Network Forensic Kavramı ve Kullanılan Araçlar

Merhaba arkadaşlar,

Bu makalemizde adli bilişim dallarından biri olan Network Forensic alanınını işliyor olacağız.Bunun yanında Network analizi için kullanacağımız programın tanıtımını ilerleyen safhalarda sizler ile makale şeklinde paylaşacağım.

Network Forensic denildiğinde aklımıza bilişim suçlarında sıkça karşımıza çıkan delil hususunda çevresel veya lokal ağlar üzerinde yapılan adli bilişim işlerine denilmektedir.Genel olarak bu alanine başlıca analiz alanı bilgi toplama, yasal kanıt veya izinsiz giriş tespiti amacıyla bilgisayar veya system üzerinde uygulamaların içerisindeki ağ trafiğinin izlenmesi ve analizi ile ilgili dijital adli bir alt dalıdır.Diğer dijital adli tıp alanlarının aksine, ağ araştırmaları geçici ve dinamik bilgilerle ilgilidir. Ağ trafiği iletilir ve sonra kaybolur, bu nedenle bu alan genellikle proaktif bir araştırmadır.

Network Forensic alanında genellikle iki kullanımı vardır. Birincisi, güvenlikle ilgili olarak, anormal trafik için bir ağı izlemeyi ve izinsiz girişleri tanımlamayı içerir. Saldırgan, güvenli bir ana bilgisayardaki tüm günlük dosyalarını silebilir; bu nedenle şebekeye dayalı kanıt, adli analiz için mevcut olan tek kanıt olabilir.İkinci olarak yakalanan ağ trafiğinin analizi, aktarılan dosyaların yeniden birleştirilmesi, anahtar sözcüklerin aranması ve e-postalar veya sohbet oturumları gibi insan iletişiminin ayrıştırılması gibi görevleri içerebilir.

Bu kısımda genel bir özet geçtikten sonra bu alanda delil toplama yöntemlerinden bahsetmek istiyorum.Network Forensic alanında 2 temel yöntem bulunmaktadır.Bunlardan bir tanesi “Proaktif Delil Toplama“, diğeri ise “Reaktif Delil Toplama” dır.

Proaktif Delil Toplama:Bu delil toplamada önceden ilgili sniffer cihazlarımızı ve analiz programlarını kurarak önleyici savunma prensibine göre herhangi bir olay gerçekleşmeden hedefi izlemeye başlarız.

Reaktif Delil Toplama:Bu delil toplama tekniğinde herhangi bir aksiyon olduğunda ve bunun belirtilerini gördüğümüzde bu noktada delilleri gerekli sistemleri kurarak izlemeye başlarız. Beklediğimiz herhangi bir adrese giriş, networkte bir hareketlenme vsvsvs…..

Delil toplama yöntemlerinden bahsettikten sonra sıra geldi Delil toplama türleri ile topladığımız delillerin türüne göre ayırmaya.Dört farklı delil türü vardır.

*Full Content (Tam İçerik)

*Session Data (Oturum Verisi)

*Alert Data (Uyarı Verisi)

*Statical Data (İstatiksel Veri)

Full Content (Tam İçerik):Tam içerik esasında Network Forensic alanında en fazla uğraştıran alan diyebilirim.Burada esas amaç bütün trafiğin detaylı incelenmesi için trafiğin tamamının yakalanmasıdır.Bütün trafiğin yakalanması için kullanılan programları listelemek gerekir ise;

*Tcpdump: Bu program komut satırından çalışan genel bir paket analizcisidir, bilgisayara gelen veri paketlerini kaydetmeye, incelemeye, filtrelemeye yardımcı bir sistemdir. Kullanıcıya bağlı bulunduğu bir ağ üzerinden iletilen veya alınan TCP/IP paketlerini veya diğer paketleri yakalama ve gözlemleme olanağı sunar.

*WireShark: Wireshark, ücretsiz ve açık kaynaklı bir paket çözümleyicisidir. Ağ sorunlarını giderme, çözümleme, yazılım ve iletişim protokolü geliştirme ve eğitim amaçlı olarak kullanılır.

*FlowGrep:Program ağınızı araştırmanıza ve yönetmenize yardımcı olmak için python ile yazılmış temel bir IDS / IPS aracıdır. trafiği koklayarak, TCP akışlarını ve IP ve UDP parçalarını tekli paketlere yeniden birleştirerek ve düzenli ifadeleri kullanarak yüklerini “aşmanızı” sağlayarak çalışır. Düzenli ifade motorunun kalitesi Perl’inkilere benzer. tcpflow, tcpkill ve ngrep’in bir ortalaması olarak düşünün.

*HexDump: Hexdump, geliştiriciler ve uygulama hata ayıklayıcıları için çok kullanışlı bir Linux komutudur. Dosya içeriğini onaltılık, sekizli, ASCII ve ondalık gibi birçok formata gönderme yeteneğine sahiptir. Bu komut, bir dosyayı veya herhangi bir standart girişi, giriş parametresi olarak alır ve onu seçtiğiniz formata dönüştürür. İkili verilerle çalıştığınızı ve bir dosyanın biçimini anlayamadığınızı varsayalım, dosya içeriğini daha iyi okunabilir biçimde elde etmek için Hexdump komutunu kullanabilirsiniz. Bu komut, CentOS, Fedora, Ubuntu, Debian, Arch Linux gibi tüm modern Linux işletim sistemlerinde önceden yüklenmiş olarak gelir. C dilinde yazılmış, bu uygulama profesyonel C programcıları tarafından anlaşılması kolay bir yazılımdır.

Session Data (Oturum Verisi):İçerik verileri burada yoktur. Burada session(oturum) hakkında bilgiler vardır. Örneğin; Oturum süresi, transfer süresi, oturumun kurulduğu uç noktalar vs. burada bulunur.Bununla ilgili kullanılabilicek araç Tcptrace programıdır.Kısaca kendisinden bahsetmek gerekir ise;

*Tcptrace: TCP döküm dosyalarını analiz etmek için ücretsiz ve açık kaynaklı bir araçtır. Paket yakalama programları tarafından üretilen ve tcpdump, Wireshark ve snoop dahil girdi dosyaları olarak kabul edilir. Tcptrace geçen her zaman, gönderilen ve alınan bayt ve bölümler, yeniden iletimler, gidiş dönüş süreleri, pencere reklamları ve verim gibi her bağlantı hakkında bilgi içeren birkaç farklı çıktı türü üretebilir. Ayrıca daha fazla analiz için grafikler üretebilir. Sürüm 5’den itibaren, TCP özelliklerine ek olarak UDP analiz özelliğide gelmiştir.

Alert Data (Uyarı Verisi):Networkteki bot aktiviteleri gibi tespitler yapılır. Belirlediğimiz kriterler doğrultusunda, o kriterlere uyan paketlere rastlandığında bu faliyet tetiklenerek uyarı gönderir.Bunlarla alakalı olarak kullanılan programlardan bahsetmek gerekir ise;

*Snort: Snort, 1998 yılında Martin Roesch tarafından geliştirilmiş bir ağ sızma tespit/engelleme sistemidir. (NIDS / NIPS – Network Intrusion Detection System/Network Intrusion Prevension System). GNU lisansı ile dağıtılan, açık kaynak kodlu ve ücretsiz bir yazılım olan Snort, şu anda Martin Roesch’un kurduğu Sourcefire firması tarafından geliştirilmektedir.Yazılım, çeşitli Linux dağıtımları, Windows ve MAC gibi pek çok işletim sistemi üzerinde çalıştırılabilmektedir. Snort yazılımını temel alarak grafik arayüz desteği ile çalışacak şekilde geliştirilen bağımsız şirket yazılımları da mevcuttur. Bu yazılımlar yönetim, raporlama, günlükleme (loglama) gibi işlevleri yerine getirmektedir.

*The Zeek Network Security Monitoring: Eskiden Bro olarak bilinen Zeek, güvenlik izlemesi için kullanılan açık kaynaklı bir ağ analiz aracıdır. Dağıtıldığında, Zeek, bir ağın etkinliği hakkında, liman taraması veya kaba kuvvet girişleri gibi şüpheli etkinlik belirtilerini tanımlamak için kullanılabilecek derinlemesine bilgiler içeren kapsamlı bir günlük dosyaları kümesi oluşturur.

*Statical Data (İstatiksel Veri):İlgili hedef kaynak hakkında istatistiksel bilgi almamızı sağlar. Örneğin; en çok hangi protokolden veri transferi yapmış, en çok hangi uç noktalar ile haberleşmiş gibi bir çok parametreyi analiz edebiliriz.

*Tcpdstat: TCPdStat kullanımı kolay olmayan ama işe yarar kullanışlı bir araçtır. TCPdStat, paket yakalama oturumu verilerini protokole göre kategorilere ayırmanıza izin veren bir Ağ Adli Analiz Aracıdır (NFAT). Ağ üzerinden trafiği anlamada oldukça faydalı olan istatistiksel verileri döndürür.

*Tcpstat: Vmstat (8) ‘in sistem istatistikleri için yaptığı gibi bazı ağ arayüz istatistiklerini bildirir. İstatistikler, kullanılan bant genişliğini, paket sayısını, ortalama paket boyutunu ve daha fazlasını içerir.Ağ bilgileri, dosya adındaki verileri okuyarak veya doğrudan ağ arabirimi arabirimini izleyerek toplanır. Tcpstat için varsayılan eylem, uygun bir arabirimi otomatik olarak aramak ve üzerinde güncel istatistikleri göstermek içindir.İstatistiklerin dayandığı ve varsayılan moddayken ekranın ne sıklıkla güncelleneceği saniye cinsinden örnek aralıktır. -1 verilirse, aralık numunenin tüm uzunluğu olarak alınır. Varsayılan 5 saniyedir.

Yukarıdaki bazı araçlar hakkında detaylı incelemeleri daha sonraki makalelerde bire bir uygulamalar ile anlatacağım.

Programlarımızı az çok tanıtığımıza göre sıra geldi bu programları hangi fiziksel şartlar içerisinde kullanacağımıza.Bunun için 3 temel network sistemi ile erişim sağlayabiliriz.Bunlardan bahsetmek gerekir ise (aptaldan akıllıya doğru);

*Hub

*Switch

*TAB Gibi networksel cihazları kullanarak izlemek istediğimiz cihazları ile networke kendimizi dahil edebiliriz.

Eğer izlemek istediğimiz network trafiğini HUB kullanarak izlemek istiyor isek ortamda HUB kurulumu yaptığımızda bu cihazın kendi taşıdığı paketler vasıtası ile diğer ağdaki bağlı olduğu bütün network trafiğindeki portlara kendi paketlerini ileten cihaz özelliğini taşır. Hub sayesinde bütün trafiği izleyebiliriz.

Network trafiğiniz izlemek için HUB yerine Switch kullanmak istiyorsanız,Switch Hub dan farklı olarak kendisine gelen paketlerin hepsini diğer portlar ile paylaşmama özelliğine sahiptir.Network trafiğini izlemek ve analiz etmek için kurduğunuz Switch kuruluğu andan itibaren çevresindeki sistemleri tanıyarak kendi mac adres yapısını oluşturmaktadır.Üzerine gelen trafiği bu şekilde mac adresinden tanıyarak hangi sistemin nereye erişmesi gerektiğini belirlemektedir.Eğer bu system üzerindeki trafiği etkileşimsiz olarak izlemek isterseniz “mirror port” yöntemini kullanmanız gerekmektedir.

Mirror Port: Ağ anormalliklerini tanımlamak, izlemek ve sorunlarını gidermek için yerel alan ağlarında (LAN), kablosuz yerel alan ağlarında (WLAN) veya sanal yerel alan ağlarında (VLAN) uygulanır. Ağ anahtarında bir ağ yöneticisi (NA) veya ağ izleme / güvenlik uygulaması tarafından yapılandırılır. Etkinleştirildiğinde, belirli bir port numarasından çıkan ve belirli bir port numarasından gelen trafik otomatik olarak kopyalanır ve bir izleme / varış limanına iletilir. Tipik olarak, hedef port, bu veri paketlerini analiz eden izleme yazılımının veya güvenlik uygulamasının bir parçasıdır.Bağlantı noktası yansıtma işlemi genellikle kaynaktan ve ağdaki diğer düğümlerden gizlenir.Mirror port network sniff noktasında daha önceden belirlediğimiz bir portdur. Böylece paketlerin o portada gönderilmesi sağlanır. Bu olaya “Port Span” denir.

TAP(Test Access Ports):Bu cihazın özelliği güvenlik veya network cihazlarının bulunduğu ortamda bu cihaz bu ortamdaki cihazların arasına yerleştirilerek bir nevi köprü görevi görerek akan trafiği monitoring etmemizi sağlar.Bunun yanında mirror line olarakta trafiğin birebir kopyasını almamıza olanak tanır.Ayrımsız(Promiscouous) moda geçerek kullanıcının networkteki tüm trafiği görebilmesini sağlar.

Promiscouous Mode:Bu modun işleyişinden biraz bahsetmek gerekir ise Sistemlerin bulunduğu ağda, karışık mod, kablolu bir ağ arabirim denetleyicisi (NIC) veya kablosuz ağ arabirim denetleyicisi (WNIC) için denetleyicinin aldığı tüm trafiği yalnızca çerçevelerden geçirmek yerine merkezi işlem birimine (CPU) geçirmesine neden olan bir moddur. Kontrolörün özellikle almak üzere programlanmış olması. Bu mod normalde bir yönlendirici üzerinde veya kablolu bir ağa bağlı olan veya bir kablosuz LAN’ın parçası olan bir bilgisayarda bulunan paket koklama için kullanılır. Arabirimler, donanım sanallaştırmasında sıklıkla kullanılan yazılım köprüleri tarafından karışık moda yerleştirilir.

Ethernet veya IEEE 802.11 gibi IEEE 802 ağlarında, her kare bir hedef MAC adresi içerir. Pronetcu olmayan modda, bir NIC bir kare aldığında, kare bu NIC’in MAC adresine yönlendirilmedikçe veya bir yayın ya da çok noktaya yayın adresli bir çerçeve olmadıkça onu düşürür. Bununla birlikte, yapay modda NIC tüm karelerin içinden geçmesine izin verir, böylece bilgisayarın diğer makineler veya ağ aygıtları için tasarlanmış kareleri okumasını sağlar.Genellikle sadece aynı yayın alanındaki (Ethernet ve IEEE 802.11 için) veya halkadaki (token ring için) diğer düğümlerden gelen trafiği izleyebilir. Aynı Ethernet hub’ına bağlı bilgisayarlar bu gereksinimi karşılar; bu nedenle ağ anahtarları, kötü niyetli modun kötü amaçlı kullanımıyla mücadele etmek için kullanılır. Bir yönlendirici yönlendirdiği tüm trafiği izleyebilir.

Packet O Matic: Bilgisayar ağlarını dinleyerek, iletişim kanallarından orjinal verilerin (e posta, msn yazışmaları, ofis dökümanları, ses vb.) bir kopyasını elde işlemi “network forensic” olarak isimlendirilir. IP telefonlar, anlık iletişim araçları, eposta ve web servisleri işimizi, hayatımızı kolaylaştıran ve hızlandıran vazgeçilmezler arasında. Şirket verilerini , canlı para işlemlerini ve özel, genel tüm yazışmaları bilgisayar ağlarını kullanarak yapmaktayız. Bu denli yoğun kullandığımız bilgisayar ağları ne kadar güvenli? Yapılan araştırmalar internet trafiğinin %96’sının şifresiz aktığını ortaya çıkarmıştır. Şifresiz trafik demek güvenliğin olmadığı ortam demektir. İçeriği şifrelenmemiş, güvenli iletişim kanallarını kullanmayan tüm bağlantılar izlenebilir ve kaydedilebilir. Bu işlem için paket yakalamak ve daha sonra ayrıştırmak gerekir.

Network Miner: NetworkMiner, Windows için açık kaynaklı bir Ağ Adli Analiz Aracıdır (NFAT) (ayrıca Linux / Mac OS X / FreeBSD’de de çalışır ). NetworkMiner, işletim sistemlerini, oturumları, ana bilgisayar adlarını, açık portları vb. Tespit etmek için ağ üzerinde trafik çekmeden pasif bir ağ dinleyicisi / paket yakalama aracı olarak kullanılabilir. NetworkMiner, çevrimdışı analiz için PCAP dosyalarını ayrıştırabilir ve iletilen dosyaları ve sertifikaları PCAP dosyalarından yeniden oluşturabilir / yeniden birleştirebilir.

Bu makalemizde Network Forensic temelleri ve bu alanda kullanılan programlardan bahsettik.Bir sonraki Makalemizde bu programlar arasında en fazla kullanılan Network Forensic yazılımı olan WireShark ile devam edeceğiz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!