Log yönetimi projelerinde gün geçtikçe önemi artan konulardan birisi de firma çalışanlarımızın aktivitelerinin log kaydının tutulması ve oluşabilecek bir suiistimalin önüne geçilmesi veya tespitidir. Yaşanan suiistimal, saldırı ve bilgi sızdırma vakalarına bakıldığında kaynağın büyük oranla şirket çalışanlarının olması, konunun ne derece önemli ve üzerinde hassasiyetle durmamız gerektiği noktasında biz IT çalışanlarına bilgi vermektedir. Yönetmiş olduğumuz sistemlerdeki yetkili/yetkisiz erişim denemelerinin tespiti, kanıt dokümanlarının sunulması, uyarı mekanizmalarının (mail, sms v.b) kurulması ve bunun sonucunda ilgili aksiyon planının alınması gerekmektedir. Şunu da belirtmek gerekir ki kullanıcı aktivite loglarının alınması derken kesinlikle özel hayatı ilgilendiren durumlar bu kapsama girmemektedir. Yani msn yazışmaları, kişisel mail içerikleri, voip veya analog ses görüşmeleri bu kapsamın dışındadır. Burada önemli olan şirket çalışanlarımızın kullanımına sunmuş olduğumuz sistemlerde neler yaptıklarının loglanması ve oluşabilecek herhangi bir suistimal veya savcılık vakasında yerinde, zamanında ve doğru tespitin yapılmasıdır. Yaşadığımız şu dönemin para birimi olarak nitelendirilen bilginin ne derece önemli olduğunu ne kadar farkındayız acaba. Bir çalışanımızın, arge çalışmalarını rakip bir firmaya veya bir banka personelinin, müşteri bilgilerini hacker gruplarına belli çıkar karşılığında vermesinin bedelinin çok ağır öderiz. Bu bedel bazen telaffuz dahi edemeyeceğimiz rakamlara ulaşırken bazen de bir şirketin, geri getirilemeyecek prestij kaybına uğramasına sebep olabilir.
Bu noktada kullanıcı aktivitelerinin loglanmasında kapsam belirlenmelidir. Yani çalışanlarımıza tahsis ettiğimiz bilgisayarlarda ne gibi aktiviteleri loglayacağız, kısaca bunlardan bahsedelim;
Yetkili/Yetkisiz Erişimler : Kullanıcı bilgisayarlarına veya sunuculara yapılacak olan şifre denemelerinin, c$ bağlantı girişimlerinin loglanması ve alarm mekanizmalarının kurulu olması gerekmektedir. Örneğin Database admin personeline ait bilgisayara bir takım hack tool kullanarak verilen password listesinde yer alan şifreler arka arkaya denenerek girilmeye çalışılıyorsa event loglardan bu durumun tespitinin yapılıp ilgili personele ve güvenlik ekibine bu bilginin iletilmesi gerekmektedir.
Çalışan Uygulamalar : Çalışanların kullanmış oldukları programlardan haberdar olunmalı, bizim için risk teşkil eden yazılımların çalıştırılması halinde realtime haberimiz olacak sistemlerin kurulu olması gerekir. Örneğin bir kullanıcının internetten Cain.exe download edip, bunu bulunduğu networkde çalıştırması, arp spoof veya arpoising yapıp şifre toplama, voip trafiğini dinleme v.b girişimde bulunması halinde ilgili uygulamanın tespit edilmesi, çalışan uygulamanın durdurulması ve kim tarafından çalıştırıldığının hem hostname hem de username bazlı tespitinin yapılması sağlanmalıdır.
3. Logon/Logoff Bilgileri : Hangi kullanıcının, hangi bilgisayarda, günün hangi saatinde logon/logoff olduğunun log kaydının tutulması yaşanacak vakalarda doğru adresi bulmamız açısından faydalı olacaktır. Aşağıdaki tabloda yer alan even id açıklamaları bu konularda bize faydalı olacaktır.
Olay No | Katagori | Açıklama |
675 | Oturum Açma | Etki alanı sunucusunda oluşan 675 no’lu olay genellikle kullanıcının yanlış şifre girdiğini gösterir. Tam olarak neden işlemin başarısız olduğunu Hata Kodu’na bakarak öğrenebilirsiniz. |
676 (veya hatalı 672) | Oturum Açma | 676 diğer başarısız kimlik doğrulama olayları için loglanır. Kerberos hata kodlarına bakarak neden başarısız olduğunu öğrenebilirsiniz. Not: Windows 2003 Server başarısız Kerberos olaylarını 676 olarak loglar. |
681 (veya başarısız 680) | Oturum Açma | Etki Alanı Sunucusu üzerindeki 681 nolu olay NTLM ile yapılmış başarısız doğrulamayı gösterir. Not: Windows 2003 Server 681 yerine başarısız 680 nolu olayı loglar. |
642 | Hesap Yönetimi | 642 nolu olay ilgili kullanıcı hesabında yapılan değişiklikleri (Şifre Sıfırlama / Hesap Etkinleştirme) gösterir. Detaya bakarak tam olarak ne yapıldığını görebilirsiniz. |
632, 636, 660 | Hesap Yönetimi | Bu üç olay bahsedilen kullanıcının Global (632), Local (636) veya Universal (660) bir gruba eklendiğini gösterir. |
624 | Hesap Yönetimi | Yeni bir kullanıcı hesabının yaratıldığını gösterir. |
644 | Hesap Yönetimi | Bahsedilen kullanıcı hesabının arka arkaya yapılan hatalı logon girişimi yüzünden kitlendiğini gösterir. |
517 | Sistem Olayları | Yönetici haklarına sahip bir kullanıcının Güvenlik Kayıdını (security log) sildiğini gösterir. |
4. Taşınabilir Bellek : Çalışanlarımızın usb disk v.b taşınabilir aygıtlara ne gibi verileri kopyaladığı, yaşanacak bir bilgi sızdırmada kimin, nasıl yaptığı ile alakalı ciddi bilgiler verebilir.
5. Uzak Erişimler : Günümüzde kullanımı her geçen gün artan Vpn v.b. uzak erişim sağlayan teknolojilerin yaygınlaşması sonucu riskleri de beraberinde getirmektedir. Erişimlerin özellikle mesai saatleri dışında gerçekleşmesi sebebi ile erişim sırasında nelerin yapıldığı, ne gibi değişikliklerin gerçekleştiğinin log kaydının tutulması hatta ekran kaydının alınması gerekmektedir. Vpn erişimi sırasında yapılacak bir uyarı mekanizması ile kullanıcıya yapmış olduğu işlemlerin ekran görüntüsünün alınacağının bildirilmesi hem kötü niyetli kullanıcıyı caydırma, hemde oluşabilecek bir problemde tespitin doğru yapılması açısından önem arz etmektedir. Burada çeşitli şekillerde mimariyi kurabiliriz. Mesela vpn erişimlerinin tek bir sunucu üzerinden yapılıp, o sunucu üzerinde session recorder yapılabilir veya kullanıcı tarafına kurulacak bir agent vasıtası ile saat, source ip, destination ip ve user name kriterleri belirlenerek ilgili session recorder işlemi hem video hemde text olarak ilgili log kaydı başlatılabilir.
6. Nesne Erişimleri : Kullanıcı bilgisayarlarında yer alan kritik dosyalar varsa bunlar belirlenmeli bu dosyalarda meydana gelecek değişikliklerin kim tarafından, ne zaman ve nasıl yapıldığının tespit ediliyor olması gerekmektedir. Örneğin satınalma müdürünün bilgisayarında yer alan ihale.xlsx dosyasında meydana gelece bir değişiklik veya web sunucunuzda yer alan web.config dosyasında meydana gelen bir değişiklikde kim, nezaman, nasıl erişmiş gibi soruların cevabını veriyor olmamız çoğu zaman hayat kurtarır. Burada şunu belirtmekde fayda var. Kullanıcı bilgisayarlarında Nesne Erişimlerinin loglanması için Audit Policy mekanizmasının açık olması gerekir. Bu da kullanıcı tarafındaki her nesne erişiminde log oluşturulması demektir. Yani istemci tarafında çalışan bir antivirüs uygulaması bir dosyayı taradığında da bu log kayıtları oluşabilir. Bu yüzden hangi klasoru, ne seviyede izleyeceğimize karar vermeli, rutin erişimler bu kapsamın dışına alınmalıdır. Aksi taktirde istemci tarafında meydana gelecek performans kaybı iş sürekliliği açısından kötü sonuçlar doğurabilir.
7. Kablosuz Erişimler : Kullanıcılarımız kablosuz erişimlerinde, hangi mac adresli Access Point’e, hangi kablosuz network’e (ssid) eriştiği bilgisi alınmalı ve şirket çalışanlarımızın çevredeki farklı kablosuz ağa erişimlerinin denetim altına alınması gerekir. Hatta bu konuda whitelist ssid oluşturulmalı belirlenen kablosuz ağlar dışında gerçekleşen erişimlerde haberdar olunmalıdır. Böylelikle şirketinize yakın bir noktada bulunan ve sizinle aynı kablosuz ağ adını kullanarak çalışanlarınızın kendisine bağlanarak trafiği sniff yapmak isteyen kötü niyetli kişilere karşı da önleminizi almış olursunuz.
8. 3g Modem Kullanımı : Kullanıcının bilgisayarına dışarıdan getirip taktığı 3G modem ile, ciddi yatırımlar yaparak kurmuş olduğunuz Url filter, Firewall, Waf gibi güvenlik uygulamalarını aşarak, şirket politikanız gereği yasaklamış olduğunuz porno içerikli web siteleri, youtube, facebook gibi kurumsal birçok şirkette mesai saati içinde erişimi yasaklanan web sitelerine erişecek ve bununla ilgili ne firewall tarafında ne url filter tarafında elinizde hiçbir log kaydı olmayacaktır. Bu sebepten kullanıcı bilgisayarlarında takılı olan 3g modemler tespit edilmelidir. Bunu yaparkende piyasada bulunan 3G modem üreticilerinin imzalarını tespit edip bu doğrultuda kurallar yazarak ilgili usb aygıtının çalışmasını da engelleyebilirsiniz. Eğer erişimine müsade edilmesi gerekiyorsa agent bazlı hangi web sitelerine gittiğinin logunu alabilirsiniz.
9. Hack Programları : Ağ trafiğinde meydana gelecek arp poising v.b durumlarda, ağ trafiğini üzerinden geçirerek trafiği dinlemeye yarayan araçların tespit edilmesi gerekmektedir. Bu konuda günümüzde birçok switch başarılı sayılır ama, bu saldırının kim tarafından , hangi bilgisayarda, hangi araç ile yapıldığını tespit etmek sıkıntılı bir süreçtir. Benim bu noktada tavsiyem arp poising, arp spoof gibi saldırı türlerinin tespitinde istemci tarafının route tablosunun listesini belirli aralıklarla alıp bir önceki route tablosu ile karşılaştırıp mac – ip eşleşmeme durumlarında uyarı veren mekanizmaların kuruluyor olması gerekir. Bu konuda ciddi yol almış çözümler var. Hatta bu tarz sniffer araçları (ettercap,cain v.s) belirlenerek bu araçlar istemci tarafında çalıştırıldığında da ilgili log kaydının düşmesi sağlanırsa çift katmanlı bir mekanizma kurulmuş olur. Aynı şekilde bir çok hack ve sniffer araçlarının (metasploit, cain, msnsniffer, ettercap v.b ) listesi oluşturularak bu programların kullanımı halinde duruma göre isterseniz çalışan uygulamayı kill edebilir veya raporlayabilirsiniz. Böylelikle kimin ağ trafiğini dinleme girişiminde bulunduğunu, kimin msn görüşmelerini tespit etmeye çalıştığını, kimin voip trafiğini sniff ettiğini veya kritik bir sunucuya yapılan password atak denemelerini yerinde ve zamanında tespit etmiş olursunuz.
10. Ekran Görüntüsü Alma : Yaşanan suistimal vakalarından biri de kritik bilgilerin bulunduğu bir dökümanın veya programın ekran görüntüsünün alınarak mail v.b. yolla dış ortama çıkarılıyor olması. Bu gibi durumlara karşı kullanıcıların almış oldukları ekran görüntülerinin “jpeg” formatında loglanıyor olması ve düzenli olarak alınan bu ekran görüntü loglarının ilgili birim amiri tarafından gözden geçiriliyor olması gerekir.
11. Yazıcı Çıktıları : Kullanıcıların almış oldukları yazıcı çıktı loglarının alınması gerekir. Burada şöyle bir örnek vermek gerekirse; içerisinde ”hesap no” geçen çıktıyı kim aldı, gibi text bazlı kurallar tanımlamamız bizim için kritik olan dokümanların ve belgelerin kim tarafından, ne zaman alındığını tespit etmekte faydalı olacaktır.
12. Tunneling Uygulamalar : Kullanmış olduğumuz firewall, web filter v.s güvenlik cihazlarını bir takım “tunneling” uygulamalar ile aşarak erişim sağlayanlar tespit edilebilmelidir. Yani kullanıcı tarafında Explorer dışında 80 ve 443 portlarını hangi uygulamalar kullanıyor. Bu uygulamaların tespit edilmesi ve ilgili imzaların web fitler, firewall gibi cihazlara girilmesi istemci tarafında alınan log kaydı doğrultusunda yapılabilir.
13. Windows Event Security Log : İstemci ve sunucu tarafındaki security loglarının alınması ve korelasyonunun yapılması gerekmektedir. Yaşanan suistimal vakasının tespitinde en önemli kaynaklardan birisi işletim sisteminin oluşturduğu secuity loglarıdır. Bu konuda windows event log mekanizması çok ciddi bilgiler verebilir. Logların düzenli olarak merkezi bir yerde toplanmasının yaşanan vakalarda geriye dönük log analizi yapmamızda ve iz sürmemizde faydası büyüktür. Aksi taktirde kritik sistemlere erişilmiş, ciddi zararlar verilmiş ve logoff olmadan önce de tüm security loglarının silindeiği bir durumda elimizdeki tek bilgi event id 517 olan “Even Log Clear” mesajıdır ki, buda yapılan aktivitelerin ne olduğu, kimin tarafından yapıldığı bilgisini vermeyecektir.
14. Network Konfigurasyon Bilgisi: İstemci bilgisayarlarının ip, mac v.b bilgilerinin alınıyor olması gerekir. Ortamda dhcp sunucu varken kimler statik ip adresi girmiş, mac bazlı bir yetkilendirmenin olduğu ortamda, kimlerin mac change yaptığını bilmek, istemci bilgisayarlarının sizin belirlediğiniz bir dhcp sunucudan değil de başka bir dhcp sunucudan ip aldığını veya ip çakışmalarının tespiti için bu log kayıtlarını da alıyor olmamızın ciddi getirileri vardır.
Kısaca log yönetimi kapsamında, kullanıcı aktivitelerinin loglanmasının önemini vurgulamaya çalıştım. Şimdi bu logların alınması sonrası süreçten bahsedelim. Bu noktada şu soruların cevabını vermek gerekir;
a) Kullanıcı logları nasıl toplanacak?
Kullanıcı loglarının alınması tarafında firmaların farklı çözümleri vardır. Bazı ürünler port mirror mantığıyla çalışır ve istemci tarafına hiçbir agent kurmadan network trafiğinde elde edilen veri ile log yönetimi ve korelâsyonu sağlar. Diğer bir çözüm teknolojisi ise istemci bilgisayarlarına agent kurulumudur. Kurulan bu agent sayesinde hem Windows event loglar hem de event logda yer almayan bir takım bilgilere ulaşılması sağlanır. Her iki çözümün de artıları ve eksileri vardır. Nedir bunlar?
I. Port mirror çalışma prensibinde istemci tarafına bir agent kurulumu olmadığı için network üzerinden geçmeyen bir olayın log kaydına ulaşmak mümkün olmayacaktır. Ör. Gizli bir belgenin ekran görüntüsünün alınması veya usb aygıta kopyalanması.
II. Agent çözümünde istemci tarafına kurulan agent çok fazla kaynak tüketiyorsa (Cpu, Ram) bu istemci tarafında performans problemine sebep olabilir. Bu yüzden agent tabanlı çözümlerde, agent istemci tarafında en fazla 800 K memory kullansın, bunun üzerine çıkamasın diyebilmelisiniz. Port mirror mimarisinde istemci tarafına yansıyan bir kaynak tüketimi yoktur.
III. Kullanıcı tarafında çalışan agent servisini local admin kullanıcısı dahil durduramaması gerekir. Durdurulduğu taktirde de servisin restart olması ve log admine bilgi iletilmesi gerekir. Hatta agent servisinin durdurulmasına karşı servis password koruması da getirilebilir.
b) İstemci ve Log sunucusu arasındaki bağlantının kopması durumunda log kaybı yaşanır mı?
Bu senaryo agent bazlı çözümler için geçerlidir. Bu konuda da bazı firmalar gerekli önlemleri almışlar. İstemci tarafının, log sunucuya erişemediği durumda agent kendi üzerinde bu log kayıtlarını tutmakta ve iletişim kurulduğu andan itibaren log sunucusuna kendi üzerindeki logları import etmektedir.
c) Toplanan bu loglar ne kadar süre ile saklanacak ?
Bu sorunun cevabını yöneticisi olduğumuz sistemlerin riskini düşünerek kendimiz vermeliyiz. 1 yıl, ideal bir zaman dilimidir.
d) Logların zaman damgası ile hash bilgisinin alınması gerekir mi?
Yaşanacak bir savcılık vakasında tutulan log kayıtlarının değişmediğinin kanıtı istenebilir. Böyle bir riski ortadan kaldırmak için zaman damgalı hash bilgisinin alınması gerekir. Zaten bu alandaki çözümlerin büyük çoğunluğunda bu özellik mevcuttur.
e) Uyarı mekanizmalarının kurulumu ?
Aslında en önemli nokta burasıdır. Örneğin 200 adet istemciniz var ve siz bu istemcilerden logların alınması için ciddi yatırımlar yaparak ilgili altyapıyı kurmuşsunuz ve loglar düzenli olarak geliyor. Önemli olan logların toplanmasından ziyade toplanan bu log kayıtlarının anlamlı hale getirilmesi, işlenmesi ve tanımladığınız kritik durumlarda uyarı mekanizmasının oluşturulması ve düzenli raporlanmasıdır. Bu kapsamı kendimiz belirlemeliyiz . Hangi durumlarda anlık uyarı gönderilmeli, hangi durumlarda günlük,haftalık veya aylık rapor gönderilmeli. Örneğin bir arp poising saldırısında bunu ay sonunda raporlanıyor olması çok komik olur. Fakat kullanıcının aldığı ekran görüntülerinin gün sonu rapor olarak ilgili kişiye mail olarak gönderilmesinde bir sakınca olmayabilir.
Uyarı mekanizması bildirim çeşitleri şunlardır;
I. Mail : Oluşabilecek bir kritik log kaydının ilgili kişinin mail adresine ayrıntılı bir şekilde mail olarak gönderilmesi. Ör. web sunucu üzerinde yer alan Web.config dosyasına yetkisiz erişim denemesi yapıldığında web server sorumlusuna ve güvenlik ekibine şu formatta bir mail gönderilebilir;
Source Hostname : Osman_pc
Source Ip : 10.1.1.45
Destination Hostname : webserver_1
Destination Ip : 172.1.1.10
Destination File : c:inetpubwwwrootweb.config
Event Id : 560
II. Popup : Log management adminin görebileceği küçük uyarı mesajları gönderilerek anlık olarak tanımlanan kurallar doğrultusunda oluşan alertleri görme imkanı bulabilir.
III. Sms: Çok kritik seviyedeki alertlerin ilgili kişi veya kişilerin cep telefonlarına sms olarak gönderilmesi sağlanabilir.
IV. Run Application : Belirlediğiniz politikalar doğrultusunda gerçekleşen bir log kaydının akabinde alert üretildiğinde bir program çalıştırılabilir. Bu program sizin hazırladığınız .bat dosyası da olabilir. Mesela yetkisiz erişim yapan veya sniffer tool kullandığını tespit ettiğiniz bir kullanıcınızın hesabını lock edebilirsiniz.
V. RealTime İzleme : Log admin tarafından izlenecek realtime izleme ekranlarının oluşturulması, eğer şirketinizde monitoring servisi var ise bazı kritik logları onların ekranlarına düşürebilir hatta log yönetiminde kullanmış olduğunuz izleme ekranlarını ilgili servis ile de paylaşabilirsiniz.
Hatırlatma; Log yönetimi projelerinde asıl önemli olanın, yönetmekte olduğumuz sistemlerde ne olup bittiğini bilmek, monitor etmek, uyarı mekanizmalarını kurmak ve gereken aksiyonu almaktır. Log yönetimine bakış açımızın bu doğrultuda olması gerekir. Aksi taktirde ilgili yasa ve mevzuat gereğini yerine getirmek için bir şeylerin çabasına düşüp aldığımız çözümleri iyi konfigure etmez, iyi bir şekilde kurgulamaz isek yapılan yatırımlar ölü yatırım olmaktan öte gitmez. Log yönetimi projeleri belli bir sürece oturtulmalı, ihtiyaçların ne olduğu tam olarak belirlenmeli ve o doğrultuda adımlar atılmalıdır http://www.logyonetimi.com