CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

NetFlow ve IPFIX: Ağ Trafiğini Anlama ve Analiz Etme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

NetFlow ve IPFIX ile ağ trafiğinin nasıl analiz edileceğini, veri sızıntılarını nasıl tespit edeceğinizi öğrenin.

NetFlow ve IPFIX: Ağ Trafiğini Anlama ve Analiz Etme Yöntemleri

Bu yazıda, NetFlow ve IPFIX protokollerini, ağ akışlarının analizi için nasıl kullanılacağını ve siber güvenlikte önemini keşfedeceksiniz. veri sızıntısı tespiti için kritik noktaları inceleyeceğiz.

Giriş ve Konumlandırma

Giriş

Günümüzde siber güvenlik, aşağı yukarı her organizasyonun yönetiminde kritik bir öneme sahiptir. Özellikle, ağ trafikleri üzerinde gerçekleştirilen analiz ve izleme çalışmaları, siber saldırıları tespit etme ve önleme konusundaki becerilerimizi önemli ölçüde artırmaktadır. Bu bağlamda, NetFlow ve IPFIX protokolleri, ağ trafiğini anlamak ve analiz etmek amacıyla yaygın olarak kullanılmaktadır.

NetFlow Nedir?

NetFlow, ağ trafiğinin içeriğini değil, sadece özet bilgisini tutan bir protokoldür. Aktarılan verinin asıl içeriğinin detaylarına girmeden, ağda hangi trafiğin ne kadar yer kapladığını, kimin kiminle iletişim kurduğunu ve hangi uygulamaların en fazla band genişliği kullandığını anlamaya olanak tanır. Dolayısıyla, NetFlow sayesinde, ağ üzerinde meydana gelen olayların analizi için gerekli olan kritik verileri toplamak mümkündür. Örneğin, bir ağ yöneticisi, belirli bir zaman aralığında bir IP adresinden gelen toplam veri miktarını gözlemleyerek, bu kaynağın ağdaki rolünü değerlendirebilir.

Ağ Yöneticisi:
Toplam Veriler
- Kaynak IP: 192.168.1.1
- Hedef IP: 192.168.1.2
- Bayt Sayısı: 450.000

Öneminin Vurgulanması

NetFlow verisi, siber güvenlik açısından son derece önemlidir. Birçok siber saldırı, özellikle veri sızıntıları ve servis dışı bırakma saldırıları (DDoS), ağın normal trafiği üzerinde anormallikler gösterebilir. Bu nedenle, NetFlow akışlarının analizi, potansiyel tehditlerin erken aşamada tespit edilmesine olanak sağlar. Örneğin, bir ağda norm dışı bir trafik akışı gözlemlendiğinde, bu durum bir veri sızıntısının habercisi olabilir.

Aşağıda, bir veri sızıntısı tespitinin nasıl gerçekleştirileceğine dair bir kısa örnek verilmiştir:

Veri Sızıntısı Analizi:
- Normal Akış Bayt Sayısı: 200 - 300 KB
- Anormal Akış Bayt Sayısı: 5 GB
- Sonuç: Potansiyel veri sızıntısı

Pentest ve Savunma Bakış Açısı

Penetrasyon testi (pen-test) ve siber savunma stratejileri bakımından, NetFlow verileri kritik rol oynamaktadır. Pen-test sırasında, bir ağın zayıf noktalarını belirlemek adına, genellikle bir saldırganın nasıl hareket edeceğine benzer bir yaklaşım sergilenir. NetFlow kayıtları bu süreçte önemli bir bilgi sağlamakta ve ağda olası tarama faaliyetlerinin izlenmesine olanak tanımaktadır. Örneğin, belirli bir IP’nin sistem içindeki porte sıçraması, potansiyel bir tarama aktivitesi olarak işaretlenebilir.

Tarama Tespiti:
- IP Adresi: 192.168.1.100
- Oluşturulan Akış Sayısı: 1500
- Sonuç: Port taraması

Teknik İçeriğe Hazırlık

Bu blog yazısında, NetFlow'un temel bileşenleri ve özellikleri; 5-Tuple yapısı, sürümleri ve verilerin analizi gibi konular detaylı bir şekilde ele alınacaktır. Özellikle, NetFlow'un nasıl çalıştığını, akışların nasıl toplandığını ve toplandığı veri ile siber tehditlerin tespitinin nasıl gerçekleştirilebileceği üzerinde durulacaktır. Ayrıca, IPFIX'in NetFlow'un gelişmiş bir versiyonu olarak sağladığı avantajlar da dikkate alınacaktır.

Sonuç olarak, NetFlow ve IPFIX'in anlaşılması, siber güvenlik profesyonellerinin verimli bir şekilde ağ trafiğini analiz etmeleri ve olası tehditleri etkin bir şekilde tespit etmeleri için temel bir gereksinimdir. Bu blog serisi sayesinde bu kritik konular derinlemesine incelenecektir. Anlayışınız ve ilginiz için teşekkür ederiz.

Teknik Analiz ve Uygulama

Ağın Telefon Faturası: NetFlow

NetFlow, ağ trafiğini analiz etmenin temel bileşenlerinden biridir. Bu protokol, paketlerin içeriğini (payload) değil, yalnızca özet bilgilerini tutarak ağ yöneticilerine ve siber güvenlik uzmanlarına önemli veriler sağlar. NetFlow sayesinde, ağda gerçekleşen veri aktarımını, iletişimi kimlerin yaptığını, kiminle hangi port üzerinden bağlantı kurulduğunu ve veri miktarını gözlemleyebiliriz. NetFlow akışları, genelde dört temel özelliği içerir:

  • Kaynak IP
  • Hedef IP
  • Kaynak Port
  • Hedef Port
  • Protokol

Bu beş bileşen bir araya geldiğinde, bir akış (flow) olarak tanımlanır. Bu akışın izlenmesi, ağın güvenliğini sağlamak için kritik öneme sahiptir.

  Kaynak IP:      192.168.1.1
  Hedef IP:       10.0.0.5
  Kaynak Port:    54321
  Hedef Port:     80
  Protokol:       TCP

Akışın Kimliği: 5-Tuple

Ağ güvenliği ile ilgili birçok analizde, 5-Tuple tanımı önemli bir rol oynamaktadır. Bir NetFlow kaydı, bu beş öğeyi kapsar. Eğer bir akışın 5-Tuple değerleri değişmezse, bu trafik aynı akış olarak kaydedilir. Örneğin; 192.168.1.1 IP adresinden 10.0.0.5 IP adresine giden bir TCP trafiğinin kaynak ve hedef portları değişmediği sürece, bu trafik tek bir akış olarak değerlendirilir.

Bu yapı, ağ yöneticilerinin trafiği analiz etmesine olanak tanırken, anormal durumların tespit edilmesini de kolaylaştırır. Örneğin, eğer bir sunucudan farklı IP adreslerine sürekli olarak veri akışları gerçekleşiyorsa, bu durum potansiyel bir veri sızıntısının göstergesi olabilir.

NetFlow Sürümleri ve IPFIX

NetFlow, zamanla gelişen sürümlerle birlikte farklı standartlara ayrılmıştır. En yaygın sürümler arasında NetFlow v5, v9 ve IPFIX (Internet Protocol Flow Information Export) bulunur.

  • NetFlow v5: En eski ve statik bir yapıya sahiptir. Sadece IPv4 ile uyumlu olup, sınırlı bilgi taşıma kapasitesine sahiptir.

  • NetFlow v9: Şablon tabanlı bir yapıya sahip olup, IPv6 gibi daha geniş veri yapıları ile uyum sağlar.

  • IPFIX: NetFlow v9’un IETF tarafından standartlaştırılması sonucu ortaya çıkan, markadan bağımsız bir versiyondur.

Başlıca Farklar:
- v5: Statik, Yalnızca IPv4
- v9: Şablon, IPv6 Desteği
- IPFIX: Standartlaştırılmış, Evrensel

Ağ yöneticileri, bakmakta oldukları verinin hangi sürümle uyumlu olduğuna göre analizleri derinleştirirler.

Hacim Analizi: Veri Sızıntısı Takibi

NetFlow loglarında dikkat edilmesi gereken en kritik kolon, Bayt Sayısı (Count) kolonudur. Normalde KB seviyelerinde seyreden bir akışın bir anda GB seviyelerine çıkması, veri sızıntısı veya büyük bir dosya transferinin varlığına işaret eder.

Örnek Log:
Zaman: 2023-10-01 12:00:00
Kaynak IP: 192.168.1.100 | Hedef IP: 10.0.0.25 | Count: 1500 KB

Eğer bu kayıtta bir artış gözlemlenirse, ilgili ağ yöneticisi durumu incelemek için önlem almalıdır.

Tarama Tespiti: Flow Pattern

NetFlow, yalnızca veri sızıntısı gibi durumları izlemekle kalmaz, aynı zamanda ağ taramalarını (scanning) da tespit eder. Eğer bir IP adresi kısa bir süre içerisinde çok sayıda farklı IP veya port ile sıfır baytlık akışlar oluşturuyorsa, bu durum bir port taramasının göstergesidir.

Sıfır Baytlık Akış Tespiti:
Kaynak IP:     192.168.1.200
Tarama Hedefleri: 192.168.1.0/24

Bu tür durumlar, ağ yöneticilerinin güvenlik zaafiyetlerini tespit etmesine yardımcı olur, potansiyel saldırılara karşı önlem almasını sağlar.

Mimari: Exporter ve Collector

Ağ cihazları, ürettikleri akış verilerini merkezi bir sunucuya gönderirler. Bu sürece Exporter denir. Verileri toplayan, depolayan ve görselleştiren yapı ise Collector olarak adlandırılır. Genellikle SIEM (Security Information and Event Management) sistemleri bu işlevi yerine getirir.

Exporter > Collector
Ağ Trafiği > Analiz ve İzleme

NetFlow verisi toplama süreci, bu iki bileşen sayesinde etkin bir şekilde yürütülerek, veri güvenliği artırılır.

Özet: Analistin NetFlow Merceği

NetFlow ve IPFIX, ağ trafiğini anlamak ve analiz etmek için güçlü araçlar sunar. Ağ güvenliği uzmanları, bu protokollerin sunduğu bilgilerle anormallikleri tespit edebilir, olası güvenlik ihlallerini önceden belirleyebilirler. Kapsamlı bir NetFlow analizi, sadece trafik izleme ile kalmayıp, aynı zamanda güvenlik stratejileri geliştirmek adına kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Ağ Trafiğini Anlama ve Analiz Etme Yöntemlerinde Risk, Yorumlama ve Savunma

Günümüz ağ altyapılarında, trafik analizi siber güvenlik stratejilerinin temel bir bileşeni haline gelmiştir. NetFlow ve IPFIX, bu trafiği analiz etmek için kullanılan iki önemli protokoldür. Ancak, bu protokoller aracılığıyla elde edilen veriler yalnızca birer istatistiksel bilgi olarak değerlendirilemez; aynı zamanda potansiyel riskleri anlamak ve aktüel savunma önlemlerini planlamak için birer yol haritası sunarlar.

Elde Edilen Bulguların Güvenlik Anlamı

NetFlow verileri, ağ üzerinde geçen akışların özet bilgilerini toplar. Bu veriler arasında kaynak IP, hedef IP, kaynak port, hedef port ve kullanılan protokol gibi bilgilerin yanı sıra, toplam byte sayısı gibi kritik bilgiler de bulunur. Bu bilgilerin analizi, potansiyel siber olaylar ve güvenlik risklerinin tespitinde son derece yararlıdır. Örneğin, normal bir akışta beklenen veri hacmi ile aniden büyük bir artış yaşanması durumunda, bu durum ağda bir veri sızıntısının gerçekleştiğine veya büyük bir dosya transferine işaret edebilir.

Akış Durumu:
- Kaynak IP: 192.168.1.100
- Hedef IP: 203.0.113.5
- Kaynak Port: 443
- Hedef Port: 80
- Byte Sayısı: 10MB (Normal: 200KB)

Bu analizler, özellikle saldırganların çeşitli tehdit türlerini kullanılabilirlik açısından değerlendirirken önemlidir. Örneğin, bir DDoS saldırısı altında, kaynaklar yoğun bir şekilde hedef IP’ye akıtarak yüksek trafik oluşturmaktadır. Bu tür durumların erken tespiti, müdahale sürecinin hızlanmasını sağlar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Ağ cihazlarının yanlış yapılandırılması veya yazılımlarındaki güvenlik açıkları, potansiyel risklerin artmasına neden olabilir. NetFlow verilerinin analizi, belirli bir IP adresinin çok sayıda farklı IP veya port ile "0 byte" akışları oluşturduğunu gösteriyorsa, bu durum port taraması faaliyeti olarak değerlendirilebilir. Yanlış yapılandırmalar, ağda açığa çıkan potansiyel bir zafiyet yaratabilir ve bu durum, yetkisiz erişimlere dolayı izinsiz veri transferi gibi ciddi sonuçlar ortaya çıkarabilir.

Sızan Veri, Topoloji ve Servis Tespiti

NetFlow verileri ile ağ topolojisi ve kullanılan servisler hakkında önemli bulgulara ulaşılabilir. Örneğin, bir hacker’ın iç ağa sızarak başka bir iç sunucuya (lateral movement) geçiş yapması, izlenen akışlar aracılığıyla tespit edilebilir. Yukarıdaki tüm veriler, ağa ait cihazların ve servislerin durumunu anlamamıza yardımcı olur. Ayrıca, IPFIX'in esnek veri yapısı sayesinde daha derinlemesine analiz ve raporlama yetenekleri kazanarak, güvenlik ekiplerinin anomali ve saldırı tespiti için gerekli bilgileri elde etmesini sağlar.

Profesyonel Önlemler ve Hardening Önerileri

  1. Güvenlik Duvarı ve IDS/IPS Sistemleri: Ağın güvenliğini sağlamak için güvenlik duvarı ve IDS/IPS sistemleri kullanılmalıdır. Bu sistemler, ağ trafiğini analiz ederek kötü niyetli aktiviteleri tespit etmede kritik rol oynar.

  2. Kapsamlı Ağ İzleme: Ağ üzerinde NetFlow ve IPFIX verileri ile sürekli izleme yapılmalıdır. Anomalilerin erken tespiti için bu verilerin düzenli olarak incelenmesi gereklidir.

  3. Yazılım Güncellemeleri ve Yamanmalar: Tüm ağ cihazlarının ve uygulamaların güncel kalmasını sağlamak adına düzenli olarak güncellemelerin yapılması ve bilinen zafiyetlerin kapatılması esastır.

  4. Eğitim ve Farkındalık: Çalışanların siber güvenlik tehditleri konusunda eğitilmesi, insan faktörlü hataların azaltılmasına yardımcı olur. Farkındalık eğitimleri, sosyal mühendislik saldırılarına karşı bir savunma mekanizması oluşturabilir.

  5. Ağ Segmentasyonu: Kritik verilerin bulunduğu ağ ortamlarında segmentasyon yapılması, bir saldırının tüm ağa yayılmasını minimize eder. Segmentler arasında yapılandırılmış güvenlik duvarları kullanarak kimlerin hangi verilere erişebileceği kontrol altına alınabilir.

Sonuç Özeti

NetFlow ve IPFIX, ağ trafiğinin analizi için kritik bir araç olmanın yanı sıra, potansiyel güvenlik risklerini değerlendirmek için bir temel sunar. Elde edilen verilerin doğru yorumlanması, olası saldırıların erken tespiti ve savunma stratejilerinin geliştirilmesi açısından önem taşır. Yanlış yapılandırmalar ve zayıf noktalara karşı yapılacak profesyonel önlemler, ağ güvenliğini sağlamanın temel taşlarını oluşturur.