3. Giriş
İş ortamlarımızda, sahip olduğumuz yerel ağlarda, kablosuz ağlarda ve internet
ağımızda zaman zaman teknik problemler gözlemleyebilir yada istemci/sunucu
tabanlı saldırılarla karşılaşabiliriz. Genelde bu işler için saldırı tespit sistemleri ve
log kolerasyon mekanizmaları kullanılır. Bu yazıda, ağınıza yapılan saldırıları
gözlemlemenizi ve anormallikleri tespit etmenizi sağlayacak ve çeşitli opensource
yazılımların bir arada yer aldığı SecurityOnion projesinden detaylarından
bahsedeceğim.
Dökümanın devamında, saldırı tespit sistemlerinin ağınıza yerleşim senaryolarını,
kurulum, konfigurasyon ve test aşamalarını okuyor olacaksınız.
Her türlü geri bildiriminiz ve katkılarınız için benimle iletişim kurmanızı rica ederim.
4. İş Ortamlarına Yerleşimi
Bu tür sistemlerin genellikle tercih edilen yapılandırma şekli, tüm network
cihazlarının (istemci, sunucu, switch/router vb) trafiğini görebileceğimiz bir noktaya
yerleştirmek. Böylelikle ağınızda değişiklikler yapmadan ve ek programlar
kurmadan ( agent vb.) bu işlemi başarıyla gerçekleştirebilirsiniz.
Bu tür yapılandırmalar için en ideal çözüm, switch ‘in mirror/span portuna bu
sistemi yerleştirmektir. Aşağıda örnek bir network şeması paylaşıyorum.
5. SecurityOnion Nedir ?
Debian tabanlı, üzerinde snort, barnyard2, suricata, bro ids, elsa gibi
uygulamaların hazır olarak kurulu geldiği ve birbiri ile çalışacak şekilde
yapılandırıldığı bir dağıtımdır. Normal şartlarda, snort ve diğer yazılımları kurup
yapılandırmak ile vakit kaybetmemek için SecurityOnion iyi bir çözüm olabilir.
Ayrıca Snorby arabirimi alarmları görüntülemek ve anlamlandırmak için oldukça
pratik.
SecurityOnion İndirme Adresi
Ağınızın kapasitesine göre bir donanım seçimi yapmanız gerekir. Fiziksel
sunucuda gerçek bir ağ ortamına kurmadan önce lab. ortamında kurup tecrübe
kazanmak isterseniz, kullandığınız sistem üzerinde VMware Workstation veya
alternatif bir sanallaştırma yazılımının ( virtualbox vb.) kurulu olması
önerilmektedir.
http://sourceforge.net/projects/securityonion/files/
6. SecurityOnion Kurulumu
Kurulum yapmayı tercih ettiğiniz sistem 2 tane ağ arabirimi eklemenizi öneririm. 1.
ağ arabirimi yönetim için 2. ağ arabirimi trafik izlemek için. Özellikle port mirror
diğer bilinen adı ile span porttan trafik alıyorsanız bu ağ arabirimine bağlantı
kuramayacaksınız (trafik readonly olduğu için)
ISO dosyasını indirdikten sonra kullanmış olduğunuz sanallaştırma programını
açıp kurabilirsiniz. Kurulum bittiğinde aşağıdaki gibi SecurityOnion masaüstü
ekranı karşınıza çıkacaktır. Sistem kurulumu için masaüstünde bulunan Install
Security adlı ikona çift tıklayarak çalıştırabilirsiniz. Kurulum aşaması oldukça kolay
aşağıdaki adımları takip edebilirsiniz.
8. Aşağıdaki ilk seçeneği seçerek disk içerisindeki bütün dosyaları silip kurulum
yapılmasını sağlayabilirsiniz.
Herhangi bir ayar değişikliği yapmadan Install Now butonuna tıklayarak kurulumu
bitirebilirsiniz.
9. Sistem kurulum aşamasında size birkaç soru sorulacaktır. Örneğin; nerede
yaşadığınız, klavye ayarı, kullanıcı bilgileri vb. bilgileri doldurmanızı isteyecektir.
Kurulum aşaması bittikten sonra Restart Now butonuna tıklayarak sistem yeniden
başlatılır.
10. Kurulum Sonrası Yapılandırma
Bu aşamada snort, snorby, sguil, squert vb. yazılımların çalıştırılması için
aşağıdaki adımlar takip edilebilir. Sistem masaüstünde bulunan Setup adlı ikona
çift tıklayarak çalıştırılır. Daha sonra root parolası girilir ve OK butonuna tıklayarak
bir sonraki adıma geçilir.
Aşağıda size iki seçenek sunuluyor, interface ayarlarını elle yapılandırmak
isterseniz No, not right now seçeneğini seçebilirsiniz. Otomatik olarak
ayarlanması önerilir.
11. Sanallaştırma programı üzerinde iki adet ağ arabirimi olduğu için bana hangisini
yönetim ağ arabirimi olarak kullanacaksın diye soruyor, eth0 ağ arabirimini
seçiyorum. Tabi siz istediğiniz ağ arabirimini seçebilirsiniz. !
Seçilen eth0 ağ arabirimi için ip adresi, netmask, ağ geçidi, dns vb. ayarları
otomatik olarak DHCP tarafından yapılandırılmasını istiyorsanız DHCP seçeneğini
seçebilir istemiyorsanız static seçeneğini seçebilirsiniz.
12. Sniffer için kullanılacak ağ arabirimi seçilir. Sniffer için bu bölüm birden fazla ağ
arabirimi desteklemektedir.
Sanallaştırma programı üzerinde bulunan sistemin eth1 ağ arabirimi için,
aşağıdaki değişiklikler için sizden izin istiyor Yes, make changes butonuna
tıklayabilirsiniz.
13. Sistem açıldıktan sonra masaüstünde bulunan Setup adlı ikona çift tıklayarak
çalıştırılır. Daha sonra root parolası girilir ardından OK butonuna tıklayarak bir
sonraki adıma geçilir. Aşağıdaki kırmızı ok işaretlerini takip ederek gerekli olan
diğer ayarlar yapılabilir.
14. Hızlı bir kurulum istiyorsanız Quick Setup seçeneğini seçebilirsiniz. Bütün
yapılandırmayı elle yapılandırmak istiyorsanız Advenced Setup seçeneğini
seçebilirsiniz. Hızlı bir kurulum için Quick Setup seçeneği önerilir.
Hangi ağ arayüzünü izlemek isterseniz aşağıdan belirtebilirsiniz.
15. Aşağıda size Sguil, Squert ve ELSA yazılımları için oturum sırasında kullanılacak
kullanıcı adını soruyor.
Snorby yazılımı için oturum sırasında kullanılacak mail adresini yazabilirsiniz.
Aşağıda size Sguil, Squert, Snorby ve ELSA yazılımları için oturum sırasında
kullanılacak parolayı yazabilirsiniz. En az 6 karakter uzunluğunda olması
gerekiyor. İki aşamada girdiğiniz parolalar birbirleriyle uyuşmalıdır.
16.
17.
18.
19. Saldırı Tespit Sisteminin ( Snort ) Güncelleme
Snort kurallarının güncel olması için komut satırından aşağıdaki komut
kullanılabilir. Diğer komutları kullanarak sistemin güncel olmasını sağlayabilirsiniz.
Güncelleme yapılırken Yarıda Kesmeyiniz. !
root# sudo i
root# sudo aptget update ; aptget upgrade
root# aptget distupgrade y
root# reboot
root# /usr/bin/ruleupdate
root# service nsm restart
20. Saldırı Tespit Sisteminin ( Snort ) Arayüzüne Giriş
Saldırı tespit sisteminin snort ‘un arayüzüne giriş yapmak için masaüstünde
bulunan snorby ikonuna çift tıklayarak çalıştırılır. Snorby portu varsayılan 444
portunda çalışmaktadır. Sistem yapılandırma sırasında tanımlamış olduğunuz mail
adresi ve parolayı buraya girmeniz gerekiyor.
22. Kayıtlı Malware Trafiklerini Yeniden Oynatma
Çeşitli .pcap uzantılı dosyaları tcpreplay aracı ile ağ içerisinde oynattıktan sonra
zararlı yazılımın trafiğinin yakalandığı zaman securityonion loglarında aşağıdaki
gibi gözükmektedir. Örnek olarak Zeus zararlısının trafiğini oluşturduğumuzda
Saldırı Tespit Sistemimizin bunu yakaladığını görebilmekteyiz.
kali# tcpreplay i eth0 t K loop 200 zeussample3.pcap
23. Unicode Saldırısı
Apache sunucusu bulunan bir sisteme aşağıdaki gibi web üzerinden unicode
saldırısı yapılabilir. Böyle bir saldırı olduğu zaman securityonion loglarında
aşağıdaki gibi gözükmektedir.
Örnek:
http://ip_adresi/script/%0%AF../%C0%AF../%C0%AF../%C0%AF../%C0%AF../%C0%
AF../vint/system32/cmd.exe
Gerçek:
http://192.168.100.128/script/%0%AF../%C0%AF../%C0%AF../%C0%AF../%C0%AF..
/%C0%AF../vint/system32/cmd.exe
24. Yukarıdaki unicode saldırısı hakkında daha fazla bilgi almak istersek uyarı
kaydının içerisine girebiliriz.
Kaynak : http://blog.securityonion.net/ ( parola sıfırlamak )