CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Ağ Analizine Giriş: Gerçek Dünya Trafik Bileşenlerini Keşfedin

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Siber güvenlik bağlamında ağ analizi temel bileşenlerini öğrenin. Gerçek dünya trafik kayıtlarıyla ağ güvenliğinizi artırın.

Ağ Analizine Giriş: Gerçek Dünya Trafik Bileşenlerini Keşfedin

Ağ analizi, siber güvenlikte kritik bir rol oynar. Bu yazıda, gerçek dünya trafik bileşenlerini ve ağ analizinin temel adımlarını keşfedeceksiniz.

Giriş ve Konumlandırma

Ağ analizi, günümüzün karmaşık dijital ortamlarında kritik bir rol oynamaktadır. İnternet üzerinden gerçekleşen her türlü iletişim, veri paketleri halinde iletilmekte ve bu paketlerin analizi, siber güvenlik tehlikelerinin tespitinde ve önlenmesinde önemli bir adım olarak ortaya çıkmaktadır. Ağ analizi, bir organizasyonun ağ trafiğini izlemek, analiz etmek ve anlamak adına kullanılan bir süreçtir. Bu süreç, hem saldırganların davranışlarını betimlemekte hem de mevcut siber savunma stratejilerini geliştirmekte önemli bir araçtır.

Neden Ağ Analizi Önemlidir?

Ağ analizi, birçok açıdan siber güvenlik açısından öneme sahiptir. İlk olarak, kötü niyetli aktivitelerin tespitinde vazgeçilmez bir süreçtir. Güvenlik Operasyonları Merkezi (SOC) gibi organizasyonlar, ağ trafiğini sürekli olarak analiz ederek potansiyel tehditleri belirlemekte ve savunma tedbirlerini almakta hayati bir rol üstlenir. Dolayısıyla, bir güvenlik ihlali yaşandığında, ağ analizi, olayın boyutunu anlamak ve gerekli müdahaleleri yapmak için kritik derecede önemlidir.

Ayrıca, ağ analizi gerçekleştirilirken gerçek dünya trafik bileşenlerine odaklanmak, elde edilen bulguların hem Tehdit İstihbaratı (CTI) ile zenginleştirilmesine hem de saldırılara karşı daha etkili stratejilerin geliştirilebilmesine olanak tanır. Gerçek trafik kayıtları, simülasyonlardan daha fazla bilgi sunarak analistlerin daha isabetli sonuçlar almalarını sağlar.

Siber Güvenlik, Pentest ve Savunma Bağlamında Ağ Analizi

Siber güvenlik ve pentest (penetrasyon testi) alanında ağ analizi, saldırganların potansiyel zayıf noktalarını tespit etmek için kullanılan ilk adımlardan biridir. PEN-test süreçlerinde analiz edilen trafik, zafiyetlere işaret eden ipuçları barındırır. Özellikle ağ paketlerinin başlık (header) kısmından sonra gelen ve asıl veriyi taşıyan bölümün incelenmesi, net bir perspektif sunar; bu bölüm, olası veritabanı saldırılarını veya hizmet redi (DoS) saldırılarını tanımlamada önemli bilgiler sağlar.

Ayrıca, savunma perspektifinden bakıldığında, ağ analizi, tehdit avcılığı (threat hunting) sürecinin bir parçasıdır. Ağda oluşan anormal protokol davranışları, güvenlik profesyonelleri tarafından analiz edilerek siber tehditlerin önlenmesine yönelik proaktif stratejilerin oluşturulmasına yardımcı olur. Örneğin, bir ağ yöneticisi, belirli bir IP adresinden gelen trafiğin anormal derecede yüksek olduğunu tespit edebilir ve bu durumu analiz etme gereksinimi doğar. Bu noktada, hem analistler hem de güvenlik uzmanları, doğru araçları ve teknikleri kullanarak durumu değerlendirmelidir.

Teknik İçeriğe Hazırlık

Ağ analizi ile ilgili daha detaylı bilgi edinmek için, temel ağ bileşenleri, trafik akış süreci, protokol analizi gibi konulara dair derinlemesine bilgi sahibi olmak gerekir. Örneğin, aşağıda bir ağ analizi sürecinin temel bileşenlerini sıralamaktadır:

1. Kaynak IP Adresi (Source IP): Trafiği başlatan adres.
2. Hedef IP Adresi (Destination IP): Trafiğin yönlendirdiği adres.
3. Port: İletişimin sağlandığı mantıksal kapı.
4. Protokoller: İletim yöntemleri (TCP, UDP vb.).

Bu bileşenlerin etkili bir şekilde analiz edilmesi, ağ güvenliği stratejilerinin oluşturulmasında büyük önem taşımaktadır. Ayrıca, Wireshark, Tshark ve Zeek gibi araçlar, ağ trafiğini analiz etmek ve sorunları tespit etmek için sıklıkla kullanılmaktadır. Bu araçlar, analistlerin karmaşık ağ trafiğini anlamalarına yardımcı olurlar.

Bu nedenle, bu blog serisinin ilerleyen bölümlerinde, gerçek trafik kayıtlarının incelenmesi, analiz araçlarının kullanımı ve ilgili diğer konular hakkında detaylı bilgiler sunulacaktır. Amacımız, okuyucularımızı ağ analizi konusunda yeterli bilgi ile donatarak, siber güvenlikte daha etkili ve bilinçli bir yaklaşım geliştirmelerine yardımcı olmaktır.

Teknik Analiz ve Uygulama

Ağ analizi, siber güvenlikte temel bir bileşeni oluşturur. Gerçek dünya trafik bileşenlerini anlamak ve analiz etmek, ağ güvenliğini sağlamak için oldukça kritiktir. Bu bölümde, ağ analizi süreçlerini ve bu süreçte kullanılabilecek teknik araçları inceleyeceğiz. Özellikle, Güvenlik Operasyonları Merkezi (SOC) bağlamında nasıl bir yaklaşım sergileriz ve hangi araçların bu süreçte faydalı olduğunu göreceğiz.

SOC ve Blue Team İlişkisi

Güvenlik Operasyonları Merkezi (SOC), siber güvenlik alanında kritik bir rol üstlenir. SOC, ağ trafiğini aktif bir şekilde analiz eden ve bu verileri güvenlik açıklarını tespit etmek için kullanan bir operasyondur. Blue Team, SOC’un bir parçası olarak, ağ trafiğini izlerken potansiyel tehditleri belirlemek ve karşı önlemler almakla sorumludur. Blue Team üyeleri, genellikle gerçek trafik kayıtları üzerinden analiz yapmalıdır; simülasyonlar, gerçek zamanlı verilerin sağladığı içgörüleri sağlamada yetersiz kalır.

Gerçek Trafik Kayıtları

Ağ analizi için gerçek trafik kayıtları kritik önem taşır. Bu kayıtlar, ağ üzerindeki gerçek verilerin döngüsünü yansıtır. Pcap (Packet Capture) dosyaları, ağ trafiğini yakalamak ve analiz etmek için yaygın olarak kullanılır. Pcap formatındaki dosyalar, ağ paketlerinin içeriklerini detaylı bir biçimde incelemeye olanak tanır.

Aşağıda basit bir Pcap dosyası örneği oluşturma ve inceleme sürecini gösteren bir komut yer alıyor:

tshark -r captured_traffic.pcap -Y "http" -T fields -e http.host -e http.request.uri

Bu komut, yakalanan trafiğin içinden sadece HTTP isteği yapan host ve URI bilgilerini çıkararak kullanıcıya sunar.

Trafik Akış Süreci ve Paket İçeriği

Ağ paketlerinin yapısını anlamak, analiz sürecinin kritik bir bileşenidir. Her paket, başlık (header) ve yük (payload) olmak üzere iki ana bileşenden oluşur. Başlık kısmında, kaynak IP adresi, hedef IP adresi ve port numarası gibi bilgiler bulunur. Yük kısmı ise, asıl veriyi taşıyan alandır.

Aşağıda bir ağ paketinin başlık ve yük bölümlerini gösteren basit bir örnek bulunmaktadır:

Packet:
  Src IP: 192.168.1.10
  Dst IP: 192.168.1.20
  Src Port: 54321
  Dst Port: 80
  Protocol: TCP
  Payload: "GET /index.html HTTP/1.1"

Gerçek dünya trafik bileşenlerinin görevlerini eşleştirmek, ağ analizinde önemlidir. Kaynak IP, trafiği başlatan adresi; hedef IP, trafiğin yönlendirildiği adresi temsil eder. Port numaraları, mantıksal kapıları belirtir ve iletişimin sağlandığı noktalardır.

Protokol Analizi ve Veri Zenginleştirme

Ağ analizi sırasında, protokol davranışını anlamak kritik öneme sahiptir. TCP, UDP, HTTP gibi protokoller, her biri farklı iletişim yöntemleri ve veri yapıları ile tanımlanır. Analistler, protokol anomalilerini Pcap dosyaları üzerinden inceleyerek anormal davranışları belirler. Bunun için Wireshark ve Tshark gibi araçlar kullanılabilir.

Örneğin, aşağıdaki komut, tcp protokolü üzerinden belirli bir IP adresine giden trafiği filtrelemek için kullanılabilir:

tshark -r captured_traffic.pcap -Y "ip.dst == 192.168.1.20 && tcp"

Ayrıca, ağ trafiğinden elde edilen bulgular, Tehdit İstihbaratı (CTI) ile zenginleştirilmelidir. Bu, analiz sürecinde daha anlamlı ve derinlemesine bilgi edinmeye imkan tanır.

Analiz Araçları ve Hedef Odaklı Analiz

Ağ analizinde kullanılan araçların belirlenmesi, hangi tür verilerin inceleneceğini tayin etmek açısından önemlidir. Wireshark, grafik arayüze sahip detaylı bir paket analiz aracıdır. Tshark ise komut satırı tabanlı hızlı Pcap filtreleme için kullanılır. Zeek, ağ trafiğinden meta veri ve bağlantı loglama konusunda etkili bir araçtır. Bu araçlar, analistlerin ağ üzerindeki aktiviteleri daha iyi izlemelerine yardımcı olur.

Operasyonel Yaklaşım

Son olarak, ağ analizinde doğru bir operasyonel yaklaşım benimsemek, etkinliği artırır. Tehdit avcılığında trafik filtreleme mantığı, belirli örüntülerin ve anomali davranışlarının tespitini kolaylaştırır. Bunun için net bir tanım yapılmalı ve analiz süreci için gerekli olan trafik filtreleme ölçütleri belirlenmelidir. Kapsamlı bir analiz, yalnızca trafiğin anlaşılmasına değil, aynı zamanda güvenlik önlemlerinin uygulanmasına da daha etkili bir katkı sağlar.

Ağ analizi, karmaşık ve dikkat isteyen bir süreçtir. Ancak doğru araçlar ve yaklaşımlarla, siber güvenlik alanındaki tehditleri yönetmek mümkündür. Analisti bir adım ileriye taşıyan bu bilgiler, ağ güvenliğinin sağlanmasında hayati bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Güvenlik Anlamında Elde Edilen Bulguların Yorumlanması

Ağ analizi, siber güvenlikte kritik bir rol üstlenir. Elde edilen veriler, potansiyel ağ güvenliği açıklarının ve yapılandırma hatalarının tespitinde yardımcı olur. Ağ trafiği analizi sonucunda elde edilen bulgulara örnek vermek gerekirse; belirli bir IP adresinden gelen aşırı sayıda istek, bir DoS (Denial of Service) saldırısının ya da bir veri sızdırma girişiminin habercisi olabilir. Bu tür anormallikler, doğru yorumlamalar ile tehditlerin belirlenmesine yardımcı olur.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırma, siber güvenlik zafiyetlerinin başlıca sebeplerindendir. Aşağıda bu tür zafiyetlerin sıkça rastlanan örnekleri yer alır:

  • Açık Portlar: Kullanılmayan portların açık bırakılması, kötü niyetli saldırganlar için bir kapı açar. Bu portların kapatılması veya filtrelenmesi gereklidir.
  • Yanlış Erişim Kontrolleri: Yetkilendirme ve kimlik doğrulama mekanizmalarının yeterince sağlam olmaması, yetkisiz kullanıcıların sisteme girmesine neden olabilir.

Yapılandırma hatalarını tespit etmek için ağ trafiği analizi yaparken, özellikle hata mesajları ve bağlantı reddetme durumlarının kontrol edilmesi önemlidir. Bu noktada, güvenlik duvarı (firewall) kurallarının ve erişim listelerinin düzenli olarak gözden geçirilmesi önerilir.

Sızan Veri ve Topoloji Tespiti

Ağ analizinin bir diğer önemli yönü, sızan verilerin tespiti ve bu verilerin hangi bileşenlerde toplandığıdır. Aşağıda bazı noktalar sıralanmıştır:

  • Sızan Veri: Ağ trafiğinde şifrelenmemiş hassas bilgiler tespit edilirse, bu durum veri sızıntısının işareti olabilir. Bu tip bilgilerin analizi, veri kaybını önlemek açısından son derece önemlidir.
Örnek:
Eğer bir ağ trafiği analizi sonucunda şifrelenmemiş bir kullanıcı adı ve parola çifti tespit ediliyorsa, bu bir açık olarak yorumlanmalıdır. Bu durumda, ilgili servisin derhal güvenli bir şekilde yapılandırılması gerekiyor.
  • Topoloji: Ağın genel yapısı, kullanıcıların ve hizmetlerin birbirleriyle olan bağlantıları hakkında bilgi verir. Yanlış yapılandırılmış bir ağ topolojisi, veri paketlerinin yanlış yönlendirilmesine neden olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliğini artırmak için aşağıdaki öneriler dikkate alınmalıdır:

  1. Ağ Haritalama: Ağ bileşenlerini ve cihazları haritalamak, yetkilendirilmemiş erişimlerin tespit edilmesine yardımcı olur.
# Ağ topolojisini belirlemek için Nmap komutu
nmap -sP 192.168.1.0/24

  1. Erişim Kontrol Listeleri (ACL): Kullanıcı erişim düzeylerini ve yetkilerini belirleyerek, sadece yetkilendirilmiş kullanıcıların ağ kaynaklarına erişimini sağlamak önemlidir.

  2. Güvenlik Duvarı Yapılandırması: Trafiği kontrol etmek ve zararlı istekleri engellemek için güvenlik duvarı ayarlarının düzenli aralıklarla gözden geçirilmesi gerekir.

  3. Güncellemeler ve Yamanın Uygulanması: Güvenlik zafiyetlerini kapatmak amacıyla, sistem ve uygulama güncellemelerinin ihmal edilmemesi kritik öneme sahiptir.

Sonuç

Ağ analizi, tespit edilen tehditleri ve zafiyetleri değerlendirmek için kritik bir süreçtir. Yanlış yapılandırmaların mevcut olduğu veya veri sızıntısının tespit edildiği durumlar, hızla ele alınmalı ve gerekli önlemler alınmalıdır. Ağ güvenliği sağlam bir yapı üzerine inşa edilmelidir; bu nedenle sürekli izleme ve güncelleme gereklidir. Güvenlik İnci uygulamalarının yanı sıra, ağ üzerindeki trafiklerin anlaşılması ve yorumlanması, siber saldırılara karşı etkin bir savunma mekanizması oluşturur.