Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DHCP SERVER Logları ve SNMP ile Kimlik Takibi

1,248 views

Published on

Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

DHCP SERVER Logları ve SNMP ile Kimlik Takibi

  1. 1. DHCP SERVER Loglarıve SNMP ile Kimlik Takibi Dr. Ertuğrul AKBAŞ eakbas@gmail.com Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar birhotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer.802.1x kimlik denetimi protokolü OSI’ye göreikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs... Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir. DHCP LOGLARI İstemcilere otomatik IP adresi verilmesini sağlayan DHCP servisi, logunda hangi IP adresinin hangi MAC adresine atandığı bilgisini de barındırmaktadır. Bu logun yardımı ile istenen IP adresi bilgisine ulaşma imkanı bulunmaktadır. Ancak kullanıcı DHCP sunucusundan IP adresi almak yerine kendisi IP adresi atayabilir. Bu durumda kullanıcın takibi mümkün olamayacaktır. Aşağıdaki resimde gösterilen Fauna ürünü ile bu loğlar otomatik toplanabilir. http://www.anetyazilim.com.tr/Fauna/v7
  2. 2. Bu DHCP loğlarını otomatik toplayan sistemler mevcut ama Fauna nın farkı akıllı bir mekanizma ile hem bu loğları ARP tablosu loğları ile körele etmesi hem de hangi MAC ın hangi IP yi ne zaman alıp ne zaman bıraktığını takip edip raporlayabilmesidir. Yönlendiricinin ARP Tablosunun Loglanması Yerel ağların oluşturulmasında en çok kullanılan ağ arayüzü Ethernet' tir. Sistemlere Ethernet arayüzü görevi gören ağ kartları takılarak LAN 'lara kolayca eklenmektedir. Ethernet arayüzleri birbirlerine veri paketi göndermeleri için, kendilerine üretim sırasında verilen fiziksel adresleri kullanırlar; 48 bit olan bu arayüzlerin ilk 24 biti üreticiyi belirtir ve 48 bitlik blok eşsizdir. TCP/IP protokolünün kullanıldığı ağlarda 32 bit olan IP adresi kullanılır. Fiziksel katmanda Ethernet arayüzü kullanılıyorsa, IP adresten fiziksel adrese dönüşüm işinin yapılması gerekir. Bunun için sistemlerde adres çözümleme protokolü olan ARP( İngilizce:AddressResolution Protocol ) ve ARP tabloları kullanılır. http://tr.wikipedia.org/wiki/Adres_%C3%87%C3%B6z%C3%BCmleme_Protokol%C3%BC ARP kayıtlarına ulaşabilmek için en çok kullanılan yöntem SNMP ile çekmektir. Örnek SNMP Ayarları Basit Ağ Yönetim Protokolü, (İngilizce: Simple Network Management Protocol) bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar. SNMP, ağ cihazlarında yönetimsel bilgi alışverişinin sağlanması için oluşturulmuş bir uygulama katmanı protokolüdür. TCP/IP protokolünün bir parçası olan SNMP; ağ yöneticilerinin ağ performansını arttırması, ağ problemlerini bulup çözmesi ve ağlardaki genişleme için planlama yapabilmesine olanak sağlar. Günümüzde kullanımda olan 3 tane SNMP sürümü mevcuttur. 3. sürüm SNMP'ye pek çok güvenlik özelliği getirmiştir.
  3. 3. http://tr.wikipedia.org/wiki/SNMP Kullanıcı Konum Tespiti Belirli aralıklarla SNMP ile ARP tablolarını çekmek ve DHCP Server loğlarını analiz etmek konum tespiti için uygulanır. Kullanıcı hangi portta hangi bilgisi için SNMP ile yönetilebilir anahtarlama cihazlarından MAC adres tabloları belirli aralıklarla çekilebilir (1 dakikada 1 gibi...) Mac-notificationsnmp trap DHCP Logları Kullanılır. Sonuç 5651 sayılı kanun getirdiği sorumluluklar çerçevesinde ağ yöneticileri ağ kaynaklarının kullanımını daha sıkı takip altına almak zorundadır. Bu amaçla kullanılan 802.1x ve MAC adresi güvenliği tek başına yetersiz olabilir.. Bu amaçla kullanılabilecek DHCP sunucusu kayıtları kullanıcılar sabit IP kullanmaları durumunda yine yetersiz kalmaktadır.
  4. 4. Diğer çözüm olan üçüncü katman yönlendiricin ARP tablosunun kayıt altına alınması ise her tür IP dağıtım sisteminde kullanılabilmektedir. Ağ yöneticilerinin güniçinde belirli periyotlar da bir bu ARP tablolarının kayıt altına almaları ve DHCP server loğlarını da kullanarak tüm ağın profilini bu anlamda çıkarmak mümkündür. Böylece hem güvenlik takibi amaçlı tam bir çözüm hem de 5651 sayılı kanun çerçevesinde statik IP lerin takibi problemi çözülmüş olur.

×