DERS 7: İZLEME VE RAPORLAMA

 

Amaçlar:

 

• Intrusion Detection.

• ISA Server aktivitelerini izlemek.

 

 

I. İZLEME ve RAPORLAMA

İzleme (monitoring) ve raporlama (reporting) araçları ISA Server’ın güvenliği izlemek ve oluşan olayları göstermek için kullandığı önemli araçlardır. ISA Server’da izleme ve raporlama işlemleri öncelikle bu işlemlerin planlanmasıyla başlar:

 

A. RAPORLAMA STRATEJİSİ OLUŞTURMAK

ISA Server’da bir raporlama ve izleme stratejisi oluşturmada için şu konuları göz önünde bulundurun:

 

1. Öncelikle izleme ve raporlama stratejinizi belgeleyin.

2. Aktivitelerden toplayacağınız bilgileri kategorize edin. Örneğin real-time alerts (uyarılar), performans ve güvenlik (security) olayları.

3. Oluşan logları yedeklemek için bir plan yapın.

 

 

B. INTRUSION DETECTION

ISA Server, “intrusion detection” olarak adlandırılan kötü niyetli kişilerin sisteme karşı ataklarını izleme ve tepkileri yapılandırma olanağına sahiptir.  Bu işlem IP paketleri düzeyinde ve uygulama düzeyinde yapılabilir.

 

 

1. IP PAKET DÜZEYİ ATAKLARI

IP paket düzeyinde yapılan bu düzenlemede ISA Server birçok olayı anlar ve karşı işlemin yapılmasını sağlar. Bunlardan bazıları şunlardır:

 

All ports scan attack: Kötü niyetli kişilerin sistemde tanımlı portların dışında, diğer portlara erişmeyi denediklerinde oluşur. ISA Server ile erişilebilecek port sayısını belirtilir.

 

IP half scan attack: Kötü niyetli kişilerin hedef bilgisayara sürekli (tekrarlayarak) bağlanmak istemesi durumunda ve TCP paketlerinin belli bayrakları (flag) içermesi durumunda oluşur.

 

 

2. UYGULAMA DÜZEYİ ATAKLAR

Uygulama düzeyinde ise ISA Server yine çok fazla olayı bulur. Bunlardan bazıları şunlardır:

 

DNS hostname overflow: DNS’in host adı olarak belli bir uzunluktan fazlasını yanıtladığında.

DNS length overflow: IP adresinin 4 bayttan büyük olması durumunda oluşur.

 

 

3. INTRUSION DETECTION İŞLEMİNİ YAPILANDIRMAK

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Access Policy’i genişletin ve IP Packet Filters’ı sağ tıklayın ve Properties’i seçin.

2. IP Packet Filtering Properties iletişim kutusunda, General sayfasında Enable packet filtering ve Enable Intrusion detection seçeneklerini seçin.

3. Intrusion Detection sayfasında ise diğer IP paketi düzeyini seçeneklerini seçin.

Port scan seçeneğini seçtiyseniz, portları belirleyin.

 

 

C. ISA SERVER OLAYLARI (EVENTS)

ISA Server’ın çalışması sırasında çeşitli olayları (events) ve koşulları saptayıp onları bir uyarı (alert) olarak sistem yöneticisine ulaştırabilirsiniz.

 

Aşağıdaki tabloda detect (saptanabilecek) edilebilecek bazı ISA Server olayları yer almaktadır:

 

Olay                                        Açıklama

DNS intrusion                           Host name taşması vb DNS atakları.

Intrusion detected                     Bir dış kullanıcının kötü niyetli bir atakta bulunması

IP packet dropped                   Bir ilkeye karşı gelen bir IP paketinin düşürülmesi

IP protocol violation                 Yanlış IP seçeneklerine sahip bir paketin bulunması ve düşürülmesi.

 

 

D. ALERT’LERİN YAPILANDIRMAK

ISA Server’ın alert servisi olayları izler ve belli olayların oluşması durumunda belirlenen bir tepkiyi oluşturur. Bir alert, bir e-mail göndermek, bir programı çalıştıracak şekilde oluşturulabilir. Örneğin bir intrusion detection saptandığında sistem yöneticisine bir email göndermek gibi.

 

Bir Alert oluşturmak için:

 

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Monitoring Configuration’ı genişletin. Alert’i sağ tıklayın ve New seçeneğini işaret edin, ardından Alert’i tıklayın.

2. New Alert Wizard içinde, Alert’in adını yazın ve ardından Next’i tıklayın.

3. Events and Conditions sayfasında alert tarafından tetiklenecek olayı seçin. Next ile ilerleyin.

4. Actions sayfasında; Send e-mail message, Run a program gibi seçeneklerden birisini seçin ve düzenlemeyi bitirin.

 

II. ISA SERVER AKTİVİTELERİNİ İZLEMEK

ISA Server aktiviteleri logging işlemini yapılandırarak izlenir. ISA Server logları gelen ve giden istekleri kaydeder. Logging işlemini yapılandırdığınızda, ISA Server erişim ve güvenlik aktiviteleri için loglar oluşturur. Ardından bu loglar analiz edilerek kullanım, performans ve güvenlik aktivitelerinin izlenmesi sağlanır.

 

A. LOGGING İŞLEMİNİ YAPILANDIRMAK

Logging işlemi yapılandırıldığında ISA Server şu logları oluşturur:

 

Packet filter logs: ISA Server bilgisayarı üzerinden geçen paketleri kaydeder.

Firewall service logs: Firewall servisini kullanarak yapılan iletişim girişimlerini kaydeder.

Web Proxy service logs: Web Proxy servisini kullanarak yapılan iletişim girişimlerini kaydeder.

 

Bu arada ISA Server log dosyalarını değişik formatlara düzenleyebilir. Bunlar W3C formatı, ISA formatı ve ODBC formatıdır.

 

Logları yapılandırmak için:

 

1. ISA Management içinde, konsol ağacında, Logs’ı tıklayın.

2. Ayrıntılar bölmesinde (sağ tarafta), Packet filters, Firewall service, Web Proxy service’den birisini sağ tıklayın ve Properties’i seçin.

3. Log sayfasında logları nasıl kaydedeceğinizi belirleyin.

4. Ardından Enable logging for this service onay kutusunu işaretleyerek log dosyası formatlarını düzenleyin.

 

NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız.

 

III. ISA SERVER AKTİVİTELERİNİ REPORTS KULLANARAK ANALİZ ETMEK

ISA Server, loglarda tutulan aktivite kayıtlarını belli formatlarda hazırlanmış raporlar (reports) aracılığıyla sistem yöneticisine sunmayı amaçlar.

 

A. REPORT İŞLERİ (JOB) OLUŞTURMAK

 

Bir raporu görmeden önce, bir rapor işi (report job) oluşturmak gerekir. ISA Server, rapor işini çalıştırdıktan sonra, rapor görülebilir.

 

Bir rapor işi oluşturmak:

 

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Monitoring Configuration’ı genişletin ve Report Jobs’ı sağ tıklayın ve New’ı işaret edin ve ardından Report Job’u seçin.

2. General sayfasında rapor için bir ad yazın ve Enable seçeneğinin seçili olduğundan emin olun.

3. Period sayfasında rapor işinin süresini seçin. Ardında Schedule sayfasında ise rapor işinin ne zaman oluşacağını belirleyin.

4. Ardından Recurrence pattern altında yinelenme aralığını belirleyin.

5. Credentials sayfasında ise raporu oluşturacak kullanıcı bilgilerini düzenleyin.

 

 

B. ÖNCEDEN TANIMLANMIŞ RAPOR FORMATLARI

ISA Server ile değişik tür ve içerikte raporlar oluşturabilirsiniz. Bu raporlar bir Web tarayıcısı tarafından bir Web sayfası olarak görüntülenebilir.

 

ISA Server tarafından oluşturulabilen rapor türleri:

 

Summary reports: ISA Server kullanımına ilişkin istatistikler. Bu bilgiler servisler için tutulan loglardan oluşturulur.

 

Web Usage reports: Web kullanıcılarını görüntülemek için kullanılan raporlar.

 

Application Usage Reports: Internet uygulamalarının kullanımını raporlamak için kullanılan raporlardır. Gelen ve giden trafik, istemci uygulamalar, en çok kullanan kullanıcılar vb.

 

UYGULAMA

 

Bir alert oluşturun. Örneğin port kullanımına ilişkin kötü niyetli atakları (intrusion) saptamak için bir alert oluşturun.

 

Bir rapor oluşturun. ISA Server aktivitelerini görüntülemek için bir rapor oluşturun ve görüntüleyin.