Bir önceki makalemizde TINA ’nın genel çerçevelerinin ne olduğunu açıklayan bilgiler vermiştim. Yoğun iş hayatının sıkıcı temposundan biraz fırsat bulup daha detaylı incelemek için üretici olan ISR Bilgi Güvenliğinden bir demo ürün istedim, sağ olsunlar kırmadılar, hemen gönderdiler. Ürünlerinin denenmesini istiyorlar, özellikle yabancı rakipler ile kıyaslanması noktasında oldukça hevesliler. Hatta ürünlerine o kadar güveniyorlar ki, cihazın konumlandırılacağı yerlerde önce POC (Proof Of Consept) yapılmasını önemle tavsiye ediyorlar.
Test etmek için gönderilen ürün TINA ZP500 modeli. Oldukça şık bir kutu, rack ‘e takılabiliyor. Kurulum kılavuzu, kurulum videosu, yönetici kılavuzu hepsi eksiksiz dokümante edilmiş ve cihazın yanında sunuluyor. Daha öncede blirttiğim gibi TINA ağınıza bridge olarak konumlanıyor. Firewall ile switch arasındaki kabloyu çıkarıp araya TINA ‘yı konumlandırıyorsunuz. Aşağıdaki şekildeki gibi.
IP adresi ve lisans bilgilerini girebileceğiniz bir CLI haricinde TINA ‘nın donanımı üzerinde bir yönetim paneli ya da benzeri bir panel yok. TINA ’nın tüm konfigürasyonu internette bulunan ve tüm diğer cihazlarında yönetim merkezi olan tehdit yönetim sistemi olan CTM (Central Threat Management) üzerinden gerçekleştiriliyor. Gelen cihazın CLI ‘ın görüntüsü aşağıdaki gibi karşımızda,
CLI üzerinde çok kısa bir kurulum ‘dan sonra CTM ‘e girip, donanımı aktive etmek gerekiyor. CTM görülmeye değer, çok temiz ve tasarlanmış, anlaşılır ve kargaşadan çok uzak yalın bir portal.
Ortalama 1 dakika içerisinde appliance ‘ı CTM ‘e tanımladıktan sonra donanım üzerinden 2 uyarı sesi geliyor. 1. ‘si lisans bilgileri doğru, internete bağlandım ve hazırım. 2. ise güncellemeleri aldım, artık aktifim. Böyle bir ürünün sesle iletişime geçmesi başka hiçbir üründe karşılaşmadığım ve hayli hoş bir durum J
TINA ortama dahil olmadan önce başlamış ve devam eden zararlı trafik varsa bunları da tespit edebiliyor. Nasıl mı? İçerden dışarı çkan trafiğide kontrol ederek.
Yukarıdaki ekran görüntüsünde göreceğiniz üzere ortama dahil olduktan sonra yaklaşık 1 saat içerisinde 29 farklı tehdit yakaladı ve onlarca sandbox analizi gerçekleştirdi. TINA ‘nın fabrika verilerine göre, ortalama 900- 950 mbps throughput değeri var. Paketleri “on the fly” yakalıyor ve DPI teknolojileri sayesinde son derece hızlı karar verebiliyor. Elbette gerekli durumlarda sandbox analizlerini kullanıyor.
TINA ‘nın hoşuma giden bir yanı ise sandbox analizlerinde bir sayı limiti olmaması. TINA gerek gördüğü takdirde sandbox analizi yapan “karar verme” mekanizması var ve bunun için extra bir bedel talep etmiyor. Yeri gelmişken kısaca lisanslama modelinden bahsetmek istiyorum. TINA 100, 200, 300, 400, 500, 1000 şeklinde anlık kullanıcı sayısına göre lisanslanıyor ve üretici etik lisanslama modeline göre hareket ediyor. Buda bizi herhangi bir lisans aşımı durumunda kesintiye uğratmıyor.
TINA ‘nın tanımındaki “Bilinen ve Bilinmeyen Siber Saldırı Analiz ve Durdurma Sistemi” cümlesindeki “Bilinen” kısmını test etmeye karar verdim. Bilinmeyen taraftaki becerilerini bir başka gün deneyeceğim.
Bilinen tehdit / saldırı olarak aklıma en riskli olan cryptolocker geliyor ve çok güncel olmadığını bildiğim cryptolocker alan adları ile basit bir kaç deneme yapıyorum. Yerel tuzaklar bu denemeleri anında yakalıyor.
Bu denemelerden sonra benim denemem olmayan, aslında ne olduğuna dair bir fikrim olmayan bir takım loglar düşmeye başladı TINA ‘ya:
TINA ‘daki Mühendis arkadaşlarla görüşüp bu durumu sordum, bunlar bilinen saldırı kaynakları idi ve ağdaki cihazlara bulaşmış malware, virüs, trojan v.b. zararlılar bunlar ile iletişime geçerek bir takım işler çeviriyorlardı, bunlara C&C – Command And Control Center deniliyor.
Bu aşamada en büyük rahatlık sorduğum soruları tam anlayan ve verdiği cevaplarla yüksek seviyede tatmin sağlayan yurdum insanı. J TINA bir Türk ürünü olduğundan Türkçe dertlerimi anlatabilmek inanılmaz mutluluk verici. LOG bile yollamama gerek kalmadan dilediğim herşeyi konuşabilme rahatlığı paha biçilmez.
Yukarıdaki log görüntüsünde gördüğünüz c1.popads.net, ad.juksr.com alan adları benim denemelerim değil. Bunlar daha önce bu PC ‘lere bulaşan ve halihazırda aktive olmuş, neydüğü belirsiz, (tabi derin inceleme ile anlaşılabilir) zararlı kaynakları. Bayağı heyecanlandım bunları görünce, ağda bilgim harici cereyan eden bir takım faaliyetler bunlar.
Dashboard ‘un en dikkat çekici tarafı CSI.
Aşağıdaki ekran görüntüsündeki gibi yerel analizler ile (TINA DPI) daha derin analize girmesi gerektiği ortaya çıkan URL ‘lerin analizlerini buradan izleyebiliyorsunuz, sandbox analizlerinde sonucu temiz olanları aşağıdaki ekran görüntüsündeki gibi görüyorsunuz. Sandbox analizlerinden negatif sonuç çıkarma işini ve becerilerini daha bir sonraki makalede inceleyeceğim. Aşağıda CSI ile ilgili bir ekran görüntüsünü de paylaşmak istiyorum.
Bir sonraki makalede daha derin teknik detaylarla karşınızda olacağız.