Güvenlik

Kullanıcı Aktivitelerinin Loglanması Bölüm – 1


 


Log  yönetimi projelerinde gün geçtikçe  önemi artan konulardan birisi de firma çalışanlarımızın aktivitelerinin log kaydının  tutulması ve oluşabilecek bir suiistimalin önüne geçilmesi veya tespitidir. Yaşanan suiistimal, saldırı ve bilgi sızdırma vakalarına bakıldığında kaynağın  büyük oranla şirket çalışanlarının olması, konunun ne derece önemli ve üzerinde hassasiyetle   durmamız gerektiği  noktasında   biz IT çalışanlarına bilgi vermektedir. Yönetmiş olduğumuz sistemlerdeki  yetkili/yetkisiz erişim denemelerinin tespiti, kanıt  dokümanlarının  sunulması, uyarı mekanizmalarının (mail, sms v.b)  kurulması ve bunun  sonucunda  ilgili aksiyon planının  alınması gerekmektedir. Şunu da belirtmek gerekir ki  kullanıcı  aktivite loglarının alınması derken kesinlikle özel hayatı ilgilendiren  durumlar   bu  kapsama  girmemektedir.  Yani  msn yazışmaları, kişisel mail içerikleri, voip veya analog  ses görüşmeleri  bu kapsamın dışındadır. Burada önemli olan şirket çalışanlarımızın kullanımına sunmuş olduğumuz sistemlerde neler yaptıklarının loglanması ve oluşabilecek  herhangi bir suistimal veya savcılık  vakasında yerinde, zamanında ve  doğru tespitin yapılmasıdır. Yaşadığımız şu dönemin para birimi olarak nitelendirilen bilginin ne derece önemli olduğunu  ne kadar farkındayız acaba. Bir çalışanımızın, arge çalışmalarını rakip bir firmaya veya bir banka personelinin,  müşteri bilgilerini hacker gruplarına belli çıkar karşılığında vermesinin bedelinin çok ağır öderiz. Bu bedel bazen telaffuz dahi edemeyeceğimiz rakamlara ulaşırken bazen de bir şirketin, geri getirilemeyecek prestij kaybına uğramasına sebep olabilir.

 



 


Bu noktada kullanıcı aktivitelerinin loglanmasında kapsam belirlenmelidir. Yani çalışanlarımıza tahsis ettiğimiz bilgisayarlarda ne gibi aktiviteleri loglayacağız, kısaca bunlardan bahsedelim; 

 



 


Yetkili/Yetkisiz Erişimler  : Kullanıcı bilgisayarlarına veya  sunuculara yapılacak olan şifre denemelerinin, c$ bağlantı girişimlerinin loglanması ve alarm mekanizmalarının kurulu olması gerekmektedir. Örneğin Database admin personeline ait bilgisayara bir takım hack tool kullanarak verilen password listesinde yer alan şifreler arka arkaya denenerek girilmeye çalışılıyorsa event loglardan bu durumun tespitinin yapılıp ilgili personele ve güvenlik ekibine bu bilginin iletilmesi gerekmektedir. 

 



 


Çalışan Uygulamalar  :   Çalışanların kullanmış oldukları programlardan haberdar olunmalı, bizim için  risk  teşkil eden yazılımların  çalıştırılması  halinde realtime  haberimiz olacak  sistemlerin kurulu  olması  gerekir. Örneğin bir kullanıcının internetten Cain.exe download  edip, bunu bulunduğu networkde çalıştırması, arp spoof veya arpoising  yapıp şifre toplama, voip trafiğini  dinleme v.b  girişimde bulunması halinde ilgili uygulamanın tespit edilmesi, çalışan uygulamanın durdurulması ve  kim tarafından çalıştırıldığının hem hostname hem de username bazlı tespitinin yapılması sağlanmalıdır.  

 



 


image001


 



 



 


image002

 



 



 


3.       Logon/Logoff Bilgileri : Hangi kullanıcının, hangi bilgisayarda, günün hangi  saatinde logon/logoff olduğunun log kaydının tutulması yaşanacak vakalarda doğru  adresi bulmamız  açısından faydalı olacaktır. Aşağıdaki tabloda yer alan even id açıklamaları bu konularda bize faydalı olacaktır.

 



 








































Olay No

 


Katagori

 


Açıklama

 


675

 


Oturum Açma

 


Etki alanı sunucusunda oluşan 675 no’lu olay genellikle kullanıcının yanlış şifre girdiğini gösterir. Tam olarak neden işlemin başarısız olduğunu Hata Kodu’na bakarak öğrenebilirsiniz.

 


676 (veya hatalı 672)

 


Oturum Açma

 


676 diğer başarısız kimlik doğrulama olayları için loglanır. Kerberos hata kodlarına bakarak neden başarısız olduğunu öğrenebilirsiniz. Not: Windows 2003 Server başarısız Kerberos olaylarını 676 olarak loglar.

 


681 (veya başarısız 680)

 


Oturum Açma

 


Etki Alanı Sunucusu üzerindeki 681 nolu olay NTLM ile yapılmış başarısız doğrulamayı gösterir. Not: Windows 2003 Server 681 yerine başarısız 680 nolu olayı loglar.

 


642

 


Hesap Yönetimi

 


642 nolu olay ilgili kullanıcı hesabında yapılan değişiklikleri (Şifre Sıfırlama / Hesap Etkinleştirme) gösterir. Detaya bakarak tam olarak ne yapıldığını görebilirsiniz.

 


632, 636, 660

 


Hesap Yönetimi

 


Bu üç olay bahsedilen kullanıcının Global (632), Local (636) veya Universal (660) bir gruba eklendiğini gösterir.

 


624

 


Hesap Yönetimi

 


Yeni bir kullanıcı hesabının yaratıldığını gösterir.

 


644

 


Hesap Yönetimi

 


Bahsedilen kullanıcı hesabının arka arkaya yapılan hatalı logon girişimi yüzünden kitlendiğini gösterir.

 


517

 


Sistem Olayları

 


Yönetici haklarına sahip bir kullanıcının Güvenlik Kayıdını (security log) sildiğini gösterir.

 



 


4.       Taşınabilir Bellek : Çalışanlarımızın usb disk v.b taşınabilir aygıtlara ne gibi  verileri kopyaladığı, yaşanacak  bir  bilgi  sızdırmada  kimin, nasıl yaptığı ile alakalı ciddi bilgiler verebilir. 

 



 


5.       Uzak Erişimler : Günümüzde kullanımı her geçen gün artan Vpn  v.b. uzak erişim sağlayan teknolojilerin yaygınlaşması  sonucu  riskleri de beraberinde getirmektedir. Erişimlerin özellikle mesai saatleri  dışında  gerçekleşmesi  sebebi ile erişim sırasında nelerin yapıldığı, ne  gibi değişikliklerin gerçekleştiğinin log kaydının  tutulması  hatta  ekran  kaydının alınması gerekmektedir.  Vpn erişimi  sırasında  yapılacak  bir uyarı mekanizması ile  kullanıcıya  yapmış olduğu işlemlerin  ekran  görüntüsünün alınacağının  bildirilmesi hem kötü  niyetli kullanıcıyı  caydırma, hemde oluşabilecek  bir problemde  tespitin doğru yapılması açısından önem arz etmektedir. Burada  çeşitli şekillerde  mimariyi kurabiliriz. Mesela vpn erişimlerinin tek bir sunucu üzerinden yapılıp, o sunucu üzerinde session recorder  yapılabilir veya  kullanıcı tarafına kurulacak bir agent vasıtası ile saat, source ip, destination ip ve  user name kriterleri belirlenerek ilgili session recorder işlemi hem video hemde text olarak ilgili log kaydı başlatılabilir. 

 



 


image003

 



 



 


6.       Nesne Erişimleri : Kullanıcı bilgisayarlarında yer alan  kritik  dosyalar varsa bunlar belirlenmeli bu dosyalarda meydana  gelecek değişikliklerin  kim tarafından, ne zaman ve nasıl yapıldığının tespit ediliyor olması gerekmektedir. Örneğin satınalma müdürünün bilgisayarında yer alan ihale.xlsx  dosyasında meydana gelece  bir değişiklik veya web sunucunuzda yer alan web.config dosyasında meydana  gelen  bir değişiklikde kim, nezaman, nasıl erişmiş gibi  soruların cevabını  veriyor olmamız çoğu zaman hayat  kurtarır. Burada şunu belirtmekde fayda  var. Kullanıcı bilgisayarlarında Nesne Erişimlerinin loglanması için Audit Policy  mekanizmasının açık olması gerekir. Bu da  kullanıcı tarafındaki her nesne erişiminde log  oluşturulması demektir. Yani istemci tarafında çalışan bir antivirüs uygulaması bir  dosyayı taradığında da bu  log kayıtları oluşabilir. Bu yüzden hangi klasoru, ne seviyede izleyeceğimize karar vermeli, rutin erişimler bu kapsamın dışına alınmalıdır. Aksi   taktirde istemci tarafında  meydana gelecek performans kaybı iş sürekliliği açısından kötü sonuçlar doğurabilir.

 



 


 image004

 



 



 


7.       Kablosuz Erişimler :  Kullanıcılarımız kablosuz erişimlerinde, hangi mac adresli Access Point’e, hangi kablosuz network’e (ssid) eriştiği  bilgisi  alınmalı ve  şirket  çalışanlarımızın çevredeki farklı  kablosuz  ağa erişimlerinin denetim altına alınması gerekir. Hatta bu konuda  whitelist ssid oluşturulmalı belirlenen kablosuz ağlar dışında gerçekleşen erişimlerde haberdar olunmalıdır. Böylelikle şirketinize yakın  bir noktada bulunan ve  sizinle aynı kablosuz  ağ adını kullanarak  çalışanlarınızın  kendisine bağlanarak  trafiği  sniff yapmak isteyen kötü niyetli kişilere karşı da önleminizi almış olursunuz. 

 



 


8.       3g Modem Kullanımı :  Kullanıcının  bilgisayarına dışarıdan getirip taktığı 3G modem ile, ciddi yatırımlar yaparak kurmuş olduğunuz  Url filter, Firewall, Waf gibi güvenlik uygulamalarını aşarak, şirket politikanız  gereği yasaklamış olduğunuz porno içerikli web siteleri, youtube, facebook gibi kurumsal  birçok şirkette  mesai saati içinde erişimi yasaklanan web sitelerine erişecek ve  bununla ilgili ne firewall tarafında ne url filter tarafında elinizde hiçbir log kaydı olmayacaktır. Bu sebepten kullanıcı bilgisayarlarında takılı olan 3g modemler tespit edilmelidir.  Bunu yaparkende piyasada  bulunan 3G modem üreticilerinin imzalarını tespit edip bu  doğrultuda kurallar yazarak ilgili  usb aygıtının çalışmasını da engelleyebilirsiniz. Eğer erişimine müsade edilmesi gerekiyorsa agent bazlı hangi  web sitelerine  gittiğinin logunu alabilirsiniz.  

 



 


9.       Hack  Programları : Ağ trafiğinde meydana gelecek arp poising v.b durumlarda, ağ trafiğini üzerinden geçirerek trafiği  dinlemeye yarayan araçların  tespit edilmesi gerekmektedir. Bu konuda günümüzde  birçok switch başarılı sayılır ama, bu saldırının kim tarafından , hangi bilgisayarda, hangi araç ile yapıldığını tespit etmek sıkıntılı  bir süreçtir. Benim bu noktada  tavsiyem arp poising, arp spoof  gibi  saldırı türlerinin tespitinde istemci tarafının route tablosunun listesini belirli aralıklarla alıp bir önceki  route  tablosu ile karşılaştırıp mac – ip eşleşmeme  durumlarında uyarı veren mekanizmaların kuruluyor olması gerekir. Bu konuda  ciddi yol almış çözümler var. Hatta bu tarz sniffer araçları (ettercap,cain v.s) belirlenerek bu araçlar istemci tarafında çalıştırıldığında da ilgili log  kaydının düşmesi sağlanırsa çift katmanlı  bir mekanizma kurulmuş olur.  Aynı şekilde bir çok hack ve sniffer araçlarının (metasploit, cain, msnsniffer, ettercap v.b ) listesi oluşturularak bu programların kullanımı halinde duruma  göre isterseniz çalışan uygulamayı kill edebilir veya raporlayabilirsiniz. Böylelikle kimin ağ trafiğini dinleme girişiminde bulunduğunu, kimin msn  görüşmelerini tespit etmeye çalıştığını, kimin voip trafiğini sniff ettiğini  veya kritik  bir sunucuya yapılan password atak denemelerini   yerinde ve  zamanında tespit etmiş olursunuz.

 



 


image005

 



 



 


image006 

 



 


10.   Ekran Görüntüsü Alma : Yaşanan suistimal vakalarından biri de kritik bilgilerin bulunduğu bir dökümanın veya  programın ekran görüntüsünün alınarak mail v.b.  yolla  dış ortama çıkarılıyor olması.  Bu gibi  durumlara  karşı kullanıcıların almış oldukları  ekran  görüntülerinin “jpeg”  formatında loglanıyor olması ve düzenli olarak alınan bu ekran  görüntü loglarının ilgili birim amiri tarafından  gözden geçiriliyor olması gerekir. 

 



 


11.   Yazıcı Çıktıları : Kullanıcıların almış oldukları yazıcı çıktı loglarının alınması gerekir. Burada şöyle bir  örnek vermek  gerekirse; içerisinde ”hesap no” geçen çıktıyı kim aldı, gibi text bazlı kurallar tanımlamamız bizim için kritik olan dokümanların ve belgelerin kim tarafından, ne zaman alındığını tespit etmekte faydalı olacaktır. 

 



 


12.   Tunneling Uygulamalar : Kullanmış olduğumuz firewall, web filter  v.s  güvenlik cihazlarını bir takım   “tunneling”  uygulamalar ile aşarak  erişim sağlayanlar tespit edilebilmelidir.  Yani kullanıcı tarafında Explorer dışında 80 ve 443 portlarını  hangi uygulamalar kullanıyor. Bu uygulamaların tespit edilmesi ve ilgili imzaların web fitler, firewall gibi cihazlara  girilmesi istemci tarafında alınan  log  kaydı doğrultusunda yapılabilir. 

 



 


13.   Windows Event Security Log :  İstemci ve sunucu tarafındaki security loglarının alınması ve korelasyonunun yapılması gerekmektedir. Yaşanan suistimal vakasının tespitinde en önemli kaynaklardan birisi işletim sisteminin oluşturduğu secuity loglarıdır. Bu  konuda  windows event log mekanizması  çok ciddi bilgiler verebilir. Logların düzenli olarak merkezi bir yerde toplanmasının yaşanan vakalarda geriye  dönük log analizi yapmamızda ve iz sürmemizde faydası  büyüktür.  Aksi taktirde kritik sistemlere erişilmiş, ciddi zararlar  verilmiş ve logoff olmadan  önce de tüm security loglarının silindeiği bir durumda elimizdeki tek bilgi event id 517 olan “Even Log Clear” mesajıdır ki, buda  yapılan aktivitelerin ne olduğu, kimin tarafından yapıldığı bilgisini vermeyecektir.   

 



 


14.   Network Konfigurasyon Bilgisi: İstemci bilgisayarlarının  ip, mac v.b bilgilerinin alınıyor olması gerekir. Ortamda dhcp sunucu varken kimler  statik ip adresi girmiş, mac bazlı  bir  yetkilendirmenin olduğu ortamda, kimlerin mac change yaptığını bilmek, istemci bilgisayarlarının  sizin belirlediğiniz  bir dhcp sunucudan değil de başka  bir dhcp  sunucudan ip aldığını  veya ip çakışmalarının tespiti için bu log  kayıtlarını  da alıyor olmamızın  ciddi  getirileri  vardır. 

 



 


Kısaca log yönetimi kapsamında, kullanıcı aktivitelerinin loglanmasının önemini vurgulamaya çalıştım. Şimdi bu logların alınması sonrası süreçten bahsedelim. Bu noktada şu  soruların cevabını vermek gerekir; 

 



 


a)      Kullanıcı logları nasıl toplanacak? 

 



 


Kullanıcı loglarının alınması tarafında  firmaların farklı çözümleri  vardır. Bazı ürünler port mirror mantığıyla çalışır ve istemci tarafına hiçbir agent kurmadan network trafiğinde elde edilen veri ile  log yönetimi ve korelâsyonu sağlar. Diğer bir  çözüm teknolojisi ise istemci bilgisayarlarına  agent kurulumudur. Kurulan bu agent sayesinde hem Windows event  loglar  hem de event logda yer almayan bir takım  bilgilere ulaşılması sağlanır. Her iki çözümün de artıları ve eksileri  vardır. Nedir  bunlar? 

 


                                I.            Port mirror  çalışma prensibinde istemci tarafına bir agent kurulumu olmadığı için network üzerinden geçmeyen  bir olayın log kaydına ulaşmak mümkün olmayacaktır. Ör. Gizli bir belgenin ekran görüntüsünün alınması veya usb aygıta kopyalanması. 

 


                              II.            Agent çözümünde istemci tarafına  kurulan  agent çok fazla kaynak  tüketiyorsa (Cpu, Ram)  bu istemci tarafında performans problemine sebep olabilir. Bu yüzden agent  tabanlı  çözümlerde, agent  istemci tarafında  en fazla 800 K memory kullansın, bunun üzerine  çıkamasın diyebilmelisiniz. Port mirror  mimarisinde istemci tarafına  yansıyan  bir  kaynak  tüketimi  yoktur. 

 


                            III.            Kullanıcı tarafında çalışan agent servisini  local admin  kullanıcısı  dahil durduramaması  gerekir.  Durdurulduğu taktirde de servisin restart olması ve log admine  bilgi iletilmesi gerekir. Hatta agent servisinin  durdurulmasına  karşı  servis  password  koruması da getirilebilir. 

 


b)      İstemci ve Log  sunucusu arasındaki bağlantının kopması  durumunda  log  kaybı yaşanır mı?

 


Bu senaryo  agent  bazlı   çözümler için  geçerlidir. Bu konuda da  bazı firmalar  gerekli  önlemleri almışlar. İstemci tarafının, log sunucuya  erişemediği  durumda  agent   kendi üzerinde  bu log  kayıtlarını   tutmakta  ve  iletişim kurulduğu andan itibaren  log  sunucusuna    kendi  üzerindeki  logları  import  etmektedir. 

 


c)       Toplanan bu loglar ne kadar süre ile saklanacak ?

 


Bu  sorunun  cevabını  yöneticisi olduğumuz  sistemlerin  riskini  düşünerek  kendimiz  vermeliyiz.  1  yıl, ideal  bir  zaman dilimidir. 

 


d)      Logların zaman damgası ile hash bilgisinin alınması gerekir mi? 

 


Yaşanacak  bir  savcılık vakasında tutulan  log   kayıtlarının  değişmediğinin kanıtı istenebilir.  Böyle  bir  riski ortadan kaldırmak için zaman damgalı  hash  bilgisinin alınması gerekir. Zaten  bu alandaki çözümlerin büyük   çoğunluğunda  bu özellik  mevcuttur. 

 


e)      Uyarı mekanizmalarının kurulumu ? 

 


Aslında  en  önemli  nokta burasıdır. Örneğin 200 adet istemciniz var ve siz  bu istemcilerden logların alınması  için   ciddi  yatırımlar yaparak ilgili altyapıyı  kurmuşsunuz ve  loglar  düzenli olarak  geliyor. Önemli olan logların  toplanmasından  ziyade toplanan bu  log  kayıtlarının  anlamlı  hale  getirilmesi, işlenmesi  ve  tanımladığınız  kritik  durumlarda  uyarı mekanizmasının oluşturulması   ve  düzenli raporlanmasıdır. Bu kapsamı kendimiz  belirlemeliyiz . Hangi    durumlarda anlık uyarı   gönderilmeli, hangi  durumlarda  günlük,haftalık veya  aylık rapor  gönderilmeli.  Örneğin  bir arp poising saldırısında  bunu  ay  sonunda  raporlanıyor  olması  çok komik  olur. Fakat kullanıcının  aldığı   ekran  görüntülerinin   gün  sonu  rapor  olarak  ilgili  kişiye  mail olarak gönderilmesinde   bir  sakınca olmayabilir.   

 


Uyarı mekanizması  bildirim  çeşitleri  şunlardır;

 


                    I.            Mail : Oluşabilecek  bir  kritik  log  kaydının  ilgili  kişinin mail adresine ayrıntılı bir şekilde mail olarak  gönderilmesi. Ör. web sunucu  üzerinde yer  alan  Web.config  dosyasına   yetkisiz erişim  denemesi  yapıldığında   web server sorumlusuna  ve  güvenlik ekibine  şu  formatta  bir  mail  gönderilebilir;

 


Source  Hostname           :  Osman_pc

 


Source Ip                          : 10.1.1.45

 


Destination Hostname     :  webserver_1

 


Destination Ip                  :  172.1.1.10

 


Destination File               : c:inetpubwwwrootweb.config

 


Event Id                           : 560  

 



 



 


image007

 



 



 



 


                  II.            Popup :  Log management adminin  görebileceği  küçük uyarı mesajları gönderilerek anlık olarak  tanımlanan  kurallar  doğrultusunda  oluşan  alertleri  görme  imkanı  bulabilir. 

 


                III.            Sms:  Çok  kritik seviyedeki  alertlerin  ilgili  kişi  veya  kişilerin cep telefonlarına  sms  olarak  gönderilmesi sağlanabilir.  

 



 



 


image008 

 



 


               IV.            Run Application : Belirlediğiniz politikalar  doğrultusunda  gerçekleşen bir log  kaydının akabinde  alert üretildiğinde bir program çalıştırılabilir. Bu program sizin hazırladığınız .bat  dosyası da olabilir. Mesela  yetkisiz erişim yapan veya sniffer tool kullandığını  tespit  ettiğiniz  bir kullanıcınızın hesabını lock edebilirsiniz.  

 


                 V.            RealTime İzleme : Log admin  tarafından izlenecek realtime izleme ekranlarının oluşturulması, eğer şirketinizde monitoring servisi  var ise bazı kritik logları onların ekranlarına düşürebilir hatta log yönetiminde kullanmış olduğunuz  izleme ekranlarını ilgili servis ile de paylaşabilirsiniz. 

 



 



 


image009

 



 


Hatırlatma; Log yönetimi projelerinde asıl önemli olanın, yönetmekte olduğumuz sistemlerde ne olup bittiğini bilmek, monitor etmek, uyarı mekanizmalarını kurmak ve gereken aksiyonu almaktır. Log yönetimine bakış açımızın bu  doğrultuda olması gerekir. Aksi taktirde ilgili yasa ve mevzuat gereğini yerine getirmek için bir şeylerin çabasına  düşüp  aldığımız çözümleri iyi konfigure etmez, iyi bir şekilde kurgulamaz isek yapılan yatırımlar ölü yatırım olmaktan öte  gitmez. Log  yönetimi projeleri  belli bir sürece oturtulmalı, ihtiyaçların ne olduğu tam olarak belirlenmeli ve o  doğrultuda adımlar atılmalıdır

 http://www.logyonetimi.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu