İnternet Erişim Hizmetlerinin Loglanması
Log yönetimi projesi kapsamında, firma çalışanlarımıza vermiş olduğumuz internet erişim hizmetlerinin loglanması hem ilgili yasa, mevzuatlar ve standartlar gereği, hem de bu hizmetleri daha güvenli daha kontrollü vermek açısından önemlidir. Alınan logların hash (özet) bilgileri zaman damgası ile imzalanarak arşivlenmesi gerekmektedir. Günümüzde bir çok log yönetimi çözümü bu desteği vermektedir. İlgili yasa şu an için zaman damgasında bir otorite belirlememiştir. Yani amaç tutulan logların değişmezliği ve bütünlüğünün kanıtı iken tutulan log kayıtlarında time server olarak belirlenen sistemlerin zamanının değiştirilmesi imkan dahilindedir. Bununla ilgili yasada bir sınırlama bulunmamaktadır. Fakat siz alınan log kayıtlarında zaman damgası olarak bu hizmeti veren firmaların hizmetlerinden de faydalanabilirsiniz. Örneğin tutulan log kayıtlarının hash bilgileri ilgili firmaya gönderilerek zaman damgası ile imzalanması sağlanabilir. Tekrar hatırlatalım, 5651 de böyle bir zorunluluk yoktur.
İnternet erişim hizmetlerinin loglanması, alınan logların anlamlandırılması, rapor ve uyarı mekanizmalarının kurulması süreçleri şu şekildedir;
1. Kaynağın Belirlenmesi: Firewall, Url Fitlering, Adsl Modem, Proxy sunucuları, Utm v.b. internet erişim hizmetlerini sağladığımız ve kontrol ettiğimiz uygulama ve cihazların belirlenmesi gerekir.
2. Log Formatının Belirlenmesi: Erişim loglarının ilgili kaynakdan nasıl ve hangi formatta alınacağının belirlenmesi gerekir. Bunlar;
a) Syslog: Erişim loglarının syslog olarak gönderilmesi sağlanabilir.
b) Text file: İlgili log kaydının text formatında kaydedilerek log yönetimi sistemine özel parser yazılarak atılması sağlanabilir.
c) Veritabanı: Özellikle Proxy ve Url filtering çözümleri (Websense, TMG, ISA ) ilgili log kayıtlarını sql veritabanında turmaktadır. Bunun dışında mysql, postgresql v.b veritabanlarını kullanan çözümlerde mevcuttur.
d) Port Mirror: İnternet çıkışının switch üzerinden port mirror yapılarak trafiğin tamamını veya istenilen portların dinlenmesi sağlanarak. Kullanıcı internet erişim logları alınabilir.
3. Log Alanlarının Belirlenmesi : Log yönetimi kapsamında kullanıcıların internet erişimlerinde hangi logların alınacağının belirlenmesi gerekir. Hangi log alanlarının alınacağının belirlenmesi ihtiyacın ne olduğuyla ve neleri görmek istediğimizle alakalıdır. Log yönetimi kapsamında kullanıcılara ait şu bilgilerin alınması tavsiye edilir;
a) Kaynak Ip Adresi : Erşimin yapıldığı kaynak bilgisayara ait ip adresi (192.168.1.10) v.s.
b) Hedef Ip Adresi : Erişimin yapıldığı web sitesine ait ip adresi (212.143.34.23) v.s.
c) Kaynak Port : Erişim yapıldığı kaynak ip adresine ait port numarası.
d) Hedef Port : Erişimin yapıldığı port numarası. (80, 443)
e) Kullanıcı Adı: Söz konusu web sitesine erişim yapan kullanıcıya ait kullanıcı adı. (Domainname/Osman.dogan)
f) Hedef Url : Kullanıcı tarafından erişimin yapıldığı alan adına ait url .
g) Erişim Zamanı : Erişimin yapıldığı tarih, saat bilgisi.
h) Kategori Adı : Erişim yapılan web sitesinin ait olduğu katagori adı (Alışveriş, finans, chat) v.s.
i) Durum Bilgisi : Erişimin firewall, url filtering v.s. tarafından izin verilip verilmediği bilgisi (Connection Access, Connection Drop) v.s.
j) Browse Time : Erişimi sağlanan bir web sayfasının download süresi.
4. Alınan Logların Anlamlandırılması: Toplamış olduğumuz logların anlamlı hale getirilmesidir. Örneğin ilgili log tablosunda “Kategori Id” değeri “3” gibi bir log kaydında “3” değerinin hangi kategoriye karşılık geldiğinin (hack, chat v.b.) tespit edilmesi gerekir. Böylelikle ilerleyen zamanlarda önümüze düşen log kayıtlarını anlama ve yorumlama süreci daha kısa olacaktır.
5. Raporlama: Kullanıcıların erişimine sunulan internet trafiğinin loglanması, alınan logların anlamlı hale getirilmesi akabinde nelerin hangi kriterde raporlanacağının belirlenmesi gerekir. Aşağıda farklı log yönetimi çözümlerine ait rapor ekran görüntüleri yer almaktadır. Örnek vermek gerekirse;
a) Top 10 en çok erişilen web siteleri,
b) Top 20 en çok erişilen kategoriler,
c) Top 30 en çok internet erişimi sağlayan kullanıcılar,
d) Yasaklanan kategorilere, örneğin hack, chat v.b. web sitelerine kimler erişmek istemiş,
e) Son 1 ay içerisinde 25 portunu kullananlar kimler,
f) Son 1 haftada poison ivy rat trojan default port numarası olan 3460’a hangi ip adreslerinden erişim sağlanmıştır,
g) Kullanıcının internet kullanımı sırasındaki send/received değerleri,
h) www.facebook.com ‘ da en fazla zamanını geçiren kullanıcılar kim?
i) Kimlerin hack tool download ettiğinin tespiti,
j) Uzak erişim programı download edenlerin tespiti,
k) Bir suistimal öncesi yurdışı tatil, uçak bileti rezervasyon veya iş arayanların tespiti
l) Alışveriş ve tatil web kategorilerine gün içerisinde erişimin belirlenen eşik değerinden fazla olması,
m) Belli bir sınırın üzerindeki dosya upload işlemlerinin takibi,
n) Firma politikaları gereği erişimin yasaklandığı web sitelerine (facebook, youtube, remote-exploit.com) v.b. kimlerin eriştiği,
o) Web mail ( Hotmail, gmail v.b. ) kullanım durumu.
Oluşturulacak raporların neler olacağı ihtiyaca bağlı olarak değişiklik gösterir. Örneğin finans sektöründe alışveriş kategorisinde yer alan web sitelerine erişimlerin yakın takibe alınması yaşanan bir suistimalin tespitinde faydalı olacaktır. Yaşanacak bir suistimalin tespitinde şöyle bir senaryo da çıkarılabilir;
Öyle bir kullanıcı düşünün ki, bir gün içinde alışveriş sitelerini ziyaret ediyor, aynı gün müşteri veritabanına yetkili/yetkisiz erişim sağlıyor, havayolu şirketlerinden herhangi birinin web sitesine erişiyor, Windows security logları siliyor… Bu kriterlere uygun kullanıcının takibi ile yaşanacak bir veri sızdırmanın veya su istimalin önüne geçilebilir. Aslında bu tarz senaryolardan çok daha fazlası “fraud monitoring” alanına girmektedir ama ciddi ve kapsamlı bir log yönetimi ile de istenilen senaryoların takibi sağlanabilir.