Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
1. DHCP SERVER Loglarıve SNMP ile Kimlik Takibi
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP
adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar
birhotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama
kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ
Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer.802.1x
kimlik denetimi protokolü OSI’ye göreikinci katman protokolüdür ve oluşan logda sadece
MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim
kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır.
Mesela MAC adresi değiştiren programlar vs... Bu durumda MAC ve IP arasındaki ilişkileri
her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu
DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
DHCP LOGLARI
İstemcilere otomatik IP adresi verilmesini sağlayan DHCP servisi, logunda hangi IP adresinin hangi
MAC adresine atandığı bilgisini de barındırmaktadır. Bu logun yardımı ile istenen IP adresi bilgisine
ulaşma imkanı bulunmaktadır. Ancak kullanıcı DHCP sunucusundan IP adresi almak yerine kendisi IP
adresi atayabilir. Bu durumda kullanıcın takibi mümkün olamayacaktır.
Aşağıdaki resimde gösterilen Fauna ürünü ile bu loğlar otomatik toplanabilir.
http://www.anetyazilim.com.tr/Fauna/v7
2. Bu DHCP loğlarını otomatik toplayan sistemler mevcut ama Fauna nın farkı akıllı bir mekanizma ile
hem bu loğları ARP tablosu loğları ile körele etmesi hem de hangi MAC ın hangi IP yi ne zaman alıp ne
zaman bıraktığını takip edip raporlayabilmesidir.
Yönlendiricinin ARP Tablosunun Loglanması
Yerel ağların oluşturulmasında en çok kullanılan ağ arayüzü Ethernet' tir. Sistemlere Ethernet arayüzü
görevi gören ağ kartları takılarak LAN 'lara kolayca eklenmektedir. Ethernet arayüzleri birbirlerine veri
paketi göndermeleri için, kendilerine üretim sırasında verilen fiziksel adresleri kullanırlar; 48 bit olan
bu arayüzlerin ilk 24 biti üreticiyi belirtir ve 48 bitlik blok eşsizdir. TCP/IP protokolünün kullanıldığı
ağlarda 32 bit olan IP adresi kullanılır. Fiziksel katmanda Ethernet arayüzü kullanılıyorsa, IP adresten
fiziksel adrese dönüşüm işinin yapılması gerekir. Bunun için sistemlerde adres çözümleme protokolü
olan ARP( İngilizce:AddressResolution Protocol ) ve ARP tabloları kullanılır.
http://tr.wikipedia.org/wiki/Adres_%C3%87%C3%B6z%C3%BCmleme_Protokol%C3%BC
ARP kayıtlarına ulaşabilmek için en çok kullanılan yöntem SNMP ile çekmektir.
Örnek SNMP Ayarları
Basit Ağ Yönetim Protokolü, (İngilizce: Simple Network Management Protocol)
bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır.
Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem
çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.
SNMP, ağ cihazlarında yönetimsel bilgi alışverişinin sağlanması için oluşturulmuş bir
uygulama katmanı protokolüdür. TCP/IP protokolünün bir parçası olan SNMP; ağ
yöneticilerinin ağ performansını arttırması, ağ problemlerini bulup çözmesi ve ağlardaki
genişleme için planlama yapabilmesine olanak sağlar. Günümüzde kullanımda olan 3 tane
SNMP sürümü mevcuttur. 3. sürüm SNMP'ye pek çok güvenlik özelliği getirmiştir.
3. http://tr.wikipedia.org/wiki/SNMP
Kullanıcı Konum Tespiti
Belirli aralıklarla SNMP ile ARP tablolarını çekmek ve DHCP Server loğlarını analiz etmek konum tespiti
için uygulanır.
Kullanıcı hangi portta hangi bilgisi için
SNMP ile yönetilebilir anahtarlama cihazlarından MAC adres tabloları belirli aralıklarla
çekilebilir (1 dakikada 1 gibi...)
Mac-notificationsnmp trap
DHCP Logları
Kullanılır.
Sonuç
5651 sayılı kanun getirdiği sorumluluklar çerçevesinde ağ yöneticileri ağ kaynaklarının kullanımını
daha sıkı takip altına almak zorundadır.
Bu amaçla kullanılan 802.1x ve MAC adresi güvenliği tek başına yetersiz olabilir..
Bu amaçla kullanılabilecek DHCP sunucusu kayıtları kullanıcılar sabit IP kullanmaları durumunda yine
yetersiz kalmaktadır.
4. Diğer çözüm olan üçüncü katman yönlendiricin ARP tablosunun kayıt altına alınması ise her tür IP
dağıtım sisteminde kullanılabilmektedir. Ağ yöneticilerinin güniçinde belirli periyotlar da bir bu ARP
tablolarının kayıt altına almaları ve DHCP server loğlarını da kullanarak tüm ağın profilini bu anlamda
çıkarmak mümkündür.
Böylece hem güvenlik takibi amaçlı tam bir çözüm hem de 5651 sayılı kanun çerçevesinde statik IP
lerin takibi problemi çözülmüş olur.