Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
1. Açık Kaynak Sistemlerle Siber
Saldırı Gözlemleme Sistemi
Kurulum ve Yönetimi
Çağrı Ersen
Linux Akademi
http://www.linuxakademi.com.tr
Twitter ⇒ @CagriErsen
2. Amaç
Bu seminer, yerel ve sunucu ağlarında açık
kaynak kod uygulamalar kullanarak bir “Siber
Saldırı Gözlemleme Sistemi” kurgulanması ve
bu yolla “Güvenlik Odaklı 360 Derece Alan
Hakimiyeti” konseptinin neden ve nasılına
değinecektir!
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
3. Ajanda
● Siber Saldırı Gözlemleme Konsepti
○ Kavramlar (Ne, Neden, Nasıl ?)
● İhtiyaçlar & Bileşenler
○ Ossec & Snort
○ ELK Stack (ElasticSearch & Logstash & Kibana)
○ Parçaların birleştirilmesi
● Gerçek Hayattan Örnekler
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
5. Kavramlar
Bir takım laf salatası (mı acaba ?)
● Farkındalık
● Güvenlik Odaklılık
● 360º Alan Hakimiyeti
● Bir DevOps süreci olarak “Gözlemleme”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
6. Farkındalık
Hepimiz aynı “fizik yasaları”na tabiyiz...
… ve hayatın tüm dinamikleri insanlık tarihince
üretilmiş “aynı bilgi”ye dayalı olarak meydana
geliyor...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
7. Farkındalık
Buna rağmen aynı imkanlara sahip, aynı “şey”’i
yapan iki farklı kişi/kurumdan neden birisi
“daha” başarılı oluyor ? Ya da diğeri neden
daha başarısız ?
Yani “input” aynı iken “output”’un neden bir
standartı yok ?
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
8. Farkındalık
Evet doğru...
...cevabı etkileyen bir çok faktör var…
...ancak listesinin en tepesine yazılan ve diğer
tüm faktörleri doğrudan etkileyen gerekçe
istisnasız aynıdır:
“Farkındalık”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
9. Farkındalık
Farkındalık, vizyonu şekillendirir, konuyu her
ayrıntısı ile ele alma dürtüsünü tetikler ve
ayrıntılar önemlidir; farkı yaratır...
deyimi bile var...
“Şeytan ayrıntıda gizlidir!”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
10. Farkındalık
…ve başarılı olanlar, fark yaratanlardır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
11. Güvenlik Odaklılık
Farkındalığın yüksek olması, üzerinde mesai
harcanan sistemi, dayanıklılık, güvenilirlik ve
süreklilik esasları çerçevesinde ele alacak bir
disiplin ihtiyacını doğurur…
ve günümüzdeki ITIL/COBIT/PCI gibi
disiplinlerin odağında güvenlik bulunmaktadır.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
12. Güvenlik Odaklılık
Bu anlamda güvenlik, sürekli üzerinde
durulması ve sisteme çakılan her bir çivinin bu
odak ekseninde olması gerektiğini dikte eden
bir süreçtir…
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
13. Güvenlik Odaklılık
… ve bir sürprizin
sistem sürekliliğine
ve güvenilirliğine
zarar vermemesi
için yegane şart
güvenlik odaklı
olmaktır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
14. 360º Alan Hakimiyeti
“Farkındalık”, güvenlik odaklılığı, “Güvenlik
odaklılık” ise “Hakimiyet” gereksinimini
doğurmaktadır.
Disiplinin bir zorunluluk olarak dayattığı bu
durum, sistemi oluşturan tüm katmanlara
hakim olma felsefesinin afili tercümesidir.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
15. 360º Alan Hakimiyeti
İçeriden ya da dışarıdan gelebilecek müdahalelerin
güvenilirlik ve sürekliliğe ket vurmaması için bu
“hakim olma durumu” elzem bir konudur…
...ve tüm altyapının herhangi bir kör nokta
kalmayacak şekilde gözlemlenmesi ile hayata
geçirilir...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
16. 360º Alan Hakimiyeti
...her yönüyle ve
hiç bir kör nokta
kalmayacak şekilde
gözlemlemek! :)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
17. Gözlemleme
Güvenlik odaklı, 360 derece alan hakimiyeti
kurmak üzere ihtiyaç duyulan bu “Gözlemleme
İşi”, oluşabilecek sorunlara henuz oluşmadan
önce -proaktif olarak- yanıt verebilmek üzere
kurgulanması gereken bir “Monitoring
altyapısı” ihtiyacı doğurmaktadır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
18. Gözlemleme
Bu altyapının en önemli dinamiği ise, “ihtiyaçlara
göre esnetilebilir ve disiplin sürecine dahil
edilebilir” şekilde kurgulanabilmesidir.
Zira - daha önce de bahsedildiği gibi -,
“Güvenlik bir süreçtir...”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
19. Gözlemleme
İhtiyaca göre esnetilemeyen bir monitoring sistemi
kuvvetle muhtemel; “Yalancı Çoban Sendromu”
ndan muzdarip olarak efektifliğini yitirmiş ve
süreçlere dahil edilemediğinden zamanla bir
kenarda unutulacak, tek varlık sebebi “Var mı ?
Var!” olan boynu bükük bir sistem olacaktır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
20. Gözlemleme
Yalancı Çoban Sendromu
Çok sayıda false-positive
alarm üretip inanılırlığını
yitiren ve esnetilemeyen
sistemlerin muzdarip
olduğu sendrom.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
21. Gözlemleme
Sürece dahil
edilemeyen bir
monitoring
sistemi nedeni ile
varılan “reaktif”
nokta...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
22. Gözlemleme
Tüm bu nedenlerden dolayı kurgulanacak sistemin,
olması, hem micro hem macro management
anlamında ihtyaçlara göre esnetilebilir olması
efektiflik açısından zorunlu bir ihtiyaçtır..
İşte bu yüzden tercih edilen araçların ne kadar
“açık”olduğu önemlidir; zira...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
23. Gözlemleme
“Açık Kaynak Kod Araçlar”
=
“Esnetilebilirlik”
=
“İhtiyaca Göre Kurgu”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
25. İhtiyaçlar
İlk olarak ihtiyaçlarımızı belirleyelim:
Bahsi geçen özelliklerde, yani IT güvenlik sürecine
dahil edilerek atıl kalması engellenecek bir
gözlemleme sisteminin “temel” özellikleri neler
olmalıdır ?
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
26. İhtiyaçlar
İhtiyaçlarımıza göre kurgulayacağımız monitoring
sistemimizin temel özellikleri spesifik olarak
aşağıdaki iki soruyu adresleyecek yetenekte
olmalıdır:
“Ne oldu ?”
“Ne değişti ?”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
27. İhtiyaçlar
Ekseni belirlemek, kurgulanacak sistemin
efektifliğine direk etki ettiği için en önemli
konudur...
… bu yüzden “Ne oldu ve Ne değişti ?” ekseninde
gözlemleme sistemimizin özelliklerini
belirleyelim...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
28. İhtiyaçlar
… ilk olarak her bir host ve network cihazında:
● Log Analizi tabanlı Anomaly Detection,
● Dosya Bütünlük Kontrolü,
● Rootkit Detection,
yapabilme ve sistem katmanında cereyan eden
olayları tespit edebilme ihtiyacımız bulunuyor...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
29. İhtiyaçlar
… ardından network trafiğini izleyebilmeli ve;
● Protokol analizi tabanlı anomaly detection,
● Trafik içeriğinde pattern search
yaparak network katmanındaki atak vektörlerini ve
anormallikleri tanıyabilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
30. İhtiyaçlar
… Sistem ve Network katmanından elde ettiğimiz
bu verileri mutlak olarak,
● Okunaklı ve anlamlı bir halde,
● Geçmişe yönelik ve hiyerarşik olarak,
Bir mecrada depolayabilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
31. İhtiyaçlar
… ve depolanmış bu veriyi,
● Problematik durumların bir bakışta
farkedilmesini sağlayacak,
● Detaylı aramaya ve analize imkan verecek,
ekranlar üzerinden monitor edebilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
32. Bileşenler
Tüm bu ihtiyaçları karşılayacak sistem için reçete:
● Ossec
● Snort (ya da Suricata)
● ELK Stack
○ ElastichSearch
○ Logstash
○ Kibana
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
33. Bileşenler - Ossec
Trend Micro tarafından desteklenen, GPLv3 lisanslı
(Open Source) bir HIDS (Host Based Instrution
Detection System) uygulaması…
● Kural tabanlı log analizi,
● Dosya Bütünlük Kontrolü
● Rootkit Detection
● Active Response (Otomatik Aksiyon)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
34. Bileşenler - Ossec
● Manager / Agent Yapısı ile merkezi yönetim,
● Yapılandırılabilir (esnek) alarm desteği,
● Multi Platform (Linux, Solaris, AIX, HP UNIX,
BSD, OSX, VMWare ESX ve Windows)
● Üzerine agent kurulamayan (router, switch vs.)
aktif ağ cihazları için agentless monitoring
desteği.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
35. Bileşenler - Ossec
● Hemen hertür log formatı desteği.
● Öntanımlı 1000’in üzerinde decoder ve rule,
(http://www.ossec.net/?page_id=36)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
36. Bileşenler - Snort
4~ milyon indirme sayısıyla dünyada en fazla tercih
edilen açık kaynak kodlu IDS/IPS uygulaması.
● 98 yılında başlayan bir proje,
● Multi Platform (*nix/Windows)
● Stateful Packet Tracking
● Akademik, askeri, ticari
kullanım alanı
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
37. Bileşenler - Snort
● Cisco (SourceFire) tarafından geliştirilmektedir.
● Gartner Raporuna Göre en başarılı IPS’lerden
biri, (Sourcefire)
● Açık kural dili & Kendi kurallarınızı geliştirebilme
● ~15.000 öntanımlı kural
● ~3000 tavsiye edilen block kuralı
● 1 Mb -10Gb arası performans
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
38. Bileşenler - ELK Stack
ElasticSearch
Esnek, güçlü açık kaynak kod,
dağıtık, gerçek zamanlı bir arama
ve analitik motoru.
(Verimizi anlamlandırarak
depoladığımız mecra)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
39. Bileşenler - ELK Stack
Logstash
Açık kaynak kodlu bir “log
parser”.
(Ossec ve Snort alarmlarını parse
edip elasticsearch’e export
ettiğimiz araç.)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
40. Bileşenler - ELK Stack
Kibana
Elasticsearch için veri
görselleştirme motoru.
(Elasticsearch'deki anlamlı veriyi
sorgulamak ve görselleştirmek
üzere kullandığımız bileşen.)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
49. Gerçek Hayattan Örnekler
Bash zafiyetinin duyurulduğu zaman dilimi...
Adamlar Rus beyler..
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
50. Gerçek Hayattan Örnekler
Shellshock...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi