CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Ağ Görünürlüğü: Proxy ve Web Filtreleme Loglarının Derinlemesine İncelenmesi

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Proxy sunucuları ve web filtreleme logları ile ağ güvenliğini artırmayı öğrenin. Analiz teknikleriyle siber tehditleri etkili bir şekilde tespit edin.

Ağ Görünürlüğü: Proxy ve Web Filtreleme Loglarının Derinlemesine İncelenmesi

Bu blog yazısında, proxy sunucularının nasıl çalıştığını, web filtreleme loglarının analizini ve siber tehditlerin nasıl tespit edileceğini detaylı olarak inceliyoruz. Ağ görünürlüğünüzü artırmak için gerekli adımları öğrenin.

Giriş ve Konumlandırma

Siber güvenlik dünyasında "ağ görünürlüğü" kavramı, kurumsal güvenlik mimarilerinin en kritik bileşenlerinden biridir. Özellikle proxy ve web filtreleme logları, bu görünürlüğü sağlayan unsurlar arasında önemli bir yer tutar. Kullanıcıların ağa erişim biçimleri ve bu erişimin detaylarının incelenmesi, hem ağ güvenliğini artırmak hem de olası tehditlerin tespit edilmesi için hayati öneme sahiptir. Bu yazıda, proxy ve web filtreleme loglarının derinlemesine analizi yapılacak; bu logların ne tür bilgileri barındırdığı ve siber güvenlik, pentest (penetrasyon testi) ve savunma perspektifinden nasıl bir değer taşıdığı ele alınacaktır.

Proxy Sunucu ve Web Filtreleme

Ağ güvenliği çerçevesinde, proxy sunucuları (vekil sunucular), iç ağ ile dış dünya arasındaki iletişimi yönlendiren fundamental bileşenlerdir. Kullanıcıların internete erişim talepleri, genellikle önce bir proxy sunusuna yönlendirilir. Bu sunucu, kullanıcının isteğini değerlendirip, uygunsa hedef web sitesine erişim sağlar. Proxy, yalnızca trafiği yönlendirmekle kalmaz; aynı zamanda, isteği inceleyerek kötü amaçlı yazılımlara veya yasaklı içeriklere karşı bir filtrelemeden geçirilmesini sağlar. Bu anlamda, bir proxy sunucusu, güvenlik duvarları ile birlikte çalışarak ağın görünürlüğünü artırır ve güvenlik analistlerinin potansiyel tehditleri tespit etmesine olanak tanır.

Neden Önemli?

Thiniksel bakış açısına göre, sağlam bir ağ güvenliği stratejisi için görünürlük kritik öneme sahiptir. Proxy ve web filtreleme logları, siber güvenlik analistlerine, kullanıcı davranışlarını ve olası saldırı modellerini izleme fırsatı sunar. Analistler, bu logları incelediklerinde, yalnızca IP adresleri veya port numaralarını değil; aynı zamanda kullanıcıların hangi web sitelerine erişim sağladıklarını, bu sitelerin başarı oranlarını ve veri transferlerini detaylı bir şekilde gözlemleme imkanına sahip olurlar.

Örneğin, bir kullanıcı tarafından gerçekleştirilen ağ istekleri, "User-Agent" başlığı ile birlikte gelir. Bu başlık, isteği yapan uygulamanın kimliğini tanımlamak için kritik bir alandır. Eğer bir kullanıcı normalde kullandığı web tarayıcısı dışında bir araçla (örneğin PowerShell veya cURL) web erişimi sağlamaya çalışıyorsa, bu durum şüpheli bir anomali olarak değerlendirilebilir.

Siber Güvenlik ve Savunma Bağlamı

Siber güvenlik alanındaki bu görünürlük, penetration testing (pentest) faaliyetleri için de devrim niteliğinde bir katkı sağlar. Pentest faaliyetleri sırasında, bir sistemin güvenlik açıklarının test edilmesi amaçlanırken, proxy loglarının analizi bu sürecin ayrılmaz bir parçası haline gelir. Loglar, yapılabilecek olası saldırı yollarını aydınlatarak, güvenlik analistlerine hangi zafiyetlerin risk taşıdığını gösterir.

Aynı zamanda, bu logların analiz edilmesi, geçmişte gerçekleşen saldırıların izlerini sürmekte ve daha sağlam güvenlik politikaları geliştirmekte kullanılabilir. Örneğin, "beaconing" (sinyal gönderme) gibi zararlı yazılım aktivitelerini tespit etmek için kullanılan yöntemler, bir ağda gerçekleşen saldırıların erken tespitine olanak tanır.

Sonuç Olarak

Ağ görünürlüğü, proxy ve web filtreleme loglarının derinlemesine analizi ile sağlanan zengin veri akışı, siber güvenlik alanında başarılı bir savunma stratejisi geliştirmek için vazgeçilmezdir. Bu yazıda ele alınacak başlıklar, size logların niteliğini anlamanızda yardımcı olacak ve bu verilerden nasıl daha fazla faydalanabileceğiniz üzerine bir perspektif sunacak. Kullanıcıların internetle olan etkileşimlerinin anlaşılması, potansiyel tehditlerin vurgulanmasına ve bunların önlenmesine yönelik bilgi sağlamaktadır. Her bir log, yazılım geliştiricileri, ağ yöneticileri ve güvenlik analistleri için önemli bir eğitici kaynak görevi görmektedir.

Teknik Analiz ve Uygulama

Vekil Sunucu (Proxy) Mantığı

Kurumsal ağlarda, kullanıcıların bilgisayarları genellikle doğrudan internete erişim sağlamaz. Bunun yerine, internet istekleri, bir vekil sunucu (proxy) aracılığıyla gerçekleştirilir. Kullanıcı, belirli bir web sitesine erişmek istediğinde, isteği önce proxy sunucusuna yönlendirilir. Proxy sunucu, isteği değerlendirir, uygun görürse hedef siteye giderek kullanıcının yerine bağlantı kurar. Bu yapılandırma, ağ güvenliğini artırırken, kullanıcı etkinliklerini de daha iyi yönetme imkanı sunar.

Proxy sunucuları, gelen istekleri analiz ederek log kaydı oluşturur. Bu log kayıtları, ağ yöneticilerinin ve güvenlik analistlerinin trafik analizleri yapmasına olanak tanır. Proxy logları, kullanıcının hangi web sitelerini ziyaret ettiğini, başarıyla bağlanıp bağlanmadığını ve indirdiği veri miktarını içerir. Bu bilgiler, siber güvenlik tehditlerini tanımlamak için kritik öneme sahiptir.

Proxy Loglarının Anatomisi

Proxy logları, genellikle HTTP trafiğinin ayrıntılarını içeren birkaç ana bileşenden oluşur. Bu bileşenler arasında isteği yapan IP adresi, istek tarihi, istenen URL, HTTP yöntemleri ve durumu belirten kodlar bulunur. İşte bir örnek proxy log kaydı:

192.168.1.10 - - [01/Oct/2023:10:15:30 +0300] "GET http://example.com/index.html HTTP/1.1" 200 532

Bu log kaydında:

  • 192.168.1.10: İsteği yapan kullanıcı bilgisayarının IP adresi
  • [01/Oct/2023:10:15:30 +0300]: İsteğin yapıldığı tarih ve saat
  • "GET http://example.com/index.html HTTP/1.1": Yapılan istek ve HTTP yöntemi
  • 200: İsteğin başarılı olduğunu gösteren durum kodu
  • 532: İndirilen veri boyutu (bayt cinsinden)

Bu tür bilgiler, ağ trafiğini analiz etmek ve olası tehditleri belirlemek için büyük önem taşır.

Uygulama Kimliği: User-Agent Analizi

HTTP isteklerinde bulunan 'User-Agent' alanı, isteği yapan uygulamanın veya tarayıcının kimliğini gösterir. Örneğin, bir kullanıcı Chrome tarayıcısını kullanıyorsa, User-Agent alanında bu tarayıcıya ait bilgiler yer alır. Bazı durumlarda, zararlı yazılımlar kendilerini gizlemek için olağandışı User-Agent değerleri kullanabilir. Aşağıdaki örnek, yaygın bir User-Agent ifadesini göstermektedir:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.82 Safari/537.36

Zararlı yazılımlar, daha çok python-requests veya curl gibi standart dışı User-Agent değerleri kullanabilir. Bu tür anomaliler, bir güvenlik analisti için tehditleri tespit etmede yardımcı olur.

URL Kategorizasyonu ve Risk Yönetimi

Proxy sunucuları, URL adreslerini güvenlik firmalarının sağladığı veri tabanlarına göre kategorize ederek risk yönetimi sağlar. Bu kategoriler, kullanıcıların erişimini kontrol etmek ve kritik tehditleri tanımlamak için kullanılır. SOC analistleri, milyonlarca log kaydı yerine, bu kategorilere odaklanarak tehdit avcılığı yapabilir. Örneğin:

  • Malware / Phishing: Zararlı yazılım barındırdığı veya oltalama yaptığı bilinen siteler.
  • Uncategorized (Kategorize Edilmemiş): Yeni açılmış ve henüz sınıflandırılmamış yüksek riskli domainler.

Bu kategoriler, analistlerin riskli sitelere erişimi engelleyerek güvenlik politikalarını uygulamasını sağlar.

Zararlı Yazılım İletişimi: Beaconing

Zararlı yazılımlar, genellikle iç ağda varlık gösterdikten sonra, dış dünyada bulunan komuta kontrol (C2) sunucularıyla iletişim kurmak için belirli aralıklarla 'beaconing' (sinyal gönderme) aktiviteleri gerçekleştirir. Örneğin, bir zararlı yazılım, ağdan dışarıya her 5 dakikada bir küçük HTTP istekleri gönderebilir. Proxy loglarında bu durumu tespit etmek, belirli bir analiz gerektirir. Aşağıda, sık yapılan bir 'beaconing' örneği verilmiştir:

192.168.1.10 - - [01/Oct/2023:10:20:00 +0300] "GET http://malicious.com/checkin HTTP/1.1" 200 123

Bu tür aktiviteler, analistler için tehditleri işaret eden önemli nadirlikler arasında sayılır.

HTTP Durum Kodlarını (Status Codes) Okumak

HTTP durum kodları, gelen yanıtların başarılı olup olmadığını gösterir. Örneğin, 200 başarılı bir isteği belirtirken, 403 "Yasaklı" (Forbidden) anlamına gelir. Proxy üzerindeki isteklere ait durum kodları, kullanıcının hangi sitelere erişmeye çalıştığı hakkında bilgi veren önemli unsurlardır. Önceki log kaydında görülen 200 kodu, isteğin başarıyla gerçekleştirildiğini gösterirken, yasaklı bir siteye erişim sağlandığında 403 koduyla karşılaşılır.

Proxy Loglarındaki Şüpheli Anomaliler

Gerçek dünyada, SOC analistleri çoğunlukla bariz saldırılar yerine loglardaki anomalilere odaklanır. Bu anomaliler, güvenlik tehditlerinin ilk işaretleri olabilir. Örneğin, bir kullanıcının kurumsal ağdan, beklenmedik bir User-Agent ile sisteme giriş yapmaya çalışması, şüpheli bir durum olarak değerlendirilir. Diğer dikkat edilmesi gereken durumlar arasında, aynı hedefe periyodik istekler gönderen davranışlar ve rastgele büyük dosyalar içeren veri transferleri yer alır.

Bu tür analizler, siber güvenliğin sağlanmasında ve olası tehditlerin önlenmesinde kritik bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Bir ağ güvenliği analisti olarak, proxy ve web filtreleme loglarını analiz etmek, ağınızdaki potansiyel güvenlik risklerini belirlemenize ve bu risklere karşı uygun savunma mekanizmaları geliştirmenize olanak tanır. Proxy logları, doğru yorumlandığında ağdaki anormallikleri ve sızan verileri tespit etmede kritiktir. Ancak, bu logların yanlış yapılandırılması veya yanlış yorumlanması durumunda ciddi güvenlik açıkları oluşabilir.

Proxy Loglarının Önemine Göre Risk Değerlendirmesi

Proxy logları, kullanıcının hangi web sitelerine erişim sağlanmaya çalıştığını ve bu isteklerin durumunu (başarılı ya da başarısız) geniş bir perspektiften sunar. Yanlış yapılandırılmış bir proxy, kullanıcılara erişimi yasaklanan web sitelerine gidiş yolunu açabilir veya kritik verilere sızılma olasılığını artırabilir. Örneğin, bir zararlı yazılımın sistemde sızmaya çalıştığını veya harici bir komut kontrol sunucusuyla iletişim kurduğunu belirlemek için aşağıdaki gibi bir örüntü aranabilir:

GET /path/to/malicious/resource HTTP/1.1
User-Agent: python-requests/2.22.0

Buradaki “User-Agent” alanı sıradan bir tarayıcıdan ziyade Python'a ait bir kütüphane için tanımlandığı için şüpheli bir durum teşkil eder.

Anomalilerin Tespiti ve Etkileri

Proxy logları, saldırganların faaliyetlerini izlemek için kullanılırken, sistem yöneticileri tarafından da anomali tespiti için analiz edilmelidir. Normalde düşük frekansta gerçekleşen isteklerin düzenli aralıklarla veya büyük boyutlarda gerçekleşmesi, bir "Beaconing" aktivitesi olduğunu gösterir. Örneğin, eğer bir iç ağdaki sunucu dış dünya ile her 5 dakikada bir HTTP isteği gönderiyorsa, bu durumu proxy loglarında "sürekli istekler" olarak görebiliriz.

Aşağıdaki yapı, bir kullanıcı tarafından sızdırılan veri örneği olabilir:

POST /upload/data HTTP/1.1
Content-Length: 104857600
User-Agent: cURL/7.68.0

Bu yapı, büyük boyutta bir veri transferinin işaretidir ve zararlı yazılım barındırdığı muhtemel veri sızdırma aktiviteleri açısından incelenmelidir.

Pozitif ve Negatif İletişim Kanalları

Zararlı bir yazılımın sızma olasılığı, genellikle C2 (Komut Kontrol) sunucusuyla olan iletişimine bağlıdır. Proxy logları, bu tür iletileri tespit etmek için önemli bir kaynak sağlar. Ancak, yalnızca tehditleri tespit etmekle kalmamalıyız, aynı zamanda ağ içerisinde mevcut olan pozitif iletişimleri de değerlendirmeliyiz. Kurumsal iş akışları için geçerli olan ve güvenli kabul edilen URL'ler ile kategorize edilemeyen, şüpheli domainlerden gelen istekler arasında bir ayrım yapılmalıdır.

Örneğin:

  • Zararlı Yazılım İletişimi (Malware Communication): Aynı hedefe periyodik istekler (Beaconing).
  • Farklı Kimliklerle Erişim Çalışması: “User-Agent Anomalisi” olarak adlandırılan durumlar, şüpheli bağlantılara işaret eder.

Hardening Önerileri

Güvenlik pozisyonunuzu güçlendirmek için aşağıdaki önlemleri uygulamanız önerilir:

  1. Proxy Yapılandırması: Proxy sunucularınızı güncel tutun ve gerekli güvenlik yamalarını uygulayın.
  2. Erişim Kontrolleri: Kullanıcıların erişimini sıkı bir şekilde yöneterek güvenli olmayan URL'lere erişimi engelleyin.
  3. Log Yönetimi: Log süreçlerinizi düzenli olarak denetleyin ve şüpheli aktivitelerin tespiti için otomatik izleme sistemleri oluşturun.
  4. Eğitim Programları: Çalışanlar için verilen güvenlik farkındalığı eğitimleri önemlidir. Hedef odaklı phishing simülasyonları düzenleyerek riski azaltabilirsiniz.

Sonuç Özeti

Proxy ve web filtreleme logları, siber güvenlik ortamında kritik önem taşımaktadır. Bu logların derinlemesine analizi, ağda meydana gelebilecek potansiyel tehditlerin ve zafiyetlerin tespit edilmesine yardımcı olur. Doğru yapılandırma ve etkili yorumlama ile, organizasyonlar veri sızdırma, zararlı yazılımlar ve diğer güvenlik açıklarına karşı önleyici tedbirler alabilir. Yine de, sürekli bir izleme ve güvenlik politikalarının uygulaması gerektiği unutulmamalıdır.