Bonasus plus bilgi_güvenliği_yönetimi

2,195 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,195
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
27
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Bonasus plus bilgi_güvenliği_yönetimi

  1. 1. ANET Bonasus Plus 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011
  2. 2. Bonasus PlusBonasus Plus İşlevleri: •Log Yönetimi •5651 ve Diğer Standartlara Uyumluluk: •Sox, Cobit, HIPAA, GLBA, ISO 27001 ve diğerleri •Güvenlik standartlarına ve ilgili yasalara uyumluluk •Kurumsal politikaların daha etkili kullanılması •Kurumsal kurallara aykırı davrananların tespiti •Toplam sahip olma maliyetinin azaltılması
  3. 3. Bonasus PlusLog Yönetiminin Önemi ve Bonasus PlusSon zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icinLog Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimisayesinde verimliliği arttırmaktadırlar.Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icinLog Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimisayesinde verimliliği arttırmaktadırlar.Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCIdenetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimlericin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklaribir cok sorunu da tespit etmektedirler.Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimlive saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyetveren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha azcokmesini firsat verir.ReferansSANS Log Survey Raporları
  4. 4. Bonasus Plus- Bilgi Güvenliği •Bilgi güvenliği ihlalleri ve vakaları arttıkça log yönetiminin önemi ve gerekliliği daha iyi anlaşılmaktadır. •ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır. •COBIT, ISO-27001 ve PCI log yönetimine özel vurgu yapmaktadır
  5. 5. Bonasus Plus- Bilgi GüvenliğiBüyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki enbüyük payın loglama sistemlerine ait olduğu bilgisi logyönetiminin gittikçe artan önemini kanıtlar niteliktedir.
  6. 6. Bonasus Plus- Bilgi Güvenliği kullanıcılar ve sistemler için Politika Belirle ve Uygula Güvenli BT Saldırılara ve ihlallere Altyapısı kullanıcılar ve karşı sistemler için Proaktif Koruma Merkezi Erişim Denetimi Komuta ve Kontrol Belirlenen Sıradışı durumları saldırıları ve Yanıtla ve saldırıları Çöz Tespit Et
  7. 7. Temel Log Yönetimi Aktiviteleri• Üretim• Toplama• Depolama• Raporlama• İlişkilendirme• Özetleme• Alarm üretimi• Arşivleme
  8. 8. Bonasus Plus
  9. 9. Bonasus Plus
  10. 10. Teknik Özellikleri:•Dağıtık mimariye sahip•Herhangi bir etmen(agent) kurulumu gerektirmez. Ürün herhangi birajan/etmen ihtiyacı olmadan Windows event loglarını toplar•Platform Bağımsız . •Motor (Engine)Java ve Arayüz PHP•WEB Tabanlı•Çok Kullanıcılı•Yetki Tabanlı Kullanıcılar•Sistem Auto Control •Sistem log kaynaklarından log toplamada yada gelen logların EPS değerlerinde değişiklik olması durumunu algılayıp uyarabilir •Tanınmayan logları algılayıp uyarabilme
  11. 11. Teknik Özellikleri:•Güvenlik ve Network Cihazları ile AD entegrasyonu sağlar •Firewall loglarını Kullanıcı Adı ve Bilgisayar adı ile birlikte görüntüleyip rapor oluşturabilir ve filtreleyebilir •Gelişmiş Korelasyon Yeteneği Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve sınıflandırma işlemlerini yapabilir Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilir tamamen farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir. (Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik duvarlarından gelecek olan port taraması, tek bir port taraması olarak değerlendirip, sınıflandırılabilir)
  12. 12. Teknoloji:•Uzun seneler yapılan AR-GE ile oluşturulan bilgi birikimi: •Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, Girne, KKTC. •Ertuğrul Akbaş "Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi", ISC07 Bilgi Güvenliği ve Kriptoloji Konferansı, 13-14 Aralık,2007, Ankara, Turkiye. •Ertuğrul Akbaş , Hata Yönetimi için Zeki Keşif ve Topoloji Oluşturma Yöntemi ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, pp 157-163, 9-11 Haziran,2005, Istanbul, Turkiye. •Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi, http://www.olympos.org
  13. 13. Teknoloji:•AR-GE •E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey. •E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth International Symposium on Computer and Information Sciences (ISCIS XVI), October, 29-31, 2001, Antalya, Turkey •E. Akbas, E. Murat Esin, "SEAMLESS INTEGRATION OF NETWORK MANAGEMEN PROTOCOL WITH DISTRIBUTED CONTROL", The IJISIP Proceedings (ISSN: 1304-2386), Volume: 1, Number :1, July 2003, International XII. Turkish Symposium of Artificial Intelligence and Neural Networks (TAINN 2003).
  14. 14. Teknoloji:•AR-GE •H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java Mobile Agent Based Network Management Architectures", International Symposium on Computer and Information Sciences XIV (ISCIS14), pp. 975- 982, October 18-20, 1999, Kusadasi, Izmir. •H. Gümüskaya, E. Akbas, T. Dursun, O. Davulcu, "Utilization of CORBA, Mobile Agents, Java, and Web Technologies for Network Management", Reginal Conference on Millitary Communication and Information Systems 99, October 6-8 , 1999, Zegrze, Poland.
  15. 15. Teknoloji:•AR-GE •Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi, http://www.olympos.org •Ertuğrul Akbaş , Bilgi Güvenliği, http://www.olympos.org •Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, http://www.olympos.org •E. Akbas, C. Ersoy, "Multi Constarint Path Finder Algorithm", The Fifteenth International Symposium on Computer and Information Sciences ( ISCIS XV), October, 11-13, 2000, ISTANBUL, Turkey . • •H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java Mobile Agent Based Network Management Architectures", International Symposium on Computer and Information Sciences XIV (ISCIS14), pp. 975- 982, October 18-20, 1999, Kusadasi, Izmir. •
  16. 16. Log Kaynakları? •İşletim Sistemleri: •Windows XP/Vista/7 •Windows Server 2000/2003/2008/R2 •Unix/Linux Türevleri •Nas Cihazları (NetApp) •Uygulamalar: •Dhcp •IIS 6/7/7.5 (W3C) •Apache (Syslog) •Text-Based Log (Csv/Tsv/W3C/Txt/Custom ) •Dansguardain •Postfix
  17. 17. Log Kaynakları? •Firewall / Proxy: •Kerio •Anchiva •ISA/TMG Server •Lucent •Applied Identity •BlueCoat •McAfee-Secure •ARKOON •3Com Computing •Aventail •Astaro •NetApp •AWStats •CheckPoint •NetFilter •Cimcor •Cisco Systems •Snort •DP Firewalls •Clavister •SonicWALL •Electronic Consultants •CyberGuard •Netopia •Global Technologies •D-Link •Network-1 •Ingate •Fortinet •St. Bernard Software •Inktomi •FreeBSD •Sun Microsystems •Lenovo Security •IPCop •WatchGuard Technologies •Juniper •Zywall •NetASQ •Drytek
  18. 18. Log Kaynakları? •Network Cihazları: •Syslog Gönderen Cihazlar •SNMP Trap Gönderen Cihazlar •Email: •Exchange 2003 •Exchange 2007 •Exchange 2010 •IIS SMTP •SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler •Veritabanları •Oracle •MSSQL (*)
  19. 19. Mimari?•Motor (Engine): Logları Toplayıp verileri veritabanınakaydeder ve önceden tanımlı otomatik faaliyetleri yerine getirir•Yönetim Konsolu: WEB Tabanlı Kullanıcı grafik arayüzü ileveritabanına ve engine ‘e bağlanarak genel sistemin yönetilmesinibilgilerin gösterilmesini ve analiz edilmesini sağlar
  20. 20. Mimari?
  21. 21. Mimari?•Performans •İşlenecek kayıt sayısına (EPS) e göre fiziksel kapasite arttırılabileceği gibi Motor Veritabanı Arayüz Farklı fiziksel veya sanal sunuculara eğitimli teknisyenlerce dağıtılarak performans optimizasyonu sağlamaya açık bir mimariye sahiptir.
  22. 22. Mimari?
  23. 23. Raporlar?Anahtar kontrol noktalarının raporlanması– Kullanıcı erişimleri– Kabul edilmemiş, sistem tarafından reddedilmiş erişimler, (bunlar uygulamalar,dosyalar gibi nesneler üzerinde de gerçekleşebilir,– Öncelikli yetkilere sahip kullanıcılar, (Administative, Root Access),– Yetkilendirme yetkisine sahip kullanıcı erişimleri,– Uzaktan bağlantılar (VPN, Uzaktan ve/veya kablosuz erişimler),– Sistem veya uygulama parametrelerinin değişimi,– Erişim yetki seviyelerinin değişimi,– Sistem özelliklerinin değişimi,– Sistem güvenlik yapısının bir parçası olan (AUDIT) mekanizmasının aktiveedilmesi, kaldırılması– Log kayıtlarına erişimler
  24. 24. Raporlar?
  25. 25. Raporlar?•Logon/logoff takibi•Başarısız oturum açma girişimi•Logların silinmesi•Kullanıcı hesabındaki değişikliklerin takibi•Kimlerin ağ üzerinden oturum açtığının belirlenmesi•Web sunucu üzerinde bulunan index.html dosyasındagerçekleşecek değişiklik,•Dhcp sunucu servisinin durması•v.b. 100 lerce hazır rapor
  26. 26. Raporlar?•Tamamen Görsel Raporlar•100 lerce Hazır rapor•Toplist Raporları
  27. 27. Raporlar?•Hazır Raporlar •Trafik Raporları •Firewall Raporları •Saldırı Raporları •Anti-virus Raporları •VPN Raporları •URL Raporları •Mail Raporları •WEB Sunucu Raporları •Proxy Raporları •DHCP Raporları
  28. 28. Raporlar?•Hazır Raporlar •Printer Raporlar •USB Raporları •Dosya Erişim Raporları •Logon/Logoff Raporları •Başarısız Logon Denemeleri
  29. 29. Raporlar?
  30. 30. Raporlar?•Hazır Raporlar •Veritabanı Raporları •Oracle, MSSQL(*)•HIPAA Uyumluluk Raporları •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Nesne Erişim Raporları (Object Access Reports) •Sistem Olayları Raporu (System Events Report) •Oturum Durum Raporu (Host Session Status Report) •Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo •Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
  31. 31. Raporlar?•SOX Uyumluluk Raporları •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Nesne Erişim Raporları (Object Access Reports) •Sistem Olayları Raporu (System Events Report) •Oturum Durum Raporu (Host Session Status Report) •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving) •Oturum Durum Raporu (Host Session Status Report) •Hesap Yönetim Olaylarının Takibi •Kullanıcı Grup Değişikliklerinin Takibi
  32. 32. Raporlar?
  33. 33. Raporlar?•SOX Uyumluluk Raporları-Devam •Kullanıcı Grup Değişikliklerinin Takibi •Denetim Politikalarında Yapılan Değişikliklerin Takibi •Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo •Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai •Kullanıcı Hareketlerinin Takibi •Uygulama Çalıştırma Olaylarının Takibi •Dizin/Dosya Erişim Takibi
  34. 34. Raporlar?
  35. 35. Raporlar?•GLBA Uyumluluğu •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
  36. 36. Raporlar?•Hazır raporların hepsinde tek tıkla •En çok … kullanıcılar •En çok …. URL ler •En çok … IP ler •En çok … makine isimleri •En çok yapılan saldırı tipleri •En çok saldıran virüsler •Seçilen tarihler arasında rapor ve filtreleri oluşturma •Seçilen herhangi bir siteye ulaşanlar •Seçilen herhangi virüsün saldırdığı tarihler ve UTM yada AV sunucu tarafından yapılan işlemler •Vb…
  37. 37. Raporlar?•Bütün Raporlar •Liste •Grafik olarak alınabilir•Bütün Raporlar •PDF •CSV •TXT •HTML•Ayrıca Bazı Raporlar •Crystal Reports •MS Word •Rich Textolarak kaydedilebilir
  38. 38. Raporlar?
  39. 39. Raporlar?•Hazır Raporlar Haricinde Kullanıcı Kendi Raporlarını Tanımlayabilir
  40. 40. Örnek RaporlarLogon-Logoff
  41. 41. Örnek RaporlarLogon-Logoff
  42. 42. Örnek RaporlarLogon-Logoff-Addon
  43. 43. Örnek RaporlarSaldırı Raporları
  44. 44. Örnek RaporlarSaldırı Raporları-Grafiksel
  45. 45. Örnek RaporlarURL Raporları-Grafiksel
  46. 46. Örnek Raporlar5651-İmza
  47. 47. Yeni Rapor TasarlamaÖrnek: Uygulama Çalıştırma Olaylarının Takibi
  48. 48. Yeni Rapor TasarlamaÖrnek: Uygulama Çalıştırma Olaylarının Takibi
  49. 49. ANET Bonasus Plus-Addon
  50. 50. AddonBonasus Plus Eklentileri-Addon •Yazılım - Donanım Envanteri •Sistem Yönetimi ve Kullanıcı Raporları •Olay Günlüğü Yönetimi Eklentisi •Güvenlik Analizi
  51. 51. AddonBonasus Plus Eklentileri-Addon•Bu modüller Etki alanı (Aktive Directory/Domain)olmadan kurulamazlar•Bonasus Plus kurulu sunucudan erişilebilen (Desktop based GUI)arayüze sahiptirler
  52. 52. AddonEnvanter
  53. 53. AddonKullanıcı Yönetimi
  54. 54. AddonSistem Yönetimi
  55. 55. AddonSistem Yönetimi •Server Yönetimi •Bilgisayar Yönetimi •Uzak Makinede Bütün Olayların Yönetimi •Uzak Masaüstü Desteği •Diğer Komutlar •Server Monitoring
  56. 56. AddonOlay Günlüğü Yönetimi Eklentisi
  57. 57. AddonOlay Günlüğü Yönetimi Eklentisi •Gelişmiş raporlama özelliği sayesinde ağınız hakkında derinlemesine raporlar hazırlayabilirsiniz. •Üzerinde gelen yüzlerce hazır kural ve filtre anında kurulum ve kullanıma başlama imkanı sağlar. •Tüm loglar içerisinde büyük kısmı oluşturan önemsiz logların otomatik olarak silinebilmesi •Ağın durumunun grafiksel olarak gözlemlenmesi •Oluşan logların “event browser “ üzerinde hangi bilgileri görmek istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.
  58. 58. AddonGüvenlik Analizi
  59. 59. AddonGüvenlik Analizi •Cisco Pix/ASA , Cisco IPS, Snort IDS ve Microsoft Windows 2008/2003/Vista/XP loglarının görsel analizi ile saldırılar ve bu saldırı lokasyonlarını haritalar üzerinde GörebilirsinizÖrnek:Snort loglarını analiz ederek:<33> snort: [1:1421:11] SNMP AgentX/tcp request [Classification: Attempted Information Leak] [Priority: 2]: {TCP} XX.YY.XXX.YYY:39381 -> ZZ.XXX.YY.Y:7054Saldırının geldiği ÜlkeSaldırı tipi [SNMP SCAN]Ayrıca aynı saldırıyı yapan başka adresler var mı?
  60. 60. ANET YAZILIMDoğu Mah. Bilge Sok. No:2 Kat 5 Daire 4 Pendikİstanbul T: 0216 3540580 F: 0216 3540580ertugrul.akbas@anetyazilim.com.tr ertugrul.akbas@anetyazilim.com www.anetyazilim.com.tr www.anetyazilim.com

×