KFSensor, sanal
bir sistem ve hizmetler oluşturarak bilgisayar korsanlarını veya diğer yetkisiz
kullanıcıları ve Truva atlarını yakalamak ve tespit etmek için oluşturulan,
Windows tabanlı Honeypot IDS (Saldırı Tespit Sistemi) 'dir. KFSensor, Windows
tabanlı kurumsal düzeyde şirkette kullanılmak üzere tasarlanmıştır ve ağ
seviyesinde güvenliği iyileştirmek için uygun maliyetli bir yol sağlar.
Bilgilendirme: Kullanmış olduğumuz KFSensor tool’umuzun ücretli
olduğunu bilmeliyiz.
Kurulum:
İlk olarak http://www.keyfocus.net/kfsensor/free-trial/
adresine girdikten sonra bizden standart bilgilerin girilmesi için istekte
bulunmaktadır. İlgili form alanını doldurduktan sonra KFSensor uygulamasını
indirebilirsiniz.
İndirmiş
olduğumuz KFSensor.exe’ nin kurulumu klasik Windows exe kurulumu olduğu için bu
bölümü atlıyorum. Şimdi sırada kurulum tamamlandıktan sonraki bölümdeki
konfigürasyon ayarlarını yapacağız. Karşımıza kurulum tamamlandıktan sonra
uygulamayı çalıştırdığımızda gelen görüntü aşağıdaki gibidir.
Şimdi ise
aşağıdaki gibi “Set Up Wizard” ekranı karşımıza gelmektedir. “Next” butonuna
basarak devam edelim.
Aşağıdaki resimde
görüldüğü üzere “Native Services” portlarını seçmemizi istemektedir. Hepsini
seçili olarak bırakıp “Next” butonumuza basarak devam edelim.
Karşımıza
aşağıdaki gibi “E-mail Alert” penceresi gelmektedir. “Send to” alanına
E-mail’in kime gönderileceğini, “Send from” alanında ise E-mail’ in kimden
gönderileceğinin adres bilgilerini yazmamız yeterli olacaktır. “Next” butonuna
bastıktan sonra gelen pencerede “Finish” butonuna tıklayarak kurulumumuzu
tamamlıyoruz.
NOT: Email Alert penceresinde gerekli e-mail
adreslerini girdikten ve kurulum tamamlandıktan sonra. Uygulama arayüzünde
bulunan Setting - > E-Mail Alert yolunu takip ederek aşağıdaki resimdeki
ayarlar bölümünden gerekli SMTP ayarlarını tamamlamamız gerekmektedir.
Kurulum
tamamlandıktan sonra KFSensor uygulamasının arayüzüne geldiğimizde network
trafiğindeki Ziyaretçileri, IP adreslerinin yanı sıra bağlantı noktalarına da
yakaladığını görebiliriz.
Senaryo:
Şimdi bir
saldırgan sistemimizi taramaya veya saldırmaya çalışırsa, KFSensor bu durumu
simüle edecek, bir savunmasız makine gösterecek ve IP adreslerini,
protokollerini, yaptıkları saldırı veya tarama türlerini kaydedip bize uyarı
verecek.
İlk olarak bir
saldırgan gibi Linux sistemimden NFSP ile KFSensor çalıştıran Windows IP
adresini “Nmap” ile tarayıp sonuçlarının bana, bir saldırı gerçekleşti ve
saldırıya uğrayan/kullanılan servisleri gösterdiğini görebilirsiniz.
Nmap ile bir TCP
taraması başlattığımızı aşağıdaki resimde görebilirsiniz.
Tarama yapılırken
KFSensor’un bize nasıl bir uyarı verdiğini inceleyelim.
NOT: KFSensor olumsuz durumlarını analiz ettiğinde sesli olarak bildirim
yapmaktadır. Arada bir gelen alarm sesi KFSensor uygulamasından gelmektedir.
Aşağıdaki resimde
mavi ile seçili olan alanda KFSenor’un “192.168.2.112”
adresinden “Muti-Port Scan Warning” uyarısını verdiğini görmekteyiz. Tabloya genel
olarak baktığımızda saldırıyı gerçekleştirdiğimiz diğer portlara da saldırının
gerçekleştiğini görebilmekteyiz.
Yukarıdaki mavi
seçili olan alarma detaylı olarak bakmak istediğimizde üzerine çift tıklayarak
aşağıdaki gibi detaylı bir pencerenin açıldığını görebiliriz. Burada sarı ile
seçili alanlara dikkatli baktığımızda Severity
alanının “Medium” olduğunu
görmekteyiz, bunun sebebi ise Request
Data başlığındaki açıklama alanında TCP(5) ve UDP(2) portlarına
bağlandığından orta seviye olarak kayıt altına almıştır.
Bu arada
taramamız devam ettiği için KFSensor alarmları üretmeye devam etmektedir.
Aşağıdaki resimde mavi ile seçili olan alanda tekrar aynı açıklama ile
gösterilen bir alarm daha olduğunu görmekteyiz.
Tekrar mavi ile
seçili olan alana çift tıklayarak detayına baktığımızda Severity alanının “High”
olduğunu görmekteyiz, bunun sebebi ise Request
Data başlığındaki açıklama alanında TCP(41) ve UDP(2) portlarına
bağlandığından yüksek seviye olarak kayıt altına almıştır.
Tekrar
KFSensor’un arayüzüne baktığımızda aşağıdaki resimde görüldüğü gibi aynı zaman
diliminde farklı portlara aynı adresten istek yapıldığını görmekteyiz.
Hatırlarsanız
daha önceden E-mail ayarlarını yapmıştık. Aşağıdaki resimde mavi ile seçili
olan alanda KFSensor’un belirtmiş olduğumuz E-mail adresine mail attığını
görmekteyiz.
Yukarıdaki mavi
ile seçili olan alana çift tıkladığımızda aşağıdaki resimdeki gibi detayını
görebilmekteyiz. Tabi biz SMTP ayarlarını yapmadığımız için “Description” başlığındaki açıklamada
bağlantının kurulamadığını görmekteyiz.
Şimdi ise KFSensor'un oluşturmuş olduğu logları inceleyelim.
Settings başlığı altında aşağıdaki resimde KFSensor'un kullandığı Alert yöntemlerini bulunmaktadır.
E-mail alert konusunu yukarıda anlatmıştık. Burada diğer alert yöntemlerinden bahsedelim.
Syslog Alert
KFSensor'un sysLog sunucusuna uyarı gönderme işlemini yapılandırmak için SysLog Alerts yöntemini inceleyelim.Aşağıda Syslog Alerts penceresinin görüntüsü bulunmaktadır.
Syslog server'ımızı enable duruma getirerek, logları göndermek istediğimiz sunucu adresimizin IP ve port numarası girdikten sonra yukarıdaki gibi,
Alert Detail başlığının altında bulunan format türlerinden istenilen türü seçebiliriz.
(KFSensor Arcsight ve QRadar uygulamalarını desteklediğini belirtmek isterim.)
Filter başlığında ise istenilen severity değerlerinden itibaren logların gönderilmesini sağlayabiliriz.
Sistem ve KFSensor Log Dosyaları
Sistemin ve KFSensor'un oluşturmuş olduğu dosyalar ise C:\kfsensor\logs dizininde bulunmaktadır. İstenilir ise belirli periyotlarda burada günlük olarak satır satır log kayıtları clear text olarak incelenebilir.
Aşağıdaki resimde oluşan log dosyalarının görünümü bulunmaktadır.
Daha ayrıntılı
bilgi alabilmek için Help sekmesindeki context dokümanına bakmanızı tavsiye
ederim.
Bir sonraki
makalede görüşmek üzere.
Daima güvenlik için...
