CyberFlow Logo CyberFlow BLOG
Telnet Pentest

Log ve İz Bırakma Durumu: Siber Güvenlikte Önemi

✍️ Ahmet BİRKAN 📂 Telnet Pentest

Log ve iz bırakma durumu, sızma testlerinde kritik bir kavramdır. Bu yazıda, logların analizi ve iz silme tekniklerini keşfedin.

Log ve İz Bırakma Durumu: Siber Güvenlikte Önemi

Sızma testlerinde log ve iz bırakma durumu kritik bir öneme sahiptir. Bu blog yazısında, logların analiz süreçleri ve iz silme teknikleri hakkında detaylı bilgiler bulacaksınız.

Giriş ve Konumlandırma

Siber güvenlik alanında log ve iz bırakma durumu, modern sistemlerin güvenliğini sağlamak için kritik bir öneme sahiptir. Loglar, bir sistemin faaliyetlerinin kaydedildiği, kullanıcı girişleri, işlemler ve hataların raporlandığı veri setleridir. Bu veriler, sistem yöneticileri ve güvenlik uzmanları için olay sonrası analizler ve tehdit tespiti süreçlerinde vazgeçilmez bir kaynak sunar. Ancak, sızma testleri (pentest) ve kötü niyetli faaliyetler sırasında, saldırganların izlerini silmek veya değiştirmek için kullandıkları çeşitli teknikler de mevcuttur. Bu yazıda, logların ve iz bırakmanın siber güvenlik bağlamındaki önemini ele alacağız.

Logların Önemi

Loglar, bir sistemin durumunu, geçmişteki olayları ve kullanıcı davranışlarını incelemek için kullanılır. Siber saldırılar arttıkça, olası tehditleri tespit etme ve önleme süreçlerinin de log kayıtlarıyla desteklenmesi gerekmektedir. ISO 27001 gibi siber güvenlik standartları, bilgilerin ve sistemlerin korunmasında logların tutulmasını zorunlu hale getirir. Özellikle, Telnet gibi hizmetler kullanılırken yapılan her bağlantı girişimi, başarılı ya da başarısız olsun, işletim sistemi tarafından kaydedilir. Bu, saldırı simülasyonu yapan güvenlik profesyonellerinin kendi ayak izlerini görmesi açısından büyük önem taşır.

Sistem Gözlemleme ve Canlı İzleme

Güvenlik analistleri, sistem loglarını inceleyerek potansiyel tehditleri belirleyebilirler. Kullanıcıların sisteme giriş denemeleri, log dosyaları üzerinde "authentication" kelimesinin kısaltması ile belirtilir. Örneğin, bir Telnet oturumunda bir saldırganın kimlik bilgilerini denemesi loglarda "Failed password" ifadesiyle kaydedilir. Aşağıdaki komut, log dosyasını gerçek zamanlı olarak izlemek için kullanılabilir:

tail -f /var/log/auth.log

Bu tür bir canlı izleme, sistem yöneticilerine giriş denemelerinde anında tepki verme olanağı tanır.

Pentest Açısından İz Bırakma

Pentest sırasında güvenlik uzmanları, saldırganların nasıl hareket ettiğini anlamak için mevcut logları analiz ederken, iz bırakmama tekniklerini de göz önünde bulundurmak zorundadırlar. Kaba kuvvet saldırıları, hatalı giriş denemeleri ve diğer anormallikler log kayıtları aracılığıyla tespit edilebilir. Ancak, sızma testi tamamlandıktan sonra bırakılan izlerin temizlenmesi gerekebilir. Burada, izlerin silinmesi işleminde kullanılan yöntemler, profesyonel sızma testleri sırasında dikkatlice değerlendirilmelidir.

İz Silme Teknikleri ve Anti-Forensics

Siber güvenlikte "iz silme" veya "anti-forensics" olarak adlandırılan teknikler, saldırganların izlerini gizlemek veya yok etmek için başvurdukları yöntemlerdir. Örneğin, Telnet oturumu sırasında yazılıp kayıt altına alınan komutlar, kullanıcıların hareketlerini açıkça ortaya koyar. Bu nedenle, interaktif bir terminal geçmişini temizlemek için aşağıdaki komut kullanabiliriz:

history -c

Ancak, izlerin temizlenmesi sürecinde dikkatli olunmalıdır; zira tamamen iz silmek, bilinçli bir şekilde güçlü bir iz bırakmaya kıyasla daha dikkat çekici olabilir. Bu nedenle, sadece saldırganın IP adresini loglardan ayıklamak gibi "selective deletion" gibi yöntemler tercih edilebilir.

Sonuç

Logların ve iz bırakma durumunun siber güvenlik alanındaki önemi, sistemin güvenliğini sağlamak ve tehditleri tespit etmek açısından büyüktür. Siber saldırılara karşı koruma sağlamak için logları etkili bir şekilde izlemek ve analiz etmek gereklidir. Ancak, bu süreçte dikkat edilmesi gereken bir diğer önemli nokta ise izlerin silinmesi ve kötü niyetli kişilerin saldırılarını gizleme çabalarıdır. Güvenlik uzmanları, hem loglama süreçlerini hem de iz silme tekniklerini iyi bir şekilde anlamalı ve uygulamalıdır. Gelecek bölümlerde, logların analizi ve iz silme tekniklerine dair daha kapsamlı bilgiler sunulacaktır.

Teknik Analiz ve Uygulama

Sistem Loglarını İnceleme

Siber güvenlik alanında log dosyalarının analizi, sistemlerin güvenliğini sağlama açısından kritik bir öneme sahiptir. Log dosyaları, sistemde gerçekleştirilen tüm işlemlerin kaydını tutar ve saldırganların aktivitelerini incelemek için temel bir kaynak oluşturur. Özellikle telnet gibi ağ protokolleri üzerinden yapılan oturumlar, işletim sistemi tarafından otomatik olarak loglanmaktadır. Telnet üzerinden yapılan her bağlantı girişimi, başarılı veya başarısız olsun, kayıt altına alınır. Bu nedenle, log dosyalarının nasıl okunacağı ve analiz edileceği, sızma testi işlemlerinde önemli bir beceri haline gelir.

Örneğin, Ubuntu ve Debian tabanlı sistemlerde telnet giriş kayıtlarını incelemek için şu komutu kullanabiliriz:

cat /var/log/auth.log

Bu komut, kimlik doğrulama ile ilgili tüm logları görüntüleyecektir.

İşletim Sistemlerine Göre Log Yolları

Farklı Linux dağıtımları, log dosyalarını çeşitli yollar altında saklar. Örneğin, Red Hat tabanlı sistemlerde güvenlik kayıtlarını genellikle /var/log/secure altında bulurken, Debian tabanlı sistemlerde bu dosya /var/log/auth.log olarak adlandırılır. Aşağıda bazı yaygın log dosyalarının yolları ve işlevleri gösterilmektedir:

  • Debian/Ubuntu/Kali Linux: /var/log/auth.log (güvenlik kayıtları)
  • Red Hat/CentOS/Fedora: /var/log/secure (kimlik doğrulama logları)
  • Eski sistemler: /var/log/messages (genel servis kayıtları)

Canlı İzleme: tail -f

Log dosyalarının gerçek zamanlı olarak izlenmesi, saldırganların sistem üzerindeki etkilerini anlamak açısından faydalıdır. Aşağıdaki komut ile log dosyasını sürekli olarak takip edebiliriz:

tail -f /var/log/auth.log

Bu komut, auth.log dosyasındaki yeni kayıtları anlık olarak görüntülememizi sağlar. Böylelikle, sistemdeki aktiviteleri (giriş denemeleri, başarılı ve başarısız oturumlar) canlı bir şekilde izleyebiliriz.

Log Satırı Analizi

Bir telnet oturumunun log satırları, saldırganın IP adresi, kullandığı kullanıcı adı ve saldırının türü hakkında doğrudan bilgi sunar. Örneğin, bir log satırı şu şekilde görünebilir:

Jan 01 12:34:56 hostname sshd[1234]: Accepted password for username from 10.0.0.5 port 22 ssh2

Bu satır, 10.0.0.5 IP adresinden belirtilen kullanıcı adıyla başarılı bir giriş yapıldığını göstermektedir. Bu tür bilgiler, bir sızma testi sırasında kritik öneme sahiptir.

Log Döngüsü (Rotation)

Log dosyalarının boyutlarının kontrol altında tutulması için log döngüsü (log rotation) mekanizması kullanılır. Bu, eski log kayıtlarının arşivlenip yeni kayıtların yazılmasına olanak tanır. Örneğin, bazı sistemler günlük bazda ya da haftalık olarak log döngüsü yapar. İşte log döngüsü ile ilgili kullanılabilecek bir servis ismi:

logrotate

Bu şekilde, sistemdeki eski loglar .gz formatında sıkıştırılarak archivedir, böylece disk alanı tasarrufu sağlanır.

Komut Geçmişini Temizleme

Telnet oturumunda yazdığımız her komut, sistemde izi kalır. Bunu önlemek için mevcut oturumun komut geçmişini temizlemek önemlidir. Aşağıdaki komut ile komut geçmişinizi tamamen temizleyebilirsiniz:

history -c

Bu komut, mevcut terminal oturumunuzun komut geçmişini sıfırlayacaktır.

İz Silme (Anti-Forensics) Teknikleri

Sızma testleri sırasında, izlerinizi tamamen silmek pek önerilmez ancak bazı durumlarda IP adresinizi log dosyalarından ayıklamak daha az dikkat çeker. Telnet oturumunda kullanılabilecek bir diğer teknik, gizli geçiş dosyasını boşaltmaktır. Bu dosya genellikle ana dizinde .bash_history olarak bulunur.

echo "" > ~/.bash_history

Log Manipülasyonu: Sed Kullanımı

Log dosyalarında bazen belirli ifadeleri (örneğin, kendi IP adresinizi) sessizce silmek gerekebilir. Bunun için sed komutu oldukça etkilidir. Örneğin, log dosyasından belirli bir IP adresine ait satırları temizlemek için şu komutu kullanabiliriz:

sed -i '/10.0.0.5/d' /var/log/auth.log

Bu komut, auth.log dosyasında 10.0.0.5 IP adresine ait olan tüm satırları siler.

Sonuç

Dijital kanıtların karartılması ve izlerin silinmesi, siber güvenlik alanında önemli bir konu olarak gündeme gelmektedir. Yukarıda belirtilen teknikler ve komutlar, güvenlik uzmanlarının, sistem loglarını analiz etmeleri ve potansiyel saldırıları tespit etmeleri için kritik bir temel sağlar. Bu beceriler, pratik deneyimle birleştiğinde, tüm bir siber güvenlik stratejisinin temel direklerinden biri haline gelir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlikte log yönetimi ve iz bırakma durumu, elde edilen bulguların güvenlik anlamını anlamada kritik bir rol oynar. Log dosyaları, sistemin işleyişi ve anormal aktiviteleri konusunda önemli bilgiler sağlar. Bu bağlamda, sistem logları üzerinde yapılan analizler, potansiyel zafiyetlerin ve yanlış yapılandırmaların tespit edilmesine yardımcı olur.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırma ile zafiyet arasındaki ilişki, siber güvenlikte sıkça karşılaşılan bir durumdur. Örneğin, bir güvenlik duvarı yanlış yapılandırıldığında, yetkisiz kullanıcılar belirli alanlara erişim sağlayabilir. Bu tür bir durum, aşağıda belirtilen loglar aracılığıyla tespit edilebilir:

  • Kaba kuvvet denemeleri: Failed password satırları, sistemde yapılan başarısız girişimlere dair bilgileri içerir. Bu loglar üzerinden, saldırganın hangi kullanıcı isimlerini denediği ve hangi IP adreslerinden giriş yapmaya çalıştığı gözlemlenebilir.

  • Geçersiz kullanıcı girişimleri: Invalid user mesajları, mevcut olmayan bir kullanıcı adıyla yapılan giriş denemelerini ortaya koyar. Bu tür loglar, olası tehditleri belirlemede faydalıdır ve savunma önlemlerinin güçlendirilmesi adına bir başlangıç noktası sunar.

Veri Sızıntısı ve Topoloji Analizi

Sık kullanılan bir başka metot ise, verilerin sızmasının tespiti için log dosyaları üzerinde yapılacak analizdir. Örneğin, güncellenmiş log dosyaları, hangi servislerin ne sıklıkla kullanıldığını ve bunların hangi IP adreslerinden erişildiğini gösterebilir. Bu bilgiler, potansiyel veri sızıntılarını analiz etmek için kritik öneme sahiptir. Önerilen bir yaklaşım, aşağıdaki komutu kullanarak logların izlenmesidir:

tail -f /var/log/auth.log

Bu komut, sızma testi esnasında saldırganların giriş denemelerini gerçek zamanlı olarak gözlemlemenize olanak tanır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte, sadece sorunları tespit etmek yeterli değildir; etkili savunma stratejileri geliştirmek de gereklidir. Aşağıda bazı profesyonel önlemler ve hardening teknikleri bulunmaktadır:

  1. Log İzleme Sistemleri: Logların toplanması ve analiz edilmesi konusunda SIEM (Security Information and Event Management) çözümleri kullanılmalıdır. Bu tür sistemler, logları merkezi bir noktada toplayarak potansiyel tehditleri analiz eder ve gerektiğinde alarm üretebilir.

  2. Immutable Logs: Logların yalnızca yazılabilir, ancak silinemez veya değiştirilemez hale getirilmesi, logların güvenliğini artırır. Bu, saldırganların iz bırakma tekniklerini zorlaştırır.

  3. Gizli Geçmiş Dosyası Yönetimi: Kullanıcıların terminaldeki komut geçmişini kaydeden gizli dosyaların yönetimi, iz bırakan aktivitelerin takibini zorlaştırabilir. Önerilen yöntem, bu dosyaların düzenli olarak temizlenmesidir.

  4. Remote Syslog Kullanımı: Logların uzaktaki güvenli bir sunucuya kopyalanması, logların silinmesi durumunda bile izlerin kalmasını sağlar.

Sonuç

Sonuç olarak, log ve iz bırakma durumu, siber güvenlikte risk değerlendirme süreçlerinin temel taşlarından biridir. Yanlış yapılandırmaların ve zafiyetlerin tespit edilmesi, sistem güvenliğini artırma fırsatlarını ortaya çıkarır. Ayrıca, sızma testleri sırasında elde edilen verilerin dikkatlice yorumlanması, sadece mevcut tehditleri değil, olası gelecekteki saldırı senaryolarını da öngörmeye yardımcı olur. Güvenlik loglarının yönetimi, sistemlerin hardening edilmesi ve etkili savunma stratejilerinin geliştirilmesi, siber güvenlikte kritik öneme sahiptir.