istsec'14 - Çağrı ersen - açık kaynak sistemlerle siber saldırı gözetleme sistemi...

Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi

Kurulum ve YönetimiÇağrı Ersen

Linux Akademihttp://www.linuxakademi.com.tr

Twitter ⇒ @CagriErsen

Amaç

Bu seminer, yerel ve sunucu ağlarında açık kaynak kod uygulamalar kullanarak bir “Siber Saldırı Gözlemleme Sistemi” kurgulanması ve

bu yolla “Güvenlik Odaklı 360 Derece Alan Hakimiyeti” konseptinin neden ve nasılına

değinecektir!

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Ajanda● Siber Saldırı Gözlemleme Konsepti

○ Kavramlar (Ne, Neden, Nasıl ?)

● İhtiyaçlar & Bileşenler○ Ossec & Snort○ ELK Stack (ElasticSearch & Logstash & Kibana)○ Parçaların birleştirilmesi

● Gerçek Hayattan ÖrneklerBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Siber Saldırı Gözlemleme Konsepti

Kavramlar

Bir takım laf salatası (mı acaba ?)● Farkındalık● Güvenlik Odaklılık● 360º Alan Hakimiyeti● Bir DevOps süreci olarak “Gözlemleme”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Farkındalık

Hepimiz aynı “fizik yasaları”na tabiyiz...

… ve hayatın tüm dinamikleri insanlık tarihince üretilmiş “aynı bilgi”ye dayalı olarak meydana

geliyor...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Farkındalık

Buna rağmen aynı imkanlara sahip, aynı “şey”’i yapan iki farklı kişi/kurumdan neden birisi “daha” başarılı oluyor ? Ya da diğeri neden daha başarısız ?

Yani “input” aynı iken “output”’un neden bir standartı yok ?

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Farkındalık

Evet doğru......cevabı etkileyen bir çok faktör var…

...ancak listesinin en tepesine yazılan ve diğer tüm faktörleri doğrudan etkileyen gerekçe

istisnasız aynıdır:“Farkındalık”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Farkındalık

Farkındalık, vizyonu şekillendirir, konuyu her ayrıntısı ile ele alma dürtüsünü tetikler ve

ayrıntılar önemlidir; farkı yaratır...

deyimi bile var...“Şeytan ayrıntıda gizlidir!”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Farkındalık…ve başarılı olanlar, fark yaratanlardır...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Güvenlik Odaklılık

Farkındalığın yüksek olması, üzerinde mesai harcanan sistemi, dayanıklılık, güvenilirlik ve süreklilik esasları çerçevesinde ele alacak bir

disiplin ihtiyacını doğurur…

ve günümüzdeki ITIL/COBIT/PCI gibi disiplinlerin odağında güvenlik bulunmaktadır.

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Güvenlik Odaklılık

Bu anlamda güvenlik, sürekli üzerinde durulması ve sisteme çakılan her bir çivinin bu odak ekseninde olması gerektiğini dikte eden

bir süreçtir…

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Güvenlik Odaklılık

… ve bir sürprizin sistem sürekliliğine

ve güvenilirliğine zarar vermemesi için yegane şart güvenlik odaklı

olmaktır...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

360º Alan Hakimiyeti

“Farkındalık”, güvenlik odaklılığı, “Güvenlik odaklılık” ise “Hakimiyet” gereksinimini

doğurmaktadır.

Disiplinin bir zorunluluk olarak dayattığı bu durum, sistemi oluşturan tüm katmanlara hakim olma felsefesinin afili tercümesidir.

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

360º Alan Hakimiyeti

İçeriden ya da dışarıdan gelebilecek müdahalelerin güvenilirlik ve sürekliliğe ket vurmaması için bu

“hakim olma durumu” elzem bir konudur…

...ve tüm altyapının herhangi bir kör nokta kalmayacak şekilde gözlemlenmesi ile hayata

geçirilir...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

360º Alan Hakimiyeti

...her yönüyle ve hiç bir kör nokta kalmayacak şekilde gözlemlemek! :)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gözlemleme

Güvenlik odaklı, 360 derece alan hakimiyeti kurmak üzere ihtiyaç duyulan bu “Gözlemleme İşi”, oluşabilecek sorunlara henuz oluşmadan önce -proaktif olarak- yanıt verebilmek üzere

kurgulanması gereken bir “Monitoring altyapısı” ihtiyacı doğurmaktadır...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gözlemleme

Bu altyapının en önemli dinamiği ise, “ihtiyaçlara göre esnetilebilir ve disiplin sürecine dahil

edilebilir” şekilde kurgulanabilmesidir.

Zira - daha önce de bahsedildiği gibi -,“Güvenlik bir süreçtir...”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gözlemleme

İhtiyaca göre esnetilemeyen bir monitoring sistemi kuvvetle muhtemel; “Yalancı Çoban Sendromu”

ndan muzdarip olarak efektifliğini yitirmiş ve süreçlere dahil edilemediğinden zamanla bir

kenarda unutulacak, tek varlık sebebi “Var mı ? Var!” olan boynu bükük bir sistem olacaktır...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

GözlemlemeYalancı Çoban Sendromu

Çok sayıda false-positive alarm üretip inanılırlığını yitiren ve esnetilemeyen sistemlerin muzdarip olduğu sendrom.

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

GözlemlemeSürece dahil

edilemeyen bir monitoring

sistemi nedeni ile varılan “reaktif”

nokta...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

GözlemlemeTüm bu nedenlerden dolayı kurgulanacak sistemin,

olması, hem micro hem macro management anlamında ihtyaçlara göre esnetilebilir olması

efektiflik açısından zorunlu bir ihtiyaçtır..

İşte bu yüzden tercih edilen araçların ne kadar “açık”olduğu önemlidir; zira...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gözlemleme

“Açık Kaynak Kod Araçlar”

=“Esnetilebilirlik”

= “İhtiyaca Göre Kurgu”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar ve Bileşenler

İhtiyaçlar

İlk olarak ihtiyaçlarımızı belirleyelim:

Bahsi geçen özelliklerde, yani IT güvenlik sürecine dahil edilerek atıl kalması engellenecek bir

gözlemleme sisteminin “temel” özellikleri neler olmalıdır ?

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar

İhtiyaçlarımıza göre kurgulayacağımız monitoring sistemimizin temel özellikleri spesifik olarak aşağıdaki iki soruyu adresleyecek yetenekte

olmalıdır:

“Ne oldu ?”“Ne değişti ?”

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar

Ekseni belirlemek, kurgulanacak sistemin efektifliğine direk etki ettiği için en önemli

konudur...

… bu yüzden “Ne oldu ve Ne değişti ?” ekseninde gözlemleme sistemimizin özelliklerini

belirleyelim...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar

… ilk olarak her bir host ve network cihazında:● Log Analizi tabanlı Anomaly Detection,● Dosya Bütünlük Kontrolü,● Rootkit Detection,

yapabilme ve sistem katmanında cereyan eden olayları tespit edebilme ihtiyacımız bulunuyor...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar

… ardından network trafiğini izleyebilmeli ve;

● Protokol analizi tabanlı anomaly detection,● Trafik içeriğinde pattern search

yaparak network katmanındaki atak vektörlerini ve anormallikleri tanıyabilmeliyiz...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar

… Sistem ve Network katmanından elde ettiğimiz bu verileri mutlak olarak,

● Okunaklı ve anlamlı bir halde, ● Geçmişe yönelik ve hiyerarşik olarak,

Bir mecrada depolayabilmeliyiz...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

İhtiyaçlar… ve depolanmış bu veriyi,

● Problematik durumların bir bakışta farkedilmesini sağlayacak,

● Detaylı aramaya ve analize imkan verecek,

ekranlar üzerinden monitor edebilmeliyiz...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler

Tüm bu ihtiyaçları karşılayacak sistem için reçete:

● Ossec● Snort (ya da Suricata)● ELK Stack

○ ElastichSearch○ Logstash○ Kibana

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - OssecTrend Micro tarafından desteklenen, GPLv3 lisanslı (Open Source) bir HIDS (Host Based Instrution Detection System) uygulaması…

● Kural tabanlı log analizi,● Dosya Bütünlük Kontrolü● Rootkit Detection● Active Response (Otomatik Aksiyon)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - Ossec● Manager / Agent Yapısı ile merkezi yönetim,● Yapılandırılabilir (esnek) alarm desteği,● Multi Platform (Linux, Solaris, AIX, HP UNIX,

BSD, OSX, VMWare ESX ve Windows)● Üzerine agent kurulamayan (router, switch vs.)

aktif ağ cihazları için agentless monitoring desteği.

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - Ossec

● Hemen hertür log formatı desteği.● Öntanımlı 1000’in üzerinde decoder ve rule,

(http://www.ossec.net/?page_id=36)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - Snort

4~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS uygulaması.

● 98 yılında başlayan bir proje,● Multi Platform (*nix/Windows)● Stateful Packet Tracking● Akademik, askeri, ticari

kullanım alanıBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - Snort● Cisco (SourceFire) tarafından geliştirilmektedir.● Gartner Raporuna Göre en başarılı IPS’lerden

biri, (Sourcefire)● Açık kural dili & Kendi kurallarınızı geliştirebilme● ~15.000 öntanımlı kural● ~3000 tavsiye edilen block kuralı● 1 Mb -10Gb arası performans

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - ELK Stack

ElasticSearchEsnek, güçlü açık kaynak kod, dağıtık, gerçek zamanlı bir arama ve analitik motoru.

(Verimizi anlamlandırarak depoladığımız mecra)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - ELK Stack

LogstashAçık kaynak kodlu bir “log parser”.

(Ossec ve Snort alarmlarını parse edip elasticsearch’e export ettiğimiz araç.)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - ELK Stack

KibanaElasticsearch için veri görselleştirme motoru.

(Elasticsearch'deki anlamlı veriyi sorgulamak ve görselleştirmek üzere kullandığımız bileşen.)

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Parçaları Birleştirelim

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Parçaları Birleştirelim

Gerçek Hayattan Örnekler

Gerçek Hayattan Örnekler

10 Ekim Akşamı “Ne oldu” ?

Bazı dosyalar ve registry anahtarları “değişmiş”...

Gerçek Hayattan ÖrneklerSpesifik bir tarih aralığında “ne oldu” ?

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan ÖrneklerHmmm… Snort Alarmları... Detaylar ??

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan ÖrneklerVuln Scanner

Detaylar

Gerçek Hayattan Örnekler

Colorado yöresinden bir shellshock’çu arkadaş...

Gerçek Hayattan Örnekler

Bash zafiyetinin duyurulduğu zaman dilimi...

Adamlar Rus beyler..BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

Shellshock...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

May the brute force be with you...

Gerçek Hayattan Örnekler

PortScan

Heartbeat

Sensitive Data

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

WebApp Scanner

Exploit denemesi

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

Sisteme yüklenen yeni paket...

Eklenen kullanıcı

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

Yeni dinlenmeye başlanan bir port...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Gerçek Hayattan Örnekler

İçeriği değişmiş bir dosya...

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

TEŞEKKÜRLER