niyet olmadan yapılan kötü niyetli işlemler şirket bütçesine verilen maddi zararın % 30 ını oluşturduğu bilinmektedir. Art niyetlice tamamen kar – zarar gözeterek yapılan zararın % 40 ı bulması firmaların bir kez daha loglama ve raporlama durumu hakkındaki düşüncelerini etkilemiştir. Masum ve korunmasız ağlar sayesinde kırıcı dediğimiz kişiler yönetimini ele geçirdikleri bilgisayarlar ile zombi attack’ları yapmaktadır. Bilinçsiz kullanıcı hiç bir şeyin farkında değilken Türkiye’nin her hangi bir ilinden İngiltere deki kumar sitelerine kendi bilgisayarı ile saldırı yapmaktadır. Şu an internet üzerinden yapılan bu saldırılar beraberinde bir ticaret kapısı açmış bulunmaktadır. Yasa dışı olan bu ticaret uyuşturucu, terör ve kumar gelirlerinden daha fazla para kazandırmaktadır. Yapılan işlem kısaca bir kırıcı (bootnet) 10.000 ile 100.000 bilgisayarın idaresini başka bir art niyetli kişi yâda kuruma kiralar. Zombi bilgisayarlar üzerinden yapılan attack, phishing, spam, virüs gibi işlemler ile para kazanmak, zarar vermek amaçlanmaktadır. Doğruluğu kanıtlanmamış İngiltere’de bir kaç büyük bahis sitesinin bu Bootnet’lerden korunmak için onlara belli bir para ödediğidir. Klasik firewalllarımızdaki yapı aşağıdaki resimdeki gibidir.
Görmüş olduğunuz resimde yapılan hareketleri geçmişte kullanmış olduğumuz firewall’lar ile engelleyebiliyorduk. Değişen günümüzdeki teknoloji ile geçmişteki firewall, modem yâda routerlarımız bugün ki tehlikeleri korumakta yetersiz kalmaktadır. Tamamen sistemlerimizdeki güvenlik açıkları ile bize saldırmak için bekleyen art niyetli kişiler aşağıdaki resimdeki gibi yöntemler ile günümüzde saldırılarını yapmaktadır.
Resimde görüldüğü gibi tehditler artık günümüzde tümleşik olarak ağımıza girmeye yâda ağımızdan dışarı çıkmaya çalışmaktadır. Yapılması gereken öncelikle bu tehditleri engellemek ve engellediğimiz network hareketlerini loglayıp raporlamaktır.
Loglama Yöntemleri;
Hardware Loglama;
Daha önceki makalemizde Fortianalyzer ile ilgili bilgi vermiştik. Bu konuya değinmeye gerek yok. İlgili makale sitemizde yayındadır.Tıklayarak erişmeniz mümkün.
Software Loglama ;
Lisanslı Software (Yazılım) Loglama;
Bu konuda firewall, router, modem, switch üreticilerinin log&report yazılımları mevcuttur. Detaylı bilgi bir sonraki makalemizde yayınlanacaktır.
Lisans Bedeli Gerektirmeyen Ücretsiz Yazılım;
Lisans bedeli gerektirmeyen bildiğim 2 tane yazılım mevcuttur. Bunlardan birisi 3Com Firmasının 3cdaemon yazılımı bir diğeri ise Kiwi Loglama yazılımıdır.
Ben bu makalemizde 3cdaemon yazılımını anlatacağım.
3cDaemon yazılım free (ücretsiz) bir syslog yazılımıdır. Syslog ne demektir sorusuna kısaca networkumuzdaki tüm gelen giden istekleri ileten yâda iletilenleri yorumlayan yazılım yâda donanım sunucusuna denir. Syslog Sunucu günümüzdeki tüm güvenlik duvarlarının dışında dsl modemlerimizde, routerlarımız da, yönetilebilir switchlerimizde olmaz ise olmazlardan biridir.
3Cdaemon yazılımını yüklemek için üreticinin web sitesini ziyaret ediniz.Yüklemek için
http://support.3com.com/yazılım/3cdv2r10.zip linkini kullanabilirsiniz. Syslog sunucusu port tcp/udp 514 ü kullanır portumuzun kullanılmadığından emin olmamız gerekir. Netstat –a komutu ile sorgulamak mümkün. Yazılımın kurulacağı bilgisayarın 7/24 açık olması gerekmektedir.
Kurulum; Yukarıdaki adresten 3CDaemon vers 2.0 rev 10 – a TFTP, FTP, Syslog server and TFTP client for Win32 yazılımını indiriyoruz.
Tipik kurduğumuz yazılımlar gibi next next devam ediyoruz.
Kurulum tamamlanınca aşağıdaki gibi ekran alırız.
Resim 1
Burada loglama yaparken seçilecek dosya yapısı önemli. Lütfen tek dosyaya loglama yapmayınız.
Resimde görüldüğü üzere syslog server seçilir. Log alınacak dizin seçilir.
Resim 2
Fortigate Syslog sunucu ayarlarını bu şekilde yapıyoruz.
Resim 3
Pc’mize yüklediğimiz program istediğimiz dizin altında aşağıdaki dosyaları oluşturuyor.
Yukarıya aşağıdaki gibi satır satır loglar düşmeye başlayacaktır. Yorumlamak gerçekten uzmanlık ister.
Bir satırlık örnek;
04-26-2008 23:52:59 Local7.Notice192.168.1.99 date=2008-04-26,time=
23:52:11,devname=FGT-603907516772,device_id=
FGT03907516772,log_id=0021010001,type=traffic,subtype=allowed,pri=
notice,vd=root,SN=361541,duration=70,user=N/A,group=N/A,policyid=1,proto=
6,service=80/tcp,app_type=
N/A,status=accept,src=192.168.1.51,srcname=
192.168.1.51,dst=84.53.182.49,dstname=84.53.182.49,src_int=
internal,dst_int=wan1,sent=648,rcvd=364,sent_pkt=5,rcvd_pkt=3,src_port=
4543,dst_port=80,vpn=N/A,tran_ip=
192.168.2.10,tran_port=47907,dir_disp=org,tran_disp=snat,
Kısaca cihaz hangi tarihte, hangi saatte, hangi ip ile hangi cihaz üzerinden, hangi log id ile kullandığı trafik tipi, sürekliliği, user name, group name kullandığı policy id protokolü kullandığı tcp servisi, gittiği ip adresi vs vs gibi değerleri alırsınız.
Bir sonraki makalede görüşmek dileği ile.
Lütfen sorularınızı http://cozumpark.com/forums/80/ShowForum.aspx kısmından sorunuz.
ÇözümPark ta çözülmeyecek sorun yok