CyberFlow Logo CyberFlow BLOG
Ssh Pentest

Log Analizi ve İz Bırakma: Siber Güvenlikte Temel İlkeler

✍️ Ahmet BİRKAN 📂 Ssh Pentest

Log analizi ve iz bırakma konusunu detaylarıyla ele alan bu blog yazısında, siber güvenlikte dikkat edilmesi gereken temel adımları keşfedin.

Log Analizi ve İz Bırakma: Siber Güvenlikte Temel İlkeler

Siber güvenlikte log analizi yapmak ve iz bırakmamak, pentest süreçlerinin kritik bileşenlerindendir. Bu yazıda, log dosyalarının yönetimi ve iz silme tekniklerini öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında, bilgi güvenliğini sağlamak ve olası tehditleri ortaya çıkarmak için farklı stratejiler ve yöntemler kullanılmaktadır. Bu bağlamda, log analizi ve iz bırakma süreçleri, hem saldırı tespiti hem de etkin bir savunma sağlama açısından kritik öneme sahiptir. Log analizi, sistemlerin ve uygulamaların günlük kayıtlarının incelenmesi ve analiz edilmesi olarak tanımlanabilir. Bu günlükler, sistem yöneticileri ve siber güvenlik uzmanları için önemli veriler sunarak saldırıların kaynağını ve etkisini anlamalarına yardımcı olur.

Logların analizi, siber güvenlikte yalnızca sorunları tespit etmekle kalmaz; aynı zamanda potansiyel zayıf noktaları da ortaya çıkarır. Bir sistemde yapılan her başarılı veya başarısız giriş denemesi işletim sistemi tarafından kaydedilir. Örneğin, bir pentest (penetrasyon testi) sırasında, kendi giriş kayıtlarımızı bulunan IP adresleriyle analiz edebilmek, hangi yöntemlerle sisteme sızdığımızı anlamamızı sağlar. Şifre kırma, kimlik doğrulama ve diğer birçok saldırı türü, log kayıtlarında belirgin bir şekilde yer alır ve bu kayıtlar üzerine yapılan analizler, saldırıların nasıl gerçekleştirildiğini ortaya koyar.

Neden Önemli?

Log analizi ve iz bırakma süreçlerinin önemi, siber güvenlik perspektifinde birkaç ana başlık altında toplanabilir:

  1. Olay Tespiti ve Yanıtı: Log analizi, olayları hızlı bir şekilde tespit etmek ve yanıt vermek için vazgeçilmezdir. Şüpheli aktivitelerin belirlenmesi, güvenlik yönetim sistemlerinin etkinliğini artırır.

  2. Forensic Investigation (Adli Bilişim): Olay sonrası adli bilişim çalışmaları için günlüğe kaydedilen bilgiler kritik öneme sahiptir. Saldırının başlangıç noktası, kullanılan araçlar ve saldırganın hareketleri, log dosyaları aracılığıyla incelenebilir.

  3. Tehditlerin Anlaşılması: Geçmişteki saldırılar incelendiğinde, log analizleri sayesinde benzer tehditlerin önceden tespit edilmesi ve bu tehditlere karşı önleyici tedbirlerin alınması mümkün hale gelir.

  4. Düzenleyici Uyum: Birçok sektörde, regülasyonlar kapsamında log kaydı tutma zorunluluğu bulunmaktadır. Bu nedenle, uygun log dosyalarının yönetimi, yasal uyumluluğun sağlanmasında da önemlidir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber saldırılara karşı koymak için pentest uygulamaları, güvenlik açıklarının test edilmesini ve bu açıkların kapatılmasına yönelik stratejilerin geliştirilmesini sağlar. Ancak bu aşamada, sistemde iz bırakma konusu da göz önünde bulundurulmalıdır. Pentest sonrası, uygulanan testlerin sonuçları üzerinde log analizi yaparak sihirli bir kutu gibi, hangi yöntemlerle hangi bilgilere ulaşılabileceğini anlamak mümkündür. Saldırganların bu bilgileri gizlemek için kullandıkları teknikler (örneğin, log dosyalarını silme veya değiştirme) güvenlik uzmanları için birer öğrenme kaynağı olmalıdır.

Teknik İçeriğe Hazırlık

Log analizi ve iz bırakma üzerine yapılacak derinlemesine incelemeler, birkaç teknik adım ve yöntem içermektedir. Bu adımlar arasında log dosyalarının yönetimleri, izlerin nasıl temizleneceği gibi konular dikkat çekecektir. Özellikle, bir sisteme sızan bir saldırganın loglardan izini kaybettirmek için hangi tekniklerden faydalanabileceği de incelenecektir. Kullanıcı komut geçmişinin silinmesi, log dosyalarının düzenlenmesi gibi yöntemler, siber güvenlik uzmanlarının bilirkişi olarak siber olaylarda karşılaşabilecekleri uygulamalardır.

Log dosyalarını analiz etmek için yaygın kullanılan komutlardan bazıları aşağıdaki gibidir:

# Ubuntu üzerinde giriş kayıtlarını görüntüleme
cat /var/log/auth.log

# Log dosyalarını anlık takip etme
tail -f /var/log/auth.log

Bu ve benzeri komutlar, siber güvenlik uzmanlarının log dosyalarıyla etkili bir şekilde etkileşimde bulunmasına yardımcı olur. Bu içerik, okuyucuları log analizi ve iz bırakma sürecine dair daha derin bir anlayışa yönlendirecek önemli bir başlangıç noktası oluşturacaktır. Gelişmiş anlamları ve teknik uygulamaları eğitim açısından detaylandırarak bu konuyu derinlemesine inceleyeceğiz.

Teknik Analiz ve Uygulama

SSH Loglarını Keşfetme

Siber güvenlikte log analizi, sistemlerdeki olayları takip etmenin ve sızma girişimlerini izlemek için kritik bir adımdır. Özellikle SSH üzerinden yapılan girişler, güvenlik açıklarını ve potansiyel saldırıları anlamada önemli bir rol oynar. Debian ve türevi sistemlerde (örneğin Ubuntu), SSH giriş kayıtları genellikle /var/log/auth.log dosyasında tutulur. Bu dosyayı incelemek için aşağıdaki komutu kullanabilirsiniz:

cat /var/log/auth.log

Bu komut, tüm giriş denemelerinin ve ilgili olayların kaydedildiği log dosyasını görüntüler. Log kayıtları, başarılı ve başarısız giriş denemeleri gibi önemli verileri içermektedir.

Dağıtımlara Göre Log Dosyaları

Farklı Linux dağıtımları, güvenlik loglarını farklı dosyalarda tutmaktadır. Örneğin:

  • Debian/Ubuntu: /var/log/auth.log
  • RHEL/CentOS/Fedora: /var/log/secure
  • Genel sistem olayları için: /var/log/syslog

Bu dosyalar, sistemdeki güvenlik olaylarını denetlemek için önemli bir kaynak oluşturur. Bilgilerinizi doğrulamak ve izlemek için bu dosyaları kullanmak, siber güvenlik alanındaki bilgi birikiminizi artırır.

Canlı İz Takibi: tail -f

Log dosyalarını gerçek zamanlı olarak izlemek için tail -f komutu son derece yararlıdır. Bu komut, log dosyasının sonundaki yeni eklemeleri sürekli olarak takip etmenizi sağlar. Aşağıdaki komutu kullanarak SSH giriş kayıtlarını gerçek zamanlı izleyebilirsiniz:

tail -f /var/log/auth.log

Bu, sistemde hangi girişlerin başarılı ve hangilerinin başarısız olduğunu anlık olarak gözlemlemenizi sağlar. Özellikle bir pentest sırasında, mavi takımın (savunma tarafı) sizi ne zaman fark edebileceğini değerlendirmek açısından faydalıdır.

Log Satırı Analizi

Her bir SSH log satırı, bir saldırganın kimliği ve gerçekleştirdiği eylemler hakkında önemli bilgiler barındırır. Örneğin, "Accepted password" veya "Failed password" gibi ifadeler, giriş denemelerinin durumunu gösterir. Aşağıda birkaç önemli log bileşeninin teknik tanımları verilmiştir:

  • Accepted password: Başarılı bir giriş işlemi.
  • Failed password: Başarısız bir giriş denemesi.
  • Invalid user: Sistemde bulunmayan bir kullanıcı adıyla giriş girişimi.

Bu tür detayların analizi, sistemdeki potansiyel saldırıların ve güvenlik açıklarının tespit edilmesinde kritik öneme sahiptir.

Log Yönetim Mekanizması

Logların diskte ne kadar yer kapladığını yönetmek için çeşitli sistem servisleri mevcuttur. Örneğin, birçok dağıtımda logrotate aracı kullanılarak eski log kayıtları arşivlenir. Pentest uzmanları, daha önce oluşturulmuş .gz uzantılı arşiv dosyalarını inceleyerek eski izleri bulabilirler.

Bash Geçmişini Temizleme

Sistemden çıkmadan önce kullanılan komutların kaydını silmek, bir sızma testi sırasında kritik bir adımdır. Aksi halde, bir sonraki yönetici, terminalde yazılmış tüm komutları görebilir. Bunun için şu komutu kullanabilirsiniz:

history -c

Bu komut, mevcut oturumun terminal geçmişini tamamen temizler. Ancak, daha az dikkat çekici bir yaklaşım izlemek için izlerinizi silmektense sadece görünürlüğünü azaltmak daha etkilidir.

Log Dosyasını Düzenleme (Sed)

Log dosyaları içerisinde iz bırakmamak için sadece kendi IP adresinizi içeren satırları silmek profesyonel bir yaklaşım olarak kabul edilir. Bunun için sed komutunu kullanarak örneğin şu şekilde bir uygulama yapabilirsiniz:

sed -i '/1.2.3.4/d' /var/log/auth.log

Burada 1.2.3.4 silinecek IP adresi olarak belirtilmiştir. Bu yöntem, log dosyasını tamamen silmekten çok daha az dikkat çekmektedir.

İz Silme Teknikleri (Anti-Forensics)

Siber güvenlik alanında, izleri silmek ve kanıt karartma konusunda çeşitli yöntemler bulunmaktadır. Bu teknikler arasında "Timestomp" ve "Remote Syslog" gibi yöntemler yer almaktadır. Timestomp, dosya tarihleri üzerinde falsify yaparak analizin yanıltılmasını sağlarken, Remote Syslog ise logların başka bir güvenli sunucuya gönderilmesini sağlar. Bu sayede yerel silme işlemleri yapıldığında bile iz kalmaya devam eder.

Siber güvenlikte log analizi ve iz bırakma, birçok teknik yöntemi ve stratejiyi içeren karmaşık bir çalışma alanıdır. Bu yazımda sunulan teknikler, sistem yöneticileri ve penetrasyon test uzmanları için temel bir rehber işlevi görmektedir. Log dosyalarının etkin bir yönetimi ve analizi, güvenlik açıklarının tespit edilmesi ve sistemlerin güvenliğinin sağlanması açısından kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte log analizi, sistemin güvenliği açısından kritik bir rol oynamaktadır. Logların doğru bir şekilde yorumlanması, olası zafiyetlerin ve yanlış yapılandırmaların tespit edilmesi açısından büyük önem taşır. Bu bölümde, log analizi yoluyla elde edilen bulguların güvenlik anlamını yorumlayacak, potansiyel riskleri belirleyecek ve en iyi savunma uygulamalarını ele alacağız.

Elde Edilen Bulguların Anlamı

Log dosyaları, sistem üzerindeki etkinliklerin kaydedilmesini sağlayarak, güvenlik profesyonellerine önemli bilgiler sunar. Örneğin, Debian tabanlı bir sistemde bulunan /var/log/auth.log dosyası, SSH üzerinden yapılan başarılı ve başarısız giriş denemelerini içermektedir. Aşağıdaki komut ile bu logları görüntülemek mümkündür:

cat /var/log/auth.log

Log kayıtları üzerinden yapılan analizler, ağda var olan zafiyetleri ve saldırganların potansiyel davranışlarını anlamakta kullanılabilir. "Failed password" gibi log girdileri, potansiyel kaba kuvvet saldırılarının izleri olarak değerlendirilebilir. Aşağıda log satırlarının bir örneği verilmiştir:

Feb 20 12:34:56 hostname sshd[1234]: Failed password for invalid user test from 192.168.1.1 port 22 ssh2

Bu tür kayıtlar, iz bırakma ve saldırganların hangi IP adresinden giriş yapmaya çalıştığı konusunda ipuçları sunar.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırılmış bir sistem, siber saldırganlar için büyük bir fırsat sunar. Örneğin, SSH servisi zayıf parolalarla korunuyorsa veya güvenlik duvarı düzgün yapılandırılmamışsa, saldırganlar bu zafiyetleri kullanarak sisteme sızabilirler. Bunun sonucunda, sistemde hassas verilerin sızdırılması riski artar.

Sızma Sonrası Dikkat Edilecek Konular:

  • Veri Sızıntısı: Saldırganların erişim sağladığı veriler genellikle sistemde ciddi zararlara neden olabilir. Özellikle kullanıcı bilgileri veya finansal veriler gibi hassas verilerin ele geçirilmesi ciddi bir güvenlik ihlali anlamına gelir.
  • Topoloji Analizi: Saldırgan, sistemin yapısını anlamak için logları kullanarak ağ topolojisini analiz edebilir. Bu, gelecekteki saldırıları planlama aşamasında kritik bir bilgi sağlar.

Profesyonel Önlemler

Log yönetimi ve analiz süreçlerinin etkinliği, doğru önlemlerle güçlendirilebilir:

  1. Merkezi Loglama: Tüm logların merkezi bir sunucuda toplanması, herhangi bir iz silme işleminin etkisini en aza indirir. Bu yöntemle, loglar yerel sistemlerden silinse bile merkezi sunucuda saklanmaya devam eder.

    # remote syslog yapılandırması (örnek)
*.* @logserver.example.com:514

  2. Immutable Logs: Log dosyalarının sadece yazılabilir ama silinemez hale getirilmesi, analizi zorlaştırmak için kullanışlı bir yöntemdir. Bu durumda, loglara müdahale edilmesi önlenir.

  3. Auditd Kullanımı: Sistemde yapılan değişikliklerin ve komutların anlık olarak takip edilmesinde Auditd gibi araçlar yararlıdır. Böylece, herhangi bir potansiyel saldırganın etkileri daha hızlı bir şekilde ortaya çıkarılabilir.

  4. Hardening Uygulamaları: Sistem güvenliği için yapılan hardening işlemleri, servislerin gereksiz özelliklerinin ve açık portların kapatılmasını içerir. Örneğin, SSH servisi sadece belirli IP'lerden erişime izin verecek şekilde yapılandırılabilir.

# /etc/ssh/sshd_config dosyasında yapılacak değişiklik
AllowUsers user1@192.168.1.*

Sonuç Özeti

Güvenlik loglarının analizi, sistemin güvenliğini artırmanın en etkili yollarından biridir. Elde edilen bulgular dikkatlice yorumlanmalı ve yanlış yapılandırma gibi potansiyel zafiyetlerin etkileri belirlenmelidir. Uygulanan profesyonel önlemler ve hardening önerileri, siber saldırılara karşı güçlü bir savunma mekanizması oluşturur. Unutulmamalıdır ki, uygun loglama ve analiz politikaları oluşturmak, siber güvenlik stratejilerinin temelini teşkil eder.