Kategori arşivi: Rehberler

Siber güvenlik rehberleri, güvenlik hakkında rehberler, sistem ve network rehberleri

Featured, Rehberler

Torrent Üzerinden İndirilen İçerikler Nasıl Takip Edilir?

Herhangi bir IP adresinin son iki hafta içerisinde ne indirdiğini tespit edebilmek mümkün, kişinin makinesine herhangi bir torrent istemcisi kuruluysa ve bir şeyler indiriyorsa neleri indirildiğini bu web sitesi ile tespit edebilirsiniz. OSINT işlemleriniz için kullanabilirsiniz. Bu servis ayrıca ülke ve yıl bazlı en çok indirilen içerikleri de ayrıca kategorize etmiş durumda. Günlük en çok indirilenleri de göstermeyi ihmal etmiyor.

Her neyse örnek olarak ben kendi ip adresimi sorgulatıyorum görebileceğiniz indirme yapmamışım. Ancak benimle aynı IP aralığında yer alan diğer kullanıcılar torrent kullandığı için benzer ip listesinde kendilerini görmemiz mümkün.

torrent

Servisi kullanırken dikkat edilmesi gerekenler

  • Birden fazla kullanıcıya tek bir IP adresi atanabilir. Bu durum kullanıcının ISP\’sine bağlı olarak değişiklik gösterebilir.
  • IP adresi nadirde olsa dinamik olabilir. Bu durumda kullanıcı internete her bağlandığında IP adresi değişecektir bu sebeple indirilen içerikler farklılık gösterebilir.
  • Kullanıcı takip edilmeyen bir torrent indirmiş olabilir.(Nadirde olsa)

Hedefinizi uzun süreli takip edebilir alışkanlıklarını ve/veya sevdikleri içerikleri ortaya çıkartıp bu konu ile ilgili hedef odaklı kimlik avı saldırıları gerçekleştirebilirsiniz, bu noktada yapabileceklerinizi sizin hayal gücünüze bırakıyorum. Ayrıca IP adreslerine nasıl telif hakkı geldiği ile ilgili umarım biraz fikir edinebilmişsiniz diye düşünüyorum.

Peki bu servis nasıl çalışıyor?

Her torrent istemcisinde yer alan DHT(Distributed Hash Table) tabloları kullanılarak kimin ne indirdiğinin bilgisi tutulabiliyor. Siz her ne kadar kendinizde DHT kapatsanız bile, aynı torrenti indirdiğiniz bir başka kişide DHT açık ise otomatik olarak sizde yakalanmış oluyorsunuz. Ayrıca DHT ağına yapılan saldırı ile de bilgileriniz ortaya çıkabiliyor. Daha hızlı torrent indirmenize ve dağıtmanıza imkan sağlayan bu yapı aynı zamanda kullanıcılar için gizlilik ihlallerini de beraberinde getiriyor.

Nasıl Korunabilirim?

Öncelikle halka açık torrent sitelerini kullanmayarak işe başlayın, hemen sonrasında özel torrent sitelerini kullanıyor olsanız bile paralı çözümleri kullanın ve bu durumdan kalıcı olarak kurtulun.

Örnek olarak qBittorrent üzerinde aşağıdaki adımları izleyerek baya bir korunma sağlayabilirsiniz.

Seçenekler > BitTorrent > Gizlilik

Aşağıda yer alan seçenekleri kapatın ve şifrelemeye izin verin.

qbittorrent gizlilik ayarlari dht kapatma anonim torrent indirme jpg

Ücretsiz çözümlerde var yok değil ancak hiç bir şekilde önerilmez. Kullanabileceğiniz bazı yöntemler;

hatta bu konuyla ilgili yazmış olduğum Anonim olarak torrent indirmenin 4 yolu adlı makaleden faydalanabilirsiniz.

Rehberler

OSINT Teknikleri Bölüm 1: Alan Adları

Tehdit istihbaratı, kötü amaçlı yazılım analizi gibi konularının son zamanlarda çok popüler nedense herkes bir şeyleri arıyor, bu yazıda sizlere alan adları hakkında olduğunca fazla bilgiyi bulma yaklaşımlarımı anlatmak istiyorum.

Unutmayın bulunmamışı bulmak gibi bir olayımız yok, gözden kaçan ve/veya yanlış yapılandırılmış sunuculardan alınan bilgiler ışığında ilerleyeceğiz, halka açık araçlar ve teknikleri kullanacağız.

Whois

Belki de elimizin altında bulunması gereken en temel araçlardan bir tanesidir, online aşağıdaki web siteleri aracılığı ile sorgulama yapabileceğiniz gibi,

Aynı zamanda Linux üzerindeki CLI aracı ile de kontrol sağlayabilirsiniz.

whois mertcangokgoz.com

Bu bilgiler alan adını kayıt eden kişiler hakkında bilgi sağlar, kimi zaman proxy arkasında olsa bile birtakım servisler tarafından geçmişe yönelik olarak tespit edilebilir.

whois nasıl bakılır, whois sonucu, whois sorgusu

Belirli bir kuruluşa bağlı olup olmadığı hakkında bilgiler edinebilirsiniz. Phishing tespit edilmesi noktasında önemlidir.

Pasif Analiz

Bu bize, alan adının geçmişte ne işler için kullanıldığını hangi firmada, kimin tarafından satın alındığını ve ne yapıldığı hakkında detaylı bilgiler sunar, bu noktada kullanılabilecek pek çok servis ve hizmet bulunmaktadır. Ancak başlı çaları şu şekildedir

virustotal ile virus tarama, virus scanner, site virus tarama

Bunun dışında Google Cache kullanarak eskiye dönük alan adlarının takibini yapma imkanınızda bulunmaktadır.

cache:https://mertcangokgoz.com

Trafik Analizi

Analiz edilen site eğer internet ortamında çokça kullanıldığı düşünülüyor ise SEO araçlarından faydalanılarak, sitenin trafik kaynakları kontrol edilir. Bunun için kullanılabilecek araçlar

Bu sayede bağlantı ilk olarak nerede ortaya çıktığı, ne gibi yerlerden trafik geldiği ve içeriklerin nasıl ortaya çıktığını basitçe öğrenebilirsiniz. Paralı olan araçlar için kıyıda köşede bir miktar para bulundurmanızı öneririm.

ahrefs seo analizi, site nasıl analiz edilir, seo ahrefs

İçerik Analizi

Mevcut sunulan alan adındaki web sunucusunun içeriğinde ne olduğunu kontrol etmek isteyebilirsiniz. Siteye gitmeden kontrol etmek kimi durumlarda bize hız kazandırabiliyor (API kullanılırsa), VPN veya sanal bir makine aracılığı ile en azından biraz koruma alarak şüphenizle bir web sitesini ziyaret etmelisiniz.

Bu işi biraz taşere etmek isterseniz, HTTP isteğini sizin yerinize yapan ve yakın zamanda betadan çıkan https://urlscan.io/ kullanabilirsiniz.

urlscan web scanner, web sitesi tarama, online site tarama

Siteyi takip etmeniz gereken durumlar olabilir bu noktada size hayati bir servisi önereceğim, https://visualping.io/ bu servis aracılığı ile sitenin istediğiniz bir yerini izlemeye alabilirsiniz. Böylelikle içerik değiştiği anda bildirim alabilir neler olup bittiğine bakabilirsiniz.

visualping ile site izleme, web site monitoring

Teknoloji Tespiti

Web sitesinin kullandığı bileşenleri tespit etmek kullanılan teknolojiyi öğrenmek hedefi tanımak için gerekli, bu amaç için kullanabileceğiniz birden fazla araç bulunmakta

Zafiyet barındıran bir uygulamanın tespiti yapılabilir, gerekli durumlarda aksiyon alınabilir.

Rehberler

Türkiye’de ki Linux Sistemler İçin Tor Bridge(köprü) Ayarları

Güvenlik ve gizlilik denildiği zaman adını sıkça duyduğunuz Tor Network’ü beraberinde pek çok gizlilik sorununu da habercisi olabiliyor. Konu ile ilgili detaylı araştırmaya aşağıdaki bağlantı aracılığı ile ulaşabilirsiniz.

https://turkeyblocks.org/2016/12/18/tor-blocked-in-turkey-vpn-ban/

Bu aşamada kullanıcıların tor düğümlerine bağlanmasının önüne güvenlik sebepleri ile geçildi. Tıpkı VPN bağlantılarının önüne geçilmesi gibi. Ancak kimi zaman tor trafiğine ihtiyacımız olduğu zamanlar oluyor. Bu durumda yapmamız gerekenler oldukça basittir.

Bir ISP e-posta trafiklerine karışamaz. Bu noktada Tor ve ekipmanlarını edinmek için VPN yada ek bir araca gerek duymadan tor browser veya tor uygulamasını direk olarak indirebileceğiz.

E-Posta Aracılığı İle Tor Browser İndirmek

Bu noktada yapmamız gereken popüler e-posta servisimiz aracılığı ile tor üzerinden dosyayı talep etmektir. Bunu yapmanın en kolay yolu gettor@torproject.org adresine boş bir e-posta göndermektir. Gönderdiğiniz e-postaya cevap olarak sizden hangi işletim sistemini kullandığınız konusunda bilgi isteyecek.

tor browser eposta cevap gorsel

Cevap olarak kullanacağımız işletim sistemini belirtiyoruz. Ben iş istasyonumda Windows kullandığım için direk olarak “windows” şeklinde gelen e-postayı cevapladım.

tor browser indirme linkleri eposta ile gorsel

Artık Tor tarayıcısını sisteminizde kullanabilirsiniz. Rehberimizin bu bölümü genel kullanım amacı ile Tor tarayıcısının nasıl indirilebileceğini göstermektedir.

E-Posta Aracılığı İle Tor Bridge(Köprü) Edinmek

Gelelim makalemizin en şıkır şıkır bölümüne, bildiğiniz gibi Tor düğümlerine bağlanmak istediğimiz andan itibaren handshake hataları ile boğuşmak zorunda kalıyoruz. Bu durumun önüne geçebilmek adına bağlantıların herhangi bir köprü ile karıştırılması gerekiyor. Biz bunun için obfs4 kullanacağız.

sudo apt install obfs4proxy

Sistemimize karıştırma işlemleri için kullanacağımız uygulamamızı dahil ediyoruz. 

Sisteminizde tor ve istatistik aracı yüklü değilse aşağıdaki şekilde sisteme ekliyoruz.

sudo apt install tor tor-arm

Kurulum işlemi tamamlandıktan sonra servis çalışmaya otomatik olarak başlayacak ancak hiçbir yere bağlanmayacaksınız. Çünkü engellemelerden dolayı düğümler çalışmayacak.

temsili tor baglanti sorunu

Köprüleme işlemi için bridges@bridges.torproject.org adresine içerisinde “get bridges” yazan bir e-posta gönderiyoruz. Cevap olarak ise bize köprüler rastgele bir şekilde geliyor.

e posta ile tor koprulerini talep etme

İhtiyacımız olan 2 tanesini alıyoruz. Şimdi sıra .torrc yapılandırmaya geldi. 

nano .torrc

Daha önceden kopyaladığım. Tor Bridge(Köprü) bilgileri ile aşağıdaki yapılandırmayı oluşturuyoruz.

UseBridges 1

ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy

Bridge 52.56.208.52:8443 9EA107A1C4B09FB6E45B25A53861D2BAF296B604

Bridge 188.166.35.153:8443 84FF468500F497E3691E7F7A5469CEA71508FEEC

Yapılandırma dosyamız ile işimiz bittiyse, sıra geldi servislerin yeniden başlatılmasına

systemctl restart tor

Yeniden başlatma işlemini tamamladıktan sonra bağlantıların kurulup kurulmadığını anlayabilmek için aşağıdaki komutu veriyoruz.

tail -f /var/log/tor/log

Çıktısı aşağıdaki gibi gözüküyor ise bağlantı başarılı bir şekilde kurulmuş demektir. 

Nov 16 12:53:21.000 [notice] Bootstrapped 0%: Starting
Nov 16 12:53:22.000 [notice] Bootstrapped 80%: Connecting to the Tor network
Nov 16 12:53:23.000 [notice] Bootstrapped 85%: Finishing handshake with first hop
Nov 16 12:53:24.000 [notice] Bootstrapped 90%: Establishing a Tor circuit
Nov 16 12:53:24.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
Nov 16 12:53:24.000 [notice] Bootstrapped 100%: Done

Bu aşamadan sonra istediğiniz gibi Tor network’ünü kullanabilirsiniz.

  • SOCKS Bağlantı noktası: 127.0.0.1:9050
Rehberler, Featured

Sunucu Üzerinde WebShell Tespit Etme Yöntemleri

Herkesin başına gelebilecek bir durum olan ve halk arasında “shell yedim, hacklendim, virüs bulaştı” şeklinde ifade edilen PHP web sitelerinin kabusu olan WebShell’lerinin nasıl tespit edilebileceğinden kısaca bahsedeceğim.

Genellikle hosting kullanan arkadaşlarımızın sık sık başına gelen bu olaylar kimi zaman can sıkıcı olabiliyor. Özellikle günümüzde Shell’ler aracılığı ile Link ekleme, Başka web sitelerine reklam amacıyla yönlendirme, Uzaktan içerik çağırma vb saldırılar gerçekleştirilmektedir.

Ancak aynı zamanda kullanılan yazılımlarda bulunan güvenlik açıklıklarıyla ve(veya) yanlış dosya ve(veya) klasör izinleri ile gene bu gizi kötücül yazılımlar sistemlere bulaşabiliyor. 

Dosyaların Taranması İşlemi

Manuel olarak aksiyon alamayacak durumda olanlar için bir takım araçlar kullanarak shell taraması yapabilirsiniz. Bütün dosyalarınızda tarama yapmanızı şiddetle öneririm. Shellboy projesi yardımıyla taramayı gerçekleştireceğiz.

wget https://github.com/c1982/shellboy/releases/download/v0.0.1-beta/shellboy_linux_amd64
./shellboy_linux_amd64 --directory=/home/public

Her hangi bir bulgu olması durumunda uygulama sizi uyaracaktır.

Dosya değişikliklerinin tespit edilmesi

Sistem üzerinde tespit ettiğiniz anormallikleri çözmek için anında işleme geçip sunucu üzerinde son değiştirilen dosyaları kontrol etmeniz gerekir. Bu bize direk Shell’in yolunu verebilir.

Son 7 güne ait php dosyalarında değişiklik yapılan dosya tespiti

find . -type f -name '*.php' -mtime -7

Dosya içerisinde uzak kaynak kontrolü

Kimi zaman sitenizde bir takım alanlar değiştirilmiş olabilir. Bunlar genellikle yönlendirme kodları veya dışarıdan getirilmiş içerikler olabilir. Bunun tespiti için

find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*[a-z]*e[^]* *," --color

Orijinal Dosyalar ile Mevcut Dosyaların Kontrolü

Wordpress, Drupal, Magento vb hazır sistemler kullanıyorsanız. diff komutu aracılığı ile sisteminizde dosyalarını kontrol edebilirsiniz. 

diff -r wordpress/ /var/www/sites/ -x wp-content
  • -x den hemen sonra gelen klasör diff ile kontrol edilmeyecektir. Biz bu örneğimizde wp-content adlı klasöre bakılmaması gerektiğini söyledik.
  • -r ile klasör içinde ne kadar dosya ve klasör içeriyorsa değişiklik kontrolü için dahil edilmesini istedik

Yazma İzinli Klasörlerin Tespit Edilmesi

Kimi zaman sistemde dosyalarınızın izinleri karışmış olabilir, genelde en çok karşılaşılan bu durumu çözmek her ne kadar kolay olsa da tehlikelidir.

find . -type d -perm 0777

Görsel İçerik Görünümlü Web Shell’lerin Tespiti

Kimi zaman uploads klasörüne eklenmiş bir görsel içerik(jpeg, png, gif vb) bile sizin web sitenize etki eden bir shell olabilir. Bu yüzden mevcut görsellerimiz içerisinde bile tarama işlemi gerçekleştirmemiz gerekir.

find uploads -type f -iname '*.jpg' | xargs grep -i php

.htaccess Kontrolü

Kimi zaman saldırganlar web sitenizde bulunan dosyalara ekleme yaparak kancalama atakları yapabilir. Bu gibi durumlarda mevcut dosyalarınızın başına yada sonuna kötü amaçlı yazılım kodları eklenebilir.

find . -type f -name '\.htaccess' | xargs grep -i auto_prepend_file  
find . -type f -name '\.htaccess' | xargs grep -i auto_append_file

Şüpheli Kod Tespiti

Dosyaların içerisinde php’de kullanımı şüpheli olan kodlar olabilir. Bunları tespit etmemiz ve gerekeni yapmamız gerekebilir, wordpress veya drupal gibi hazır sistemler kullanıyorsanız sizi yanıltacak sonuçlar çıkartabilir.

find . -type f -name '*.php' | xargs egrep -i "(fsockopen|pfsockopen|stream\_socket\_client|exec|system|passthru|eval|base64_decode) *\("
  • fsockopen: DDos için kullanılabilir, uzak soket açmaya yarar
  • pfsockopen: uzak soket açar fsockopen ile aynıdır.
  • exec, system ve passthru: sunucuda komut çalıştırmaya yarar
  • stream_socket_client: Uzak bağlantı oluşturur.
  • Her ne kadar komutlar arasına eklememiş olsam da mail fonksiyonu da kullanılabilir. Özellikle spam e-posta gönderimi için oldukça popüler bir kullanımı vardır.

Aramaları tek tek yapmak isterseniz aşağıdaki komutlardan faydalanabilirsiniz.

find . -type f -name '*.php' | xargs grep -l "eval *(" --color  
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color  
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color  
find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "stream_socket_client *(" --color  
find . -type f -name '*.php' | xargs grep -l "pfsockopen *(" --color  
find . -type f -name '*.php' | xargs grep -l "mail *(" --color

Açık bağlantıların kontrolü

Sunucunuz da şüphelenmemiz gereken durumlardan bir tanesi de açık portlar ve servisler, sizin network kaynaklarınızı olumsuz yönde kullanıyor olabilir

netstat -na | grep -i LISTEN

Aynı zamanda sistem kaynaklarınızı kripto para kazımak için kullanabileceklerini unutmayın. Yukarıdaki bağlantı kontrolüne ek sunucunuzun CPU durumuna da bakmayı unutmayınız.

Rehberler

Terminalde SSL Geçerlilik Kontrolü Nasıl Yapılır?

Her zaman web sitelerine girerek SSL sürümlerine, detaylarına ve geçerlilik sürelerine bakma zahmetine ben katlanamıyordum işleri geciktirmekten başka bir işe yaramıyordu.

Testin bitmesi fazlasıyla uzun sürdüğünde çok uğraşıyorduk. Halbuki sistemde bulunan openssl ile kolay bir şekilde bilgileri alabiliyoruz.

Siteden SSL hakkında bilgiler tedarik edilir.

echo GET | openssl s_client -servername mertcangokgoz.com -connect mertcangokgoz.com:443 > cert.txt

Gerekli olan zaman kontrolü yapılacak değer alınır.

openssl x509 -in cert.txt -noout -enddate
Rehberler, Siber Güvenlik

Parrot Security OS Kurulumu

Bu makalede, Parrot Security‘nin bilgisayara adım adım nasıl yükleneceğini göstereceğim. Aslında, Parrot Security kurulumu çokda zor değil. Normal bir linux dağıtımını kurar gibi kolay bir şekilde kurabilirsiniz, verilerinizi kaybetmek istemiyorsanız sanal makine üzerine kurulumunuzu gerçekleştirebilirsiniz.

İlk olarak güncel ISO’yu Parrot Security OS‘un resmi sayfasından indiriyoruz. 64-Bit olan sürümü indirirseniz sizin için daha iyi olur.

İndirme işlemimiz tamamlandıktan sonra, Etcher veya herhangi bir araç ile USB belleğe yazdırıyoruz.

iso yazdirma parrot gorsel

ISO’yu boot ettiğimizde karşımıza kurulum ekranı çıkacak ilk ekrandan “Install” seçeneğini seçiyoruz.

kurulum ana ekran

Ardından bu ekranda “Standart Installer” seçeneğini seçip devam ediyoruz.

parrotos kurulum secim ekrani gorsel1

Ardından işletim sistemimizin dilini “Turkish” olarak seçiyoruz.

parrot os security dil secimi gorsel 2

Kullanılacak bölgeyi seçiyoruz.

parrot os security lokasyon secimi gorsel 3

Klavyemizi seçiyoruz. Bu aşamada Turkish Q seçmeyi unutmayın. Aksi durumda türkçe karakterlerde sorun yaşayacağınızı hatırlatırım.

parrotos security klavye secimi gorsel 4

Burada root kullanıcı parolasını ayarlayın ve ardından Continue’ye tıklayın. Kurulum bittikten sonra Parrot Security’e bu parola aracılığı ile giriş yapacaksınız.

parrotos security root parola tanimlama ve secimi gorsel 5

Sistemde kullanacağımız normal kullanıcımızın kullanıcı adını tanımlıyoruz.

parrotos security kullanici adi tanimlama ekrani gorsel 6

Oluşturduğumuz bu kullanıcının parolasını belirliyoruz.

parrotos security kullanici adi tanimlama ekrani parola tanimlama gorsel 7

Sistem saatimizi ayarlıyoruz. Türkiye’de kullanılan saat dilimi için Istanbul seçmeyi unutmayın.

parrotos security sistem saatini ayarlama gorsel 8

Ardından disk seçimi ve alan ayarlamalarına sıra geliyor. Biz burada LVM uyguluyoruz ilerleyen zamanda diskleri genişletmemiz gerekirse bize kolaylık sağlayacak.

parrotos disk yapilandirma gorsel9

Yapılandırmanın uygulanacağı diski seçiyoruz.

parrotos disk boyutu yapilandirma gorsel10

Yapılandırmanın diske hangi şekilde uygulanması gerektiğini seçiyoruz, ben direk olarak önerilen yöntemi uygulayıp geçtim. kendinize uygun bir bölümlemeyide yapabilirsiniz.

parrotos disk bolumleme grosel11

Yapılandırmamızın LVM olması için onayımızı veriyoruz.

parrotos disk bolme onay ekrani gorsel12

Diskin boyutunu ayarlıyoruz. Tüm alanı veriyoruz.

parrotos security os disk boyutu ayarlama lvm gorsel13

Ardından seçtiğimiz bu değişikliklerin disk üzerine uygulanmasını sağlamak için onay veriyoruz.

parrotos disk degisiklik onayi gorsel14

Ardından Parrot Security OS kurulumumuz başlıyor. Kurulum sistem özelliklerinize göre 30 dk kadar sürebilir.

parrotos security os disk kopyalama baslama islemi gorsel15

Rehberler

Yeni Güvenlik Başlığı: Feature Policy Genel Bakış

Kullanıcılar CSP’ye alışamadan yeni bir güvenlik başlığı karşınızda, Feature Policy bir sitenin, daha iyi güvenlik ve gizliliğini sağlamak amacıyla belirli tarayıcı özelliklerini ve API’lerini etkinleştirmesine veya devre dışı bırakmasına izin verir. Böylelikle hem güvenlik sağlanmış olur hemde GDPR kurallarına uyulmasında kolaylıklar sağlanır.

neon mistery

Feature Policy, site sahiplerinin belirli bir web platform özelliklerini kendi sayfalarında ve yerleştirilen sayfalarda(iframe) etkinleştirmesine ve/veya devre dışı bırakmasına izin vermek için oluşturulmaktadır.

Siteniz’de kullanabileceğiniz özellikler her ne kadar kısıtlanabilir olsa da, yerleştirilen sayfalarda(iframe) olarak eklediğiniz sitelerde sahip olabileceğiniz özellikleri de kısıtlayabileceksiniz.

HTTP başlıkları aracılığıyla bir Feature Policy kullanıcıya belirtebilirsiniz, size sunulan diğer güvenlik başlıklarının yanına Feature Policy eklemeyi unutmayarak işe başlayabilirsiniz.

Örnek

add_header Feature-Policy "accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'" always;

Gördüğünüz gibi yukarıdaki örnekte bahsi geçen özelliklerin sitemizde kullanılamayacağını belirttik. Bunlar dışında kullanabileceğiniz tam liste ise şu şekilde

  • midi
  • notifications
  • push
  • sync-xhr
  • speaker
  • vibrate
  • fullscreen

Bu liste değişebilir ve değişecektir, değişen özellikleri gözlemleyebilmek için bu bağlantıyı kullanabilirsiniz.

Denetleme Yönergeleri

  • *
  •  ‘self’
  •  ‘none’
  • URL Origin

*

İç ve dış ne kadar iframe varsa hepsine otomatik olarak izin verilen yönergedir.

'self'

Bu, geçerli sayfanın özelliği ile aynı içeriğe sahipse iframe’ler gibi iç içe geçmiş özelliklerinde kullanmasına izin verir, örneğin: kendi web sitenize kendinizden bir iframe vermek.

'none'

Bu özellik mevcut sayfa ve iframe’ler gibi iç içe geçmiş tarama içeriklerinin hepsinin devre dışı bırakılacağını belirtir.

URL Origin

Yanlızca belirtilen kaynaklardan gelen içeriklere izin verileceği anlamına gelmektedir. Örneğin: https://mertcangokgoz.com vb

Bu özelliği destekleyen tarayıcı listesi ise aşağıdaki gibidir. Gördüğünüz gibi sadece Chrome tarafından hali hazırda beta aşamasında desteklenmektedir. Hala geliştirilmekte olan bu özelliğe diğer tarayıcılarında geçmesi an meselesidir.

feature policy destekleyen tarayicilar

Firefox ve Edge gelmesi ile birlikte testlere hız verileceğini unutmamamız gerekiyor. Chrome desteklediği görülse de ön tanımlı olarak kapalı geldiğini de unutmadan hatırlatmak isterim. Aktif etmek için chrome://flags üzerinde “experimental web platform features” sekmesinin aktif hale getirilmesi gerekmektedir.

Chrome Platform
Chrome Draft Explainer
Google Developers

Rehberler

Kendinize Ait Bir Outline VPN Server Kurmak

Outline VPN, Jigsaw firması tarafından oluşturulan yeni açık kaynak kodlu VPN projesi’dir. OpenVPN’den çok daha basit olan Outline teknoloji olarak Shadowsocks proxy hizmetinden yararlanıyor, inanılmaz derecede hızlı, kurulumu kolay bir VPN deneyimi sunuyor.

Jigsaw Nedir?

Aslında Outline VPN, Alphabet firmasının çatısı altında bulunan bir firmadır. Bildiğiniz gibi Alphabet girişimleri destekler Jigsaw’da onlardan sadece bir tanesidir. Ana hatları ile Jigsaw’ın oluşturduğu, Outline VPN yalnızca güvenliği arttırmayı değil, aynı zamanda kurulumu da basitleştirmeyi amaçlamış.

Sistem yöneticisi olmasanız bile oldukça kolay bir şekilde kurabiliyorsunuz.

Outline VPN Server Nasıl Kurulur

Kuruluma başlamadan önce Jigsaw’ın mottosundan bahsetmem gerekiyor.

Gazetecilerin, araştırma konularına, kaynaklarla iletişim kurmasına ve haberleri raporlamak için bilgiye güvenli bir şekilde erişmeleri gerekiyor. Outline, haber kuruluşlarının kendi sunucularında sanal özel ağ (VPN) kurmasını kolaylaştırıyor. Bu, haber kuruluşlarına daha güvenli erişim sağlama ve iletişimini özel tutma imkânı verir.

Haydi şimdi kurulum zamanı makineniz mümkünse Debian 9 olsun. Ya da herhangi bir Ubuntu 16.04 makinede olabilir. Biz kurulumu olabildiğince minimal bir şekilde yapacağız. Ama adamlar yapıyı öyle bir kurmuş ki Outline Manager denen uygulamaya eninde bile olmasa sonunda ihtiyacımız oluyor.

Öne çıkan özellikler

  • Tüm sunucuyu kaplamaz Docker üzerinde koşar.
  • Tek bir komut ile çalışmaya başlar.
  • Güncelleştirmeleri otomatik olarak kendisi yapar.
  • Sunucu üzerinden başka uygulamalarda çalıştırabilirsiniz.

İlk önce makineye kurulumlara başlamadan docker kurmamız gerekiyor. Bunun için aşağıdaki yönergeleri takip edebilirsiniz.

apt install curl sudo
sudo curl -sS https://get.docker.com/ | sh

Kurulum tamamlandıktan hemen sonra aşağıdaki parametre yardımı ile kurulumun sunucu tarafında kurulumları tamamlıyoruz.

sudo wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh | bash

Gelelim bana göre en külfet kısma, burada makinemize Outline Manager adında tamamen electron ile yapılmış. Kurulumu kolay ama kaldırması zor bir uygulamayı sistemimize dahil ediyoruz.

İlk kez karşılaştığımızda aşağıdaki ekran bizi bekliyor.

outline vpn

Koşulları kabul ediyor musunuz? Kullanabilmeniz için etmeniz gerekiyor ama okumadan Ok demeyin yoksa aşağıdaki durumlara düşmeyin.

babani yalayacagiz kullanici sozlesmesi

Hee unutmadan, her şeyin bir bedeli vardır. Bu servisi kullanıyorsanız Jigsaw’a birtakım bilgilerinizi kullandıracaksınız. (Anonim olsa bile) Bunların tam listesine ulaşmak için tıklayın.

Okuma işleminiz bittiyse ve hala kurulumu tamamlamak istiyorsanız aşağıdaki yönergeleri takip etmeye devam edin. Uygulamada ana ekrandan hemen sonra sağlayıcıların olduğu bir ekran karşılar sizi bu ekranın en aşağısına ineceksiniz. Get Started demeniz gerekiyor.

outline vpn gorsel 2.PNG s

Kurulumda tamamlanan bir anahtarı girmemiz gerekiyor. Süslü parantez ile birlikte gireceğinizi unutmayın. Terminal ekranında yeşil yeşil olan satırlardan bahsediyorum.

outline vpn gorsel 3.PNG s

Hemen ardından uygulama makineye bağlanacak birkaç ufak ayarlama yapacak makineyi de ekranda göreceksiniz. Siz makinenize isim verebilirsiniz. Ben ön tanımlı olan neyse onu bıraktım. Get Connected butonunu görüyorsunuz ya heh işte ona tıklamanız gerekiyor.

outline vpn gorsel 4.PNG s

Tek tıklama ile beyfendi bağlantı kurmadığı için Connect This Device butonuna tıklamanızı isteyecek.

outline vpn gorsel 5.PNG s

Ardından size bir alan çıkacak bu alan size Outline Client uygulaması aracılığı ile bağlanmanızı sağlayacak bir anahtar sunacak bu anahtarı not alsanız iyi olur zira bağlantıyı bununla sağlayacaksınız.

outline vpn gorsel 6.PNG s

Bu anahtarın tam hali aşağıdaki gibi ve birtakım parametreleri içeriyor.

ss://Y2hhY2hhMjAtaWV0Zi1wb2x5MTMwNTppRUp1emFseDFia3k=@24.35.156.201:8493/?outline=1

Kurduğunuz makineye arkadaşlarınızı da dahil etmek isterseniz. Add Key yönergesini takip ederek bir anahtar oluşturun. Share butonuna basarak da aşağıdaki alana ulaşın.

outline vpn gorsel 7.PNG s

Sonuç olarak size arkadaşınıza paylaşa bilesiniz diye aşağıdaki gibi uzunca birkaç satır verecek. Arkadaşlarınıza bunu atarak gereken işlemleri yapmalarını sağlayabilirsiniz.

You’re invited to connect to my Outline server. Use it to access the open internet, no matter where you are. Follow the instructions on your invitation link below to download the Outline App and get connected.
https://s3.amazonaws.com/outline-vpn/index.html#/invite/ss%3A%2F%2FY2hhY2hhMjAtaWV0Zi1wb2x5MTMwNTppc0NDSHJKNjNOSlE%3D%4024.35.156.201%3A9761%2F%3Foutline%3D1
-----
Having trouble accessing the invitation link?
Copy your access key: ss://Y2hhY2hhMjAtaWV0Zi1wb2x5MTMwNTppc0NDSHJKNjNOSlE=@24.35.156.201:9761/?outline=1
Follow our invitation instructions on GitHub: https://github.com/Jigsaw-Code/outline-client/blob/master/docs/invitation_instructions.md

Gelelim, elektron ile yazılmış ve makinenizin bağlanmasını sağlayacak olan client uygulamasında yapılacaklara aşağıdaki gibi bir ekran karşılayacak sizi. Yukarıdaki karikatüre dönüp tekrar bir göz atabilirsiniz.

outline client gorsel 1.PNG s

Ardından size yukarıda vermiş olduğu anahtarı kopyalıyoruz. Otomatik olarak ekranda siz kopyaladığınız anda belirecek zaten yapıştırmanıza gerek yok.

outline client gorsel 2.PNG s

Artık VPN bağlantımızı sağlayacak elektron ürünü uygulamamız. Başarılı bir şekilde yapılandırıldı ve artık bağlantı kurmaya hazır. Bu aşamada makineye birkaç kez bağlantı isteği atabilirsiniz. Çünkü ilk başta tek istek ile bağlandığını görmedim. Birkaç kez daha deneyebilirsiniz. Key hatası verecektir. Aldırış etmeden devam edin.

outline client gorsel 3.PNG s

Çok sayıda denemeden sonra hiçbir şekilde bağlantı kurulamaz ise Outline VPN sunucunuz da güvenlik duvarları ayarlarınızı kontrol edin. 1024 ile 65535 aralığındaki tüm portlara izin vermeyi unutmayın. Bunun port tarama ataklarına karşı sunucusu etkisiz kılabileceğini de unutmayın.

Ama benden size ufak bir tavsiye. Gizlilik ihtiyacınız varsa bu uygulamayı kesinlikle kullanmayın. Bu kadar zahmetle uğraşmak yerine burada yer alan ucuz VPN hizmetlerine göz atabilirsiniz.

Rehberler

Shadowsocks Proxy Kurulumu

Shadowsocks, ağ sansürünü geçmek ve belirli web sitelerinde ve web protokollerinde engellemeleri aşmak için kullanılan hafif bir SOCKS5 web proxy aracıdır. Diğer proxy yazılımlarından farklı olarak Shadowsocks trafiği, izleme araçlarında farklılık oluşturmaz ve aynı zamanda kendini gizleyebilecek şekilde tasarlanmıştır. Shadowsocks üzerinden geçen veriler, güvenlik ve gizlilik için ayrıca şifrelenir.

Kurulumu oldukça kolay olan Shadowsocks proxy aracını sistemimiz, Her zaman ki gibi docker ile dahil edeceğiz. Böylelikle sistemi sadece proxy amacıyla kullanmış olmayacağız. İstersek farklı portlar ile farklı uygulamalar çalıştırabileceğiz.

Bu iş için gene DigitalOcean’ı kullanacağız eğer yeni iseniz bir hesap açarak işe başlayın. Bu işlem sırasında bağlantımı kullandığınız taktirde. Yaptığınız ilk ödemede extra 10-25 dolar arası bakiye kazanacağınızı da unutmayın.

Gelelim bu güzelim uygulamanın kurulumuna kurulumu Docker aracılığı ile yapacağımız için sistemimize docker kurulumunu yapmamız gerekiyor. Bunun için aşağıdaki parametreyi kullanabilirsiniz.

sudo curl -sS https://get.docker.com/ | sh

Kurulum tamamlandıktan sonra hazır ayarlanmış. Docker imajını indiriyoruz.

docker pull shadowsocks/shadowsocks-libev

İmajı indirmemiz internet hızına göre değişiklik gösterecektir. Türkiye üzerinde herhangi bir datacenter da kurulum yaparsanız. Bu işlemin uzun süreceğini hatırlatırım zira yurt dışından gelen bağlantılar tüm ülke üzerindeki switchleri geziyor.(garip…)

İndirdiğimiz imajı parametreler ile başlatalım. Burada önemli olan 2 nokta bulunuyor. Ben sizin için bu alanları doldurup bir örnek hazırladım. Bu örnek içerisinde PASSWORD alanı proxy adresine bağlanacağınız parolayı belirliyor. 443 ise bağlantı sağlayacağınız portu belirliyor. Bu portu kafanıza göre verebilirsiniz. Ancak şifreli kanallarda kullanılan portları seçmeniz sizin için daha iyi olacaktır.

docker run -e PASSWORD=a18ea766bd6bc573 -p443:8388 -p443:8388/udp -d --restart always shadowsocks/shadowsocks-libev

İşlem sonlandığında docker ps -a komutu ile sistemin çalışıp çalışmadığını gözlemleyebilirsiniz. Shadowsocks proxy çalıştığından emin olduğumuza göre sıra geldi gerekli istemci ile sistem üzerinde bağlantı sağlamaya bunun için pek çok araç var.

shadowsocks clients download page

Ben windows tarafındaki istemcisini kullanacağım. Bunun içinde C# ile yazılmış olan aracı yani shadowsocks-windows uygulamasını indiriyorum. Kullandığım ayarlar da aşağıdaki gibi sizlere örnek olsun.

shadowsocks windows login.PNG s

Özellikle uygulamada dolu olması gereken 4 alan bulunmaktadır.

  • Server addr
  • Server port
  • Password
  • Encryption

Bunun dışındaki alanlar opsiyon olup doldurmanıza gerek yok. Ayarları kayıt ettikten sonrada uygulama tepsiye küçülecek buradan gerekli ayarlamaları(uygulamanın aktif yada pasif olması durumunu) daha sonrasında yapabilirsiniz.

Ön tanımlı olarak PAC modun da çalışmaktadır.

Featured, Rehberler

Obfsproxy Kullanarak OpenVPN Trafiğinin Gizlenmesi

Bu makalede anonimliğe, güvenliğe ve internete erişim özgürlüğüne karşı çıkan hükümetler tarafından uygulanan yaptırımlara karşı OpenVPN hizmetini sürdürmeye çalışacağız. Bunu yapmak için iki yöntemimiz bulunuyor. Her iki yöntem de, VPN bağlantılarının engellenmesini tanımlayan ve yaptırım uygulanması aşamasında sistemi etkinleştiren “derin paket denetimi (DPI)” olarak bilinen gelişmiş gözetim teknolojisinin saptırılması amacı ile kullanılmasından kaynaklanmaktadır. OpenVPN bağlantıları protokolün hızı, güvenliği ve internet kullanıcıları arasında yüksek popülerliği nedeniyle öncelikli hedeftir.

1649

Obfsproxy, şifrelenmiş bir yapı içinde OpenVPN paketlerini gizler ve derin paket incelemesinde kullanılacak olan “find and block” etkinliklerine karşı dirençli bir hale getirilir. Gelecekte herhangi bir noktada, OpenVPN‘in tespit ve engelleme işlemleri için daha fazla bağışıklık sağlanmasında protokol bazında değişiklik yapılması da gerekecektir. O zamana kadar DPI’dan kurtulmak için bu talimatları kullanabilirsiniz.

Unutmayınız ki bu yöntemler mükemmel değildir. Yeterli bir zamana sahip olduklarında, tanımlayamadığı veya şifresini çözemediği her şeyi bulabilir ve engelleyebilirler. Sunucu IP adreslerini ve anahtarlarını düzenli olarak değiştirerek, ulusal güvenlik duvarlarında gizlenmiş bir şekilde OpenVPN‘e karşı etkisiz olacaktır.

Obfsproxy için OpenVPN Sisteminin Yapılandırılması

Obfsproxy sunucu ve internet arasında oturacak. İstemcilerden gelen paketler şifresi çözülür ve openVPN sunucusuna yönlendirilir. Giden paketler, ağdaki herhangi bir gözetleme aracısına rastgele anlamsız gibi görünen, şifrelenecek ve istemcilere gönderilecektir.

Tanıdık host sağlayıcılarını kullanarak bir proxy sunucu oluşturmamız gerekiyor. DigitalOcean’ı ziyaret ederek ve bir hesap açarak işe başlayın. Bu işlem sırasında bağlantımı kullandığınız taktirde. Yaptığınız ilk ödemede extra 10-25 dolar arası bakiye kazanacaksınız.

Açtığınız hesapta en düşük özelliklerde bir makina açacağız. İşletim sistemi olarak Debian 9 kullanacağız.

apt-get install obfsproxy iptables-persistent

Ardından güvenlik duvarı kardeşimiz için kuralları gireceğiz. Hangi portu kullanacağınızı belirlediyseniz başlayalım. Ben tamamen keyfi bir şekilde 43256 portundan trafiği döndüreceğim için seçimimi bu yönde yapıyorum.

iptables -A INPUT -p tcp --dport 43256 -j ACCEPT
dpkg-reconfigure iptables-persistent

Tabi bu noktadan sonra makina açık hedef haline geleceği için mümkünse firewall kurallarını kendi ip aralığınıza göre tahsis edin. Sabit Ip adresine sahipseniz mümkünse tek ip adresinin bağlantılarını kabul edecek şekilde ayarlayın. Böylece aktif port tarama ataklarına ve tekrarlama saldırılarına karşı koruma sağlayın.

Ardından proxy hizmetinin devamlı açık kalmasını sağlamak amacı ile yeni bir session oluşturalım.

screen -S obfsproxy

Ardından geçerli vpn sunucusundan gelecek olan istekleri kabul etmek ve bağlantıları açmak için aşağıdaki gibi süreci başlatın.

obfsproxy  obfs2 --dest=127.0.0.1:443 --shared-secret=b2e3b923d190c8de99b2716019fc9cd7 server 0.0.0.0:43256

Obfsproxy için başlattığınız session işleminden çıkarmak için Ctrl + a tuş kombinasyonunu kullanın ve ardından klavyenizdeki d tuşuna basın. Süreci sonlandırmak için Ctrl + C tuş kombinasyonlarını kullanabilirsiniz. Ardından exit komutu ile de geçerli terminali sonlandırabilirsiniz.

Burada tanımladığımız ilk port VPN trafiğinin üzerinden akacağı port 43256 ise proxy bağlantımızın akacağı port. Ayarları kendi sağlayıcınıza göre düzenlemeyi unutmayın. Ayrıca bu işlemlerde sadece TCP bağlantıları geçerli olacağını hatırlatırım. UDP üzerinden çalışan herhangi bir VPN servisine obfsproxy tanımlaması yapamazsınız.

Kullanıcı tarafında yapılacaklar

Server tarafında yapacağımız işlemler sonlandı. Sıra geldi bağlantıyı kuracak Client tarafının ayarlamalarına.

Elinizdeki mevcut VPN yapılandırma dosyasında aşağıdaki satırları remote den hemen sonra ekliyorsunuz. Mevcut bağlantı noktasını ise yukarıda bizim tanımladığımız obfsproxy portunu veriyorsunuz.

socks-proxy-retry
socks-proxy  443

Konfigürasyon dosyamız sonunda aşağıdaki gibi oluyor. Her iki servise de kolaylıkla bağlanabiliyoruz.

remote 1.2.3.4 43256
socks-proxy-retry
socks-proxy  443

Her şey tamamsa bağlantınızı sağlayın.

obfsproxy obfs2  --shared-secret=b2e3b923d190c8de99b2716019fc9cd7 socks :443

Bu yaptığımız işlemde hız sorunu meydana gelebilir. Hal böyle alınca internet yavaşlamaları görebilirsiniz. Benim size tavsiyem OpenVPN servisini de aynı VPS üzerinde tutmaktır. Makinaya OpenVPN servisini bu makale ile kurabilirsiniz. Böyle bir durumda yukarıdaki ayarlamalar aynen geçerli olup kısmına 127.0.0.1 girmeniz gerekmektedir.

Ayrıca windows sistem üzerinde obfsproxy ile bağlantı sağlayabilmek için ilk önce sisteminize python kurmalı ve daha sonra paket yöneticisi aracılığı ile obfsproxy kurulumu gerçekleştirmek zorunda kalacağınızı unutmayın.

pip install obfsproxy

obfsproxy windows installs

Daha sonra direk olarak bağlantı işlemini OpenVPN aracılığı ile gerçekleştirin. Bağlantı gerçekleştiğinde durum mesajları görünür. Bu mesajları daha sonra tekrar kontrol etmeniz gerekiyorsa OpenVPN menüsündeki View Log’e tıklayabilirsiniz. OpenVPN sunucunuzun, trafiği Obfsproxy yoluyla proxy edilmek suretiyle bağlandı.

Rehberler

Security.txt Nedir? Nasıl Oluşturulur? Ne İşe Yarar?

Security.txt, web sitelerinin güvenlik politikalarını tanımlamasına izin veren bir standarttır. Security.txt dosyası, güvenlik sorunlarının nasıl bildirileceği konusunda güvenlik araştırmacıları için açık yönergeler belirler.

Security.txt Google için kullandığınız robots.txt’den pek de farksız değildir. Konu hakkın yapılan açıklama ise şu şekildedir.

“When security risks in web services are discovered by independent security researchers who understand the severity of the risk, they often lack the channels to properly disclose them. As a result, security issues may be left unreported. Security.txt defines a standard to help organizations define the process for security researchers to securely disclose security vulnerabilities.”

Yani güvenlik araştırmacıları kimi zaman buldukları açıklıkları veya kusurlu gördükleri yerleri raporlamak isteyeceklerdir ancak iletişim kanalları olmadığı zaman güvenlik sorunlarını bildirmeyeceklerdir. Web sitemiz için oluşturacağımız security.txt dosyamız /.well-known/ içerisinde olmalıdır. Ayrıca sitenizin ana dizinine de ekleyebilirsiniz. Bu well-kown olayının ne olduğuna bakmak için RFC 5785 göz atabilirsiniz.

security txt

Security.txt dosyasını oluşturmak için dikkat edilecek hususlar

Contact

Araştırmacıların güvenlik sorunlarını bildirmek için kullanabilecekleri adrestir. Değer bir e-posta adresi, bir telefon numarası ve / veya bir iletişim sayfası olabilir. Kullanılması ZORUNLUDUR.

Encryption

İstediğiniz bir şifreleme anahtarını göstermenizi sağlar. Güvenlik araştırmacıları şifreli olarak sizinle iletişim kurmak isterlerse kullanacaklardır. Açık anahtarınız doğrudan buraya eklenemeyeceği için pgp-key.txt adıyla siteniz içerisine ekleme yapıp linkleme yapmalısınız. Açık anahtar bir web sitesinden alınacaksa web sitesi HTTPS desteklemeli ve üzerinden linkleme işlemi gerçekleştirilmelidir.

Acknowledgments

Güvenlik araştırmacılarının adlarının geçeceği bir alan belirtmek isterseniz kullanabilirsiniz.

Policy

Güvenlik araştırmacılarına nasıl raporlar sunabileceklerini ve dikkat edilmesi gereken kuralları belirteceğiniz alandır. Bu alanda isteğinize bağlı olarak gizlilik koşulları ve/veya güvenlik politika sayfalarını sunabilirsiniz. Farklı bir sayfa eklenecek ise güvenlik politikalarında sayfa içerisine eklemeyi unutmayınız.

Signature

Bir security.txt dosyasının güvenilirliğini sağlamak için kullanılacak olan imzadır. İmzanın tamamı yazılamayacağı için web sitesinden URL verilmesi gerekmekte ve Encryption gibi eklenmiş olan link HTTPS içermelidir.

Hiring

İlgili iş alanlarının sergilenebileceği bölümdür. Güvenlik araştırmacılarına iş imkânı sağlamak isterseniz bu bölümü kullanabilirsiniz.

Örnek Kullanım

Web sitenize eklemek isterseniz aşağıdaki örneği göz önünde bulundurabilirsiniz. İletişim kurulabilecek yerleri Contact altında belirtebilirsiniz. Herhangi bir sınır bulunmadığı için ben 3 adet eklemeyi tercih ettim. Politika olarak gizlilik sözleşmemizi ekleyip güvenilir kaynak olarakta ilerişim alanımızdaki formu kullanmalarını söyledim.

Contact: mgokgoz@horus.com.tr
Contact: admin@mertcangokgoz.com
Contact: https://twitter.com/mertcangokgoz
Policy: https://mertcangokgoz.com/gizlilik-politikasi/
Encryption: https://mertcangokgoz.com/iletisim/

Securitytxt

Rehberler

SIEM Nedir? Ne Amaç için Kullanılır? Örnek Kurallar Nelerdir?

Bu makalemde sizlere kısaca SIEM‘in ne olduğundan bahsedeceğim ve bu konuda bir kaç örnek kural belirteceğim.

SIEM(Security Information and Event Management) olarak adlandırılıyor. Türkçesi’de tehdit ve olay yönetimi, tabi türkçesini pek kullanan görmek mümkün olmuyor.

Loglar oldukça fazla olmaya başladığında gel zaman git zaman bunların kontrol edilmesi ve aksiyon belirlenmesi gerekiyor. Burada SIEM devreye geliyor. Kurallar yazılıyor ve alarmlar üretiliyor.

siem-gorsel-sunucu

Üretilen alarmlara göre aksiyonlar belirlenip uygulanıyor. Logların tek bir merkezde toplanıp analiz edilmesi işlemi oldukça kolay gözüksede yapı büyüdükçe karmaşık bir hal almaya başlıyor.(uygulamalar ile oldukça basit)

Log yönetimi herşeydir log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını bilemezsiniz. Haliyle bilmediğiniz birşey içinde aksiyon yapamaz sorunları çözemezsiniz.

nedir-ne-ise-yarar-siem

Gelin örnek kurallar ile makalemize devam edelim. Karışık bir şekilde başlangıç için güzel bir liste oluşturdum.

  • Kurum dışı gönderilen maillerin içeriğinde TC kimlik numarası ve(veya) kredi kartı numarası varsa alarm oluştur.
  • Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
  • Mail sunucusundan çok fazla mail gönderiliyor ise alarm oluştur.
  • Mail hesaplarına yurt dışından erişim olur ise alarm oluştur.
  • Şirket web sitesine aynı ip adresinden 20 saniye içerisinde 30’dan fazla GET isteği gelir ise alarm oluştur.
  • Mesai saatleri dışında sunucularda hesap ve/veya uygulamada oturum açılır ise alarm oluştur.

Bu ve bunun gibi pek çok alarm oluşturabilirsiniz. Kullandığınız yapıda ihtiyaçlarınıza göre kural setleri oluşturabilirsiniz. Hazır sistemler kullanıyorsanız. Kendinize göre kuralları özelleştirebilirsiniz.