Ağ Güvenlik Takibi(Network Security Monitoring) Süreçleri

Dec 23rd, 2007
Leave a comment | Trackback

Ağ Güvenlik Takibi (Network Security Monitoring – NSM) kavramı, nüfuz (intrusion) saptanması ve ona göre önlemler alınması için aşağıdaki süreçleri tanımlar [1]:

  • Gerekli verilerin toplaması,
  • Belirti ve uyarıların artışının analizidir.

NSM, ağ farkındalığı yaratmak için aşağıdakilere gereksinim duyar [1]:

  • Uyarı (alert) verisi,
  • Oturum(session) verisi,
  • Tam içerik (full content) verisi,
  • İstatistiksel veri

NSM ile hedeflenen; bir nüfuzun kapsamının ve etkisinin değerlendirilmesi için gerekli kanıtların toplanması, etkin ve etkili önlem iyileştirme aşamalarının gerçekleştirilmesidir [1]

NSM bir kavramdır ve özellikle ağ farkındalığı için akış (flow) takibi önemlidir.

Kullanılabilecek yöntemler, programlar ve uygulama örneği bir sonraki sayfada verilmiştir.

Bütün ağ paketlerini biriktirmek mümkün değildir. Bunun yerine, aşağıdakiler gerçekleştirilebilir:

  • Kısmi zamanlı, örnekleme (sampling) veya belirli IDS uyarıları durumunda,
  • Sunuculara gelen istek paketlerinin takibi,
  • Kritik sunucularına hem gelen, hem de giden trafiğin bütünün takibi. Kritik sunucular ile söz edilenler şunlardır:
    • Kurum için önemli bilgiler barındıran sunucular,
    • Tarafımızdan yönetilmeyen ve muhtemel güvenlik sorunları olduğundan şüphelenilen sunucular,
    • Saldırgan tuzağı (honeypot) olarak kullanılan sunucular.
  • Sunuculara gelen/giden trafiğin IP paket başlığının tümü ve veri (payload) kısmının belirli bir kısmı tutulabilir.

Kullanılabilecek programlara örnekler:

  • Ağ ve akış (flow) dinleme programları:
    • tcpdump
    • argus
  • Paket analiz programları:
    • argus flow analiz programları (ra, racluster, ragraph, ragrep, racount, rahosts …)
    • tcpslice
    • tcpdstat
    • tcptrace
    • honeysnap
    • Sguil
  • Paket tekrar oluşturma:
    • tcpreplay
  • Grafiğe dökme programları:

Argus, özellikle netflow gibi Cisco L3 cihaza bağımlı olmaması ile dikkati çekiyor. Ağ üzerindeki her hangi bir segmentte, herhangi bir makine üzerinde çalıştırabilirsiniz. Bunun yanı sıra analiz içinde birçok yazılımla beraber geliyor. Bunun yanı sıra, Afterglow ile süreci grafiğe dökmek de mümkün olmaktadır. Detaylı bilgi için bkz [2]

Sguil, NSM kavramına göre analiz yapılmasını sağlayan bir yazılımdır. Ayrıntılı bilgi için bkz [3].

Görselleştirme, güvenlik analiz süreçlerinde her geçen gün önemli hale gelmeye başladı. http://www.secviz.org adresinden bu konuda bilgi edinmeniz mümkündür.
Uygulama Örneği:

Kurumsal ağlarda paket analizi için yapılabilecek çalışmaları özetlemek gerekirse,

Ağ üzerinde pasif dinleyici (sniffer) olarak çalışacak bir makinenin atanması,

Ağ cihazlarından, hangi ağ segmenti dinlenecekse, gerekli ayarlamaların yapılarak trafiğin bir kopyasının pasif dinleyici makinesine yönlendirilmesidir.

Bu durumda PCAP/TCPDUMP ile trafik dinlenecek ve bu trafik Ethereal/Wireshark ile analiz edilmeye çalışacaktır. Aslında flow bilgisinin edinilmesi ile daha etkin analiz süreçlerinin gerçekleştirilmesi mümkündür. Birkaç uygulama örneği aşağıda verilmiştir:

- Toplanan verinin genel karakteristiklerinin öğrenilmesi:

tcpdstat tcpdump_dosyasi.pcap

- pcap dosyasından flow bilgisini almak için argus dosyasına dönüştürmek:

argus -r tcpdump_dosyasi.pcap -w argus_dosyasi.arg


- pcap dosyasını (15 Byte payload verisini de alarak) argus dosyasına dönüştürmek:

argus -U 15 -r tcpdump_dosyasi.pcap -w argus_dosyasi.arg

- ragraph ile çok çeşitli grafikler çizilebilir. Aşağıdaki örnekte, sunucuya gelen trafik yükünün grafiğinin çizilmesi

ragraph bytes -M 10s -r argus_dosyasi.arg -title “Toplam Trafik”

- Argus dosyası ile birçok inceleme süreci gerçekleştirilebilir. Burada verilecek örnekte, analiz verisinde bulunan her IP adresine ait istatistikler verilecektir.

racluster -n -r argus_dosyası.arg -M rmon -m saddr -w argus_dosyasi.arg.cluster - ip

- Oluşturulan dosyadan, en fazla trafik yaratan 20 makinayı (kaynak adres, kaynak paket sayısı, hedef paket sayısı, trafik) çıkarmak için aşağıdaki komut kulanılabilir:

racluster -n -r argus_dosyası.arg -M rmon -m saddr -w - - ip | rasort -m bytes -w -| ra -N 20 -s saddr spkts dpkts bytes

Argus flow analizi programlarının kullandığı parametrelerin hepsi ortaktır. Bu parametreler hakkında bilgi edinmek için:

man ra

Argus ile birlikte gelen “argus client” yazılımları ile ayrıntılı analiz süreçleri gerçekleştirilebilir. Biz burada birkaç örnek vermeye çalıştık. Ayrıntılı açıklamalı analizler için bkz [4]. Bu konuda takip edilebilecek bloglar için bkz [5], [6].

! Önemli Not !: Argus 3.x şu an en yeni sürüm, çok yeni özellikler içeriyor. Bazı dökümanlarda 2.x sürümüne ait kullanılan bazı komutlar ve opsiyonlar yeni sürümde çalışmamakta. Dökümanda verdiğim örnekler 3.x sürümünde sorunsuz çalışmaktadır. Manual’de de bazı eksiklikler olduğunu söylemeliyim. Bu konuda çalışacaksanız, mail grubunu takip etmeyi unutmayın: http://www.qosient.com/argus/mailinglists.htm

Kaynaklar:

[1] Bejtlich R., The Tao of Network Security Monitoring: Beyond Intrusion Detection, Lesson Notes, (Addison-Wesley, 2005; http://www.taosecurity.com/books.html ).

[2] Russ McRee, “Auditing Network Activity Using Argus”, November 2007 ISSA journal, http://holisticinfosec.org/toolsmith/docs/november2007.pdf

[3] NSMWiki, the official wiki for the Sguil Project.
http://www.vorant.com/nsmwiki/index.php?title=Main_Page

[4] Bejtlich R., Structured Traffic Analysis, Insecure Magazin Issue 4, 2005, http://insecuremag.com/

[5] http://geek00l.blogspot.com/

[6] http://taosecurity.blogspot.com/

Kaynak göstermek şartıyla kullanımı serbesttir. (Enis Karaarslan, ULAK-CSIRT, 2007)

Tags:
  1. ULAK-CSIRT » trojan/virus/worm gibi sorunlara karşı savunma yöntemleri
    Dec 29th, 2007 at 13:33
    #1