Açık Kaynak Araçlarla Paket Analizi: Sguil

Bu makalemizde “Sguil” araçını anlatacağız. GUI tabanlı çalışan bu uygulamanın genel çalışma prensibini anlatacak ve kısaca paket analizini yapacağız. Sguil network ortamında güvenlik izleme araçlarının topladığı bilgileri toplayıp derleyen üstün yetenekleri olan ve kullanıcı dostu diye bileceğimiz bir arayüze sahip bir açık kaynak araçtır.

 

sguil-yapisiResim-1

Sguil, IDS alarmlarını, TCP/IP oturumlarını, full paket günlüklerini ve diğer uyarı mesajlarını MySQL veritabanına kaydeder. Resim-1’deki yapısında görüldüğü gibi daha önce sizlere anlatmadığımız SANCP, Barnyard terimleri geçmektedir. Konuyu anlatmadan önce bu iki terimin tanımını yapmamız gerekmektedir.

  • SANCP: Squil tanımında da geçtiği gibi, sancp oturum verilerini toplama işlemini yapmaktadır.
  • Barnyard: Snort üzerindeki çıktıların işlem yükünü üstlenmesi için yazılmış bir uygulamadır.

sguil-panelResim-2

Sguil tasarım ve kullanım bakımından gayet başarılı ve kullanışlı bir yapıya sahiptir. Genel gürünüşünden anlaşılacağı gibi her şey 3 ana bölümde toplanmaktadır. Bunlar, üsteki ekranda (RealTime Events) sensörlerde gelen aktivite bilgilerinin olduğu ana yapı, sol altta bulunan bulunan alanda IP adresinin DNS bilgileri, agent durumu vb. gibi gelen açıklayıcı bilgiler bulunmaktadır. Son olarak sol alt tarafta bulunan kısım ise paket içeriğini ve hangi rule olduğunu göstermektedir. Bu bölümü iyi incelediğimizde TCP bayraklarına kadar ayrıntıya girdiğini görebiliriz ve bu alanda istediğimiz gibi değişiklikler ve işlemler yapabilmekteyiz. Sguil aracı konusunda değinecek çok fazla ayrıntı bulunmaktadır. Bu konulardan temel olanları sizlere anlatmaya çalışacağım. Network üzerinden yakaladığı paketleri en ufak ayrıntısıyla inceleme fırsatı vermekle beraber bir çok bilinen yardımcı araçlarla da entegre çalışmaktadır. Bunlardan bazıları; ELSA, Wireshark, Bro, NetworkMiner gibi uygulamalardır. Bu uygulamalara daha sonra sizlerle yapacağımız birçok anomali aktiviteleri, malware analizi gibi konularda değinmeye çalışacağız.

sguil-realtime-eventsResim-3

Sguil anlatımını gerçekleştirirken sizlerle ekran üzerinden anlatmaya çalışacağım, ayrıca daha sonraki zamanlarda aynı konuların video çekimi ile anlatacağım. Resim-3’te gürüldüğü gibi RealTime Events ekranında Snort’tan, OSSEC’ten ve PADS sensörlerinde, uygulamanın tanımında da anlatıldığı gibi bilgiler toplanmıştır. Bizim ekranda örnek PCAP üzerinden çalıştığımız için fazla sıkıntı olmamaktadır. Ancak toplanan binlerce satırlık bilginin tek bir ekranda görülmesi sıkıntı yaşatabilir ve görmemiz gerekenleri görmemizi engeller. Ancak uygulamanın güzel tarafı RealTime Events ekranında bulunan bütün başlıkların altındaki bilgiyi filtreleme imkanı vermesidir. Şekilde de görüldüğü üzere imzanın içerdiği bilgiye göre sorgu yazılabilme özelliği, sınıflandırma yapabilme, not girebilme gibi özellikleri bulunmaktadır.

Ayrıca RealTime Events ekranında oluşan ve sensörlerden gelen bu bilgileri, Alert ID başlığının altında bulunan alarm numaralarının üzerinde sağ-tık yapıldığında diğer yardımcı analiz araçlarının (Wireshark, Bro ve NetworkMiner gibi) seçeneği çıkmaktadır. İstediğiniz araç ile paket analiz yapabilirisiniz. Bunlardan “Transcript” seçeneği ile baktığımızda genel paket ile ilgili bilgiler almaktayız. Bu araçların hepsinin kendine göre artıları ve özellikleri mevcuttur. Böylelikle Sguil bize analiz yaparken çok seçenek sunarak daha iyi iş yapmamızı sağlamaktadır.

sguil-log-detay

Resim-4

Diğer ekranları anlatırken her başlığın altında buluna veriye göre sorgulama yapabileceğimizi söylemiştik. Resim-4’te ise aktivitenin olduğu Src IP bilgisini sorgulamaktadır. Ayrıca konunun başında TCP oturum bilgisini toplayan SANCP’den bahsetmiştik ki topladığı oturum bilgilerini yukarıdaki ekranda görüldüğü gibi sorgulayabiliriz. SANCP ile sorgu yaptığımızda çıkan bulgularda herhangi biri seçildiğinde de Source ve Dest flags (kaynak ve hedef bayrakları) bilgisine bakabiliriz.

 

Sonuç olarak GUI ekranının (grafik arayüz) verdiği rahatlık, uygulamanın her türlü sorgulama, sınıflandırma vb özellikleri ve ayrıca sensörler vasıtasıyla kolorasyon kolaylığı ile verilerin toplanması ve birçok başarılı ürünle birlikte entegre analiz yapılabilmesi Sguil ürününü analiz konularında tartışmasız önemli kılmaktadır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir