NetworkMiner, Netwitness Araçlarıyla Ağ Trafiği Analizi
NetworkMiner İle Ağ Trafiği Analizi
Network forensics yazılımlarının sniffer ya da ağ analiz yazılımlarından ayrı olarak temel amaçları ağ üzerinden akan trafiği forensics prensipleri çerçevesinde incelemek ve uygun formatta raporlanmasını sağlamaktır. Bu bağlamda paket bazlı değil oturum bazlı çalışırlar. Burada bahsettiğimiz oturum, bir TCP oturumu değil daha üst çerçevede bir kavramdır. Örneğin bir kullanıcının bir web sitesine giriş yapması sırasında birden fazla TCP oturumu oluşturulur ama forensics açısından bakıldığında o kişinin ilgili web sitesine girmesi ve birden fazla TCP oturumu kurarak içerikleri istemesi tek başına bir oturumdur. Şimdi bu temel ayrımı yaptıktan sonra ağ üzerinde adli bilişim prensipleri çerçevesinde kullanabileceğimiz
NetworkMineruygulamasını değinelim.
NetworkMiner, Windows ortamında çalışan bir Network Forensic Analysis uygulamasıdır. Free ve Professional olmak üzere iki versiyonu vardır. Bir adli bilişim incelemesi sıraında hem canlı ağ trafiği üzerinde hemde pcap dosyaları üzerinde analiz gerçekleştirmek için kullanılabilir. Professional versiyonu bir USB flash üzerinde gelir ve direkt olarak olay müdahalesinin yapılacağı bilgisayarda çalıştırılabilir
Uygulamayı çalıştırdıktan sonra eğer pcap dosyası üzerinde analiz yapacaksanız bu durumda File-> Open yolunu izleyerek ilgili pcap dosyasını uygulamaya göstermeniz yeterli. Pcap dosyasını analiz ettikten sonra karşınıza örneği aşağıdaki ekran görüntüsünde yer alan bir ekran ile karşılaşırsınız.
Hosts tabında ilgili pcap dosyası içinde yer alan paketlerin ait olduğu bilgisayarlara ilişkin o bilgisayarın IP adresi, ismi, varsa MAC adresi, hangi portlar üzerinden iletişim kurdu, gönderdiği ve aldığı trafiğin byte olarak miktarı gibi bilgiler yer alır. Files tabında ise NetworkMiner tarafından extract edilen dosyalara ait bilgiler yer alır. Bu dosyalar geçici bir dizin altında extract edilir ve istenildiği takdirde ilgili dosyanın üzerinde sağ tıklanıp Open File seçeneği seçilerek dosyaya ulaşılır. Örnek bir ekran görüntüsü aşağıda gösterilmiştir
NetworkMiner uygulaması pcap dosyası içinde yer alan resimleri ayrı bir tab altında gösterir. Bu sayede adli bilişim incelemesinde özellikle aranan bir resim ya da içerik varsa hızlı şekilde bu resim ya da içeriğe kimin eriştiği bilgisi elde edilebilir. Images tabında yer alan bu resimlerin üzerine mouse ile gelindiğinde o resmin hangi IP adresinden hangi IP adresine doğru gerçekleşen bir trafiğin içinde yer aldığı ve geçiçi olarak tutulduğu dizin bilgisi gösterilir. Örnek bir ekran görüntüsü aşağıda gösterilmiştir.
Credentials tabında ilgili pcap dosyasında yer alan HTTP çerezleri (cookie), NTLM challenge-response mesajları ve clear text taşınan şifreler yer alır. NetworkMinerın en kullanışlı özelliklerinden birisi de Keywords tabı üzerinden kullanılan ve belirli bir karakter dizisinin pcap dosyası içinde aranmasına imkan tanıyan özelliktir. Arama yapılacak karakter dizilerinin pcap dosyasını yüklemeden önce NetworkMinera girilmiş olması yada pcap dosyası yüklendikten sonra aranacak kelimeler girildiyse bu durumda Reload Case Files butonuna basarak pcap dosyasının yeniden işlenmesi sağlanmalıdır. Aşağıdaki ekran görüntüsünde örnek bir arama ifadesi sonucu gösterilmiştir
NetWitness Ağ Analizi
Hep beraber Ağımızı daha iyi tanımayı öğrenelim
NetWitness NextGen, geliştirilmiş en kapsamlı ağ güvenlik izleme çözümü olarak ağ ve bilişim güvenliği alanında ihtiyacı önemle hissedilen bir konuda, trafiğin tüm detaylarının görüntülenebilmesi ve incelenebilmesinde, ağ ve bilgi güvenliği uzmanlarına kurumdaki trafik hakkında gerçek trafiğin içeriğini sunarak fayda sağlamaktadır. İstenildiğinde ağdaki tüm trafiği kayıt ederek, kurum ve kuruluşlara sorunların çözümü için bu trafiğin detaylarını sunabilir. NetWitness, dış tehditler, veri sızıntısı, zararlı kodlar, kaynakların yanlış kullanımı ve ağ problemlerinde ağ yöneticisine detaylı bilgi sunabilen piyasadaki en gelişmiş ağ izleme yazılımıdır
Ağ izleme gereksinimleri
Gerek güvenlik, gerek çeşitli kanun ve yönetmeliklere uyum, gerek inceleme amacıyla, kurum ve kuruluşların kendi ağ trafiklerini detayıyla görebilme ve inceleyebilmeleri günümüzün bilişim güvenlik bilinci çerçevesinde giderek artan bir önem oluşturmaktadır. Bu gereksinimi doğuran olası durumların listelenmesi gerekirse:
*Kurum varlıklarına yönelik, organize, karmaşık saldırı teknikleri
*Yasadışı örgütlerin siyasi amaçlı saldırıları
*Bilinçsiz veya bilinçli olarak dışarıya veri sızdıran kullanıcılar
*Sistem veya ağın yanlış yapılandırması
*Kullanıcı hataları
*Güvenlik bilincinin yerine oturmamış olması
*Uyulması gereken kanun ve yönetmelikler
*Önceden tahmin edilmesi zor olan olası ağ problemleri
Şeklinde bir liste ortaya çıkmaktadır. Bilindik güvenlik önlemleri, bu konulardan, problemlerden, tehditlerden sadece belirli kısıtlı alanlara yoğunlaşmakta, kurum ağını zaman içerisinde tüm katmanlarıyla bir bütün olarak ele almamaktadır
NetWitness Çözümü
NetWitness NextGen, ağdaki problemleri bütünleşik ve çok-boyutlu olarak ele alan bir ağ izleme yazılımı olup, bir kere kaydet- çok kere kullan yaklaşımı ile güvenlik ve ağ problemleri izlemesi çözümünde etkili bir seçenek sunmaktadır
NetWitness NextGen, ağ ve uygulama katmanları trafiğini gerçek zamanlı olarak kaydederek, çözümleme için aynı anda tüm trafik verisini incelenebilir halde sunar. Veri, analiz için dizinlenip üst veri olarak kayıt edilerek, gerçek zamanlı tehdit veritabanlarına karşı karşılaştırma, otomatize otomatik çözümleme ve etkileşimli izleme amaçları için çok kere kullanılabilir hale getirilir:
Bütün trafiğin istenildiği anda gerçek zamanlı ve trafik içeriğinde farklı katmanlara göre filtrelenebilir şekilde ağ güvenlik uzmanlarınca incelenebilir şekilde sunulması sonucunda, NetWitness aşağıdaki ağ ve güvenlik problemlerinde kurum ve kuruluşların ihtiyacını karşılayabilir:
*Gelişmiş tehditlerin fark edilmesi; Görünmez tehditler, sıfır-gün saldırıları, zararlı kod/yazılımlar, kurum varlıklarına saldırılar
*Olay Müdahalelerinin hızlandırılması; Var olan teknolojilerin ve olay müdahale akışının daha desteklenmesi
*Politika ve Uyumluluk Doğrulaması: Güvenlik denetimlerinin etkinliğinin doğrulanması
*İç Tehdit Tanımlanması: İç tehditlerin tamamı ile görünürlülüğü
*Olay Sonuç Değerlendirmesi: Tehditlerin detaylı analizi, Tehdit etkilerinin azaltılması
*Uygulama ve İçerik İzlenmesi: Sürekli trafik detayı Veri kayıp ve sızıntısın farkına varılması
NextGen Altyapısı ve Bileşenleri
NetWitness Investigator
Investigator, var olan veya bir ağ network kartı üzerinden alınmış anlık trafik bilgisini kullanarak veri üzerindeki bilgileri sınıflandırarak ve arama yapılarak sonuca varılmasını sağlayan bir araçtır. Temel olarak aşağıdaki özellikleri barındırır:
*2 7 katmanlar arası analiz imkanı Tüm içeriğin görünürlüğü Tüm veri oturumunun birebir kaydı
Trafiğin kullanıcı tarafından görülen şekilde sunumu (Web, VoIP, Dosya, e-posta, Chat vb.)
*Büyük veri kümeleri desteği Terabytelar boyutunda verinin anında filtrelenmesi
*Hızlı çözümleme imkanı
investigator ile çözümleme, incelenmek istenilen kullanıcı adı, e-mail, uygulama, kaynak, varlık, işlem veya bilgisayar adının bilinmesi kadar kolay olmaktadır.
Örnek Analiz: İsmi şüpheli dosyaların ftp üzerinden transferinin incelenmesi
NetWitness Informer
Informer, kurum ve kuruluşların ağlarındaki yanlış yapılandırma, yanlış kullanım, açıklar ve başka dikkat çekici olayları tanımlamalarına ve teşhis etmelerine yarayan diğer bir NetWitness inceleme bileşenidir. NextGen mimarisi yapısında kaydedilen verileri otomatik olarak incelemek için raporlar, uyarılar, gerçek zamanlı tablolar ve grafikler oluşturularak NetWitness tarafından kaydedilen ağ trafiği verisinin üst seviyede görünürlüğünü sağlar. Kurum ve kuruluşlar, Network Informer ile aşağıdaki üstünlüklerden faydalanabilirler:
*Ağ güvenliği: Tekrarlayan oturum açma istekleri, zararlı dosya indirme denemeleri, port taramaları Ağda istenmeyen trafiğin denetimi
*Kullanıcı izleme, kanuni yükümlülükler: Yasak içeriğe erişim Belirli mail, ftp içeriğinin takibi
*Ağ performansı: Ağ genişliği sorunlarının sebepleri Gereksiz/yanlış uygulamaların ağda yarattığı sorunlar
Örnek Analiz: Ağdaki sıra dışı hareketlerin raporlanması
NetWitness Live
Kurumların risk yönetimi yapabilmesi, bilgi işlem bileşenlerine, ağ altyapılarına, varlıklarına ve istemci veri akışına yönelik gerçek-zamanlı risklerden haberdar olmalarına bağlıdır. Bu noktada Live bileşeni, anlık çok-kaynaklı tehdit bilgisi ve reputasyon bilgisi sunan 24x7 çevrimiçi hizmet sağlayan bir hizmettir. Var olan NetWitness bilgilerinin, otomatik olarak güncel tehdit bilgileri ile eşleştirilerek, gelişmekte olan risklerden hızlı şekilde haberdar olunmasını sağlar NetWitness Livein temel özellikleri ve faydaları:
*Gelişmiş tehditlere karşı tepki süresinin en iyi duruma getirilmesi,
*Olayların tanımlanması, değerlendirilmesi ve tepki verilmesi sürelerinin kısaltılması,
*Gerçek-zamanlı, güvenilir çok-kaynaklı tehdit bilgisi
*Ağdaki bilgisayarlarda kanundışı yazılımlar, zararlı 3. şahıs yazılımlar, proxy yazılımları, worm/virüs varlıkları, spam motorları, BOTlar, ve diğer güncel ve sıfır-gün açıklarının ortaya çıkarılması
Decoder, Broker, Concentrator
NetWitness sisteminin kalbinde yatan bu bileşenler, ağdaki trafiği bizzat toplayıp, normalize eden normalleştiren ve Informer, Investigator gibi analiz araçları tarafından incelenebilir hale getiren bileşenlerdir. Ağ altyapısına ve gereksinime göre farklı şekillerde konumlandırılabilen cihazlar, farklı noktalardan ve gerektiğinde farklı filtrelere göre toplanan trafiğin farklı görünümlerle derlenip incelenebilmesini sağlar
NetWitness Topoloji
NetWitness ürünleri, kurum ve kuruluşların ağ altyapısına göre ölçeklenebilir ve optimize edilebilir bir yapı dahilinde farklı amaçlara hizmet edecek şekilde konumlandırılabilir. Farklı ağ konumu gereksinimlerine göre örnek bir konumlandırma topolojisi aşağıda belirtilmiştir
Örnek: NetWitness Topolojisi
