istsec'14 - Çağrı ersen - açık kaynak sistemlerle siber saldırı gözetleme sistemi...
DESCRIPTION
IstSec'14 Bilgi Güvenliği Konferansı SunumlarıTRANSCRIPT
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi
Kurulum ve YönetimiÇağrı Ersen
Linux Akademihttp://www.linuxakademi.com.tr
Twitter ⇒ @CagriErsen
Amaç
Bu seminer, yerel ve sunucu ağlarında açık kaynak kod uygulamalar kullanarak bir “Siber Saldırı Gözlemleme Sistemi” kurgulanması ve
bu yolla “Güvenlik Odaklı 360 Derece Alan Hakimiyeti” konseptinin neden ve nasılına
değinecektir!
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Ajanda● Siber Saldırı Gözlemleme Konsepti
○ Kavramlar (Ne, Neden, Nasıl ?)
● İhtiyaçlar & Bileşenler○ Ossec & Snort○ ELK Stack (ElasticSearch & Logstash & Kibana)○ Parçaların birleştirilmesi
● Gerçek Hayattan ÖrneklerBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Siber Saldırı Gözlemleme Konsepti
Kavramlar
Bir takım laf salatası (mı acaba ?)● Farkındalık● Güvenlik Odaklılık● 360º Alan Hakimiyeti● Bir DevOps süreci olarak “Gözlemleme”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Farkındalık
Hepimiz aynı “fizik yasaları”na tabiyiz...
… ve hayatın tüm dinamikleri insanlık tarihince üretilmiş “aynı bilgi”ye dayalı olarak meydana
geliyor...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Farkındalık
Buna rağmen aynı imkanlara sahip, aynı “şey”’i yapan iki farklı kişi/kurumdan neden birisi “daha” başarılı oluyor ? Ya da diğeri neden daha başarısız ?
Yani “input” aynı iken “output”’un neden bir standartı yok ?
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Farkındalık
Evet doğru......cevabı etkileyen bir çok faktör var…
...ancak listesinin en tepesine yazılan ve diğer tüm faktörleri doğrudan etkileyen gerekçe
istisnasız aynıdır:“Farkındalık”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Farkındalık
Farkındalık, vizyonu şekillendirir, konuyu her ayrıntısı ile ele alma dürtüsünü tetikler ve
ayrıntılar önemlidir; farkı yaratır...
deyimi bile var...“Şeytan ayrıntıda gizlidir!”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Farkındalık…ve başarılı olanlar, fark yaratanlardır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Güvenlik Odaklılık
Farkındalığın yüksek olması, üzerinde mesai harcanan sistemi, dayanıklılık, güvenilirlik ve süreklilik esasları çerçevesinde ele alacak bir
disiplin ihtiyacını doğurur…
ve günümüzdeki ITIL/COBIT/PCI gibi disiplinlerin odağında güvenlik bulunmaktadır.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Güvenlik Odaklılık
Bu anlamda güvenlik, sürekli üzerinde durulması ve sisteme çakılan her bir çivinin bu odak ekseninde olması gerektiğini dikte eden
bir süreçtir…
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Güvenlik Odaklılık
… ve bir sürprizin sistem sürekliliğine
ve güvenilirliğine zarar vermemesi için yegane şart güvenlik odaklı
olmaktır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
360º Alan Hakimiyeti
“Farkındalık”, güvenlik odaklılığı, “Güvenlik odaklılık” ise “Hakimiyet” gereksinimini
doğurmaktadır.
Disiplinin bir zorunluluk olarak dayattığı bu durum, sistemi oluşturan tüm katmanlara hakim olma felsefesinin afili tercümesidir.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
360º Alan Hakimiyeti
İçeriden ya da dışarıdan gelebilecek müdahalelerin güvenilirlik ve sürekliliğe ket vurmaması için bu
“hakim olma durumu” elzem bir konudur…
...ve tüm altyapının herhangi bir kör nokta kalmayacak şekilde gözlemlenmesi ile hayata
geçirilir...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
360º Alan Hakimiyeti
...her yönüyle ve hiç bir kör nokta kalmayacak şekilde gözlemlemek! :)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gözlemleme
Güvenlik odaklı, 360 derece alan hakimiyeti kurmak üzere ihtiyaç duyulan bu “Gözlemleme İşi”, oluşabilecek sorunlara henuz oluşmadan önce -proaktif olarak- yanıt verebilmek üzere
kurgulanması gereken bir “Monitoring altyapısı” ihtiyacı doğurmaktadır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gözlemleme
Bu altyapının en önemli dinamiği ise, “ihtiyaçlara göre esnetilebilir ve disiplin sürecine dahil
edilebilir” şekilde kurgulanabilmesidir.
Zira - daha önce de bahsedildiği gibi -,“Güvenlik bir süreçtir...”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gözlemleme
İhtiyaca göre esnetilemeyen bir monitoring sistemi kuvvetle muhtemel; “Yalancı Çoban Sendromu”
ndan muzdarip olarak efektifliğini yitirmiş ve süreçlere dahil edilemediğinden zamanla bir
kenarda unutulacak, tek varlık sebebi “Var mı ? Var!” olan boynu bükük bir sistem olacaktır...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
GözlemlemeYalancı Çoban Sendromu
Çok sayıda false-positive alarm üretip inanılırlığını yitiren ve esnetilemeyen sistemlerin muzdarip olduğu sendrom.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
GözlemlemeSürece dahil
edilemeyen bir monitoring
sistemi nedeni ile varılan “reaktif”
nokta...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
GözlemlemeTüm bu nedenlerden dolayı kurgulanacak sistemin,
olması, hem micro hem macro management anlamında ihtyaçlara göre esnetilebilir olması
efektiflik açısından zorunlu bir ihtiyaçtır..
İşte bu yüzden tercih edilen araçların ne kadar “açık”olduğu önemlidir; zira...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gözlemleme
“Açık Kaynak Kod Araçlar”
=“Esnetilebilirlik”
= “İhtiyaca Göre Kurgu”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar ve Bileşenler
İhtiyaçlar
İlk olarak ihtiyaçlarımızı belirleyelim:
Bahsi geçen özelliklerde, yani IT güvenlik sürecine dahil edilerek atıl kalması engellenecek bir
gözlemleme sisteminin “temel” özellikleri neler olmalıdır ?
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar
İhtiyaçlarımıza göre kurgulayacağımız monitoring sistemimizin temel özellikleri spesifik olarak aşağıdaki iki soruyu adresleyecek yetenekte
olmalıdır:
“Ne oldu ?”“Ne değişti ?”
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar
Ekseni belirlemek, kurgulanacak sistemin efektifliğine direk etki ettiği için en önemli
konudur...
… bu yüzden “Ne oldu ve Ne değişti ?” ekseninde gözlemleme sistemimizin özelliklerini
belirleyelim...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar
… ilk olarak her bir host ve network cihazında:● Log Analizi tabanlı Anomaly Detection,● Dosya Bütünlük Kontrolü,● Rootkit Detection,
yapabilme ve sistem katmanında cereyan eden olayları tespit edebilme ihtiyacımız bulunuyor...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar
… ardından network trafiğini izleyebilmeli ve;
● Protokol analizi tabanlı anomaly detection,● Trafik içeriğinde pattern search
yaparak network katmanındaki atak vektörlerini ve anormallikleri tanıyabilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar
… Sistem ve Network katmanından elde ettiğimiz bu verileri mutlak olarak,
● Okunaklı ve anlamlı bir halde, ● Geçmişe yönelik ve hiyerarşik olarak,
Bir mecrada depolayabilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
İhtiyaçlar… ve depolanmış bu veriyi,
● Problematik durumların bir bakışta farkedilmesini sağlayacak,
● Detaylı aramaya ve analize imkan verecek,
ekranlar üzerinden monitor edebilmeliyiz...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler
Tüm bu ihtiyaçları karşılayacak sistem için reçete:
● Ossec● Snort (ya da Suricata)● ELK Stack
○ ElastichSearch○ Logstash○ Kibana
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - OssecTrend Micro tarafından desteklenen, GPLv3 lisanslı (Open Source) bir HIDS (Host Based Instrution Detection System) uygulaması…
● Kural tabanlı log analizi,● Dosya Bütünlük Kontrolü● Rootkit Detection● Active Response (Otomatik Aksiyon)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - Ossec● Manager / Agent Yapısı ile merkezi yönetim,● Yapılandırılabilir (esnek) alarm desteği,● Multi Platform (Linux, Solaris, AIX, HP UNIX,
BSD, OSX, VMWare ESX ve Windows)● Üzerine agent kurulamayan (router, switch vs.)
aktif ağ cihazları için agentless monitoring desteği.
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - Ossec
● Hemen hertür log formatı desteği.● Öntanımlı 1000’in üzerinde decoder ve rule,
(http://www.ossec.net/?page_id=36)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - Snort
4~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS uygulaması.
● 98 yılında başlayan bir proje,● Multi Platform (*nix/Windows)● Stateful Packet Tracking● Akademik, askeri, ticari
kullanım alanıBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - Snort● Cisco (SourceFire) tarafından geliştirilmektedir.● Gartner Raporuna Göre en başarılı IPS’lerden
biri, (Sourcefire)● Açık kural dili & Kendi kurallarınızı geliştirebilme● ~15.000 öntanımlı kural● ~3000 tavsiye edilen block kuralı● 1 Mb -10Gb arası performans
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - ELK Stack
ElasticSearchEsnek, güçlü açık kaynak kod, dağıtık, gerçek zamanlı bir arama ve analitik motoru.
(Verimizi anlamlandırarak depoladığımız mecra)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - ELK Stack
LogstashAçık kaynak kodlu bir “log parser”.
(Ossec ve Snort alarmlarını parse edip elasticsearch’e export ettiğimiz araç.)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Bileşenler - ELK Stack
KibanaElasticsearch için veri görselleştirme motoru.
(Elasticsearch'deki anlamlı veriyi sorgulamak ve görselleştirmek üzere kullandığımız bileşen.)
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Parçaları Birleştirelim
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Parçaları Birleştirelim
Gerçek Hayattan Örnekler
Gerçek Hayattan Örnekler
10 Ekim Akşamı “Ne oldu” ?
Bazı dosyalar ve registry anahtarları “değişmiş”...
Gerçek Hayattan ÖrneklerSpesifik bir tarih aralığında “ne oldu” ?
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan ÖrneklerHmmm… Snort Alarmları... Detaylar ??
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan ÖrneklerVuln Scanner
Detaylar
Gerçek Hayattan Örnekler
Colorado yöresinden bir shellshock’çu arkadaş...
Gerçek Hayattan Örnekler
Bash zafiyetinin duyurulduğu zaman dilimi...
Adamlar Rus beyler..BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
Shellshock...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
May the brute force be with you...
Gerçek Hayattan Örnekler
PortScan
Heartbeat
Sensitive Data
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
WebApp Scanner
Exploit denemesi
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
Sisteme yüklenen yeni paket...
Eklenen kullanıcı
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
Yeni dinlenmeye başlanan bir port...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
Gerçek Hayattan Örnekler
İçeriği değişmiş bir dosya...
BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi
TEŞEKKÜRLER