CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

DHCP Logları: IP-MAC Eşleşmesi ve Güvenlik İpuçları

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

DHCP logları, ağınızdaki cihaz takipleri ve güvenliği için kritik veriler sağlar. Bu yazıda, IP-MAC eşleşmesi ve DORA sürecini inceleyeceğiz.

DHCP Logları: IP-MAC Eşleşmesi ve Güvenlik İpuçları

DHCP logları, ağdaki cihazların IP adresleri ile MAC adresleri arasındaki ilişkiyi anlamak için kritik bir kaynak sunar. Bu yazıda DORA sürecini ve güvenlik risklerini ele alıyoruz.

Giriş ve Konumlandırma

Ağların temel yapı taşlarından birini oluşturan DHCP (Dynamic Host Configuration Protocol), ağa katılan cihazlara otomatik olarak IP adresi, alt ağ maskesi ve varsayılan ağ geçidi gibi bilgileri atamak için kullanılan bir protokoldür. Bu sistem, cihazların ağa bağlandıklarında belirli bir IP adresini dinamik olarak almasını sağlar. DHCP logları, bu süreçte gerçekleşen IP adresi atamalarının, cihazların kimliğinin ve ağa bağlanma zamanlarının kaydedildiği önemli veri kaynaklarıdır.

Neden Önemli?

DHCP logları, siber güvenlik açısından son derece önemli bilgiler taşır. Bir siber olay incelendiğinde, yalnızca IP adreslerinin kaydedilmiş olması yeterli değildir. Her IP adresinin hangi fiziksel cihaza (donanım adresine) atandığı bilgisi, olayların araştırılması ve kötü niyetli faaliyetlerin tespit edilmesi açısından kritik bir öneme sahiptir. Özellikle siber saldırı durumlarında, saldırganların ağa entegre ettikleri sahte DHCP sunucuları (Rogue DHCP) ile ağ üzerinde tam kontrol sağlamaya çalıştıkları bilinen bir gerçektir. Bu tür saldırılar, kötü niyetli bir kişinin ağda trafiği manipüle etmesine, veri çalmasına veya sistemleri etkisiz hale getirmesine olanak tanır.

Teknik Bağlamda Anlamlandırma

DHCP süreci, temel olarak dört aşamadan oluşan bir el sıkışma (DORA) işlemine dayanır: DHCP Discover, DHCP Offer, DHCP Request ve DHCP Acknowledge. Bu süreç boyunca her adım için farklı log mesajları oluşturulur. Elde edilen loglarda, cihazların hangi IP adreslerini üstlendiği, hangi MAC adresleri ile eşleştiği ve bu süreçte oluşan zaman damgaları gibi bilgiler yer alır. Örneğin:

Dec  1 12:00:00 DHCPD: DHCPDISCOVER from 00:11:22:33:44:55 via eth0
Dec  1 12:00:01 DHCPD: DHCPOFFER on 192.168.1.10 to 00:11:22:33:44:55 via eth0

Bu logda, cihazın (MAC adresi 00:11:22:33:44:55) ağa katıldığını ve belirtilen IP adresinin ona teklif edildiğini görebiliriz. Bu tür bilgiler, hem ağa bağlanan cihazların tanımlanmasında hem de olası tehlikelerin tespitinde çok değerlidir.

Güvenlik ve İzleme

DHCP loglarının izlenmesi, potansiyel saldırıları önlemek ve ağ güvenliğini artırmak için hayati önem taşır. Ağ yöneticileri ve siber güvenlik uzmanları, bu logları dikkatlice analiz ederek ağlarındaki anormallikleri tespit edebilirler. Örneğin, IP kiralama (lease time) sürelerinin aşılması, kullanıcıların beklenmedik bir şekilde ağdan çıkması veya yeni ve bilinmeyen cihazların ağa bağlanması gibi durumlar, potansiyel bir siber tehdit olarak değerlendirilebilir.

Ayrıca, DHCP logları, cihazların ağ üzerinde hangi hostname ile tanındığını gösterir. Örnek olarak, bir cihaz 'Ahmet-Laptop' olarak tanımlandığında, bu bilgi analistin IP sahipini insan diliyle tanımlamasına yardımcı olur.

Siber olay müdahalesi esnasında, bu loglardan elde edilen veriler 'hareketli hedefleri' sabitlemek için kullanılır. Yani, saldırının kaynağını ve hedefini belirlemede önemli bir rol oynar. Özellikle statik eşleştirmelerle kritik cihazların her zaman aynı IP'yi alması sağlanarak, ağ üzerinde daha fazla kontrol elde edilir.

Sonuç

Sonuç olarak, DHCP logları yalnızca bir ağ içinde IP adreslerinin dağıtımını sağlamakla kalmaz; aynı zamanda siber güvenlik alanında bir savunma mekanizması olarak işlev görür. Ağ yöneticileri ve siber güvenlik profesyonelleri için bu logların düzenli olarak incelenmesi, potansiyel tehditleri hızlı bir şekilde algılamak ve azaltmak için kritik bir adımdır. Bu bağlamda, DHCP loglarının önemini anladığınızda, ağ yönetiminizin ve güvenliğinizin daha güçlü temellere oturacağını görebilirsiniz.

Teknik Analiz ve Uygulama

Ağın Kimlik Dağıtıcısı: DHCP

DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü), ağa bağlanan cihazlara otomatik olarak IP adresi, alt ağ maskesi ve varsayılan ağ geçidi gibi bilgileri atayan bir protokoldür. Cihazlar, ağa bağlandıklarında DHCP sunucusuna başvurarak kendilerine gerekli ağ bilgilerini almak için bir el sıkışma süreci (DORA) gerçekleştirir. DHCP, büyük ağlarda yönetimi kolaylaştırırken, aynı zamanda IP adreslerinin dinamik olarak değişebilmesi nedeniyle güvenlik risklerini artırabilir. Bu bağlamda, DHCP loglarının analizi, ağ yöneticileri için kritik bir görevdir.

IP-MAC İlişkisi: Kimin Hangi IP'si Var?

DHCP logları, IP adresleri ile MAC adresleri arasındaki ilişkiyi gösteren önemli verileri sağlar. Bir siber olay incelendiğinde, IP adresinin tek başına yeterli bilgi sunmadığı göz önünde bulundurulmalıdır. Zira IP adresleri zamanla değişebilir. DHCP logları, IP adresinin o an hangi fiziksel cihaza ait olduğunu belirleyerek, analistlerin sorumlu cihazı tespit etmesini sağlar.

Loglardan alınan bir örnek, bir IP adresinin MAC adresi ile eşleşmesini gösterir:

2023-10-01T10:15:30 Leased IP 192.168.1.10 to 00:1A:2B:3C:4D:5E

Burada görülen IP-MAC eşleşmesi, bir cihaza atanan IP adresinin hangi donanım adresine sahip olduğunu göstermektedir.

DORA Süreci ve Log Mesajları

DHCP süreci dört adımdan oluşur: Discover, Offer, Request ve Acknowledge (DORA). Bu adımların loglarda nasıl yer aldığı aşağıda açıklanmaktadır:

  1. DHCP Discover: Cihaz, ağa katıldığında "Orada bir DHCP sunucusu var mı?" şeklinde yayın yapar.

    2023-10-01T10:00:00 DHCP Discover from 00:1A:2B:3C:4D:5E

  2. DHCP Offer: Sunucu, cihaz için bir IP adresi ve diğer ağ bilgilerini önerir.

    2023-10-01T10:00:01 DHCP Offer to 192.168.1.10 from DHCP Server

  3. DHCP Request: Cihaz, kendisine önerilen IP adresini kullanmak istediğini belirtir.

    2023-10-01T10:00:02 DHCP Request from 00:1A:2B:3C:4D:5E

  4. DHCP ACK: Sunucu, işlemi onaylayarak IP'nin cihaza rezerve edildiğini belirtir.

    2023-10-01T10:00:03 DHCP ACK for 192.168.1.10

Bu dört aşama, ağdaki cihazların IP yapılandırmasını etkili bir şekilde yönetir ve her adımın kaydı, ağ yöneticilerinin olayları takip etmelerine yardımcı olur.

IP Kiralama: Lease Time

Her bir cihazın IP adresini kullandığı süre "lease time" (kira süresi) olarak adlandırılır. DHCP loglarında, bir cihazın ne zaman IP aldığı ve bu sürenin ne zaman dolacağı yer alır. Örneğin, bir IP adresinin kira süresinin 24 saat olduğunu varsayalım. Log çıkışı şöyle olabilir:

2023-10-01T10:00:00 Lease time for 192.168.1.10 is 86400 seconds

Kira süresinin sona ermesi durumunda, cihaz aynı IP'yi yenileyebilir veya yeni bir IP alabilir. Bu durum, ağın dinamik yapısını gösterir ve yöneticilerin rahatsız edici bir durum veya hatalı yapılandırmalarla karşılaşmalarını önler.

Güvenlik Riski: Rogue DHCP

Saldırganlar, ağ içinde kendi sahte DHCP sunucularını kurarak kullanıcıları yanıltabilir. Rogue DHCP olarak bilinen bu saldırı, kullanıcılara yanlış ağ geçidi bilgileri vererek tüm trafiği kendi üzerlerinden yönlendirme (Man-in-the-Middle saldırısı) riski taşır. Bir DHCP logu, bu tür bir durumu tespit etmek için kullanılabilir:

2023-10-01T10:01:00 Rogue DHCP server detected at 192.168.1.50

Yöneticilerin bu tür logları dikkatle incelemesi, ağın güvenliğini artırma açısından kritik öneme sahiptir.

Cihaz Tanımlama: Hostname

DHCP logları, yalnızca IP ve MAC adresleri değil; aynı zamanda cihazın ağa tanıttığı isim (hostname) gibi bilgileri de içerir. Bu bilgilerin analistlerin IP sahibini daha iyi anlamalarına yardımcı olması açıktır. Loglarda şu şekilde görülebilir:

2023-10-01T10:15:30 Client Hostname: Ahmet-Laptop

Bu bilgiler, özellikle ağ bağlantı sorunlarının çözümünde faydalı olmaktadır.

Özet: Analistin DHCP İzleme Listesi

DHCP logları, siber olay müdahalesinde önemli bir rol oynar. Ağda meydana gelen bağlantıların kaydı, olayların detaylı incelenmesine ve olası güvenlik açıklarının belirlenmesine olanak tanır. Analistlerin, bu logları düzenli olarak gözden geçirmesi, ağın sağlıklı çalışmasını sağlarken güvenlik ihlallerinin önüne geçilmesine de katkıda bulunur.

Yukarıdaki bilgileri sistemli bir şekilde takip etmek, DHCP işlemlerinin yönetimini kolaylaştırır ve güvenlik analizlerini etkin şekilde gerçekleştirilmesine yardımcı olur.

Risk, Yorumlama ve Savunma

DHCP (Dynamic Host Configuration Protocol), ağa bağlanan cihazların otomatik olarak IP adresleri almasını sağlayan bir protokoldür. Ancak DHCP logları, sadece yapılandırma yönetimi için değil, aynı zamanda güvenlikte de kritik bir rol oynar. Bu bölümde, DHCP loglarının değerlendirilmesi, yanlış yapılandırma ve potansiyel zafiyetler, cihaz tanımlama ve savunma stratejileri ele alınacaktır.

DHCP Loglarının Önemi ve Yorumlama

DHCP logları, ağa bağlı cihazların IP adresi ve MAC adresi eşleşmelerini sağlamak üzere kritik bilgiler sunar. Bu bilgiler, siber olay anında "sorumluyu bulmak" amacıyla kullanılır. Logların incelenmesi, olası bir saldırganın izini sürmek ve saldırının kaynağını belirlemek için gereklidir. Örneğin, bir DHCP sunucusunun belirli bir zaman damgasında hangi IP'nin hangi MAC adresine karşılık geldiğini doğrulamak için aşağıdaki gibi bir kayıt kullanılabilir:

Apr 15 12:30:45 dhcpd: DHCPACK on 192.168.1.10 to 00:1A:2B:3C:4D:5E (Ahmet-Laptop)

Bu tür bir kayıt, bir cihazın hangi IP adresini kullanmakta olduğunu ve bu cihazın fiziksel kimliğini belirlemeyi kolaylaştırır.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber saldırılara kapı aralayabilir. Özellikle, DHCP sunucusunun yanlış yapılandırılması veya yönetimsel hatalar, ağda büyük zafiyetlere neden olabilir. Örneğin, yetkisiz bir DHCP sunucusunun ağa entegre edilmesi "rogue DHCP" saldırılarına yol açabilir. Bu tür bir saldırı, saldırganın doğru IP bilgilerini sağladığı izlenimi altında kullanıcıların verilerini çalmak için trafiği yönlendirmesine olanak tanır.

DHCP saldırılarının belirtileri arasında, belirli bir IP aralığının aşırı kullanımını (DHCP starvation) gözlemlemek yer alır. Bir saldırgan, tüm IP havuzunu sahte MAC adresleri ile doldurarak ağın işlevselliğini etkileyebilir.

Cihaz Tanımlama ve Topoloji Tespiti

DHCP logları, ağdaki cihazları tanımlamak ve denetlemek için kullanılır. Her bir cihazın logda yer alan ismi (hostname), analistlere hangi cihazların ağa dahil olduğunu anlamalarını sağlar. Bu bilgiler, potansiyel güvenlik açıklarını hızlı bir şekilde tespit etmek için kullanılan önemli bir unsur haline gelir. Örneğin, bir analist "iPhone-14" gibi bir cihaz ismi ile gelen bir IP adresini kontrol ederek, bu cihaza ait geçmiş logları inceleyebilir.

Ayrıca, loglarda yer alan zaman damgaları, hangi IP'nin hangi MAC adresine atandığını güncel olarak izlemenizi sağlar. Bu tür bilgiler, ağ topolojisini anlamak ve mümkün olan tehditleri belirlemek için kritik öneme sahiptir.

Güvenlik Önlemleri ve Hardening Önerileri

DHCP loglarının doğru kullanımı, ağ güvenliğinin artırılmasına büyük katkı sağlar. İşte alınabilecek bazı profesyonel önlemler:

  1. Güvenilir DHCP Sunucuları: Ağa yalnızca güvenilir DHCP sunucuları tanıtılmalıdır. Rogue DHCP sunucularının engellenmesi için ağda DHCP Snooping uygulanabilir.

  2. Statik IP Adresleme: Kritik cihazlar için statik IP ataması yapılmalı, bu şekilde cihazların her zaman aynı IP adresini almaları sağlanmalıdır.

  3. Log Yönetimi: DHCP logları düzenli olarak incelenmeli ve analiz edilmelidir. Olası tehditler için uyarıcı sistemler kurulmalıdır.

  4. Ağ İzleme Sistemleri: Gerekirse, DHCP sunucusu yanlış yapılandırma veya saldırılara karşı daha hassas izleme sistemleri ile desteklenmelidir.

Sonuç

DHCP logları, ağa bağlı cihazların takibi ve güvenlik durumlarının değerlendirilmesi açısından önemli veriler sunar. Yanlış yapılandırmalar ve potansiyel zafiyetler, siber saldırılara açık kapılar bırakabilir. Bu nedenle, doğru yorumlama yapılarak uygun güvenlik önlemleri alınması gerekmektedir. Ağ güvenliğini sağlamak ve olası saldırılara karşı direnç göstermek, sürekli bir süreçtir ve uzmanların dikkatli bir analiz yapmasını gerektirir.