Ana Sayfa

Genel Bilgi

Ülkemizde Ağ Yönetmelikleri

Ağlarda Saatlerin Ayarlanması

Ağlarda Otomatik IP Dağıtımı

Bir Güvenlik Duvarı Uygulaması

Vekil Sunucu Uygulaması

Saldırı Tespiti ve Önlenmesi

Ağ Trafiğinin İzlenmesi

Ağ cihazlarındaki Yük miktarının İzlenmesi

İletişim

Ağ Trafiğinin İzlenmesi ve Kayıt Altına Alınması

5651 sayılı yasaya göre iç ağlarda da oluşan trafiğin kayıt altına alınması ve verilerin altı aydan az ve iki yıla kadar saklanması gerekmektedir. Saldırı tespit sistemleri yalnızca zararlı trafiği kayıt altına alırlar. Oysa tamamen zararsız gözüken ağ üzerindeki bazı faaliyetler suç unsuru içerebilirler. Bu ancak bir şikayet ile ortaya çıkabilir. Örneğin ağ üzerinden yalan haber yaymak gibi. Vekil sunucuların logları ile ancak web ile ilgili kayıtlar tutulabilir. Bir cihaz üzerindeki her tür ağ faaliyetini kayıt altına alabilmek için öncelikle bunlar toplanmalıdır.

Trafik bilgilerini toplayabilmek için Cisco-IOS ile çalışabilen Cisco System tarafından NetFlow adında bir ağ protokolü geliştirilmiştir. Bu IOS tan başka Juniper yönlendiriciler, Linux, FreeBSD ve OpenBSD gibi platformlar tarafından da desteklenmiştir.

Ağ Üzerindeki Trafiği İzleme Araçlarından Bazıları:

tcpdump : Linux, BSD gibi işletim sistemleri ile default olarak gelen bir uygulamadır. Bir arayüz üzerindeki trafik akışını verir.
tcpdump -i ArayüzAdı veya tcpdump -vv -i ArayüzAdı
deseni ile kolayca sonuç elde edebilirsiniz. Daha fazla bilgi için dökümanını okumalısınız.

softflowd : FreeBSD işletim sisteminde port ağacında bulunan üçüncü parti bir yazılımdır. İstenen arayüzler üzerindeki trafik akışı toplanarak istenen cihaza yönlendirilebilir.

softflowd -i fxp0 -n10.1.0.2:4432

Yukarıdaki örnekte fxp0 adındaki arayüz üzerindeki trafik bilgisi toplanarak 10.1.0.2 IP adresli cihazın 4432 nolu portuna gönderilmiştir.

ntop : Unix ve Win32 platformlarında çalışabilen üçüncü parti bir yazılımdır. İstenen arayüzler üzerindeki trafik akışı toplanarak istenen cihaza yönlendirilebilir.

uygulama kurulduktan sonra
ntop -i Arayüzey
komutu ile çalıştırılabilir. Kendi içinde web sunucu yazılımı vardır. ve sonuçlara web üzerinden erişebilirsiniz. protokollere bağlı trafik akışı,band genişliğinin nasıl kullanıldığı, udp ve tcp trafikleri, local trafik hostlar bağlı dağılımlar grafiksel ve rakamsal olarak görülebilir.

nfsen : Web tabanlı nfdump netflow verilerini gösteren bir yazılımdır. FreeBSD işletim sisteminde üçüncü parti bir yazılım olarak bulunur.

• Akışlar, RRD (Round Robin Database) kullanarak paketler ve baytlar olarak netflow verilerini gösterir.
• İstenen netflow verisine kolayca ulaşılabilir.
• Eski tarihlere dönerek istenen verilere ulaşılabilir.
• Çeşitli durumlar için alarmlar yaratılabilir

softflowd ile gönderilmiş veriler nfsen in sağladığı web arayüzü sayesinde kolayca incelenbilir. Hangi verilerin alınacağı /usr/local/etc/nfsen.conf dosyasına tanımlanmalıdır.

U Y G U L A M A   Ö R N E Ğ İ
Not : Örnekler Gerçek Bir Sistemden Alınmış, Ancak güvenlik nedenleriyle verilerde modifikasyon yapılmıştır.

KAYNAKLAR :
tcpdump El kitabı
ntop Ana Sayfası
nfsen Ana Sayfası

DUYURULAR