CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Firewall Log Analizi ile Ağ Güvenliğinizi Arttırın

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Güvenlik duvarı loglarının analizi ile ağ görünürlüğünüzü artırın. Kritik noktaları öğrenin ve siber tehditlere karşı daha savunmalı olun.

Firewall Log Analizi ile Ağ Güvenliğinizi Arttırın

Güvenlik duvarı loglarının analizi, ağ güvenliğinin temeli olarak büyük öneme sahiptir. Bu blog yazısında, logların eylem alanını nasıl okuyabileceğinizi ve kritik portları tanımayı öğreneceksiniz.

Giriş ve Konumlandırma

Günümüzde siber güvenlik, her işletmenin öncelikli ihtiyaçlarından biri haline gelmiştir. Siber tehditler sürekli olarak evrim geçirirken, güvenlik önlemlerinin de bu değişimlere ayak uydurması gerekmektedir. İşte bu noktada güvenlik duvarı (firewall) log analizi devreye girer. Güvenlik duvarları, bir ağın ilk savunma hattını oluşturur ve hizmet ettiği yapı içerisindeki veri trafiğini denetleyerek tehditleri tanımlamak için büyük bir rol oynar. Firewall log analizi, bu trafiği incelemenin yanı sıra, potansiyel saldırıları önceden tespit etmenin ve mesleki müdahale stratejileri oluşturmanın etkili bir yoludur.

Firewall ve Log Üretimi

Güvenlik duvarları, izin verilen ve engellenen veri paketlerini belirli kurallara göre filtreleyerek çalışan donanım veya yazılım çözümleridir. Herhangi bir bağlantı isteği geldiğinde, firewall bu isteği önceden belirlenmiş kurallar çerçevesinde kontrol eder; başarılı bağlantılara izin verirken, tehdit algıladığı istekleri engeller. Her biri anlık olarak loglara kaydedilir. Bu loglar, siber güvenlik uzmanları için birincil veri kaynağını oluşturur ve sürdürülmesi gereken gözlemlerin devamlılığını sağlar. Aşağıdaki örnek, bir güvenlik duvarı logunun nasıl görünebileceğine dair bir genel bakış sunmaktadır:

2023-10-23 14:55:01 DROP 192.168.0.10 -> 203.0.113.5:80  TCP
2023-10-23 14:55:02 ALLOW 192.168.0.20 -> 203.0.113.10:22  TCP

Yukarıdaki logda, ilk satır 192.168.0.10 IP adresinden 203.0.113.5 IP adresine giden bir istek engellenmişken; ikinci satır, 192.168.0.20 IP adresinin 203.0.113.10 IP adresine başarılı bir bağlantı kurduğunu göstermektedir.

Logların Eylem (Action) Alanını Okumak

Firewall loglarının değerlendirilmesi esnasında en kritik bölümlerden biri “Action” alanıdır. Bu alan, güvenlik duvarının bir bağlantı isteğine nasıl yanıt verdiğini açık bir biçimde belirtir. Alınan aksiyona göre bir ağ analisti, güvenlik durumu hakkında stratejik kararlar verebilir. Örneğin, bir isteğin "Deny" olarak işaretlenmesi, kritik bir tehdit olan bir bağlantı denemesinin engellendiğini, "Drop" ise durumu daha sinsi bir şekilde göstermektedir; çünkü burada kaynak adrese herhangi bir geri bildirimde bulunulmaz. Güvenlik ekiplerinin bu iki terimi doğru bir şekilde anlaması, tehditlerin analizinde büyük önem taşır.

Deny vs. Drop Karşılaştırması

Güvenlik duvarı loglarında karşılaşılan "Deny" ve "Drop" terimleri, ağ güvenliği açısından kritik farklılıklar taşır. "Deny" durumunda, firewall, engellenen trafikten kaynak IP adresine bir geri bildirim göndererek, bağlantının reddedildiğini bildirmektedir. Ancak "Drop" durumunda, her türlü iletişim sessiz bir şekilde sonlandırıldığı için, saldırgan olası bir sızıntının farkına varamayabilir. Bu durum, potansiyel tehditleri anlamak ve önleyici tedbirler almak adına büyük bir risk doğurur. Bu sebepten dolayı, her iki durumun logları detaylıca incelenmeli ve olası saldırı senaryoları oluşturulmalıdır.

Keşif Aktivitelerinin Tespiti

Güvenlik duvarı log analizinde sıkça karşılaşılan başka bir durum ise keşif (reconnaissance) aktiviteleridir. Saldırganlar, hedef sistemdeki açık kapıları tespit etmek amacıyla kısa süre içinde birçok farklı porta ardışık bağlantı isteği göndermektedir. Bu “port scanning” olarak adlandırılan süreç, ağ güvenliği açısından kritik öneme sahiptir, çünkü bir saldırganın hangi servislerin aktif olduğunu belirlemesine olanak tanır. Bu tarz davranışların loglarda tespiti, önemli bir koruma önlemi sağlayabilir.

Port Scan Korelasyon Kuralı Mantığı

Port taramaları, genellikle SIEM sistemleri üzerinden tespit edilir. Bunun için geliştirilen korelasyon kuralları, tek bir engellenen isteğin alarm üretmeyecek kadar basit bir yaklaşımdır. Doğru bir kural geliştirilmesi, belirli bir zaman diliminde aynı kaynaktan farklı hedeflere birçok “Deny” mesajının alınmasını sağlamalıdır. Bu tür kurallar, güvenlik analistlerinin anomali veya şüpheli tekrarları daha etkili bir şekilde belirlemelerine olanak tanır.

Kritik Portları Tanımak

Firewall loglarını analiz eden bir analistin, hangi portların hangi hizmetle ilişkili olduğunu bilmesi önem taşır. Örneğin, bazı portların (22-SSH, 23-Telnet, 3389-RDP) internete açık olması, yetkisiz erişime davetiye çıkarabilir. Ayrıca, 445 numaralı port, zararlı yazılımların ağ yapısı içerisinde yayılmasını sağlamak için kullanılmaktadır. Bu tür kritik portlar, incelenmesi gereken noktalardır ve log analizinde detaylı bir şekilde göz önünde bulundurulmalıdır.

Gözden Kaçan Risk: Dışa Doğru Trafik

Sadece dışarıdan içeriye gelen trafiği izlemek büyük bir hatadır; iç ağa sızabilmiş bir zararlı yazılımın, dışarı çıkan verileri çalmak amacıyla başlattığı dış yönlü trafiklerin de izlenmesi gerekmektedir. Bu tür durumlar, birçok siber saldırı girişiminin izini taşıyan sızma ve veri sızdırma olaylarını içerir. Dış yönlü trafiklerin loglanması ve analizi, sağlam bir ağ güvenliği sağlamak için kritik bir adım olarak değerlendirilebilir.

Firewall log analizi, siber güvenlikte göz ardı edilemeyecek bir bileşendir. Logların detaylı bir şekilde incelenmesi, ağ yöneticileri ve güvenlik uzmanları için sadece mevcut tehditleri tespit etmekle kalmaz, aynı zamanda gelecekteki olası saldırılara karşı önceden tedbir almalarını da sağlar. Bu yüzden, firewall log analizi, siber güvenlik stratejilerinin temellerinden birini oluştururken teknik bilgilerin sürekli güncellenmesi ve geliştirilmesi gerekmektedir.

Teknik Analiz ve Uygulama

Ağın Bekçisi: Firewall ve Log Üretimi

Güvenlik duvarları (firewall), bir kurum ağının dış tehditlerden korunmasında kritik bir rol oynamaktadır. Ağ güvenliğinin temel taşlarından biri olan bu cihazlar, ağ üzerinde geçen tüm trafiği önceden tanımlı güvenlik kurallarına göre kontrol eder. Her bir bağlantı isteği üzerinde gerçekleştirdiği işlemlerin kaydını tutarak, ağ yöneticilerine veya SOC analistlerine önemli bilgiler sunar. Bu loglar, saldırı tespitinin yanı sıra, ağın genel güvenliğinin artırılmasında da hayati öneme sahiptir.

Firewall logları analizi yapılırken, göz önünde bulundurulması gereken bazı temel kavramlar ve terminolojiler bulunmaktadır. Logların doğru analizi, güvenlik açığı tespitinde ve ağda yapılan anormal hareketlerin belirlenmesinde ilk adım olarak karşımıza çıkar.

Logların Eylem (Action) Alanını Okumak

Firewall logları, çeşitli aksiyon (action) terimleri içerir. En yaygın olarak karşılaşılan eylem terimleri arasında "Allow", "Deny" ve "Drop" yer almaktadır. Her bir eylemin anlamı ve çıkardığı sonuçlar, siber güvenlik analistleri için kritik öneme sahiptir.

Action: Allow
Description: Trafiğin kurallara uygun olduğu doğrulanarak ağa girmesine veya çıkmasına müsaade edilmesi.

Action: Deny
Description: Trafik engellenir ve paketi gönderen kaynağa 'bağlantı reddedildi' mesajı döndürülür.

Action: Drop
Description: Trafik engellenir ancak kaynağa hiçbir cevap verilmez, paket sessizce yok edilir.

Eylem alanında karşılaşılan bu terimler, log analizi sırasında hangi trafiğin güvenli, hangisinin tehlikeli olduğunu belirlemek için hayati birer göstergedir.

Deny vs. Drop Karşılaştırması

Firewall log analizi yaparken, "Deny" ve "Drop" terimleri arasındaki farklar anlayış açısından kritik bir unsurdur. "Deny" eyleminde, firewall saldırganın bağlantı isteğine yanıt verir ve isteği reddettiğini belirtir. Bu durum, saldırganın sistem üzerinde kontrol sağlamasını zorlaştırabilir.

Deny:
- Yanıt: Bağlantı reddedildi mesajı gönderilir.

"Drop" eyleminde ise, bağlantı isteği tamamen yok edilir ve hiçbir yanıt verilmez. Bu yaklaşım, saldırganı yanıltabilir, çünkü loglarda hiçbir tepki alınmadığı izlenimini yaratır.

Drop:
- Yanıt: Hiçbir yanıt verilmez, paket sessizce yok edilir.

Bu iki eylemin anlaşılması, analistlerin logları değerlendirirken hangi tehditlerin aktif olduğunu fark etmelerine yardımcı olur.

Keşif Aktivitelerinin Tespiti

Firewall loglarında sıkça karşılaşılan bir durum, keşif (reconnaissance) aktiviteleridir. Bu aktiviteler, bir saldırganın hedef sistemde hangi servislerin açık olduğunu bulmaya yönelik gerçekleştirdiği port taramalarıyla gerçekleşir. Port taraması, genellikle ardışık olarak yüzlerce portun denendiği biri işlemdir ve firewall logları üzerinde bunun tespiti önemlidir.

Kural Örneği:
Bir port taramasını tespit etmek için SIEM çözümünde aşağıdaki gibi bir kural yazılabilir:
- Aynı kaynaktan farklı hedeflere çok sayıda 'Deny' (reddedilen istek) kaydı tespit edilirse, bu bir port taraması belirtisi kabul edilebilir.

Bu tür aktiviteler genellikle saldırganın, hedef sistemde açık portlar bularak potansiyel zafiyetleri değerlendirme çabalarını yansıtır.

Port Scan Korelasyon Kuralı Mantığı

Bir port taraması tespit etmek için uygun bir korelasyon kuralı oluşturmak, analistlerin güvenlik tehditlerini zamanında tespit etmelerini sağlar. Tek bir eylemden alarm üretmek yerine, belirli bir zaman dilimi içinde ardışık olarak gerçekleşen 'Deny' veya 'Drop' eylemlerinin analiz edilmesi gerekmektedir.

Korelasyon kuralı mantığı şu şekilde özetlenebilir:

Kural Mantığı:
- Tek bir Deny kaydından alarm üretmek yerine, belirli bir zaman dilimi içinde çok sayıda Deny kaydı meydana gelirse, bu durum bir port taraması belirtisi olarak değerlendirilmelidir.

Bu yaklaşım, ağ trafiğini daha etkili bir şekilde izlemek ve potansiyel tehditleri tespit etmek için gereklidir.

Kritik Portları (Hedefleri) Tanımak

Log analizi sırasında analistlerin, belirli kritik portları tanıması ve bu portlarda meydana gelen trafiği dikkatle incelemesi önemlidir. Örneğin, Port 22 (SSH) ve Port 445 (SMB) gibi portlar, siber saldırganlar tarafından sıkça hedef alınan noktalardır.

Örnek:
- Port 22 (SSH): Sunuculara uzaktan erişim sağlar; saldırganlar tarafından sıkça brute force (kaba kuvvet) saldırıları için kullanılır.
- Port 445 (SMB): Ağ içi dosya paylaşımı için kullanılır; zararlı yazılımlar bu portu kullanarak kurumsal ağda yayılabilir.

Bu portlar üzerinde meydana gelen aktivitelerin dikkatlice izlenmesi, olası siber tehditlerin önüne geçilmesi açısından hayati bir öneme sahip olabilir.

Gözden Kaçan Risk: Dışa Doğru Trafik

Firewall log analizi sırasında yalnızca içeriye gelen (inbound) trafiğin izlenmesi büyük bir hatadır. İç ağda sızmayı başaran bir zararlı yazılım, dışa doğru (outbound) trafik başlatarak veri çalabilir veya komuta kontrol sunucularıyla iletişim kurabilir. Bu tür trafiklerin tespit edilmesi, ağ güvenliğinin sürdürülmesi açısından kritik bir unsurdur.

Not:
- Dışa doğru başlatılan trafikte anormallikler tespit edilmediği takdirde, bir zararlı yazılımın aktif olduğu ve ağda hasar yaratmaya çalıştığı gözden kaçabilir.

Sonuç olarak, firewall log analizi, siber güvenlikte hayati bir rol oynar. Logların doğru şekilde analiz edilmesi ve yorumlanması, ağ güvenliğinin artırılmasına yönelik önemli adımlar atılmasını sağlar. Bu süreç, bir güvenlik stratejisinin temel taşı olup, ağ analistlerinin etkin bir şekilde tehditleri tespit etmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Ağ Görünürlüğü: Güvenlik Duvarı (Firewall) Loglarının Analizi

Güvenlik duvarı, bir ağın güvenliğinin sağlanmasında kritik bir rol oynar. Firewall logları, ağ içindeki aktiviteleri detaylı bir şekilde kaydettiği için bu verilerin analizi, potansiyel tehditlerin ve zayıflıkların tespit edilmesine yardımcı olur. Ancak bu logların doğru bir şekilde yorumlanması, güvenlik analistlerinin görevini zorlaştıran birçok risk taşır.

Risklerin Tanımlanması

Firewall loglarında her bir kayıt, belirli bir eylemi gösterir. İki temel eylem türü olan "Deny" (reddet) ve "Drop" (düşür) arasındaki fark, bir saldırının etkisini veya güvenlik ihlallerini anlamak açısından önemlidir. Örneğin:

Jul 8 10:15:21 firewall1   DROP   192.168.1.5:443 -> 172.16.0.10:49152

Yukarıdaki log girişi, iç ağdaki bir cihazın dışa doğru bir bağlantı kurma girişiminin sessizce yok edildiğini gösterir. Böyle bir durum, yetkisiz bir bağlantı girişimi olabilir ve bu tip logların analizi, potansiyel bir riskin tespit edilmesine yardımcı olur.

Bir başka logda "Deny" durumu şöyle olabilir:

Jul 8 10:15:30 firewall1   DENY   203.0.113.1:80 -> 172.16.0.20:8080

Burada görülen "Deny" durumu, dışardan gelen trafiğin engellendiğini gösterir. Bu durumda, eğer sık sık meydana geliyorsa, saldırganın hedef almayı düşündüğü bir hizmet olabilir ve bunu araştırmak gerekebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, güvenlik duvarının etkinliğini ciddi şekilde etkileyebilir. Örneğin, belirli portların (örneğin 22, 3389 veya 445) açık bırakılması, sızma girişimleri için fırsat oluşturur. Her biri farklı risk taşır:

  • Port 22 (SSH): Kaba kuvvet saldırılarına yatkındır.
  • Port 3389 (RDP): Fidye yazılımları tarafından sıklıkla hedef alınır.
  • Port 445 (SMB): İç ağda yayılan zararlı yazılımların kullanabileceği bir geçit sunar.

Bu portların ihtiyaç duyulmadığı sürece kapalı tutulması ve sistem yapılandırmasının gözden geçirilmesi hayati öneme sahiptir. Hasar tespiti ve analiz sürecinde açık portların tespiti, ağ güvenliği açısında önemli bir adım olur.

Keşif Aktivitelerinin Tespiti

Loglarda karşılaşılan bir diğer kritik durum, keşif aktiviteleridir. Saldırganlar, hedef ağ içindeki açık portları tespit etmek için sık sık port taraması yaparlar. Bu tür aktiviteleri tespit etmek için korelasyon kuralları kullanmak önemlidir. Örneğin:

Jul 8 10:15:45 firewall1   DENY   192.0.2.10:12345 -> 172.16.0.50:80
Jul 8 10:15:46 firewall1   DENY   192.0.2.10:12346 -> 172.16.0.50:80
Jul 8 10:15:47 firewall1   DENY   192.0.2.10:12347 -> 172.16.0.50:80

Bu tür bir log girişi, aynı kaynaktan gelen birden fazla bağlantı isteğinin engellendiğini gösterir. Bu durum, potansiyel bir port taraması teşhisi için alarm oluşturabilir.

Dışa Doğru Trafik

Güvenlik duvarı loglarını incelerken, dışa doğru olan trafiği de göz önünde bulundurmak önemlidir. İç ağdan internete çıkan bağlantılar, zararlı yazılımların komuta kontrol sunucularıyla haberleşmesi veya veri sızdırma girişimlerinde kullanılabilir. Bu tür verilerin izlenmesi, iç tehditlerin tespiti açısından kritik bir başka adımdır.

Örneğin:

Jul 8 10:16:00 firewall1   ALLOW  172.16.0.30:49152 -> 192.0.2.20:80

Böyle bir log, iç ağdan dış ağa doğru verilen izinli bir çıkışı gösterir. Ancak buradaki bağlantının analiz edilmesi, iç ağda olası bir zararlı yazılım aktivitesini tespit etme açısından önemlidir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik önlemlerinin büyük bir kısmı, firewall konfigürasyonunun doğru bir şekilde yapılmasına dayanır. Aşağıda bazı temel hardening önerileri sunulmaktadır:

  1. Gereksiz Portları Kapama: Kullanılmayan tüm portların kapatılması.
  2. Kuralların Düzenlenmesi: Yalnızca gerekli olan trafiğin izin verilmesi.
  3. Dışa Doğru Trafiğin İzlenmesi: Kötü niyetli bir yazılımın iç ağdan dışarı doğru veri sızdırmasını önlemek için dışa çıkış trafiğinin izlenmesi.
  4. Log Analizinin Sıklığı: Logların düzenli olarak analiz edilmesi, potansiyel tehditlerin hızlı bir şekilde tespit edilmesine yardımcı olur.
  5. Zamanlama ve Uyarılar: Önceden belirlenmiş kurallara göre anormal aktiviteler için otomatik uyarı sistemlerinin kurulması.

Kısa Sonuç Özeti

Firewall log analizi, ağ güvenliğinizi artırmak için önemli bir araçtır. Loglarda tespit edilen her bir eylem, potansiyel tehditlerin ve hatalı yapılandırmaların anlaşılmasına yardımcı olabilir. Keşif aktiviteleri, yanlış yapılandırmalar ve dışa doğru trafik gözlemleri ile birlikte, güvenli bir ağ yönetimi için gerekli önlemler alınmalıdır. Ağ güvenliğini artırmak ve iç tehditleri azaltmak adına düzenli bir log analizi rutini oluşturulmalıdır.