CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Firewall Logları: Kabul, Reddetme ve Düşürme Kayıtları Üzerine Bilgi Dolu Bir Kılavuz

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Firewall logları, ağ güvenliğinin temel unsurlarından biridir. Kabul, reddetme ve düşürme kayıtları hakkında detaylı bilgi edinin.

Firewall Logları: Kabul, Reddetme ve Düşürme Kayıtları Üzerine Bilgi Dolu Bir Kılavuz

Firewall logları, ağ güvenliğinin etkin yönetimini sağlar. Kabul, reddetme ve düşürme kayıtlarının anlamı ve analizi üzerine bilgiler burada sizi bekliyor.

Giriş ve Konumlandırma

Firewall logları, bir ağın güvenliğini sağlamak için kritik rol oynayan veri kayıtlarıdır. Bu loglar, ağ üzerindeki trafiği izlemek, analiz etmek ve yönetmek için kullanılır. Firewall cihazları, gelen ve giden her bir paket üzerinde tanımlanmış kurallar çerçevesinde hareket eder. Bu süreçte, loglar iki ana amaç doğrultusunda şekillenir: trafiğin ne zaman kabul edildiğini (Accept), ne zaman engellendiğini (Deny), ve ne zaman sessiz bir şekilde düşürüldüğünü (Drop) kaydetmek. İşte bu loglar, siber güvenlik alanında önemli bir bilgi kaynağıdır.

Siber güvenlik bağlamında, firewall loglarının analizi, potansiyel saldırıları tespit etmek ve önlemek açısından kritik bir adım olarak öne çıkmaktadır. Firewall'lar, şirketlerin ağlarının savunma mekanizmalarıdır; bu nedenle, bu logların gözden geçirilmesi ve incelenmesi, ağ üzerindeki tehditleri belirlemeye yardımcı olabilir. Özellikle, binsel sayıda kayıt içeren büyük sistemlerde, hangi paketlerin kabul edildiği veya neden engellendiği gibi bilgilerin analizi, güvenlik analistleri için son derece önemlidir.

Firewall Loglarının Önemi

Firewall logları, siber güvenlik stratejilerinin merkezinde yer alır. Bir ağın güvenliğini sağlamak için sadece firewall cihazlarının kurulumu yeterli değildir; bu cihazların ürettiği verilerin de etkin bir şekilde analiz edilmesi gerekmektedir. Loglar, ağın durumu hakkında bilgi verirken, aynı zamanda potansiyel tehditler hakkında da önemli ipuçları sunar. Örneğin, bir log kaydındaki sık tekrarlanan 'Deny' ve 'Drop' kayıtları, siber saldırganların ağda keşif çalışmaları yaptığını veya bir saldırı girişiminde bulunduğunu gösterebilir. Bu tür detaylar, güvenlik ekiplerinin hızlı müdahale etmelerini sağlar ve ağın bekası için yaşamsal öneme sahiptir.

Ağ Güvenliğinde Log Analizi

Ağ güvenliği alanında firewall loglarının analizi, siber saldırıların önceden belirlenmesi ve gerektiğinde müdahale edilmesi açısından hayati öneme sahiptir. Loglar, ağ istihbaratının bir parçası olarak düşünülebilir; çünkü bir ağın trafiğinin analizi, tehdit tespiti ve olası saldırı senaryolarının belirlenmesi için gereken bilgiyi sağlar. Bu noktada, zeki saldırganlar tarafından gerçekleştirilen anormal veya şüpheli trafik desenlerini tespit etmek için kullanılır.

Özellikle 'Drop' kayıtları, siber güvenlikte önemli bir savunma stratejisi olarak kabul edilir. Drop, hatalı ya da zararlı trafik paketlerinin sessiz bir şekilde atılması anlamına gelir. Bu yöntem, saldırganların saldırı etkilerini azaltmak veya iç ağın kontrolünü kaybetmemek için yararlıdır. Örneğin, bir ağ taraması gerçekleştiren bir saldırgan, gönderdiği paketlerin düşürülmesi durumunda, ağda herhangi bir sistemin varlığı hakkında bilgi edinemeyebilir. Bu da saldırının devam etmesini daha zor hale getirir.

Teknik İçeriğe Hazırlık

Bu blog yazısının ilerleyen bölümlerinde, firewall loglarının nasıl analiz edileceği, hangi verilerin kritik olduğu ve potansiyel tehditlerin nasıl tespit edileceği konularına derinlemesine bir bakış sunulacaktır. Logların içeriği, ilgili kural ID'leri ve trafik yönleri gibi unsurlar, ağ güvenliğinin sağlam temeller üzerine inşa edilmesi için hayati önem taşır. Her bir bölüm, firewall loglarının ne anlama geldiğini ve siber güvenlik stratejilerindeki rolünü anlamanızı sağlamaya yöneliktir.

Ayrıca, firewall loglarının işlenmesi sırasında dikkat edilmesi gereken bazı teknik detaylar ve önerilen stratejiler aracılığıyla, bu alanın temel dinamikleri daha iyi kavranaracaktır. Her adımda, logların analizi için temel kavramları ve terminolojiyi inceleyecek ve bu bilgiler doğrultusunda en iyi uygulamaları paylaşacağız. Edindiğiniz her bilgi ile siber güvenlik konusundaki bilginizi bir üst seviyeye taşıyacaksınız.

Teknik Analiz ve Uygulama

Ağ Kapısındaki Kayıtlar

Firewall'lar, bir ağın güvenliğini sağlamak amacıyla gelen ve giden trafik üzerinde kontrol sağlayan cihazlardır. Bu cihazlar, geçişine izin verilen veya engellenen her bir paket için tanımlı kuralları (policy) kontrol eder. Firewall logları, bu kurallara göre işlenmiş trafik kayıtlarını içeren detaylı raporlardır. Bir ağın sınır noktalarındaki tüm hareketliliği kayıt altına alarak, potansiyel tehditlerin izlenmesine olanak tanır.

Paket verileri genellikle bir beşli (5-tuple) formasyonuyla kaydedilir. Bu beşli, aşağıdaki unsurları içerir:

  • Kaynak IP adresi
  • Hedef IP adresi
  • Kaynak port numarası
  • Hedef port numarası
  • Protokol türü (TCP, UDP, vb.)

Bu bilgiler, log analizi sırasında siber güvenlik uzmanları tarafından incelenerek, ağ üzerindeki potansiyel tehditlerin tanımlanmasına yardımcı olur.

Logun Kimlik Kartı

Her firewall logu, hangi kural tarafından işlendiğini gösteren bir kimlik numarasına (Policy ID) sahiptir. Bu numara, log kayıtlarının analizi sırasında hangi kuralın devreye girdiğini belirlemek için kritik öneme sahiptir. Örneğin, bir logda "Policy ID: 0" veya "Implicit Deny" ifadesi görülürse, bu durum trafiğin herhangi bir güvenlik kuralıyla eşleşmediği ve varsayılan olarak engellendiği anlamına gelir.

Firewall Aksiyonları: Accept, Deny ve Drop

Bir firewall üzerinde bir paketle ilgili üç ana aksiyon alınabilmektedir:

  • ACCEPT (Kabul): Trafiğin geçişine izin verilir. Bu, yasadışı olmayan, normal bir trafik akışıdır veya saldırganın başarılı bir şekilde sızma girişimi olabilir. Logların bu kategoride çok sayıda olması, genellikle sistemin düzenli bir şekilde çalıştığını gösterir.

  • DENY (Reddet): Trafik engellenmiştir ve istemciye "bağlantı reddedildi" mesajı gönderilir. Bu işlem, birçok saldırı türüne karşı bir önlem olarak kullanılmaktadır.

  • DROP: Trafik sessizce yok edilir; yani, karşı tarafa ne bir hata mesajı ne de bir yanıt gönderilir. Bu, saldırganların varlığını tespit etmelerini zorlaştırır ve içerideki sistem hakkında bilgi edinmelerini engeller.

Örnek bir log kaydı aşağıdaki gibi görünebilir:

2023-10-01 12:00:00; ACCEPT; 192.168.1.10; 192.168.1.20; TCP; 443; Policy ID: 101
2023-10-01 12:01:00; DROP; 203.0.113.1; 192.168.1.30; UDP; 53; Policy ID: 0
2023-10-01 12:02:00; DENY; 198.51.100.2; 192.168.1.50; TCP; 80; Policy ID: 102

Bu log kayıtları, analistler için ağın nasıl işlendiğine dair önemli bilgiler sunar.

Neden Drop? Stratejik Fark

"Drop" aksiyonunun tercih edilmesinin başlıca nedeni, siber saldırılardaki belirsizlik ve karşı tarafın izlenmesinin güçleştirilmesidir. Bir paket sessizce engellendiğinde, gönderici bir yanıt alamaz ve bu durumda iç ağda bir sistem bulunup bulunmadığını anlamakta zorlanır. Bu da düşmanca tarama (scanning) aktivitelerinin etkinliğini azaltır. "Drop" stratejisi, genellikle ağ taramaları veya keşif girişimleri açısından alarm sinyali olarak değerlendirilir.

Analiz: Engelleme Kayıtlarındaki Alarm

SOC analistleri için çok sayıda "ACCEPT" logu arasında "DENY" veya "DROP" logları daha dikkat çekicidir. Kısa süre içinde kesilen bağlantılar genellikle bir keşif çalışmasını veya bir saldırı girişimini işaret eder. Dolayısıyla analistler, düzenli olarak gelen "Deny" veya "Drop" log deseni arayışında olmalıdırlar. Bu tür loglar, sistemin güvenliğini ve ağın istikrarını sağlamak için kritik öneme sahiptir.

Log verilerinin analizi sırasında karşılaşılabilecek bir örnek senaryo şu şekilde olabilir: Tek bir kaynaktan çok sayıda "deny" veya "drop" kaydı alındığında, bu durum genellikle o kaynağın potansiyel bir tehdit olduğunu gösterir. Bu tür aktiviteler hızlı bir şekilde ele alınarak, gerekli önlemler hızla alınmalıdır.

Kural Eşleşmesi: Policy ID

Her firewall logunda, trafiği yönetmek için bir politika (policy) ID'si bulunur. Bu ID, logun hangi kurala tabi olduğunu ve bu bağlamda nasıl bir işlem yapıldığını belirlemek için kritik bir bilgi sunar. Örneğin, log kayıtlarında karşılaşacağınız Policy ID bilgisi ile belirli bir kuralın hangi koşullarda devreye girdiğini analiz edebilirsiniz.

Policy ID: 101; RULE: Allow HTTPS Traffic; ACTION: ACCEPT

Bu tür bilgiler, tüm ağ güvenlik politikalarının etkinliğini değerlendirmede önemli bir yer tutarak daha güvenli bir sistem oluşturulmasına olanak sağlar.

Özet: Trafik Yönleri ve İzleme

Firewall logları, ağın farklı bölgeleri (zones) arasındaki güvenliğin denetiminde önemli bir rol oynamaktadır. İki ana trafik yönü bulunur: Inbound (Giriş) ve Outbound (Çıkış). Her ikisi de siber tehditlerin izlenmesi, ağın durumunun değerlendirilmesi ve gerekli tedbirlerin alınması için analiz edilmektedir.

Yanal (Lateral) trafik izlemeleri de ayrıca önemlidir çünkü içerideki bölümler arasında (örneğin, muhasebe ile sistem arasındaki trafik) kimlerin veya nelerin hareket ettiğini anlamak, potansiyel iç tehditlerin belirlenmesine katkı sunar.

Doğru yapılandırılmış bir firewall, detaylı log analizleri sayesinde mevcut tehditleri tanımlamakta ve önlem almakta önemli bir araçtır. Tüm bu nedenlerle, firewall loglarının dikkatli bir şekilde incelenmesi ve analiz edilmesi, siber güvenlik stratejisinin temel taşlarından birini oluşturur.

Risk, Yorumlama ve Savunma

Firewall logları, bir ağın güvenlik durumunu izlemenin ve yönetmenin temel araçlarından biridir. Bu loglar, siber güvenlik alanında kritik bir rol oynar; ancak doğru yorumlanmadıklarında yanlış anlaşılmalara ve potansiyel olarak gözden kaçan tehditlere yol açabilir. Bu bölümde, güvenlik bulgularının değerlendirilmesi, olası zafiyetler ve yanlış yapılandırmaların yarattığı riskler ile bu risklere karşı alınabilecek profesyonel önlemler üzerinde duracağız.

Elde Edilen Bulguların Yorumlanması

Firewall loglarında üç ana aksiyon bulunmaktadır: Accept, Deny ve Drop. Her birinin güvenlik açısından farklı anlamları vardır.

Accept logları, bir ağ paketinin kurallar doğrultusunda geçişine izin verildiğini gösterir; bu durum, ya olağan bir trafik akışını ya da başarılı bir sızma girişimini işaret edebilir. Bu nedenle, çok sayıda "Accept" kaydı, izlenmesi gereken normal bir trafiği temsil edebilir, fakat aynı zamanda yaşanan bir güvenlik ihlalinin de belirtisi olabilir.

Deny logları ise gerekli kurallara uymayan trafiğin engellendiğini gösterir ve karşı tarafa “bağlantı reddedildi” mesajı ile bildirilir. Bu tür loglar, genellikle bir saldırı girişiminin olduğu veya kötü niyetli bir aktivitenin fark edildiğinin göstergesidir. Bu noktada, "Deny" loglarının yoğun olması, olası bir tehdit veya ağ taraması olduğunu işaret eder.

Deny: "192.168.1.10" -> "172.16.0.5": TCP Port 80 | Policy ID: 15

Drop logları ise trafik paketinin sessizce çöpe atıldığını gösterir; bu durumda, pakete hiç bir geri bildirim verilmez. Bu strateji, saldırganların pek çok paket gönderimi yaptığında, ateş duvarının bir sistem olup olmadığını anlamasını zorlaştırır. Yine, bu loglar da potansiyel tehditlerin izlenmesi için kritik öneme sahiptir.

Yanlış Yapılandırmalar ve Zafiyetler

Firewall loglarının analizi, yapılandırma hatalarını ve potansiyel zafiyetleri açığa çıkarabilir. Örneğin, "Policy ID: 0" veya "Implicit Deny" kayıtları, trafiğin hiçbir kurala uymadığı için varsayılan olarak engellendiğini gösterir. Bu durum, firewall'un yanlış yapılandırılmış olabileceğinin bir işareti olabilir ve saldırganların ağa erişim sağlama girişimlerini gizli tutmasına olanak tanır. Yanlış bir kurulum, ağın savunmasında kritik bir zayıflık yaratır.

Örneğin, dışa açık bir portun sadece iç ağdan erişime izin verecek şekilde yapılandırılması, dışarıdan gelen tehditlerin göz ardı edilmesine neden olabilir. Bunun sonucunda, saldırganlar tespit edilmeden iç ağa sızma girişiminde bulunabilir.

Sızan Veri ve Servis Tespiti

Firewall loglarının analizinde, sızan veri ve hizmet algılaması önemli bir yere sahiptir. "Inbound" trafik verileri, dış tehditlerin izlenmesi açısından kritik öneme sahipken; "Outbound" veriler ise veri sızdırma ve komuta kontrol (C2) trafiğinin takibi için gereklidir. Özellikle sızan verilere dair noktalar, bir güvenlik ihlalinin olmaması açısından detaylı bir şekilde incelenmelidir.

Profesyonel Önlemler ve Hardening Önerileri

Firewall loglarının analizi sonucunda elde edilen bilgilerin güvenliğini artırmak için çeşitli hardening (sertleştirme) önlemleri alınabilir:

  1. Erişim Kontrollerinin Güncellenmesi: Firewall kuralları belirli aralıklarla gözden geçirilmeli ve gereksiz açık portlar kapatılmalıdır.

  2. Logların Sürekli İzlenmesi: Anormal trafik davranışlarını tespit etmek için loglar sürekli izlenmeli ve analiz edilmelidir. Otomatik uyarı sistemleri, güvenlik ihlalleri konusunda proaktif bir yaklaşım için faydalı olabilir.

  3. Güncellemelerin Yapılması: Firewall yazılımı ve donanımı düzenli olarak güncellenmeli, potansiyel zafiyetler için yamalar uygulanmalıdır.

  4. Segmentasyon: Ağın bölümlendirilmesi, potansiyel saldırıların etkisini azaltır ve iç ağdaki hareketliliği kontrol altına alır.

  5. Eğitim ve Farkındalık: Çalışanların siber güvenlik konularında bilinçlendirilmesi, insan faktöründen kaynaklanan potansiyel zafiyetleri minimize eder.

Sonuç Özeti

Firewall loglarının analizi, yalnızca potansiyel olarak kötü niyetli trafiği tespit etmekle kalmaz, aynı zamanda yanlış yapılandırmaların ve zafiyetlerin farkına varma olanağı sunar. Elde edilen bulgular, olası güvenlik ihlallerine karşı darbe indirme ve etkin savunma stratejileri geliştirme açısından kritiktir. Söz konusu önlemler uygulandığında, siber saldırılara karşı dayanıklılığı artırmak ve ağ güvenliğini sağlamak mümkün olacaktır.