bilgiz.org

Pro-g bilişim güvenliği ve araştirma ltd

  • ARES-Console Donanım Gereksinimleri
  • ARES-Console Yazılım Gereksinimleri
  • Kurulum Sonrası Ayarları
  • ARES-Console’un Başlatılması
  • Güncel Alarm İstatistikleri
  • Veritabanı İstatistikleri
  • Algılayıcı İstatistikleri



  • Tarih01.10.2017
    Büyüklüğü126.15 Kb.

    Indir 126.15 Kb.

    Pro-G Bilişim Güvenliği ve Araştırma Ltd.

    ARES-Console Kurulum Kılavuzu

     Pro-G Bilişim Güvenliği ve Araştırma Ltd.

    ODTÜ Teknokent • Gümüş Bloklar No:1

    06531, Ankara, Türkiye

    Tel 312 – 210 1494 • Faks 312 – 210 1493






    ARES-Console Nedir? 3

    Kurulum Hazırlıkları 7

    Sunucu Kurulumu 11

    ARES-Console Yapılandırması 29

    Alarm İnceleme 43

    Alarm Silme 65

    Karşı Eylem Tanımlama 67

    Kullanıcı Tercihleri 73


    Bölüm


    1


    ARES-Console Nedir?

    Bu ünitede ARES-Console’un kısa bir tanıtımı ve mimarisi ürünün sistem güvenliğine katkısı ile birlikte sunulmaktadır.

    Kurumsal bilgi güvenliğinin sağlanabilmesi için birçok amaca özel ürünün kurumsal ağ üzerinde birlikte çalıştırılması gerekmektedir. Ürünler fiziksel olarak farklı ortamlarda olabileceği gibi platform olarak da heterojenlik gösterebilmektedirler.

    Bu ürünlerin etkin kullanılabilmeleri için periyodik olarak denetlenmeleri, diğer bir deyişle ürettikleri iletilerin görevli kişilerce incelenmesi gerekmektedir. Olası ürün çeşitliliği düşünülecek olursa denetleme işinin oldukça büyük miktarda işgücü gerektirebildiği görülmektedir.

    Pro-G tarafından geliştirilmiş olan ARES-Console, heterojen bir ağ üzerindeki çeşitli bilgi güvenliği yazılımlarının iletilerini merkezi bir yerde toplayarak kurumsal bilgi güvenliğinin daha verimli ve etkin bir şekilde sağlanmasında yardımcı olur.

    Web tabanlı arayüzü sayesinde ARES-Console sistemi uzaktan ve platform bağımsız olarak yönetilebilir. Türkçe dil desteği sayesinde de görece az deneyimli personel tarafından kısa bir eğitim süreci sonrasında kullanılabilir.

    ARES-Console, diğer tüm ARES ürünleriyle iletişim kurabilir. Diğer ARES bilgi güvenliği uygulamaları tarafından üretilen alarmları merkezi bir ortamda toparlayarak ilgili personelin verimliliğini arttırarak insan kaynağından tasarruf sağlar.

    Kullanıcılar, farklı önceliklere sahip alarmlar için farklı uyarı eylemleri tanımlayabilir.



    • E-posta ile bildirim

    • SMS ile cep telefonuna bildirim (Seri kablo ile bilgisayar sistemine bağlanabilen cep telefonu gerektirmektedir).

    • Windows POPUP ile doğrudan iş istasyonuna bildirim (iletileri alacak olan iş istasyonları üzerinde Messenger hizmetinin çalışır durumda olmasını gerektirmektedir).

    ARES-Console, ARES ailesi ürünlerin iletilerinin tek bir yerden analizini ve işlenmesini sağladığı gibi diğer üreticilerin ürünlerinin iletilerinin de benzer şekilde işlenebilmesini sağlamaktadır. Desteklenen ürünler arasında Checkpoint xx, Cisco

    ARES-Console, iletilerini işlediği ürünlerle aynı fiziksel makine üzerinde kurulu olmak zorunda değildir. Bu nedenle büyük hacimli trafiği olan ortamlarda bileşenler (iletişim kurulan ARES ürünleri ve kullanılan veritabanı yönetim sistemi) ayrı makinalar üzerine kurularak yük dağılımı sağlanabilir.

    Diğer bileşenlerden gelen veriler bir PostgreSQL ilişkisel veritabanında tutulmaktadır. ODBC aracılığıyla verilere erişilebilmekte ve bu yolla özgün raporlar üretilebilmektedir.

    ARES-Console’un verilerinin saklanması ve sorgulanması amacıyla PostgreSQL kullanılmaktadır. Ancak isteğe bağlı olarak veritabanı yönetim sistemi Oracle, Sybase ya da başka bir üreticinin VTYS’i ile de değiştirilebilir.

    ARES-Console, diğer ARES ailesi ürünleriyle TLS (Transport Layer Security?) tabanlı güvenli iletişim kanalları üzerinden haberleşir. Bu sayede sadece güvenilen taraflarla bağlantı kurulması sağlanır ve şifrelenmiş veri iletişimi sayesinde de üçüncü taraflar bağlantıyı dinleyemez.

    ARES-Console, pratik olarak birçok diğer UNIX’de (örn: AIX, HP-UX ya da Solaris) ve diğer Linux dağıtımlarında (örn: Red Hat) da çalışabilmektedir. Ancak, Pro-G Linux, ARES ürünlerini çalıştırmak için özel olarak ince ayarlandığı ve güvenli olmasına yönelik geliştirilmiş olduğu ARES-Console’un Pro-G Linux altında çalıştırılması tavsiye edilmektedir.


    ARES-Console Mimarisi


    ARES-Console, başta ARES-Sensor ağ tabanlı saldırı tespit sistemi olmak üzere diğer ARES ürünleri ile birlikte çalışan merkezi bir alarm depolama aracıdır. ARES-Sensor, ARES-Integrity, ARES-Honeypot gibi ARES ürün ailesi bilişim güvenliği ürünleri ARES-Console’a özel bir ağ ile bağlanıp alarmlarını iletmektedirler. Bu nedenle ARES-Console üzerinde iki adet ağ arabirim kartının bulunması önerilmektedir. Birisi ile alarm kaynaklarının erişimi için oluşturulmuş olan özel ağa bağlanırken, diğeri ile yönetilebilmesi için yerel ağa bağlanmaktadır.

    Aşağıdaki şekilde ürünün işlevsel mimarisi gösterilmektedir. Yazılım lisans koruması için token kullanılan ürün aynı anda birden fazla sistemden alarm toplayabilmekte, birden fazla operatör tarafından izlenebilmekte, alarmları çok çeşitli biçimlerde sistem yöneticisine ulaştırabilmekte ya da saldırıya karşılık üretebilmektedir










    Bölüm

    2



    Kurulum Hazırlıkları

    Bu ünitede başarlı bir ARES-Console kurulumu için gerekli yazılım ve donanım kaynakları ile yapılması gereken ön-hazırlık işlemleri sunulmaktadır.

    ARES-Console, merkezi sunucusu için bir adet Intel x86 mimarisi tabanlı adanmış bir bilgisayar donanımına ihtiyaç duymaktadır. İzleyen paragraflarda teknik özellikleri verilen minimum donanım kaynakları tablosu, yapılandırmaya göre değişmekle birlikte, 10-15 alarm kaynağı bilgisayar sisteminin alarmlarını toplamak için yeterlidir. Daha büyük kurulumlarda doğru donanım ölçeklemesi için Pro-G Profesyonel Hizmetler birimi ile birlikte çalışılmalıdır.

    ARES-Console Donanım Gereksinimleri


      İşlemci

      Pentium 4, 1.6 Ghz

      Bellek

      512 MB

      Sabit Disk

      40 GB

      Optik Sürücü

      32x CD-ROM (yalnızca kurulum için gereklidir)

      USB Arayüzü

      1 adet USB 1.0

      Ağ Arayüzü

      2 adet 10/100Mbps Fast Ethernet

      Monitör

      VGA (yalnızca kurulum için gereklidir)

      Klavye, Fare

      Uyumlu herhangi bir bileşen (yalnızca kurulum için gereklidir)

      Kurulum yapılacak bilgisayar sistemi adanmış biçimde çalışacağından, hali hazırda üzerinde bir görev işletilen sistemler ARES-Console sunucusu olarak kullanılamazlar.


    ARES-Console Yazılım Gereksinimleri


      ARES-Console, Pro-G Linux işletim sistemi ile birlikte paketlenmiş biçimde sunulmaktadır. Bu sayede diski formatlı herhangi bir bilgisayar sistemi üzerine tek bir kurulum süreci ile hem Pro-G Linux’un ve hem de ARES-Console’un kurulması mümkün olmaktadır.

    Not

    Pro-G Linux güvenliği arttırılmış ve gereksiz tüm bileşenlerinden arındırılmış güncel bir Linux dağıtımıdır. Sistemin temel hedefi Pro-G ürünleri için güvenli, küçük ve yalın bir işletim sistemi platformu oluşturmaktır.



      Ürün, merkezi sunucu kurulumu için herhangi bir yazılım ön-koşuluna sahip değildir. Formatlanmış diske sahip bir bilgisayar sistemi kuruluma başlangıç için yeterlidir.

    Not

    Ürün kurulumu, üzerine kurulumun gerçekleştirildiği disk üzerindeki verilerin geri-döndürülemez biçimde silinmesine neden olacağından kurulum için kullanılan diskin seçiminde dikkatli davranılmalıdır.


    BIOS Ayarları


      Kurulum öncesinde ARES-Console sunucusu olarak çalışacak bilgisayar sisteminin BIOS ayarları değiştirilerek sistemin CD-ROM aracılığı ile açılması sağlanmalıdır; aksi durumda kurulum programı açılışta başlamayacaktır. BIOS ayarları farklı bilgisayar donanımları arasında farklılıklar gösterebilmektedir. Doğru yapılandırma için donanım üreticisinden teknik destek alınabilir.

    Bölüm

    3



    Sunucu Kurulumu

    Bu ünitede tipik bir ARES-Console Sunucusu kurulumu özetlenmektedir.

    Önceki bölümde tariflenen kurulum hazırlıklarının tamamlanmasından sonra kurulum işlemleri başlatılabilir. Kurulum süreci, üzerine kurulumun gerçekleştirileceği bilgisayar donanımına enerji verilmesiyle başlar ve kurulumun sonunda bilgisayar sisteminin kapanıp-açılması ile sonlanır. Kurulum sırasında bilgisayar sisteminin enerjisinin kesilmesi ya da donanım arızaları oluşması durumunda kurulum işlemi en başından başlatılacaktır. Tipik bir kurulum yaklaşık on dakika içerisinde sonlanmaktadır.

    Pro-G tarafından sağlanan ürün medyası kurulum yapılacak sistem üzerindeki CD sürücüye yerleştirip sisteme enerji verilmelidir. Sistem eğer düzgün bir şekilde açılış yapmaya başladı ise yukarıdaki ekran ile karşılaşılır. Karşılaşılan bu ekranda hızlı devam etmek için sadece Enter tuşuna basmak yeterli olacaktır. Bu şekilde sistem grafiksel kurulum arabirimi ile başlatılmış olacaktır. Eğer sistem kurulumu metin tabanlı kurulum arabirimi ile başlatılmak istenirse “boot:” satırında imlecin bulunduğu yerde “linux text” yazılarak Enter tuşuna basılması gerekecektir.

    Kurulum ön-yükleyicisi tamamlandıktan sonra aşağıdaki kurulum başlangıç ekranı görüntülenecektir. “Next” düğmesi ile bir sonraki adıma geçilmelidir.

    Kurulum programının ilk adımı kurulumun gerçekleştirileceği dilin seçilmesidir. Örnekte kurulum dili olarak İngilizce seçilmiştir.



    İzleyen adımda bilgisayara bağlı klavyenin klavye düzeni seçilmelidir. Örnek sistemde klavye “Türkçe Q” düzeninde olduğu için “Turkish” seçeneği seçili görülmektedir.



    Bir sonraki adım, sisteme bağlı farenin tanımlanmasıdır. İki ya da üç tuşlu bir fare, sistemin donanımına bağlı olarak seçilir ve “Next” düğmesine tıklanır.



    Bir sonraki adım, sisteme bağlı monitörün tanımlanmasına ilişkindir. Sisteme bağlı monitör tipi otomatik olarak tespit edilecektir; otomatik tespitin başarılı olmaması durumunda listeden uygun bir monitör seçilmelidir.



    Donanım yapılandırmasının tamamlanmasından sonra ürün seçim ekranı görüntülenecektir. Kurulacak ürün olan ARES Console seçeneği işaretlenerek “Next” tuşuna basılarak bir sonraki ekrana geçilmesi sağlanır.



    Not


    Kullanım lisansına sahip olmadığınız ürünlerin kurulumları ürün lisans sözleşmelerine aykırıdır; bu nedenle yazılı lisans belgesine sahip olmadığınız ürün ya da ürün sürümlerini kurmamalısınız.

    Kurulumu gerçekleştirilecek ürün seçildikten sonra disk bölümlendirme (ing. disk partitioning) sihirbazı görüntülenecektir. Disk bölümlendirmesi otomatik (automatically partition) ya da el ile (manual partition with Disk Druid) yapılabilmektedir. Görev kritik uygulamalar için el ile disk bölümlendirme seçeneği işaretlenmelidir.



    Bir sonraki adımda, ekranda yapılacak değişiklerin disk üzerindeki verilere zarar vereceğine ve var olan verilerin erişilemez olacağına ilişkin bir uyarı ekranı gelecek, devam etmek isteyip istemediğiniz sorulacaktır. Bu ekranda “YES” tuşuna basılmalıdır; aksi halde kurulum daha fazla devam etmeyecek ve sistem yeniden başlatılacaktır.



    El ile disk bölümlendirme işlemine başlamadan önce aşağıdaki gibi bir ekran ile karşılaşılacaktır. Bu ekranda 20GB kapasiteli bir sabit disk sürücüsü bölümlendirme işlemi için hazır görülmektedir.



    Yeni bir bölüm yapılandırmak için ekranda bulunan “New” tuşuna basılarak aşağıdaki ekrandaki gibi bir pencere açılır.



    Yukarıdaki ekranda görülen pencerede öncelikle bir açılış bölümü oluşturmak gerektiğinden “Mount Point” kutusuna “/boot” yazılarak ya da çekmeli liste kutusundan aynı “/boot” seçeneği işaretlenir. “File System” ayarı olduğu gibi bırakılır ve “Size” kısmı 100MB olarak ayarlandıktan sonra “Additional Size Options” kısmında “Fixed Size” seçili olduğundan emin olunduktan sonra “OK” tuşuna basılınca /boot bölümü oluşturulmuş olacaktır.

    Bundan sonra her seferinde “New” tuşuna basılarak her açılan pencerede sırası ile aşağıdaki ekranlarda görülen ayarlar ile disk bölümleri tek tek ve sırası ile oluşturulmalıdır.

    “/” bölümü, “ext3” Dosya Sistemi ile “1024MB” yani 1GB'lık kapasite ile “Fixed Size” olarak oluşturulmalıdır.



    Bağlama noktası olmayan bir “swap” Dosya Sistemi “512MB”lık büyüklük ile “Fixed Size” olarak oluşturulmalıdır. Burada büyüklük hesaplamasında kullanılacak temel etken (sistem belleği büyüklüğü * 2) olarak düşünülmelidir. Örnekteki sistemin belleği 256MB olduğundan burada 512MB'lık bir takas alanı(swap) bölümü oluşturulmuştur.



    “/usr” bölümü, “ext3” Dosya Sistemi ile “1024MB” yani 1GB'lık kapasite ile “Fixed Size” olarak oluşturulmalıdır. Bu bölüm sistem ve kullanıcı programlarının kurulacağı bölüm olacaktır.



    Geçici dosyaların saklanacağı “/tmp” bölümü, “ext3” Dosya Sistemi ile “512MB”lık kapasite ile “Fixed Size” olarak oluşturulmalıdır. Daha sonra son bölüm olarak yapılandırılacak olan “/var” bölümü hazırlanacaktır.



    “/var” bölümü, “ext3” Dosya Sistemi ile “Size” kutusu boş bırakılarak diskin kalan tüm boş yerinin bu bölüm için ayrılmasını sağlayacak olan “Additional Size Options” altında yer alan “Fill to maximum allowable size” seçeneği seçili olarak “OK” tuşuna basılmalı ve bölümlendirme işlemi böylece bitirilmelidir.



    El ile yapılan bölümlendirme işlemi daha önce anlatılan şekilde yapılarak tamamlandığında aşağıdakine benzer bir ekran görülecek ve “Next” tuşuna basılarak disk bölümlendirme işleminin sonlandırılarak kuruluma devam edilmesi gerekecektir.



    Bölümlendirme işlemi tamamlandıktan sonra ekranda GRUB sistem önyükleyicisi ayarları görülecektir. Burada ekranda görülen ayarların muhafaza edilmesi tavsiye edilmektedir. Bölümlendirme işlemi tamamlandıktan sonra bu ekranda GRUB sistem önyükleyicisi ayarları görülecektir. Burada ekranda görülen ayarların muhafaza edilmesi tavsiye edilmektedir.



    Daha sonra sistemin IP yapılandırmasının yapılacağı ekran gelecek ve bu ekranda var olan ayarlar değiştirilecektir. Ekranda görülen “eth0” aygıtı yapılandırması “Edit” tuşuna basılarak açılan “Edit interface eth0” penceresi yardımı ile yapılacaktır. Burada seçili durumda olan “Configure using DHCP” seçeneği kaldırılınca el ile IP girilebilecek hale gelecektir. Buraya örneğin 192.168.0.32 IP adresi ve netmask olarak da 255.255.255.0 adresi girilecektir. Burada kurulum yapılan sisteme ve ağa uygun IP adresi ve ağ maskesi girilmelidir. Daha sonra “OK” tuşuna basılarak aşağıdaki ekrana dönülmeli ve buradaki ayarlar yapılandırılmalıdır.



    İzleyen ekranda uygun zaman dilimi ayarları seçilerek devam edilmelidir.



    Not


    Doğru zaman dilimi ve saat ayarlarının yapılmaması durumunda ajanlar ile sunucu arasında iletişim gerçekleştirilemeyecektir.

    Sonraki adımda sistem yöneticisi için root parolası seçilmesi gerekmektedir. Bu ekran sistem yöneticisi olan “root” kullanıcısının parola tanımlamasının yapıldığı ekrandır. Burada kuvvetli parola oluşturma kurallarına uygun güçlü bir parola seçilerek oluşturulmalıdır.



    Tüm ayarlar yapıldıktan sonra sistem yüklemesinin başlamayabilmesi için “Next” tuşuna basılarak yükleme işlemleri başlatılmalıdır.



    Sistem yüklemesi esnasında aşağıdaki gibi bir kaç ara ekran ile karşılaşılacaktır.



    Dosya sistemlerinin formatlanmasının ardından kurulum hazırlık programı çalıştırılacaktır.



    Kurulumun en uzun süren bölümü gerekli yazılım paketlerinin hedef bilgisayarın diski üzerine kurulması aşamasıdır.

    Kurulumun son adımında bir başlangıç disketi oluşturulmasının istenip istenmediği sorulacaktır. Tipik bir kurulumda başlangıç disketi oluşturulmasına ihtiyaç yoktur. Bu ekran aşağıda görüldüğü üzere yapılandırılmalı ve “Next” tuşuna basılarak devam edilmelidir.

    Yüklemenin bittiği bilgisini veren son ekranda cdrom sürücüde bulunan yükleme medyası çıkarıldıktan sonra “Reboot” tuşuna basılarak sistem yeniden başlatılmalıdır.




    Kurulum Sonrası Ayarları


    Ürün kurulumundan sonra ürünün çalışmaya hazırlanabilmesi için lisans anahtar dosyasının doğru isimde ve doğru yere kopyalanması gerekmektedir. Pro-G tarafıdan sağlanan ARES-Console donanım anahtarı sistem açılışında bilgisayar sisteminin USB yuvasına takılı olmalıdır. Aksi taktirde lisans hizmet süreçleri doğru biçimde çalışmayacaktır ve ARES-Console da çalışamayacaktır. Pro-G tarafından sağlanan ARES-Console donanım anahtarına özel lisans anahtar dosyası “/web/console/config/license.php” dosyasına aşağıdaki örneğe uygun biçimde kopyalanmalıdır.

    # cp license.php /web/console/config/license.php

    Farklı algılayıcıların veritabanına bağlanma izinlerini vermek için “/var/lib/pgsql/data/pg_hba.conf“ dosyasına aşağıdaki gibi satırlar eklenmelidir:

    host snort snort 192.168.0.23 255.255.255.255 password

    host snort snort 192.168.0.47 255.255.255.255 password

    Yukarıdaki satırlarda ifade edilen: “snort” veritabanına “snort” kullanıcı kimliği ile “şifre doğrulaması yapılarak” 192.168.0.23 ve 192.168.0.47 IP adresli bilgisayar sistemlerinin erişmesine izin ver. Başka algılayıcıların da veritabanına alarm yazabilmeleri için yukarıdaki biçime sahip satırlar eklenerek ilgili algılayıcıların veritabanına erişmesine izin verilir.

    “/var/lib/pgsql/data/pg_hba.conf“ dosyasında değişiklik yapıldıktan sonra root kullanıcı kimliği ile aşağıdaki komutun muhakkak çalıştırılması gerekmektedir.

    # service postgresql restart


    ARES-Console’un Başlatılması


    Kurulum sonunda sistem yeniden başlatıldığında ARES-Console başlatılmış olmaktadır. Dolayısı ile ARES-Console’u yeniden başlatmak için özel bir çaba sarfedilmesi gerekmemektedir.

    Bölüm


    4


    ARES-Console Yapılandırması

    ARES-Console’un temel ayarları ve bu ayarların çeşitli farklı durumlarda nasıl yapılandırılmaları gerektiği bu ünitede özetlenmektedir.

    Kurumsal bilgi güvenliğinin sağlanabilmesi için birçok amaca özel ürünün kurumsal ağ üzerinde birlikte çalıştırılması gerekmektedir. Ürünler fiziksel olarak farklı ortamlarda olabileceği gibi platform olarak da heterojenlik gösterebilmektedirler.

    Bu ürünlerin etkin kullanılabilmeleri için periyodik olarak denetlenmeleri, diğer bir deyişle ürettikleri iletilerin görevli kişilerce incelenmesi gerekmektedir. Olası ürün çeşitliliği düşünülecek olursa denetleme işinin oldukça büyük miktarda işgücü gerektirebildiği görülmektedir.






    K



























































































































    B


























































    Bölüm

    6



    D































    Bölüm

    7



    B






































    Bölüm

    5



    Alarm İnceleme

    ARES-Console ile toplanmış olan alarmların izlenmesi, sorgulanması yorumlanması bu ünitede özetlenmektedir.

    ARES-Console kurulduktan sonra https://konsol.bilgisayari/console/ adresinden erişilebilir olacaktır. Bu adrese güncel bir web gezgini ile erişildiğinde aşağıdaki gibi oturum açma ekranı görüntülenecektir. HTTP bağlantı kurularak da Ares-Console’a bağlanılabilir ancak güvenlik nedenleriyle tavsiye edilmez. Herşeyin apaçık bir şekilde ağ üzerinden gittiği HTTP bağlantının tersine HTTPS bağlantıda kullanıcı adı ve parolasının yanı sıra kullanıcıya yollanan web içeriği de şifrelenmiş olarak gitmektedir.

    Yukarıdaki ekranda “Username” alanına “admin”, “Password” alanına da ön tanımlı


    Bölüm

    8

    Yapılandırma Yedekleme ve Geri Yükleme

    Bu ünitede ARES-Integrity sunucusu üzerinde kayıtlı yapılandırma bilgilerinin yedeklenmesi ve geri yüklenmesi konu edilmektedir.

    I


    Bölüm

    9



    M




    D

    şifre olan “admin” girilmelidir. ARES-Console yönetim arayüzüne oturum açmak için “Login” düğmesine tıklamak yeterlidir. Oturum açıldıktan sonra aşağıdakine benzer bir ekran görüntülenecektir.



    Yukarıdaki ana ekranda, kullanıcının hemen görmek isteyebileceği bilgiler bulunmaktadır:



    • Son alarmların gün, hafta ve ay içinde dağılımı grafiklerden takip edilebilir. Grafikler sisteme yük getirmemesi için saatte bir üretilirler. Dolayısı ile en geç bir saat önceki durumu yansıtırlar.

    • En üst 10 saldırgan, hedef ve saldırı tipi hakkında ayrıntı, ilgili saldırgan, hedef ya da saldırı üzerine tıklanarak alınabilir.

    • En altta gerçek zamanlı izleme bağı (ing. Realtime Monitor) yer almaktadır. Bu bağa tıklanarak anlık olarak gelen alarmlar 30 saniyede bir yeniden görüntülenecektir.

    • En altta gerçek zamanlı izleme bağının hemen yanında “Snapshots” bağı yer almaktadır. Bu bağa tıklanarak güncel alarm istatistikleri hakkında bilgi alınabilir.

    • Yine en altta “DB Stats” bağına tıklanarak Veritabanı istatistikleri alınabilir. Veritabanı yöneticisinden veritabanındaki veri miktarı ile ilgili genel bir istatistiği getirir.

    Gerçek Zamanlı İzleme


    ARES-Console’un ve bağlı bulunan algılayıcıların yoğun ağ ortamlarında kullanılması sonucu gün içerisinde sürekli olarak alarm gelebilmektedir. Gelen alarmların vaktinde fark edilebilmesi için gerçek zamanlı izleme (ing. Realtime Monitor) ekranı kullanılmaktadır. Gerçek zamanlı izleme ekranına ulaşmak için ana ekranın en altında yer alan “Realtime Monitor” bağına tıklanmalıdır.

    Gerçek zamanlı izleme ekranı ilerleyen bölümlerde tarif edilecek olan alarm arama sonucunda gelen alarm listesi ekranı ile aynı ekrandır. Ancak belirli bir periyotla sürekli olarak güncellenmektedir. Böylece operatör yeni oluşan alarmlardan haberdar olabilmektedir.

    Gerçek zamanlı izleme ekranında görünen bilgiler şu şekildedir:


    • ID – Alarm tanımlayıcısıdır. İlk sayı ekrandaki sıra numarasını göstermektedir. Parantez içinde kalan soldaki ilk sayı alarmın hangi algılayıcıdan geldiğini, sağda kalan sayı ise alarmın o algılayıcı içindeki sıra numarasını belirtmektedir.

    • Pri. – Alarmın önceliğini belirtmektedir.

    • Signature – Alarm imzasını, diğer bir deyişle alarm türünü belirtmektedir.

    • Timestamp – Alarma neden olan paketin oluştuğu anı belirtmektedir.

    • Source IP – Genelde saldırganın IP adresini belirtmekte olup, aslında alarma neden olan ağ paketindeki kaynak IP adresi bilgisidir.

    • Source Port – Saldrının geldiği bilgisayarda saldırı amaçlı kullanılan kaynak kapı numarası.

    • Dest. IP – Genelde kurbanın IP adresini belirtmekte olup, aslında alarma neden olan ağ paketindeki hedef IP adresi bilgisir.

    • Dest. Port – Saldırının hedef aldığı bilgisayarda saldırı amaçlı kullanılan hedef kapı numarası.

    • Proto – Saldırının hangi IP protokolü ile gerçekleştirildiği bilgisi.

    Güncel Alarm İstatistikleri


    Ana ekranda en altta yer alan “Snapshots” bağına tıklandığında aşağıdaki ekran görüntülenecektir.

    Bu ekranda güncel alarm istatistikleri sunulmaktadır. İstatistikleri oluşturan özet bilgilerin ayrıntılarına ulaşmak için üzerlerine tıklamak gerekmektedir.

    Mavi yazıların üstlerine tıklanılarak tıklanılan yazıda belirtilmiş kriterlere göre


    • En yeni 10 alarm, en yeni 10 TCP protokolü alarmı, en yeni 10 UDP protokolü alarmları, en yeni 10 ICMP protokolü alarmlarına ulaşılabilir.

    • Bugüne ilişkin alarmları oluşturan saldırı imzalarının tekil ve liste olarak özet bilgi alınabilir.

    • Son 24 saate ilişkin alarmları oluşturan saldırı imzalarının tekil ve liste olarak özet bilgi alınabilir.

    • Son 72 saate ilişkin alarmları oluşturan saldırı imzalarının tekil ve liste olarak özet bilgi alınabilir.

    • En yeni 10 tekil alarmı oluşturan saldırı imzalarının tekil özet bilgisi alınabilir.

    • En yeni 10 alarmı oluşturan ağ trafiğinin kullandığı kaynak ve hedef TCP ve UDP kapılarının neler olduğuna ilişkin bilgi alınabilir.

    • En sık 5 alarmı oluşturan ağ trafiğinin kullandığı kaynak ve hedef kapılar ile bunlara ilişkin kaynak ve hedef IP adresleri bilgisi alınabilir.

    Alarm Arama


    ARES-Console kullanıcı arayüzünün en üstündeki alanda yer alan gezinme çubuğundaki “Search” bağına tıklanarak sorgu ekranına geçilebilmektedir.

    Sorgu ekranında üç temel kritere göre arama yapılabilmektedir:



    • Meta Criteria – Alarm sınıflandırmasına göre arama yapılabilmektedir. Meta kriterleri kullanarak saldırı hakkındaki üst seviye bilgiler (saldırının adı, sınıfı) sorgulanabilir.

      • Aranacak olan alarmların alarm tipi ve sınıfı seçilebilir.

      • Aranacak olan alarmın kaynağı olan alarmı üreten algılayıcı seçilebilir.

      • Aranacak olan alarmın üretildiği zaman aralığı belirtilebilir.

    • IP Criteria – Ağ protokolü seviyesindeki içeriğe (protokol tipi, sınıfı, protokol seçenekleri) göre arama yapılabilmektedir.

      • Protokol ve protokol seçeneklerine göre arama yapılabilir.

      • Kaynak ve hedef IP’ler, kaynak ve hedef kapılara göre arama yapılabilir.

    • Payload Criteria – Ağ paketlerindeki veriye göre arama yapılabilmektedir.

      • Ağ paketlerinin (IP kriterindekinin tersine) kullanıcı seviyesi içeriğine göre alarm araması yapılmasını sağlar.

    Aramayı başlatmak için “Query” düğmesine tıklanır. Arama sonucu aşağıdaki biçimde görüntülenecektir.

    Yukarıdaki arama sonucunda görünen bilgiler şu şekildedir:



    • ID – Alarm tanımlayıcısıdır. İlk sayı ekrandaki sıra numarasını göstermektedir. Parantez içinde kalan soldaki ilk sayı alarmın hangi algılayıcıdan geldiğini, sağda kalan sayı ise alarmın o algılayıcı içindeki sıra numarasını belirtmektedir.

    • Pri. – Alarmın önceliğini belirtmektedir.

    • Signature – Alarm imzasını, diğer bir deyişle alarm türünü belirtmektedir.

    • Timestamp – Alarma neden olan paketin oluştuğu anı belirtmektedir.

    • Source IP – Genelde saldırganın IP adresini belirtmekte olup, aslında alarma neden olan ağ paketindeki kaynak IP adresi bilgisidir.

    • Source Port – Saldrının geldiği bilgisayarda saldırı amaçlı kullanılan kaynak kapı numarası.

    • Dest. IP – Genelde kurbanın IP adresini belirtmekte olup, aslında alarma neden olan ağ paketindeki hedef IP adresi bilgisir.

    • Dest. Port – Saldırının hedef aldığı bilgisayarda saldırı amaçlı kullanılan hedef kapı numarası.

    • Proto – Saldırının hangi IP protokolü ile gerçekleştirildiği bilgisi.

    Arama sonucunda çok fazla bilgi gelebilir. Bu nedenle alarmların daha rahat yönetilebilmesi için belirli bir sayıda alarm bir sayfada görüntülenmektedir. Diğer sayfalara ulaşmak için ise en altta yer alan çekmeli listeden ilgili sayfa numarası seçilebilir.

    Alarm İnceleme


    Alarm listesindeki “alarm kimliği” değerlerinden birine tıklanılmasıyla alarm inceleme ekranına geçilebilir. Bu ekranda alarma neden olan ağ paketinin her türlü ayrıntısı yakından incelenebilmektedir.

    Ayrıntılı alarm bilgisinde, alarmı oluşturan ağ paketlerinin içeriği okunabilir bir şekilde gösterilmektedir:



    • Alarm tanımlayıcısı, öncelik, alarmın üretildiği an, alarmı tanımlayan saldırı imzası, algılayıcı adı, algılayıcının algılama ağ arayüzü, algılayıcıda kullanılan filtre ifadesi gibi bilgiler “Meta” alanından incelenebilir.

    • Kaynak IP adresi, hedef IP adresi, IP protokolü sürüm numarası, IP başlığının octet boyu, IP hizmetinin türü (ing. Type Of Service), IP paketinin boyu, IP paketinin tanımlayıcısı, IP bayrakları, offset değeri, TTL değeri, doğrulama özeti (ing. Checksum), kaynak ve hedef IP adreslerine ilişkin DNS adları ve son olarak varsa IP seçenekleri alarmın ayrıntılarına ilişkin IP bölümünden öğrenilebilir.

    • TCP seviyesi protokol bilgileri

    Kaynak kapısı, hedef kapısı, TCP bayrakları, paket sıra numarası (ing. sequence), geri bildirim sıra numarası (ing. acknowledge), offset, res, pencere numarası, urp, doğrulama özeti (ing. Checksum) ve varsa TCP seçeneklerine ulaşılabilir.

    • UDP seviyesi protokol bilgileri

    Kaynak kapı, hedef kapı, UDP büyüklüğü ile doğrulama özeti (ing. Checksum) bilgilerine ulaşılabilir.

    • ICMP seviyesi protokol bilgileri

    ICMP türü, ICMP kodu, doğrulama özeti (ing. Checksum), paket tanımlayıcısı ve sıra numarası (ing. sequence) bilgilerine ulaşılabilir.

    • Ağ paketindeki uygulama-seviyesi verisi. TCP; UDP veya ICMP ile taşınan verinin ayrıntıları onaltılık sayısal düzende ve okunabilir ASCII karakterleri ile gösterilmektedir.

    Yukarıdaki alarm ayrıntılarında TCP protokolü örneklenmiştir.



    Yukarıdaki alarm ayrıntılarında UDP protokolü örneklenmiştir.



    Yukarıdaki alarm ayrıntılarında ICMP protokolü örneklenmiştir.


    IP Bazında Rapor


    IP adresine ilişkin rapor almak için herhangi bir ekranda karşılaşılan IP adresi üzerine tıklamak gerekmektedir. Tıklanan IP adresine ilişkin aşağıdaki gibi kısa bir özet rapor görüntülenecektir.

    Yukarıdaki raporda yer alan bilgiler şu şekildedir: “Sensor #” kolonunda kaç adet algılayıcıda bu IP adresinin algılandığı sayısı, “Occur as Src” kolonunda bu IP adresinin kaynak IP adresi olarak görülme sayısı, “Occur as Dst” kolonunda bu IP adresinin hedef IP adresi olarak görülme sayısı, “First” kolonunda bu IP adresinin ilk kez görüldüğü an, “Last” kolonunda ise bu IP adresinin en son görüldüğü an bilgileri bulunmaktadır.

    Yukarıdaki IP adresi raporunda yer alan “DNS” bağına tıklanarak IP adresine ait ters DNS kaydı aranabilir, böylelikle IP adresine karşılık gelen ad öğrenilebilir. Birçok durumda IP adresine ait bir ad bulunmayabilir. Bu durumda, IP bloğunun sahibi ARIN (American Registry for Internet Numbers), RIPE (Réseaux IP Européans) ve APNIC (Asia-Pacific Network Information Centre) üzerinden sorgulanabilir. “SamSpade” linki kullanılarak ters DNS, IP bloğu sahibi ve SamSpade sitesinden belirtilen adrese traceroute kaydı alınabilir.

    IP adresi raporunda yer alan “Occur as Src” veya “Occur as Dst” kolonlarında yer alan sayılara tıklandığında ise o sayıları meydana getiren alarmlar aşağıdaki gibi listelenecektir. Eğer “Occur as Src” ye tıklanmışsa önceki raporda belirtilmiş olan IP adresi alarm listesinde her zaman kaynak olarak görünecektir, yok eğer “Occur as Dst”ye tıklanmışsa önceki raporda belirtilmiş olan IP adresi alarm listesinde her zaman hedef olarak görünecektir.



    Yukarıdaki alarm listesinde yer alan alarmların TCP veya UDP olanların kapı (ing. port) numaralarına tıklandığında aşağıdaki gibi Internet Ports Database veritabanında sorgulanacaktır. İlgili portun tam olarak hangi hizmete ait olduğu buradan öğrenilebilmektedir.




    Veritabanı İstatistikleri


    Ana ekranın en altındaki bağlardan “DB Stats” bağına tıklanarak veritabanı istatistiklerine ulaşılmaktadır.

    Veritabanı istatistikleri sayfasından aşağıdaki bilgilere erişilebilmektedir:



    • Veritabanına özel özellikler bilgisi

    • Veritabanında tanımlı algılayıcı sayısı

    • Veritabanındaki tekil alarm sayısı ve alarm sınıfları sayısı

    • Veritabanındaki tekil IP adresleri ve kapılar

    Veritabanı istatistikleri ekranındaki sayıların hemen hemen hepsi tıklanabilir özelliktedir ve tıklandıklarında ilgili oldukları ekranlara giderek ayrıntılandırılabilmektedir.

    Algılayıcı İstatistikleri


    Ana ekranın sağ altta yer alan “Sensor #” alanının hemen yanındaki sayıya veya veritabanı istatistikleri ekranındaki “Sensor #” alanının hemen yanındaki sayıya tıklanarak algılayıcı istatistiklerini sunan aşağıdaki ekrana ulaşılabilmektedir.

    Algılayıcı istatistikleri özet olarak aşağıdaki bilgileri sunmaktadır.



    • İlgili algılayıcının ürettiği alarm sayısı “Total Event” kolonunda gözlenebilmektedir.

    • Kaynak ve hedef IP adresi sayısı “Src IP” ve “Dst IP” kolonlarında gözlenebilmektedir.

    • İlgili algılayıcıda gözlenen alarm çeşidi sayısı “Signatures” kolonlarında gözlenmektedir.



    Bölüm

    6



    Alarm Silme

    ARES-Console ile toplanmış olan alarmların silinmesi bu ünitede özetlenmektedir.

    Tanımlı tüm algılayıcılar yaptıkları incelemeler sonucunda sürekli olarak alarm üretmekte ve ARES-Console veritabanına girmektedirler. Alarma neden olan durum yapılan kapsamlı alarm incelemesi ile tespit edilip ortadan kaldırıldıktan sonra ARES-Console veritabanının yükünü azaltmak için mevcut alarmlar isteğe bağlı olarak silinebilir. Zaman içinde oluşacak olan binlerce / milyonlarca alarm arasında boğulmamak ve ARES-Console’un daha etkin kullanılabilmesi için incelenmiş olan alarmların silinmesi önerilmektedir.

    Alarm silmeye başlamak için ARES-Console kullanıcı arayüzünün en üstündeki dolaşım bağlarından “Delete” bağına tıklamak gerekmektedir.



    Alarm silme ekranı yukarıdaki gibidir. Buradan silinmek istenen alarmların geldiği algılayıcıya göre, alarm imzasında göre, kaynak IP adresine göre, hedef IP adresine göre veya IP protokolü içinde taşınan protokolün türüne göre silinecek olan alarmlar belirlenmektedir. Birden fazla alana bilgi girilir / seçilirse bu durumda bu bilgilerin her birine aynı anda uyan alarmlar silinmek üzere belirlenmiş olacaktır. Silinecek olan alarmlar belirtildikten sonra “Delete Alerts” düğmesine tıklanmalıdır. Bu aşamada silinecek olan alarmların sayısı ve silme onayı ekranı aşağıdaki gibi görüntülenecektir.



    Görüntülen bilgiler doğrultusunda belirlenmiş olan alarmların silinmesini onaylamak ve silme işlemini başlatmak için “Delete Matches” düğmesine tıklanmalıdır. Silme işleminin süresi, silinecek olan alarm sayısına bağlı olarak değişiklik göstermektedir. Silme işlemi tamamlandıktan sonra aşağıdaki gibi bir ekran durumu operatöre bildirmektedir.



    Yukarıdaki ekranda, önceki ekranlarda belirlenmiş olan kriterlere uygun alarmların silindiği gösterilmektedir.



    Bölüm

    7



    Karşı Eylem Tanımlama

    ARES-Console ile anlık olarak gelen alarmlardan belirtilmiş kriterlere uyanlara özel olarak karşı eylem oluşturulabilmektedir.

    Anlık olarak gelen alarmlar ARES-Console tarafından otomatik tanımlı karşı eylem kriterlerine uygun olup olmadıkları ile ilgili olarak incelenmektedir. Tanımlı karşı eylem kriterlerine uyan herhangi bir alarm ile karşılaşıldığında elektronik posta, SMS, Windows POPUP penceresi ile sistem yöneticisini uyarabilmekte. Arzu edilirse sistem yöneticisinin hazırlamış olduğu betik ve programlar çalıştırılabilmektedir. Bu şekilde karşılaşılan alarm ile ilgili olarak karşı eylem gerçekleştirilebilmekte ve alarma neden olan beklenmedik durum hakkında bilgi sahibi olunabilmekte veya beklenmedik durum bertaraf edilebilmektedir.

    Karşı eylem tanımlama ekranına ARES-Console kullanıcı arayüzünün en üstünde yer alan dolaşım bağlarından “Action Setup” bağına tıklanarak ulaşılabilmektedir. Karşı Eylem ekranı aşağıdaki gibidir.



    Yukarıdaki ekranda “Action Name” alanına oluşturulmakta olan karşı eyleme bir isim verilmelidir.

    “Description” alanına oluşturulmakta olan karşı eylemin ne olduğunun kolayca hatırlanabilmesi için yönetici açıklaması girilebilir.

    “Script to Execute” çekmeli listesinden önceden hazırlanmış olan E-Posta gönderme, SMS gönderme, Windows POPUP gönderme seçilebilir veya sunucuya önceden yüklenmiş başka bir bir betiğin / programın çalıştırılması için tam yolu yanındaki kutuya girilebilir.

    “Destination” alanına “Script to Execute” alanında seçilmiş olan betiğe uygun biçimde hedefler belirtilmelidir.


    • Send E-Mail: boşluk ile birbirinden ayrılmış bir veya daha fazla elektronik posta adresi.

    • Send SMS: boşluk ile birbirinden ayrılmış bir veya daha fazla cep telefonu numarası.

    Not

    SMS göneriminin çalışması için bilgisayarın seri portuna takılabilen bir cep telefonu ile seri kablosu temin edilmelidir. AT komut kümesini destekleyen tüm cep telefonları uyumludur. Pro-G SMS testlerini Nokia 3310 marka ve modelindeki cep telefonu ile yapmıştır..



    • Send WinPOPUP: boşluk ile birbirinden ayrılmış bir veya daha fazla Windows NT türü işletim sistemi koşturan bilgisayar adı.

    Not

    Windows POPUP gönderiminde hedef bilgisayar adları yazılırken önüne “\\” konulmamalı sadece bilgisayarın adı yazılmalıdır.

    Hedef bilgisayar sistemleri üzerinde Messenger hizmeti çalışır ve ulaşılabilir durumda olmalıdır.

    “Message Prefix” iletilecek olan iletinin ön ekidir.

    “Message Suffix” iletilecek olan iletinin art ekidir.

    “Sensor” alanından alarmın geldiği algılayıcı seçilmelidir.

    “Source IP Addr & Port” alarma neden olan ağ paketinin kaynak IP adresi ve kapısı. Boş bırakılırsa bu bilgi dikkate alınmaz, diğer kriterlere uygunluk denetimi yapılır.

    “Destination IP Addr & Port” alarma neden olan ağ paketinin hedef IP adresi ve kapısı. Boş bırakılırsa bu bilgi dikkate alınmaz, diğer kriterlere uygunluk denetimi yapılır.

    “IP Protocol” alanındaki çekmeli listeden alarma neden olan ağ paketinin taşıdığı protokol türü seçilebilir. Boş bırakılırsa bu bilgi dikkate alınmaz, diğer kriterlere uygunluk denetimi yapılır.

    “Priority” alanındaki metin kutusuna alarm imzasının öncelik değeri girilebilir. Boş bırakılırsa bu bilgi dikkate alınmaz, diğer kriterlere uygunluk denetimi yapılır.

    “Enable” alanındaki işaret kutusu tanımı yapılan karşı eylemin etkin olup olmadığını belirtmektedir. Tanımlanan eylemin gerçekleştirilmesi için muhakkak işaretli olmalıdır.

    Tanımı yapılan karşı eylemi kaydetmek için “Save Action Definition” düğmesine tıklanmalıdır. Eğer yeni bir karşı eylem ekleme yapıldıysa alttaki listeye eklenmektedir, var olan bir kaşı eylemi düzenleme şeklinde ise alttaki listedeki bilgiler de güncellenecektir.



    Yukarıdaki karşı eylem tanımlama ekranında SMS gönderimi için hedef belirtme örneklenmiştir.



    Bölüm

    8



    Kullanıcı Tercihleri

    Bu ünitede ARES-Console’un kullanımında kişisel tercihlerin değiştirilmesi anlatılmaktadır.

    ARES-Console kullanıcı arayüzünde bir sayfada gösterilen kayıt sayısı, arayüz dili, izlenmek istenen alarm önceliği gibi değerler kullanıcı tercihine bağlı olarak değiştirilebilmektedir. Bunun için ARES-Console arayüzünün en üst bölümünde yer alan gezinme bağlarından “Preferences” bağına tıklanarak ulaşılabilmektedir. “Preferences” bağına tıklandığında aşağıdaki ekran ile karşılaşılmaktadır.

    Yukarıdaki ekranda yer alan bilgi alanları aşağıdaki gibidir:



    • Real Time Monitor Rows: Gerçek zamanlı izleme ekranında görüntülenecek olan alarm sayısı.

    • Search Result Rows: Arama sonucunda sayfa başına görüntülenecek olan satır sayısı.

    • Show Greater Priority Than: Arama sonucunda gösterilen alarmların burada belirtilen öncelik değerinden daha yüksek olmasını sağlar. Operatör burada belirtilmiş olan değerden daha düşük öncelikli alarmları görmez.

    • User Language: Kullanıcı dili. ARES-Console arayüzünün dilini değiştirmeye yarar.






        Ana sayfa


    Pro-g bilişim güvenliği ve araştirma ltd

    Indir 126.15 Kb.