Security Onion ve Temel Bileşenleri

Günümüz gelişmiş siber tehditlerine karşı engelleyici (preventive) yöntemler artık tek başına yeterli olamamaktadır. Bu sebeple, ağ güvenliğini izlemek (security monitoring) ve engellenemeyen saldırıların, saldırılara doğru reaksiyon verebilmek için doğru ve zamanında tespit (detection) edilebilmesi etkili bir siber güvenlik adına son derece önemlidir. Bu amaç için temel gereksinimlerden birisi ağ trafiğini geriye dönük olarak kaydetmek ve olası bir şüpheli durumda bu kayıtlar üzerinden ağ adli incelemelerini (network forensics) yapabilmektir. Bu yazıda ağ adli incelemelerinde kullanılabilecek açık kaynak kodlu Security Onion aracı incelenecektir.

Ağ trafiğini kaydetmek ve ağ adli incelemesi gerçekleştirebilmek için ticari veya açık kaynak kodlu pek çok araç mevcuttur. Ticari çözümler (Bluecoat, RSA vb.) kolay kurulum ve destek sunsalar da açık kaynak kodlu araçlar kadar esnek olamamakta ve bununla beraber lisans maliyeti açısından da kısıtlı güvenlik bütçesi olan kuruluşları son derece zorlayabilmektedirler.

Açık kaynak kodlu araçlar, Doug McIlroy‘un UNIX felsefesinden hareketle, son derece güçlü ve esnek olabilseler de genellikle yalnızca bir işi, ama iyi, yaptıklarından, farklı kategorideki araçların (IDS, ağ trafik kaydedici, ağ akışı (flow) kaydedici vb. ) birlikte çalışabilmesi amacıyla entegrasyon bu noktada son derece önem kazanmaktadır.

İşte Security Onion tam bu noktada devreye giriyor. Security Onion, SANS eğitmenlerinden Doug Burks tarafından oluşturulmuş, ağ güvenliği izleme ve log kayıt yönetimini sağlayan Ubuntu tabanlı bir GNU/Linux dağıtımıdır.

Security Onion’un yaptığı temel iş; normalde tek bir kişinin saatlerini hatta günlerini alabilecek açık kaynak kodlu güvenlik yazılımlarının ağ güvenliğini izlemek amacıyla ayağa kaldırılmesı ve entegre edilmesi işini içerdiği script’lerle otomatikleştirerek, bu yazılımların çıktılarını kolay kullanımlı arayüzleri üzerinden güvenlik analistinin önüne sunabilmesidir. (Örneğin trafiğin PCAP kayıtlarının tutulması ve oturumların çıkarılması, trafiğin ürettiği IDS alarmlarının yakalanması ve raporlanması, ağ akış istatistikleri, trafikten ağda transfer edilen dosyaların çıkarılması vb.)

Security Onion, kullanım ihtiyacına göre arkada pek çok bileşene temas ediyor olsa da temel olarak aşağıdaki 6 modülden oluşmaktadır.

 

 

1-) PCAP kaydedici (Kullandığı yazılım: netsniff-ng)

Bu bileşen, PF_RING yardımıyla ağ arayüzüne gelen ve yazılmak üzere bellekte tutulan ağ trafiğini ham haliyle sisteme kaydeder.

 

2-) Ağ saldırı tespit sistemi/IDS (Kullandığı yazılım: Snort, Suricata)

Arayüze gelen trafiği, seçime göre Snort yada Suricata saldırı tespit sistemlerinden geçirir. Bu yazılımlar kullandıkları imza setleriyle ağ trafiğinde bir zararlı trafiğin olup olmadığına bakar ve loglar.

 

3-) Ağ akış (netflow) yazılımı (Kullandığı yazılım: Bro)

Kendisini bir ‘saldırı tespit sistemi’ olarak tanımlayan Bro, ağ trafiğini protokollere göre ayırarak farklı dosyalara yazar ve bu logları indekslenmek üzere ELSA’ya yollar. Bununla beraber kendine özgü programlama diliyle ağ trafiği üzerinde belirli karakteristiklere sahip trafik üzerinde de istenen aksiyonların alınmasını sağlayabikmektedir.

 

4-) Host tabanlı saldırı tespit sistemi (Kullandığı yazılım: OSSEC)

Endpoint cihazlar üzerinde gerçekleşen güvenlik olaylarını loglayan sistemdir. Örneğin: dosya bütünlük kontrolü, Windows/Linux güvenlik logları vb.

 

5-) Log analizi için web arayüzü (Kullandığı yazılım: ELSA)

Özellikle Bro logları için son derece kullanışlı bir yazılımdır. Logları indeksleyerek kolay aranabilir ve görselleştirilebilir hale getirir.

6-) Alarmların izlendiği konsol (Kullandığı yazılım: Sguil, Squert)

IDS alarmlarının izlendiği ve gerektiğinde PCAP yada loglara pivot edildiği arayüzdür.

 

Kaynak (Alıntıdır):

Security Onion Nedir?

 

 

Yazarın Bilgileri

Furkan Çalışkan

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.