Güvenlik

İnternet Erişim Hizmetlerinin Loglanması


 


Log yönetimi projesi kapsamında, firma çalışanlarımıza vermiş olduğumuz internet erişim hizmetlerinin loglanması hem ilgili yasa, mevzuatlar ve standartlar gereği, hem de bu hizmetleri daha güvenli daha kontrollü vermek açısından önemlidir. Alınan logların hash (özet) bilgileri zaman damgası ile imzalanarak arşivlenmesi gerekmektedir. Günümüzde bir çok log yönetimi çözümü bu desteği vermektedir. İlgili yasa şu an için zaman damgasında bir otorite belirlememiştir. Yani amaç tutulan logların değişmezliği ve bütünlüğünün kanıtı iken tutulan log kayıtlarında time server olarak belirlenen sistemlerin zamanının değiştirilmesi imkan dahilindedir. Bununla ilgili yasada bir  sınırlama bulunmamaktadır. Fakat siz alınan log kayıtlarında zaman damgası olarak bu hizmeti veren firmaların hizmetlerinden de faydalanabilirsiniz. Örneğin tutulan log kayıtlarının hash bilgileri  ilgili  firmaya gönderilerek zaman damgası ile imzalanması sağlanabilir. Tekrar hatırlatalım,  5651 de böyle bir zorunluluk yoktur.


İnternet erişim  hizmetlerinin loglanması, alınan logların anlamlandırılması, rapor ve uyarı mekanizmalarının kurulması süreçleri şu şekildedir;


1.       Kaynağın Belirlenmesi: Firewall, Url Fitlering, Adsl Modem, Proxy sunucuları, Utm v.b. internet erişim hizmetlerini sağladığımız ve kontrol  ettiğimiz uygulama ve cihazların belirlenmesi  gerekir.


image001


2.       Log Formatının Belirlenmesi: Erişim loglarının ilgili kaynakdan nasıl ve hangi formatta alınacağının belirlenmesi gerekir. Bunlar;


 


a)      Syslog: Erişim loglarının syslog olarak gönderilmesi sağlanabilir. 


 


b)      Text file: İlgili log  kaydının text formatında kaydedilerek log  yönetimi sistemine özel parser yazılarak atılması sağlanabilir.


c)      Veritabanı: Özellikle Proxy ve Url  filtering çözümleri (Websense, TMG, ISA ) ilgili log  kayıtlarını  sql  veritabanında turmaktadır. Bunun  dışında mysql, postgresql v.b veritabanlarını kullanan  çözümlerde mevcuttur.


d)      Port Mirror: İnternet çıkışının switch üzerinden port mirror yapılarak trafiğin tamamını veya istenilen portların dinlenmesi sağlanarak. Kullanıcı internet erişim logları alınabilir.


3.       Log Alanlarının Belirlenmesi : Log yönetimi kapsamında kullanıcıların internet erişimlerinde hangi logların alınacağının belirlenmesi gerekir. Hangi log alanlarının alınacağının belirlenmesi ihtiyacın ne olduğuyla ve neleri görmek istediğimizle alakalıdır. Log yönetimi kapsamında kullanıcılara ait şu bilgilerin alınması tavsiye edilir;


 


a)      Kaynak Ip Adresi : Erşimin yapıldığı kaynak bilgisayara  ait ip adresi  (192.168.1.10) v.s.


b)      Hedef Ip Adresi : Erişimin yapıldığı web sitesine ait ip adresi (212.143.34.23) v.s.


c)       Kaynak  Port : Erişim yapıldığı kaynak ip adresine  ait port numarası.


 


d)      Hedef  Port : Erişimin yapıldığı  port   numarası. (80, 443)


 


e)      Kullanıcı Adı: Söz konusu  web sitesine erişim yapan kullanıcıya ait  kullanıcı adı. (Domainname/Osman.dogan)


 


f)       Hedef  Url : Kullanıcı  tarafından erişimin yapıldığı alan adına  ait  url .


g)      Erişim Zamanı : Erişimin yapıldığı  tarih, saat  bilgisi.


 


h)      Kategori Adı : Erişim yapılan web  sitesinin ait  olduğu katagori  adı (Alışveriş, finans, chat) v.s. 


i)        Durum Bilgisi : Erişimin firewall, url filtering  v.s. tarafından izin verilip verilmediği  bilgisi (Connection Access, Connection Drop) v.s.


j)        Browse Time : Erişimi sağlanan bir web sayfasının download süresi.


4.       Alınan Logların Anlamlandırılması: Toplamış olduğumuz logların anlamlı hale getirilmesidir. Örneğin ilgili log  tablosunda “Kategori Id” değeri “3”  gibi bir log kaydında “3” değerinin hangi kategoriye  karşılık geldiğinin (hack, chat v.b.) tespit edilmesi gerekir. Böylelikle ilerleyen zamanlarda önümüze  düşen log kayıtlarını  anlama ve yorumlama  süreci daha kısa olacaktır.


 


5.       Raporlama: Kullanıcıların erişimine  sunulan internet trafiğinin loglanması, alınan logların anlamlı hale getirilmesi  akabinde nelerin hangi  kriterde raporlanacağının belirlenmesi gerekir. Aşağıda farklı log yönetimi çözümlerine ait rapor ekran  görüntüleri yer almaktadır. Örnek vermek gerekirse;


a)      Top 10 en çok erişilen web siteleri,


b)      Top 20 en çok erişilen kategoriler,


image002


c)      Top 30 en çok internet erişimi sağlayan kullanıcılar,


d)      Yasaklanan kategorilere, örneğin hack, chat v.b. web sitelerine kimler erişmek istemiş,


e)      Son 1 ay içerisinde 25 portunu kullananlar kimler,


f)       Son 1 haftada poison ivy rat trojan default port numarası olan 3460’a hangi ip adreslerinden erişim sağlanmıştır,


g)      Kullanıcının internet kullanımı sırasındaki send/received değerleri,


image003


h)      www.facebook.com ‘ da en fazla zamanını geçiren kullanıcılar kim?


i)        Kimlerin hack tool download ettiğinin tespiti,


j)       Uzak erişim programı download edenlerin tespiti,


k)     Bir suistimal öncesi yurdışı tatil, uçak bileti rezervasyon veya iş arayanların tespiti


 image004


l)        Alışveriş ve tatil web kategorilerine gün içerisinde erişimin belirlenen eşik değerinden fazla olması, 


image005


m)   Belli bir sınırın üzerindeki dosya upload işlemlerinin takibi,


n)      Firma politikaları gereği erişimin yasaklandığı web sitelerine (facebook, youtube, remote-exploit.com) v.b. kimlerin eriştiği,


image006


o)      Web mail ( Hotmail, gmail v.b. )  kullanım durumu.


Oluşturulacak raporların neler olacağı ihtiyaca bağlı olarak değişiklik gösterir. Örneğin finans sektöründe alışveriş kategorisinde yer alan web sitelerine erişimlerin yakın takibe alınması yaşanan bir suistimalin tespitinde faydalı olacaktır. Yaşanacak bir suistimalin tespitinde şöyle bir senaryo da çıkarılabilir;


Öyle bir kullanıcı düşünün ki, bir gün içinde alışveriş sitelerini ziyaret ediyor,  aynı gün müşteri veritabanına yetkili/yetkisiz erişim sağlıyor, havayolu şirketlerinden herhangi birinin web sitesine erişiyor, Windows security logları siliyor… Bu kriterlere uygun kullanıcının takibi ile yaşanacak bir veri sızdırmanın veya su istimalin önüne geçilebilir. Aslında bu tarz senaryolardan çok daha fazlası “fraud monitoring” alanına girmektedir ama ciddi ve kapsamlı bir log yönetimi ile de istenilen senaryoların takibi sağlanabilir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu