29 Eylül 2014

Ağ Temelli Adli Bilişim Temel Bilgiler - Bölüm- 1

Ağ trafiğini loglamak ve/veya izlemek için herhangi bir ağ interface’ini promiscuous mode’a getirmek yeterlidir. Ancak izlemek istediğimiz trafiğin yönlendirilmesi ve büyüklüğü dinleme yöntemimizin belirlenmesinde etkileyici olacaktır. Bu işlemi bir PC ile yapmaya kalktığımızda izleyebileceğimiz alanı sınırlı tutmalı, arp poisoning yaparak (ki bu ağ iletişiminin kalitesini düşürecektir) veya PC’yi gateway olarak tanımlayarak yönlendirmeyi bu PC üzerinden gerçekleştirmeliyiz.
Bu yöntemin ciddi bir ağ izleme çözümü olamayacağı açıktır. İzleme için en uygun yöntem bu amaca yönelik ağ cihazları ve/veya konfigürasyonlar kullanmaktır.

Araçlar ve özelliklerine geçmeden önce bu araçların konumlanmasını da tartışmakta fayda var. Yukarıda da belirtildiği gibi trafiğin yönlendirilmesi dinleme için önemlidir. Dolayısıyla ağ bölümlemesine uygun olarak izlenmek istenen trafiğin tümünün görüldüğü noktalara sensörler yerleştirilmelidir. Yani trafiğin filtrelenmemiş halini görmek istiyorsak az güvenli alana filtreleme cihazının (örneğin firewall’un) önüne bir sensör yerleştirmemiz gerekir. Eğer trafik miktarı yüksek değilse gateway’in önüne bir sensör konulması söz konusu alandaki trafiğin tümünü dinlemeye imkan verecektir, ancak büyük bir ağ bölümünden söz ediyorsak (ki böyle bir ağın yapılandırılmasında da bunun etkileri görülecek ve birden fazla gateway ve yönlendirici kullanılacaktır ağın etkin kullanılabilmesi için) alt segment trafiklerinin izlenebileceği noktalara sensörlerin yerleştirilmesi daha uygun olacaktır.


 Kablolu ağlarda izleme amaçlı araçlar
  • Hub
  • SPAN port
  • Tap
  • Inline cihaz
Sensörler


Hub: Hub düşük maliyetli ve bir portuna gelen trafiği diğer tüm portlara kopyalayan bir cihazdır. Böyle bir araç kullanarak 2 cihaz arasında dinleme yapma yöntemi (örneğin 4 port’lu bir hub kullanarak ve firewall ve router arasındaki trafiği dinlemek için) daha önce firewall ile router’ı bağlayan firewall portundan hub’a bir kablo bağlamak, daha önce router’ı firewall’a bağlayan router portundan hub’a bir kablo bağlamak ve 3. porta da dinleme yapacak sensörün ağ kablosunu bağlamak şeklinde olabilir. Hub’lar gelişmiş cihazlar olmadığından full-duplex (yani her iki tarafında aynı anda karşı tarafa paket gönderebilmesi) iletişimi desteklemez ve half-duplex modda çalışır. Bu durum da ağda çarpışmalar (collision) olmasına neden olarak ağ performansını düşürür.

Hub’ların avantajlarından bahsetmek gerekirse ucuz olmalarının yanı sıra basittirler, trafiği tüm katmanlarda gözlemlemeye imkan tanırlar ve paketleri hiçbir biçimde değiştirmezler. Dezavantajları arasında half-duplex olmalarının yanısıra izleme amaçlı veya kritik noktalarda kullanılmaları amaçlanmadığından yedekleme kontrolleri yetersiz olabilir (örneğin tek güç girişleri vardır), ayrıca hub’a bağlı sensör iyi konfigüre edilmemişse sensör tarafından trafik enjekte edilmesini engelleyemez.

SPAN Port: Switched Port ANalyzer’ın kısaltması olan SPAN “port mirroring” ya da “port monitoring” olarak da adlandırılır. SPAN konfigürasyonu genellikle switch’ler üzerinde bulunan 10/100 Mbps kapasiteye sahip fast ethernet portlara gelen trafiğin bir 1000 Mbps (Gigabit) ethernet port’una kopyalanması şeklinde yapılır. Switch’in önceliği paket yönlendirmesini yapmak olduğundan GB port kullanılarak bu ihtimali azaltılmaya çalışılır.

SPAN port kullanımının başlıca faydaları zaten varolan switch cihazlarının kullanılabilmesi ve trafiği tek bir noktadan geçmeyen (örneğin aynı subnet içinde bulunan cihazların switch üzerinden birbiriyle iletişimi gibi) farklı ağ segmentlerini izlemeye imkan vermesidir. Dezavantajları arasında ise konfigürasyon gerektirmesi dolayısıyla hatalı konfigürasyon sonucu tüm paketleri görememe, layer 2 trafiğini izleyememe, yüksek yük durumlarında yönlendirmeye verilen öncelik nedeniyle paket kaybı, hatalı oluşturulmuş paketlerin kopyalanmaması ya da paketlerde değişiklik yapılması sayılabilir. Ayrıca tüm switch’lerde SPAN port desteği bulunmayabilir.

Paketlerde değişiklik yapılmasına örnek olarak SPAN portunun VLAN trafiğini VLAN tag’lerini temizleyerek kopyaması verilebilir. VLAN tag’lerini de gözlemlemek için doğrudan trunk portunu kullanmak gerekir. Ayrıca paketleri toplayan sensörün de VLAN trafiği için konfigüre edilmesi gerekir (örneğin tethereal “vlan 10” switch’i kullanılmadığı durumda gördüğü VLAN trafiğini göremeyecektir).

Tap: TAP’ler (ya da test access port’lar) izleme amaçlı üretilmiş ağ cihazlarıdır. TAP’ler herhangi 2 ağ cihazının arasına konumlandırılabilir. TAP’ler hub’lara nazaran daha pahalı olmakla birlikte izlemeye yönelik önemli üstünükler sunar, örneğin iletişimin full-duplex sürmesine ve böylece collision yaşanmamasına imkan tanır, izleme amaçlı üretildiklerinden yedek güç girişleri bulunur, güç kesintisinde dahi paket geçişini sağlar, tamamen pasif olarak konfigüre edilebilir ve sensör’den trafik sızıntısına izin vermez, gözlenen paketlerin yapısını aynen korur, tüm ağ katmanlarını görür. Geleneksel TAP cihazları iki cihaz arasındaki trafiği ayrı ayrı 2 porta koplayar. Bu durum da bir oturumda gerçekleşen paket alış verişini bir arada görme ihtiyacının olduğu durumlarda her iki kanaldan gelen paketlerin birleştirilmesi ihtiyacını doğurur. Bu iki kanalın birleştirilmesi işlemi yazılım çözümleri (sensör üzerinde iki interface karttan toplanan trafiği sanal olarak birleştiren bir virtual interface yaratarak veya mergecap gibi bir uygulamayla toplanan paketleri işleyip tek bir akış yaratarak) veya donanım çözümleri (tap’ten gelen kabloların bir switch’e aktarılması ve SPAN portundan her iki trafiğin de dinlenmesi veya iki kanaldan gelen paketleri tek akışa indiren özel bir cihaz kullanımı) ile gerçekleştirilebilir. Trafik çıktısını tek porttan veren TAP cihazları da mevcuttur.

Inline cihazlar: Yukarıda bahsedilen hub, switch ve tap’de inline cihaz olsa da burada bahsedilen inline cihazdan ağ ekipmanı olmaları dolayısıyla ayrılmaktadırlar. Burada bahsedilen inline cihaz en az 2 ağ arayüzü olan ve üzerinde genellikle bir Unix işletim sisteminin (FreeBSD veya OpenBSD gibi) koştuğu bilgisayarlardır. Bu konfigürasyon genellikle hem firewall hem de IDS/IPS olarak kullanılan çözümlerde görülmektedir. Elbette bu yaklaşımın en büyük sıkıntısı 2 görevi de tek cihaza yüklemenin getirdiği tek nokta hata riskidir. Hem bu şekilde ağ akışına izin veren (bridging hizmeti sağlayan) hem de erişim kontrolü yapan cihazlara “filtering bridge” denmektedir.

Inline cihazlar üzerinde ağ izleme çözümlerinin tespit ettiği saldırılara karşı aksiyon alması da mümkündür. Bu tür saldırı önleme sistemlerine (IPS) örnek olarak Snort-inline ve Hogwash projeleri verilebilir. Her iki araç da Snort IDS imzalarına uygun paketleri düşürmektedir.

Inline cihazların avantajları arasında erişim kontrol ve trafik düzeltme (scrubbing) imkanı tanıması ve izleme yeteneğini trafiğin proxy edilmesi gibi diğer güvenlik yetenekleri ile kolaylıkla entegre etmesi sayılabilir. Dezavantajları ise hub ve tab’ler gibi yeni bir hata noktası (point-of-failure) oluşturması ancak bunlardan daha kompleks olması, iletişimi geciktirebilmesi (latency eklemesi) ve cihazın kendisinin ağ üzerinden saldırılara maruz kalabilmesi olarak sayılabilir.

Sensörler


Üzerinde açık kodlu çözümler koşan sensörler genellikle genel amaçlı sunucular ve genel amaçlı işletim sistemleri üzerinde koşar. Sensör’lerin CPU, RAM, harddisk, ağ arayüz kapasite ve performansları izledikleri trafikle orantılı olmalıdır. Sensörlere yönetsel olarak erişmek için konsol erişimi, in-band (kurum ağı üzerinden) uzaktan erişim ve out-of-band (kurum ağına ek olarak kurulmuş ağ) uzaktan erişim yöntemleri kullanılabilir.



Sonraki Bölüm>>