İç ipleri bulma



  • Merhaba arkadaşlar. 10 kadar dış ipye aynı sayıda vlandan nat yapıp çıkış veriyorum. Bazı dış iplerimden başka yerlere saldırı yapıldığını öğrendim. İçerde saldırıyı kim yapıyor kim nereye bağlanıyor saniyesi saniyesine bilirsem büyük ihtimalle yakalarım. Ancak pfsense in hangi loglarını inceleyeceğimi bilmiyorum. /var/log altındaki filter son 5-10 dakikanın logunu tutuyor.



  • @osmantuzcu:

    Merhaba arkadaşlar. 10 kadar dış ipye aynı sayıda vlandan nat yapıp çıkış veriyorum. Bazı dış iplerimden başka yerlere saldırı yapıldığını öğrendim. İçerde saldırıyı kim yapıyor kim nereye bağlanıyor saniyesi saniyesine bilirsem büyük ihtimalle yakalarım. Ancak pfsense in hangi loglarını inceleyeceğimi bilmiyorum. /var/log altındaki filter son 5-10 dakikanın logunu tutuyor.

    nmap eklentisini bi inceleyin.



  • Syslog server kurun



  • @osmantuzcu:

    Merhaba arkadaşlar. 10 kadar dış ipye aynı sayıda vlandan nat yapıp çıkış veriyorum. Bazı dış iplerimden başka yerlere saldırı yapıldığını öğrendim. İçerde saldırıyı kim yapıyor kim nereye bağlanıyor saniyesi saniyesine bilirsem büyük ihtimalle yakalarım. Ancak pfsense in hangi loglarını inceleyeceğimi bilmiyorum. /var/log altındaki filter son 5-10 dakikanın logunu tutuyor.

    Saldırıdan kasıt nedir? Port tarama işlemi yapanlar ile misal veriyorum SQL Enjeksiyonu deneyenleri aynı loglarla bulmanız çok mümkün olmayacaktır. Standart olarak IP-Port bazlı tutulan loglar size çoğu zaman bir saldırı olduğunu söyleyemez. Bu loglarla iki sistem arasında erişimin olup olmadığını doğrulayabilirsiniz… İçeriden çok sayıda kişi aynı hedefe erişiyor ise hangisinin erişim sağladığını kestirmek mümkün olmayabilir...

    Bir syslog servisi kurup logları dışarı alarak inceleyebilirsiniz. Ancak log tutma ayarlarınıza göre çook yüksek miktarda log oluşacağını göz önüne almalısınız...

    Adli analiz işlemi yapacaksanız bir sniffer aracılığı ile ham ağ trafiğini kaydedip inceleyebilirsiniz. Ancak uzun süreli kayıtlarda devasa dosyalar oluşur ve disk alanı konusunda sıkıntı yaşayabilirsiniz... Yinede en çok kanıt bu şekilde toplanır ve en detaylı inceleme ham trafik üzerinden yapılabilir...

    Alternatif olarak saldırıları tespit etmesi için snot paketini kullanabilirsiniz. En azından imzalarını tanıdığı saldırı desenlerini yakalayacaktır. Yalnızca saldırı tespit olarak kullanmaya özen gösterin. Saldırı engelleme özelliğini akitf ederseniz muhtemelen hatalı alarmlar yüzünden bir süre sonra tüm ağ bağlantılarını kaybedebilirsiniz...



  • @seker:

    @osmantuzcu:

    Merhaba arkadaşlar. 10 kadar dış ipye aynı sayıda vlandan nat yapıp çıkış veriyorum. Bazı dış iplerimden başka yerlere saldırı yapıldığını öğrendim. İçerde saldırıyı kim yapıyor kim nereye bağlanıyor saniyesi saniyesine bilirsem büyük ihtimalle yakalarım. Ancak pfsense in hangi loglarını inceleyeceğimi bilmiyorum. /var/log altındaki filter son 5-10 dakikanın logunu tutuyor.

    Saldırıdan kasıt nedir? Port tarama işlemi yapanlar ile misal veriyorum SQL Enjeksiyonu deneyenleri aynı loglarla bulmanız çok mümkün olmayacaktır. Standart olarak IP-Port bazlı tutulan loglar size çoğu zaman bir saldırı olduğunu söyleyemez. Bu loglarla iki sistem arasında erişimin olup olmadığını doğrulayabilirsiniz… İçeriden çok sayıda kişi aynı hedefe erişiyor ise hangisinin erişim sağladığını kestirmek mümkün olmayabilir...

    Bir syslog servisi kurup logları dışarı alarak inceleyebilirsiniz. Ancak log tutma ayarlarınıza göre çook yüksek miktarda log oluşacağını göz önüne almalısınız...

    Adli analiz işlemi yapacaksanız bir sniffer aracılığı ile ham ağ trafiğini kaydedip inceleyebilirsiniz. Ancak uzun süreli kayıtlarda devasa dosyalar oluşur ve disk alanı konusunda sıkıntı yaşayabilirsiniz... Yinede en çok kanıt bu şekilde toplanır ve en detaylı inceleme ham trafik üzerinden yapılabilir...

    Alternatif olarak saldırıları tespit etmesi için snot paketini kullanabilirsiniz. En azından imzalarını tanıdığı saldırı desenlerini yakalayacaktır. Yalnızca saldırı tespit olarak kullanmaya özen gösterin. Saldırı engelleme özelliğini akitf ederseniz muhtemelen hatalı alarmlar yüzünden bir süre sonra tüm ağ bağlantılarını kaybedebilirsiniz...

    Botnete düşmüş bilgisayarlar var. Syslog kurup incelemeye başladım. Bilinen botnet ağlarıyla iletişime geçiyorlar. İletişime geçen bilgisayarın ip'sini yakalamam lazım ayrıca spam yayanlar var. Snort , mailscanner gibi paketleri kullanmam lazım ama pfsense in paketleri hakkında kendisi kadar kaynak yok malesef



  • @osmantuzcu:

    @seker:

    @osmantuzcu:

    Merhaba arkadaşlar. 10 kadar dış ipye aynı sayıda vlandan nat yapıp çıkış veriyorum. Bazı dış iplerimden başka yerlere saldırı yapıldığını öğrendim. İçerde saldırıyı kim yapıyor kim nereye bağlanıyor saniyesi saniyesine bilirsem büyük ihtimalle yakalarım. Ancak pfsense in hangi loglarını inceleyeceğimi bilmiyorum. /var/log altındaki filter son 5-10 dakikanın logunu tutuyor.

    Saldırıdan kasıt nedir? Port tarama işlemi yapanlar ile misal veriyorum SQL Enjeksiyonu deneyenleri aynı loglarla bulmanız çok mümkün olmayacaktır. Standart olarak IP-Port bazlı tutulan loglar size çoğu zaman bir saldırı olduğunu söyleyemez. Bu loglarla iki sistem arasında erişimin olup olmadığını doğrulayabilirsiniz… İçeriden çok sayıda kişi aynı hedefe erişiyor ise hangisinin erişim sağladığını kestirmek mümkün olmayabilir...

    Bir syslog servisi kurup logları dışarı alarak inceleyebilirsiniz. Ancak log tutma ayarlarınıza göre çook yüksek miktarda log oluşacağını göz önüne almalısınız...

    Adli analiz işlemi yapacaksanız bir sniffer aracılığı ile ham ağ trafiğini kaydedip inceleyebilirsiniz. Ancak uzun süreli kayıtlarda devasa dosyalar oluşur ve disk alanı konusunda sıkıntı yaşayabilirsiniz... Yinede en çok kanıt bu şekilde toplanır ve en detaylı inceleme ham trafik üzerinden yapılabilir...

    Alternatif olarak saldırıları tespit etmesi için snot paketini kullanabilirsiniz. En azından imzalarını tanıdığı saldırı desenlerini yakalayacaktır. Yalnızca saldırı tespit olarak kullanmaya özen gösterin. Saldırı engelleme özelliğini akitf ederseniz muhtemelen hatalı alarmlar yüzünden bir süre sonra tüm ağ bağlantılarını kaybedebilirsiniz...

    Botnete düşmüş bilgisayarlar var. Syslog kurup incelemeye başladım. Bilinen botnet ağlarıyla iletişime geçiyorlar. İletişime geçen bilgisayarın ip'sini yakalamam lazım ayrıca spam yayanlar var. Snort , mailscanner gibi paketleri kullanmam lazım ama pfsense in paketleri hakkında kendisi kadar kaynak yok malesef

    Şöyle bir şey önerebilirim ancak sizin yapınıza uyar mı bundan emin değilim. Öncelikle LAN tarafından dışarı çıkışlarda her şeyi serbest bırakmayın. Yalnızca iş akışınız için gerekli olacak protokol ve portlara izin verin. Diğer tüm portları firewall kurallarından yasaklayın… Böylece kullanıcılarınız ve bilgisayarlara bulaşmış olan zararlı yazılımlar canlarının istediği gibi internete çıkamazlar... Firewall loglarında kimin nereye giderken kurallara takıldığını görebilirsiniz...

    Dışarı yapılan çıkışlar belirli portlar üzerinden olacağı için izlemeniz gereken bağlantı noktaları daha az olacaktır. Bu sayede geçen trafiğin ne olduğunu daha kolay takip edebilirsiniz diye düşünüyorum...

    Dokümantasyon sıkıntısı olduğu doğru. İnternet denen çöplükte doğru dokümanı bulmak gerçekten zor olabiliyor... :)

    Saygılarımla...



    • pkg_add -r -f http://ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8-stable/Latest/trafshow.tbz (32 bit olan sistemdir)

    • 64 bit için (pkg_add -r -f http://ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/All/trafshow-3.1_6,1.tbz)

    • rehash

    • trafshow



  • Harun bey ;
    Sanırım söyledikleriniz çok doğru kullanılmayan portları kapatıp bi sürü porttan çıkış yapmaya çalışanları görebilirim. SysLog Sunucu kurmam gerekiyor bunun farkındayım. Solarwinds ın Kiwi SysLog unu denedim çok kastı zaten Windows programı olmasa daha iyi. Opensource kullanışlı ve detaylı analiz yapabileceğim bir SysLog varsa tavsiyelerinizi beklerim.

    SGTR;
    Sizin önerdiğiniz paket sanırım anlık bağlantı gösteriyor. Yada ben yanlış anladım

    Teşekkür ederim



  • @osmantuzcu:

    Harun bey ;
    Sanırım söyledikleriniz çok doğru kullanılmayan portları kapatıp bi sürü porttan çıkış yapmaya çalışanları görebilirim. SysLog Sunucu kurmam gerekiyor bunun farkındayım. Solarwinds ın Kiwi SysLog unu denedim çok kastı zaten Windows programı olmasa daha iyi. Opensource kullanışlı ve detaylı analiz yapabileceğim bir SysLog varsa tavsiyelerinizi beklerim.

    SGTR;
    Sizin önerdiğiniz paket sanırım anlık bağlantı gösteriyor. Yada ben yanlış anladım

    Teşekkür ederim

    syslog windows için = http://sourceforge.net/projects/syslog-win32/

    eğer linux unix vb sistemlerde syslog kullanacaksanız paketlerini kullanacağınız sürüme göre internette arattırmalısınız.



  • @osmantuzcu:

    Harun bey ;
    Sanırım söyledikleriniz çok doğru kullanılmayan portları kapatıp bi sürü porttan çıkış yapmaya çalışanları görebilirim. SysLog Sunucu kurmam gerekiyor bunun farkındayım. Solarwinds ın Kiwi SysLog unu denedim çok kastı zaten Windows programı olmasa daha iyi. Opensource kullanışlı ve detaylı analiz yapabileceğim bir SysLog varsa tavsiyelerinizi beklerim.

    Teşekkür ederim

    Syslog sunucu kurulumu için Çağrı ERSEN Üstadın aşağıdaki yazısına göz atmanız yeterli olur diye düşünüyorum… Ancak analiz konsu biraz sıkıntılı bir mevzu...
    http://www.syslogs.org/rsyslog-ile-merkezi-log-sunucusu-kurulumu/

    Saygılarımla...


Log in to reply