Network Cihazlarında Log Analizi

 GÜVENLİK DUVARI

Güvenlik Duvarları (Firewalls), Organizasyonun ağ güvenliği açısından önemli olduğu kadar, üzerinden akan trafiğin logları da önemlidir. Loglar, izin verilen,reddedilen ve düşürülen bağlantıları da içermesinden dolayı; güvenlik duvarının konfigürasyonunun doğruluğu, Organizasyonun Sistemlerine olan spesifik saldırı ve bağlantıları hakkında  önemli bilgiler içermektedir.

Bu veriler, her Güvenlik Duvarında varsayılan olarak yer almakla birlikte çoğu Güvenlik Duvarı daha fazlasını sunmaktadır.

VEKİL SUNUCULAR

Vekil Sunucuların (Proxy’lerin), IP bilgisi dikkate alarak yetkilendirme yapan web sistemlerine erişim amaçlı kullanılması yaygındır. Bu sunucuları kullanan kişilerin gerçekleştirdiği tüm aktivitelerin loglanması çok önemlidir. Sistem güvenlik cihazlarınızın bypass edilmesi veya başka sistemlere saldırılar düzenlenmesi, erişimi yasak olan bölgelere bağlanmak için kullanılmasının önüne geçmek için logların incelenmesi gereklidir. Yasaklı işlem yapan kullanıcıların tespiti, kuralların ve filitrelerin iyileştirilmesi amacı ile düzeltici faaliyetler tanımlanmasınıda yine bu logları inceleyerek, gerekli durumlarda alarm üreterek sağlanabilir.

SALDIRI TESPİT ve SALDIRI ENGELLEME SİSTEMLERİ (IPS/IDS)

Saldırı Tespit ve Saldırı Engelleme Sistemleri, Organizasyonun dışından veya içinden gerçekleştirilen şüpheli ağ trafik davranışlarını tespit ederek, belirlenen seviyelerde bu eylemleri engellemektedir. IPS/IDS’leri, Güvenlik Duvarları ile birlikte UTM kapsamında (Birleştirilmiş Tehdit Yönetimi) tek ürün olarakta görmek yaygındır. IPS/IDS loglarından çok önemli ağ güvenlik verileri elde edilir. Burada saldırının önceden tespit edilmesi ve önleyici faaliyetler uygulanması veya hatalı tespitler (False Positive) incelenerek düzeltici faaliyetler gerçekleştirilebilmesini ancak logları inceleyerek sağlayabiliriz.

UZAKTAN ERİŞİM YAZILIMLARI

Uzaktan Erişim dediğimizde ilk akla gelen Sanal Özel Ağ (VPN) sistemleridir. Kullanıcının kampüs, şirket, ofis ortamı dışından ağ’a dahil olmasını sağlayan teknoloji, kullanıcı yetkilendirmeleri seviyesinde olacağından dolayı mutlaka loglanmalıdır. Burada, yetkisiz bir kullanıcıyı veya yetkili bir kullanıcı için tanımlanmamış davranışları tespit etmek temel amaçtır. Erişim yapan kullanıcının IP, Kullanıcı adı, Bağlantı zamanı, Bağlantı süresi ve Aktarılan, İletilen verinin loglanması önemli bilgiler verecektir.

YÖNLENDİRİCİLER

Yönlendiriciler, Güvenlik Duvarı kadar detaylı olmasa da, akan trafik bilgilerinin yanında reddedilmiş olay loglarını da iletebilmektedir. Günümüzdeki yönlendirme işlemleri çoğunlukla Güvenlik duvarından gerçekleştirildiği için ayrıca bir kaynaktan log alma gerekliliği azalmaktadır.

ANAHTARLAMA CİHAZLARI

Ağ içerisindeki sunucu ve istemci sistemleri ile ilgili;  Fiziksel port, MAC, IP gibi tanımlayıcı bilgilerin yanında, anahtarlama cihazı ile ilgili fiziksel arıza durumları, cihaz loglarından teşhis edilebilir. Router ve Ağ sistemlerine olan virüs,vb saldırı izleri (ARP zehirmelesi, DHCP snooping,..) günümüz anahtarlama cihazlarından elde edilebilir. Düzletici, Önleyici faaliyet uygulanabilir.

 

 

 GÜVENLİK DUVARI (Firewall) için Örnek Loglar

Session Create                                 

<14>Sep  9 16:34:46 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 192.168.9.231/3506->93.158.110.226/80 junos-http 192.168.1.9/54021->93.158.110.226/80 source-nat-rule None 6 Allow_WebServices trust untrust 6288

Session Close                                       

<14>Sep  9 16:34:44 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP RST: 192.168.9.231/3489->178.237.172.84/80 junos-http 192.168.1.9/13470->178.237.172.84/80 source-nat-rule None 6 Allow_WebServices trust untrust 6254 4(514) 1(44) 7218

SESSION DENY

<14>Sep 19 11:39:34 RT_FLOW: RT_FLOW_SESSION_DENY: session denied 192.168.9.232/3968->74.125.47.93/80 junos-http 6(0) any_Permit trust untrust HTTP YOUTUBE N/A(N/A) vlan.0

Traffic Acces

date=2011-05-25 time=22:59:02 devname=FGT60C3G10006819 device_id=FGT60C3G10006819 log_id=0021000002 type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src=192.168.11.90 srcname=192.168.11.90 src_port=60398 dst=8.8.8.8 dstname=8.8.8.8 dst_port=53 tran_ip=192.168.1.11 tran_port=52066 service=53/udp proto=17 app_type=N/A duration=180 rule=5 policyid=5 identidx=0 sent=63 rcvd=93 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=1 rcvd_pkt=1 vpn="N/A" src_int="internal" dst_int="wan1" SN=3773 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A"

Traffic Block                                                                                                               

date=2011-05-25 time=22:48:43 devname=FGT60C3G10006819 device_id=FGT60C3G10006819 log_id=0022000003 type=traffic subtype=violation pri=warning status=deny vd="root" src=192.168.11.90 srcname=192.168.11.90 src_port=59755 dst=77.79.124.201 dstname=77.79.124.201 dst_port=21 service=21/tcp proto=6 app_type=N/A duration=0 rule=3 policyid=3 identidx=0 sent=0 rcvd=0 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" vpn="N/A" src_int="internal" dst_int="wan1" SN=3534 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A"

 

 Vekil Sunucular (Proxy, Web Filtering) için Örnek Loglar

Web Filter URL Permited  

192.168.1.9:514|<28>Sep  9 16:34:48 utmd[1140]: WEBFILTER_URL_PERMITTED: WebFilter: ACTION="URL Permitted" 192.168.9.231(3509)->80.239.230.137(80) CATEGORY="News" REASON="by predefined category" PROFILE="test_webfilter" URL=i1.nyt.com OBJ=/images/misc/nytlogo379x64.gif

Web Filter URL Block                    

192.168.1.9:514|<28>Sep  9 16:34:39 utmd[1140]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 192.168.9.231(3485)->80.237.185.122(80) CATEGORY="Games" REASON="by predefined category" PROFILE="test_webfilter" URL=www.kraloyun.com OBJ=/

WebFilter Access

date=2011-05-25 time=22:28:56 devname=FGT60C3G10006819 device_id=FGT60C3G10006819 log_id=0317013312 type=webfilter subtype=ftgd_allow pri=notice vd="root" policyid=1 identidx=0 serial=1451 user="N/A" group="N/A" src=192.168.11.90 sport=57453 src_port=57453 src_int="internal" dst=83.66.160.24 dport=80 dst_port=80 dst_int="wan1" service="http" hostname="img.adnet.com.tr" profiletype="Webfilter_Profile" profilegroup="N/A" profile="test_webfilter" status="passthrough" req_type="referral" url="/Ad_Images/3/20110526/363d87d59c8744f.gif" msg="URL belongs to an allowed category in policy" method=domain class="0" class_desc="N/A" cat=52 cat_desc="Information Technology"

WebFilter Block

date=2011-05-25 time=22:30:41 devname=FGT60C3G10006819 device_id=FGT60C3G10006819 log_id=0316013056 type=webfilter subtype=ftgd_blk pri=warning vd="root" policyid=1 identidx=0 serial=1694 user="N/A" group="N/A" src=192.168.11.90 sport=57658 src_port=57658 src_int="internal" dst=74.114.28.110 dport=80 dst_port=80 dst_int="wan1" service="http" hostname="www.meebo.com" profiletype="Webfilter_Profile" profilegroup="N/A" profile="test_webfilter" status="blocked" req_type="direct" url="/" msg="URL belongs to a denied category in policy" method=domain class=0 class_desc="N/A" cat=68 cat_desc="Web Chat"

 

 
 SALDIRI TESPİT ve SALDIRI ENGELLEME SİSTEMLERİ (IPS/IDS) için Örnek Loglar

IPS/IDS

192.168.1.9:514|<14>Sep  9 17:09:55 RT_IDP: IDP_ATTACK_LOG_EVENT: IDP: at 1315577395, ANOMALY Attack log <192.168.9.231/4008->74.125.13.55/80> for TCP protocol and service TCP application NONE by rule 1 of rulebase IPS in policy IDP01. attack: repeat=0, action=NONE, threat-severity=INFO, name=TCP:AUDIT:C2S-FUTURE-ACK, NAT <192.168.1.9:30780->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:trust:fe-0/0/7.0->untrust:ge-0/0/0.0, packet-log-id: 0 and misc-message –

IPS/IDS

date=2011-05-25 time=22:56:04 devname=FGT60C3G10006819 device_id=FGT60C3G10006819 log_id=0419016384 type=ips subtype=signature pri=alert severity=medium carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=192.168.11.90 dst=69.171.224.11 src_int="internal" dst_int="wan1" policyid=1 identidx=0 serial=3790 status=detected proto=6 service=http vd="root" count=1 src_port=59969 dst_port=80 attack_id=12699 sensor="test_ips" ref="http://www.fortinet.com/ids/VID12699" user="N/A" group="N/A" incident_serialno=1355456700 msg="web_server: PHP.Remote.File.Inclusion"

IPS/IDS

id=firewall sn=0017C568BBA4 time="2011-12-20 11:51:38 UTC" fw=95.9.45.181 pri=1 c=32 m=608  msg="IPS Detection Alert: ICMP Echo Reply" sid=316 ipscat=ICMP ipspri=3 n=0 src=188.138.48.187:8:X1: dst=10.10.30.117:1:X0:MBSQL

 

 

 

 

 

 

 

Başka sorularınız var mı? Bir talep gönder

Yorumlar