CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

Yön Analizi: Inbound, Outbound ve East-West Trafik Yönetimi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

Siber güvenlikte yön analizi, inbound, outbound ve east-west trafiğinin nasıl yönetilmesi gerektiğini anlatıyor. Güvenlik duvarlarıyla riskleri belirleyin.

Yön Analizi: Inbound, Outbound ve East-West Trafik Yönetimi

Yön analizi, siber güvenlikte inbound ve outbound trafiğinin yanı sıra east-west yönünde gerçekleşen riskleri anlamak için önemlidir. Bu yazıda, her bir yönün analizini detaylıca inceleyeceğiz ve nasıl yönetilmesi gerektiğini öğreneceksiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında ağ trafiği yönetimi, organizasyonların mevcut tehditleri anlamalarına, tespit etmelerine ve bunlarla başa çıkabilmelerine olanak tanıyan kritik bir bileşendir. Bu yönetim, trafiğin yönüne göre farklılıklar gösteren üç ana kategoriyi—Inbound, Outbound ve East-West—incelemekte yoğunlaşır. Her bir trafik yönü, siber güvenlik anlayışımızda farklı bir yere sahiptir ve bu nedenle her biri için ayrı yönetim stratejileri geliştirilmesi gereklidir.

İnbound ve Outbound Trafik

İnbound trafik, dış dünyadan iç ağa gelen veri akışlarını ifade eder. Genellikle bu trafik, web sunucularındaki normal kullanıcı taleplerinden, aynı zamanda potansiyel tehditlerden oluşan kötü niyetli girişimlere kadar geniş bir yelpazeyi kapsar. Örneğin, bir SQL Injection veya Brute Force saldırısı, inbound trafiğin içindeki bir anomali olarak değerlendirilebilir. SOC (Security Operations Center) analistleri, inbound trafik üzerindeki olayları sürekli izleyerek, herhangi bir şüpheli aktiviteyi tespit etmeye çalışır.

Öte yandan outbound trafik, iç ağdan dışarıya doğru giden veri akışını ifade eder. Bu tür trafik, genellikle data exfiltration (veri sızıntısı) ve komut kontrol (C2) trafiği ile ilişkilendirilir. Harici sistemlerle yapılan veri transferleri, sağlıklı bir iletişim sağlasa da, anormal bir yoğunluk ya da beklenmedik bir IP adresine yönelmesi durumunda ciddi güvenlik risklerini barındırabilir. Örneğin, daha önce hiç etkileşime geçmediği bir yurt dışı IP adresine büyük miktarda veri transfer eden bir yedekleme sunucusu, potansiyel bir veri ihlalinin göstergesi olabilmektedir.

Örnek: Bir şirketin yedekleme sunucusu, sabah saat 3:00'te daha önce iletişim kurmadığı bir IP adresine 20GB veri gönderiyorsa, bu bir Outbound anomalisidir.

East-West Trafik Yönetimi

East-West trafik ise, kurum içindeki cihazlar arasında gerçekleşen iletişimi tanımlar. Bu tür trafik, genellikle iki sunucu arasında veya farklı departmanlar arasında veri akışını ifade eder ve geleneksel güvenlik duvarları tarafından yeterince izlenmez. Bu durum, saldırganların iç ağda gizlice hareket etmelerine olanak tanıyabilir.

Yatay trafik yönetimi, organizasyonların iç ağlarını korumak açısından kritik öneme sahiptir, çünkü birçok saldırı, iç networkte daha fazla hareket alanı sağlamak amacıyla doğrudan East-West yönünde gerçekleşir. Bu nedenle, iç ağ trafiği üzerinde uygulanan izleme ve kontrol mekanizmaları, siber güvenlik stratejisinin vazgeçilmez bir parçasıdır.

Neden Önemli?

Siber güvenlik açısından yön analizi, potansiyel tehditleri anlamak ve önlemek için kritik bir bileşendir. Trafik yönlerinin anlaşılması, saldırı zincirinin (Kill Chain) hangi aşamasında olunduğunu belirlemede yardımcı olur ve her bir yön için özel analiz ve koruma yöntemlerinin geliştirilmesine olanak tanır. Ayrıca, inbound ve outbound trafiğin gözlemlenmesi, organizasyonun genel güvenlik postürünü güçlendirirken, East-West trafiğin izlenmesi, iç tehditlere karşı savunma mekanizmalarını artırır.

Özetle, güvenlik duvarları genellikle sadece inbound ve outbound trafikleri izlerken, East-West trafiği izlemek de kritik öneme sahiptir. Saldırganlar, genellikle bu tür trafik üzerinde hareket etmeyi tercih ederek tespit edilmeden ağ içinde ilerlerler. Bu nedenle, yön analizi, siber güvenlik stratejilerinin etkili bir şekilde uygulanabilmesi için vazgeçilmezdir.

Bu yazıda, yön analizinin detaylarını ve her bir trafik yönüne özel stratejileri inceleyeceğiz. Anlaşılacak kavramlar, güncel siber güvenlik uygulamalarında daha etkili bir anlayış oluşturmanıza yardımcı olacaktır.

Teknik Analiz ve Uygulama

Dikey Akış: Kuzey-Güney

Kuzey-Güney (North-South) trafiği, internet gibi dış dünyadan iç ağa gelen veya tam tersi yönde olan trafiği ifade eder. Bu tür trafik genellikle kurumun ana güvenlik duvarından (Firewall) geçer. Bu noktada dikkat edilmesi gereken husus, gelen ve giden trafiğin güvenlik açısından nasıl izleneceğidir.

Gelen (Inbound) trafik, kötü niyetli bir saldırganın iç ağdaki hizmetlere sızma girişimlerini içerebileceği gibi, bir web uygulamasına ait normal hizmet taleplerini de kapsar. Burada, güvenlik analistlerinin temel amacı, özellikle kötü niyetli olan bu trafiği tespit etmek ve engellemektir. Analiz süreçlerinde 'netflow' gibi trafik analizi araçları kritik bir rol oynar.

# NetFlow ile gelen trafiği analiz etmek için örnek bir komut
nfdump -r netflow_data_file -s srcip

Bu komut, kaynak IP adresine göre sıralanmış gelen trafiği analiz etmeye olanak tanır. Analiz sonucunda, hangi IP'lerin en fazla trafiği ürettiği tespit edilebilir.

Dışarıdan Gelen Tehdit

Dış dünyadan gelen (Inbound) trafik, SQL Injection ya da Brute Force gibi saldırılar açısından dikkatle izlenmelidir. Sürekli bir şüpheci yaklaşım sergilemek, güvenlik açıklarını minimize etmek açısından önemlidir. Bu tür tehditleri tespit etmek için mevcut güvenlik sistemlerinin etkinliğinin artırılması gereklidir.

Gelen trafiğin analizinde kullanılan araçların yanı sıra, kullanıcı davranış analitiği (UBA) gibi gelişmiş sistemler de kötü niyetli davranışları tespit edebilir.

Yön ve Risk İlişkisi

Trafiğin yönü, analiste saldırı zincirinin hangi aşamasında olunduğunu gösterir. Örneğin, Inbound trafiği, İlk Erişim (Initial Access) ve sızma girişimleri açısından kritik bir monitöringe ihtiyaç duyar. Bu noktada, ağ yöneticileri için "kill chain" kavramı önemlidir; saldırganların hangi aşamalarda aktarımlar sağladığını anlamak, önleyici tedbirlerin alınmasında faydalıdır.

Kör Nokta: Yatay Trafik

Kurumun iç ağındaki iki sunucu veya iki departman arasındaki yatay trafiğe East-West trafiği denir. Geleneksel güvenlik duvarları genellikle bu trafiği göremez. Yatay trafik analizi, iç ağda potansiyel siber saldırılar için gizli bir alan oluşturabilir.

Bir yedekleme sunucusunun daha önce hiç konuşmadığı bir yurt dışı IP adresine GB'larca veri göndermesi, OUTBOUND (giden) trafik anomalisinin en net örneklerinden biridir. Aşağıdaki örnek kod, yatay trafik analizine yönelik verilere erişim sağlamaktadır.

# Yatay trafik analizi için bir Python örneği
import pandas as pd

data = pd.read_csv('traffic_data.csv')
east_west_traffic = data[(data['Direction'] == 'east-west')]

print(east_west_traffic.head())

Bu kod, trafik verilerini analiz ederek, yatay yönlü trafiği belirler ve ilk beş girdiyi gösterir.

Veri Sızıntısı Radarı

Outbound (giden) trafik analizinin bir diğer önemli yönü ise veri sızıntısı (exfiltration) tespiti ile ilgilidir. Giden trafik analizindeki olağandışı artış, hassas verilerin dışarıya sızdırıldığının kanıtı olarak değerlendirilebilir.

Giden trafik kontrol süreçlerinde analiz edilen IP'ler ve veri boyutları, potansiyel bir tehditin tespiti için kritik bir öneme sahiptir.

Yönü Nasıl Belirleriz?

Akış verisinde yönü belirlemek için "IP Range" (İç IP Bloğu) tanımı kullanılır. Eğer hem kaynak hem de hedef IP bu blokta yer alıyorsa, bu bir East-West trafiğidir. Yön analizi, doğru stratejiler geliştirmek için hayati bir öneme sahiptir.

# IP range kontrolü için filter uygulamak
tcpdump -i eth0 host 192.168.1.0/24

Yukarıdaki komut, belirli bir IP aralığında gerçekleşen trafiği süzerek, iç ağda gerçekleşen olası kötü niyetli aktiviteleri gözlemlemeye olanak tanır.

Özet

Kuzey-Güney kapıları, dış dünyadan iç ağa gelen ve giden trafiği korurken, East-West koridorları, iç ağ trafiğini izlemek için kritik bir role sahiptir. Siber güvenlikte yön analizi, geçerli tehditlere karşı koruma ve saldırı tespit sürecinin merkezinde yer almaktadır. Bu nedenle, önleyici güvenlik tedbirlerinin uygulanması ve sürekli izleme, ağ güvenliğinde evrensel bir gereklilik haline gelmiştir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, yön analizi kritik bir rol oynamaktadır. İnternet üzerinden gelen ve giden trafiğin yanı sıra iç ağda oluşan yatay hareketler de incelenmelidir. Bu bölümde, risklerin tanımlanmasında ve yorumlanmasında önemli olan unsurları ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Gelen (Inbound) trafik, dışarıdan gelen ve iç ağda bulunan sistemlere doğru yönelen trafiği ifade eder. Bu tür bir trafik, açıkça sızma girişimlerini içerebilir ve iç ağa yönelik yetkisiz erişim denemeleriyle doludur. SOC analistleri, bu trafiği sürekli izleyerek şüpheli aktiviteleri tespit etmeye çalışır. Gelen trafiğin güvenliğinin sağlanması, birinci sınıf bir güvenlik duvarı ve IPS/IDS (Intrusion Prevention/Intrusion Detection Systems) kullanımı ile mümkündür.

Örnek:

Eğer bir web sunucusuna gelen trafik aniden 10 kat artarsa, bunun arkasında bir SQL Injection saldırısı olabileceği ihtimali yüksektir.

Giden (Outbound) trafik, iç ağdan dış ağa doğru olan veri akışıdır. Burada, özellikle veri sızıntıları veya C2 (Command and Control) iletişimi gibi tehditler göz önünde bulundurulmalıdır. Giderek sıkılaşan veri koruma yasaları ve hassas verilerin korunması ihtiyacı, bu trafiğin dikkatlice izlenmesini zorunlu kılmaktadır.

Örnek:

Bir yedekleme sunucusunun daha önce hiç iletişim kurmadığı bir dış IP adresine büyük miktarda veri göndermesi, dikkat edilmesi gereken bir Outbound trafik anomalisidir.

Yanlış Yapılandırma ve Zafiyet

Ağ içerisindeki yanlış yapılandırmalar, güvenlik ihlallerine kapı aralayabilir. Avrupa'da bazı kuruluşlar, iç ağları için güvenlik önlemlerini yeterince sıkı almamakta ve bu durum saldırganların iç ağa sızmasına olanak tanımaktadır. Örneğin, yanlış yapılandırılmış bir güvenlik duvarı, iç trafiği korumadan geçirebilir ve saldırganların ağda yatay hareket etmesine fırsat tanıyabilir.

Güvenlik zafiyetleri, genellikle güncel olmayan yazılımlar, zayıf şifre politikaları veya yapılandırmalardaki hatalardan kaynaklanır. Ayrıca, sistemlerin zayıf noktaları, sızan verilerin ortaya çıkmasına veya cihazların birbirleriyle güvenli bir şekilde iletişim kuramamasına yol açabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Ağ içindeki veri akışını izlemek, sızan verilerin tespiti açısından kritik öneme sahiptir. Elde edilen akış verileri, hangi sistemlerde hangi verilerin sızdırıldığı hakkında bilgi verebilir. Örneğin, bir iç sunucudan dışarıya büyük miktarda müşteri verisi geçişi, bir veri sızıntısının açık bir işareti olabilir.

Veri sızıntısı denetimleri için, özellikle kurumsal ağları taramak ve ağ topolojisi hakkında keskin bir anlayışa sahip olmak gereklidir. Ağa bağlı olan her cihazın hangi rollere sahip olduğunu bilmek, potansiyel tehditleri hızlı bir şekilde anlamak ve yanıtlamak açısından faydalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik önlemleri, temel olarak aşağıdaki unsurları içermelidir:

  1. Güvenlik Duvarı ve IPS/IDS Kullanımı: Ağ sınırlarında etkin güvenlik duvarları ve tehdit tespit sistemleri bulundurulmalıdır.
  2. Ağ Segmentasyonu: İç ağda, hassas verilerle diğer ağ elemanları arasında segmentasyon yapılması gereklidir.
  3. Sürekli Monitörizasyon: Ağ trafiği, sürekli мониторирова hỗlmadı, anormallikler için otomatik uyarı sistemleri ile izlenmelidir.
  4. Güvenlik Eğitimi: Çalışanların, olası tehditler ve en iyi güvenlik uygulamaları konusunda düzenli olarak eğitilmesi sağlanmalıdır.

Ayrıca, yazılımların ve donanımların güncellenmesi, sistemin güvenliğini artırmak açısından hayati önem taşımaktadır.

Sonuç

Ağ trafiğinin yönetimi ve analizi, siber güvenlik stratejilerinin temel bir parçasıdır. İç ve dış veri akışlarının izlenmesi, potansiyel tehditler hakkında bilgi sağlar ve yanlış yapılandırmalar veya zafiyetler risklerini azaltır. Güvenlik duvarlarının ve diğer güvenlik önlemlerinin etkin bir şekilde kullanımı, ağın sürekliliğini sağlarken, sızan verilerin tespit edilmesi de organizasyonların güvenlik düzeyini artırmaktadır.