icerige gec

LOG YÖNETİMİNİNDE AJANLI VE AJANSIZ YÖNTEMLER

Şubat 6, 2012 yazan ertugrul.akbas

LOG YÖNETİMİNİNDE AJANLI VE AJANSIZ YÖNTEMLER
Dr. Ertuğrul AKBAŞ

ertugrul.akbas@anetyazilim.com.tr

www.anetyazilim.com.tr



Log yönetimi sistemlerinin nihai hedefi güvenlik analizini otomatik olarak yapabilecek sistemi kurmaktır.
Dünyada ajanlı yapıda log toplama çözümü kabul görmüş ürünler arasında yoktur
 

 

Gartner

Yukarıda Gartner 2011 raporunda yansıtılan ürünler görülmektedir.Leader segmentindeki Archsight, Q1labs, RSA, Symantec, Loglogic, NitroSecurity ve Novell ya %100 ya da büyük oranda java ile geliştirilmiş ve ajan kullanmayan çözümlerdir.


Bununla birlikte bazı ürünler  tasarım kısıtlarından dolayı  ajan kullanmaktadır. Bu ajan kullanların bu tasarım kısıtını  gidermek üzere öne sürdüğü bazı görüşler vardır.Bu görüşler ayrıca gartner raporunu liderler segmentine rağmen ajansız log toplamanın risk olduğunu da idda etmektedirler.İdda edilen riskler:
1.    Herhangi bir çalışanın bilgisayarında takılı  USB diske kopyaladığı dosyaları bulabilirmiyiz ?
2.    Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra event logları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ?
3.    Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlar. Toplama esnasında networkten ne kadar trafik geçecek ?
4.    Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ?
5.    Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ?
6.    Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ?
7.    Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ?
8.    Kaç makinanın web kamerası  veya tarayıcısı (scanner) var ?
9.    PrintScreen tuşu veya Snip Tool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ?
10.    Kullanıcı bilgisayarında  bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının  tespit edilmesi  ?
11.    Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ?
12.    Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, Password Change v.b. ) logların alınmasını engelleyecek mi ?

Yukarıda risk diye sayılan 12 maddenin 12  tanesi de Log Yönetimi konsepti içerisinde uluslar arası ticarileşmiş ürünlerde mesela HP-Arcsight, Novell, Symantec gibi ve MIT ve CALTECH gibi saygın üniversitelerde yapılan Doktora ve AR-GE çalışmalarında mesela ArielRabkinandRandyKatz.,Chukwa: A SystemforReliableLarge-ScaleLog Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010.sayılmazlar.Bir de bu işin öncülerinden kabul edilen AntonChuvakin [http://chuvakin.blogspot.com/] bir log ve güvenlik yönetimi çözümünde olmazsa olmazları listelediği çalışmasında;
http://chuvakin.blogspot.com/2011/07/top-10-criteria-for-siem.html
Bu yazımız konusu olan önemli ya da olmazsa riskli olarak bahsi geçen maddeler bulunmamaktadır.
Ayrıca; denebilir ki, HP-Arcsight, Novell, Symantec bu özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyorlar. Bu listelenen özelliklerin bir kısmını uzmanlar DLP ürünlerinde ararlar. En azından Symantec’in bir DLP ürünü olduğunu biliyoruz. Bu üreticiler isterse kolaylıkla log yönetimi içerisine bunu katabilir ama ikisinin birbirine hiç katkısı olmadığından, sistemiçin ek donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar.
Ayrıca listelenen maddelerin DLP ye bakan yüzünün onlarca kat daha fazlasını yapan Websense, Mcaffe ve Symantec DLP ürünleri mevcuttur. Ayrıca başka ticari DLP çözümleri de mevcut.
Ayrıca, bu profesyonel DLP ürünlerinin maliyetleri ile bu ürünlerin log yönetimi içerisine serpiştirilmiş alt kümesinin maliyet noktalarına da ileride değinebiliriz.
Ayrıca, bu 12 maddenin 5 tanesi için ajan kullanmak da gerekmez. Mesela madde 2, 4, 5,11,12 gibi. Bu özellikler basit GPO ve AD entegrasyonu ile halledilebilecek özelliklerdir.
Maddeleri inceledikçe Log Yönetimi ve Güvenlik Yönetimi konseptinin ne kadar dağıldığı da görülmekte. Mesela madde 4 ve 8 de envanter toplanmasından bahsedilmiş. Yukarıda bahsettiğim ticari ve akademik çalışmaların hiçbirinde envanter toplama ve yönetimi gibi konseptler görülmez.
Ayrıca, denebilir ki HP-Arcsight, Novell, SymantecEnvanter  özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyor. Madde 4 ve 8 deki özelliği uzmanlar Envanter Yönetimi ürünlerinde ararlar. En azından HP nin ve Symantec in bir Envanter ürünü olduğunu biliyoruz. Symantec’in ürünü Altiris, HP nin ki de Node Manager ailesinin içerisinde olsa gerek. İsterlerse kolaylıkla log yönetimi içerisine bunu katabilirler ama ikisinin birbirine hiç katkısı olmadığı gibi gereksiz performans düşmesinden dolayı donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar.
Ayrıca, yine madde 4 te Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ?diye sorularak bir çelişki de ortaya konulmuştur. Şöyle ki, eğer uzaktan log veya envanter toplanamıyorsa uzaktan otomatik ajan da yüklenemez. Özellikle binlerce makineye uzaktan ajanları yükleyemeyince teker teker dolaşarak yüklenmesi gerekir ki bu sistem yöneticileri için bir azap olur. Dolayısı ile uzaktan ajan yüklenebiliyorsa log da toplanabilir envanter de.

Eğer maddelerin üzerinden de teker teker geçmek gerekirse;


1.    Herhangi bir çalışanın bilgisayarında takılı  USB diske kopyaladığı dosyaları bulabilirmiyiz ?

Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım.
USB operasyonları ile kısıtlı da olsa (kim kullanmış,hangi makinede kullanmış,ne zaman kullanmış gibi) bazı bilgiler ajansız ve GPO/AD yardımıyla alınabilir.

2.    Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra eventlogları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ?

Windows Auditpolicy ile log temizleme,silme vs. yapanları en azından tespit etmek mümkün. Ayrıca bu tür işlemlere GPO/AD üzerinden kısıt getirmek de mümkün.

3.    Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlardır. Toplama esnasında networkten ne kadar trafik geçecek ?

Bu kadar logu oluşturan bir sistemin loglarının tamamının daha sonra işe yarayacağı ile ilgili  LosAlamosNationalLaboratory de bu konuda uzun süre çalışan  Dr. Ben Uphoff’un[http://people.msoe.edu/~uphoff/] çalışması incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis]

Ayrıca, tabiki bu kadar log içerisinden analiz yapabilme kapasitesine sahip bir sisteme sahip  olmak lazım. Bu analizi yapamazsanız anca logufilitrelemeye gidersiniz.

1 GB gibi devasa bir logdan sadece 20 MB anlamlı log çıkar çıkarımı bu işi uzun süre tecrübe etmişlerin tecrübeleri ile uyuşmamaktadır. Ayrıca nasıl bir mülahaza ile böyle bir örnek verildi o da sarih değil. Çünkü uzaktan da log toplarsınız her türlü filtrelemeyle sadece ilgilendiğiniz logları çekebilirsiniz. İlla hepsini merkeze alıp orada filtrelemek zorunda değilsiniz.


4.    Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ?

GPO ve AD ile istenen RPC portları (makinelerin çoğunda zaten eklidir) firewall a eklenerek kolayca yapılabilir. Ajan gerekmeden kolayca yapılabilir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım.

5.    Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ?

Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca girişte açıkladım konunun log yönetimi içindeki yerini. Bununla birlikte GPO/AD ile bu tür kısıtlar getirmeyi sanıyorum herkes biliyordur.

6.    Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ?

Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini de girişte açıkladım.
Ayrıca Windows AuditPolicy yardımıyla isim değiştirme ve çalıştırmayı takip edebilirsiniz.

7.    Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ?

Windows Auditpolicy ile bunları en azından tespit etmek mümkün.Yine GPO ile de engellemek mümkün. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım.

8.    Kaç makinanın web kamerası  veya tarayıcısı (scanner) var ?

Bu bir envater yönetimi sistemi ile kolayca takip edilebilecek bir özelliktir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım.

9.    PrintScreen tuşu veya SnipTool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ?

Bu bir DLP özelliği olur profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini girişte açıkladım.
Ayrıca bu tür bir ihtiyacı olan şirketin aynı şeyin cep telefonu, fotograf makinesi ve video kamera ve benzeri cihazlarla da yapılabileceğini bilmesi ve fiziksel güvenlik önlemlerini de alması gerekir.Hatta elektrik hatları üzerinden ve uzak mesafeden ekran görüntüsü tespiti yapılabildiğini ve bunu engellemek için de özel filtreler kullanıldığını unutmayalım. TUBİTAK bu tür filtreler geliştiriyordu diye hatırlıyorum.

10.    Kullanıcı bilgisayarında  bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının  tespit edilmesi ?

Windows Auditpolicy ile bunları raporlamak mümkün. Yine GPO ile de engellemek mümkün.

11.    Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ?

Böyle bir durumda log kaybının oluşması için konfigurasyon hatası yapmak lazım. Aksi halde loglarlokal sistemler tarafında biriktirilir. Mesela windowseventlogları günlük veya belli bir boyuta ulaşana kadar lokal de saklanırlar.

12.    Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, PasswordChangev.b. ) logların alınmasını engelleyecek mi ?

Bu tür bir problemle karşılaşmamak için lokal hesaplar ile de WMI,DCOM,RPC üzerinden loglar alınabilir şeklinde bir yedek log toplamı yöntemi de diğerine parelel olarak uygulanabilir.
Tabi burada bahsedilmeyen ajanların herhangi bir yöntemle kapatılması durumu ve ajanların lokal makinede açabileceği sorunlardan dolayı helpdesk ekibindeki iş yükü artışı ve kuruldukları her makinede oluşması ihtimali olan yavaşlatma senaryolarına hiç değinilmemiş.

Değinilmeyen diğer bir husus da ajanların merkezi yönetiminin ağa yapacağı ekstra trafik yükünün ne olduğudur.

Değinilmeyen 3. Konu da ajanlı bir sistemde toplam işlem gücünün iyimser bir yaklaşıma %10 nunu bu ajanlı sisteme teslim etme keyfiyetidir. Örnek bir hesaplama yapılırsa 1000 cihazlık bir ağda eğer ajanlar %10 CPU kullanırsa 100 makineyi de bu ajanlı sisteme tahsis etmiş gibi olursunuz. Eğer networke geniş açıdan overview yaparsanız ajanın size maliyetlerine bunların katılması da isabetli olur.
Eğer ajan kayda değer RAM kullanıyorsa benzer hesaplama onun için de yapılabilir.

Var olduğu varsayılan avantajlar yukarıda teker teker analiz edildi. Buna rağmen bu sistemi operate etmek isteyenlerin yukarıda bahsi geçen yapıyı operate ederken ajanların merkezi yönetiminden ve biraz DLP, biraz envanter yönetimi gibi özelliklerin sisteme serpiştirilmesinden kaynaklanan;

-Olası yönetim zorluklarını
-Ne kadar donanım yatırımı yapıldığı?
-Ne kadar Veritabanı lisansı yatırımı yapıldığı?
-Ne kadar extra destek yükü gerektiğinin hesabını da yapmalıdır.

Ayrıca, büyük ağlarda ajanlı sistem beni ne kadar üreticiye yada yetkili çözüm ortağına  muhtaç  ediyor? Üreticiye yada yetkili çözüm ortağı olmadan da ben bu sistemi yaşatabiliyor muyum?  diye fizibilite analizi ve hesabı yapılmalıdır.
Fizibilite analizinin temel olduğu özel sektörün bu parametreleri göz ardı etmeleri beklenemez. Benzer yapının diğer sektörlerde de var olması gerektiği de aşikardır.

Son olarak da belirtmek lazım ki özellikle enterprise sistemlerde log yönetimi çözümü seçiminde önemli pek çok parametre vardır. En azından bir tanesinden bahsederek konuyu kapatmak istiyorum.Bu da ürünün korelasyon yeteneği. Aşağıda özelliklerini saydığım korelasyon özellikleri iyi bir ürünün olmazsa olmazlarındandır.

•    Hafızada Korelasyon Yapabilme
•    Tek Kaynak Korelasyon Kuralları
•    Çoklu Kaynak Korelasyon Kuralları
•    Negatif Condition Kuralları
•    Context Base Korelasyon
•    Hiyerarşik Korelasyon
•    Esnek kural oluşturma yapısı-Kural dili
•    Rule Base
•    ComplexEventProcessing
•    ForwardChaning
•    BackwardChaining