Ağ trafiğini izleme ve güvenlik taktikleri

Herşey yolundayken ağ trafiğini izlemeye genellikle pek ihtiyaç duyulmaz. Fakat hiçbir dosya indirme ya da gönderme işlemi yapmadığınız halde google ana sayfası bile bir kaç dakika da yüklenirse işte o zaman ters giden birşeyler olduğunu farkedersiniz.

Ağ trafiğini nasıl koklayabilirsiniz?

Daha önceleri 'Ethereal' olarak da bilinen 'Wireshark' aracı, bir ağ güvenliği uzmanının alet çantasında bulunan en güçlü araçlardan birisidir. Bir ağ paketi çözümleyicisi olarak çalışan 'Wireshark' aracı, ağ sisteminin içine bir göz atarak ağ içinde gerçekleşen trafiğin tüm detaylarını, bağlantı seviyesi bilgilerinden bir paketi kapsayan parçalara kadar uzanan, geniş bir yelpazede ve birçok farklı seviyede inceleyebilir. Aracın bu kadar esnek olması ve yaptığı incelemelerin oldukça derin olması, bu değerli analiz aracının bazı güvenlik durumlarını analiz etmesine ve ağ güvenliği aygıtlarıyla ilgili problemlerin çözümünü bulmasına izin veriyor. Ayrıca bu aracın makul olmasının bir nedeni daha var. Zira Wireshark tamamen ücretsiz!

Neden 'Ağ Trafiğini Koklamak' deyimi?

'Ağ Trafiğini Koklamak' (Sniffing) deyimi birçok insanın, bir 'Big Brother' ağındaki yöneticinin, insanların kişisel ve gizli e-posta mesajlarını okuduğu, 'Orwellian' tarzı bir sahneyi hayal etmesine neden olabilir. Her kim olursa olsun, bir kişi 'Wireshark' aracını kullanmadan önce organizasyonun; kendi ağını kullanan tüm bağımsız kişilerin haklarını belirten ve tamamen açık bir şekilde tanımlanmış olan, bir gizlilik bildirgesinin ortaya koyduğundan; bazı güvenlik ve problem çözümleme konuları için, ağ içinde gerçekleşen tüm trafiğin takip edilmesine izin verdiğinden; ağ trafiği içinde bulunan her türlü öğenin toplanması, analiz edilmesi ve alıkoyulması ile ilgili, organizasyonun tüm ilke gerekliliklerinin açıkça belirtilmiş olduğundan kesinlikle emin olmalıdır. 'Wireshark' gibi bir aracı, gerekli izinleri almadan kullanmaya çalışan herhangi biri, kolayca kendini yasal olarak çok ciddi suçlamaların içinde bulabilir.

Bir güvenlik profesyoneli olarak, bir ağ trafiğini takip edebilmeniz için iki tane önemli nedeniniz bulunabilir. Bu nedenlerden ilki, bir ağ saldırısını incelerken ve bu saldırıyı savuşturabilecek olan önlemleri almaya çalışırken, ağ trafiği içindeki paketlerin detaylarını görebilmenin ve inceleyebilmenin, size paha biçilemez derecede önemli bilgiler sağlayabilmesidir. Örneğin, ağ sisteminde bir hizmet dışı bırakma problemi (DoS) ortaya çıkarsa, 'Wireshark' aracı bu saldırının tam türünü belirmek için kullanılabilir. Bu araç, istenmeyen tüm trafik öğelerinin engellenmesini sağlamak için, güvenlik duvarında yeni akış kurallarını ortaya koyabilir. 'Wireshark' aracının ikinci önemli kullanım alanı ise, güvenlik aygıtlarında oluşan problemlerinin çözülmesi sayılabilir. Örneğin 'Wireshark' aracını kullanarak, güvenlik duvarı (firewall) kurallarıyla ilgili tüm problemleri çözebilirsiniz. Eğer 'Wireshark' aracını kullanan sistemleri, güvenlik duvarının her iki tarafınadabağlarsanız, hangi tür paketlerin rahatlıkla ve başarıyla bu güvenlik duvarından geçebildiğini, güvenlik duvarının herhangi bir bağlantı problemine yol açıp açmadığını, kolayca öğrenebilirsiniz.

Fakat açıkça belirtmek gerekir ki, tüm güvenlik analizcilerinin asla unutmaması gereken bir gerçek vardır. 'Wireshark' aracı, hem iyi amaçlı olarak, hem de kötü amaçlı olarak kullanılabilir. 'Wireshark' aracı, eğer iyi bir ağ ya da güvenlik yöneticisinin ellerindeyse, mükemmel bir problem çözümleme aracı olarak kullanılabilir. Fakat 'Wireshark' aracı, etik değerleri sorgulanabilir seviyede olan bir kişinin eline geçerse, ağ trafiği içinden geçen tüm paketlerin her detayını görebilmesine olanak sağlayarak, tehlikeli bir gizli dinleme aracına dönüşebilir.

Wireshark Kurulumu

Wireshark kurulumu, oldukça basit bir işlemdir. Windows ya da Mac OS X uyumlu sürümü sitemizden indirebilirsiniz. 'Wireshark' aracı aynı zamanda Unix/Linux işletim sistemleri için dağıtıma özgü standart paket yöneticileri (aptitude, synaptics, yum vb) aracılığıyla kurulabilir. Ayrıca diğer işletim sistemlerinde kurulum yapabilmek için kaynak kodları da dağıtılmaktadır.

'Wireshark' aracının geliştirici takımı, aracın 'Windows' sürümünü 'WinPcap' paket yakalama kitaplığı üstüne inşa etmiştir. Windows işletim kullanıyorsanız ve daha önceden WinPcap paketini kurmadıysanız, kurulum sırasında bu program da otomatik olarak kurulacaktır. Yalnız burada dikkat edilmesi gereken önemli bir nokta bulunuyor. Eğer 'WinPcap' programının eski bir sürümünü kullanıyorsanız, 'Wireshark' kurulumunu başlatmadan önce ilk olarak, bu eski sürümü 'Program Ekle/Kaldır' (Add/Remove Programs) kontrol panelini kullanarak, bilgisayarınızdan kaldırmalısınız.

Aracın kurulum süreci, oldukça tanıdık olan ve sadece iki tane önemli soru soran, sihirbaz tabanlı bir dizi işlemi içeriyor. Bu süreçte karşınıza çıkan sorulardan ilki, 'WinPcap' kitaplığını yüklemek isteyip istemediğinizle alakalıdır. Diğer soru ise, bilgisayarınızı her açtığınızda 'WinPcap NPF' (Netgroup Packet Filter / Ağ Grubu Paket Filtresi) hizmetinin çalışmasını isteyip istemediğinizi soruyor. Bu seçeneklerden her ikisini de tercih ederseniz, yönetici yetkilerine sahip olmayan kullanıcıların dahi, ağ trafiği içindeki paketleri yakalamasına izin vermiş olursunuz. Eğer bu hizmetin, bilgisayar her açıldığında çalışmasını tercih etmezseniz, sadece yönetici yetkisine sahip olan kişiler, 'Wireshark' aracını çalıştırıp ağ trafiği içindeki paketleri yakalayabilirler.

Paket Yakalama

Basit bir paket yakalama fonksiyonunu çalıştırmak

Wireshark kurulumunu yaptıktan sonra programı çalıştırdığınızda karşınıza aşağıdaki gibi boş bir ekran gelecektir.


Wireshark ana ekran


Paket yakalama işlemine başlamak için Capture menüsünde bulunan Interfaces seçeneğini tıklayın. Karşınıza aşağıdakine benzer bir pencere gelecektir,


Wireshark capture interface ekranı

Eğer daha önceden kaydettiğiniz yakalama dosyasını incelemek, belirli bir 'MAC' adresi ya da ip adresiyle ilgili trafiği yakalamak gibi gelişmiş özellikler kullanmak isterseniz sağ tarafında bulunan Options kısmına girmelisiniz. Burada bulunan seçeneklerin büyük bir bölümü Wireshark uygulamasının performansını artırmak için büyük ölçüde yardımcı olabilir. Örneğin isim çözümleme (name resolution) ayarını kapalı olarak ayarlayabilirsiniz. Bu seçeneği ayarlamadığınız takdirde paket yakalama işlemi önemli ölçüde yavaşlar ve oldukça büyük sayılarda dns sorgulama işlemi oluşturulur. Ayrıca yakalama işlemine süre ve dosya boyutu sınırlaması getirebilirsiniz.

Options bölümündeki ayarlamaları yaptıktan sonra paket yakalamak istediğiniz interface satırının sağ tarafında bulunan Start tuşuna basarak yakalama işlemini başlatabilirsiniz. Yakalama işlemini başlattığınızda Wireshark ekranı aşağıdaki gibi seçmiş olduğunuz interface üzerinden geçen tüm trafiği görüntülemeye başlar.


Wireshark trafik görüntüleme ekranı


Sonuçları Yorumlamak

Wireshark uygulamasının ana penceresinin üst kısmında bulunan her satır bu ağ sistemi içinde görülen tek bir pakete karşılık gelmektedir. Uygulama varsayılan görüntüleme ayarlarındayken her satırda paketin yollandığı zaman (Yakalama işlemini başlattığınız zamana göre göreceli olabilir.), paketin kaynağının ve alıcısının IP adresleri, trafikte kullanılan protokol ve paket hakkında bazı bilgiler görüntülenir. Herhangi bir satırın üstüne tıklayarak bu paket hakkında daha derin bir araştırma yapabilir ve çok daha fazla bilgi sahibi olabilirsiniz.

Üst bölümdeki herhangi bir satıra tıkladığınız zaman altta bulunan diğer iki bölüm bu işlem hakkında daha detaylı bilgiler vermektedir.

Orta bölümde bulunan + ikonlarına tıklayarak paketin içinde bulunan çeşitli bilgi katmanları hakkında detayların ortaya çıkarılmasına sağlayabilirsiniz.

Wireshark uygulamasını kullanarak paketleri analiz ederken renkler her zaman en yakın dostunuz olurlar. Yukarıdaki ekran görüntüsünde gösterilen örnekte bulunan her satırın bir renkle kodlandığını fark etmişsinizdir. Koyu mavi renkle kodlanmış olan satırlar, 'DNS' trafiğine karşılık geliyorlar. Açık mavi renkle kodlanmış olan satırlar ise, 'UDP SNMP' trafiği anlamına geliyorlar. Yeşil renkle kodlanmış olan satırlar ise, 'HTTP' trafiğini temsil ediyorlar. 'Wireshark' uygulaması, oldukça karmaşık bir renk kodlama şemasını (Bu şemayı, kendi isteğinize göre kişiselleştirebiliyorsunuz.) içeriyor. Uygulamanın varsayılan renk kodlama ayarları, aşağıdaki ekran görüntüsünde gösterildiği şekilde geliyor.


Wireshark  protokoller için  renk seçim ekranı

Bu belge de 'Wireshark' uygulamasını ağ trafiğini yakalamak ve analiz etmek için belli başlı temel özellikleri inceledik. Kısa zaman içinde uzman bir ağ trafiği analisti olmak istiyorsanız, ellerinizi hiçbir zaman kirletmekten kaçınmayıp ağ trafiğindeki öğeleri (OSI Katmalarında yer alan) bir an önce tanımanızı ve nasıl çalıştıklarını öğrenmenizi tavsiye ederiz. Bu oldukça yetenekli programı, güvenlik duvarı kurallarını yapılandırmaktan ağ sistemine yapılan bir saldırıyı bulmaya kadar birçok farklı işlemde kullanabileceğiniz mükemmel bir araç olarak göreceğinize hiç şüphe yok. Yalnız herhangi bir ağda trafiği yakalamaya başlamadan önce her zaman ağ sahibinden gerekli izinleri almanız gerektiğini hiçbir zaman aklınızdan çıkarmayın.



Ekleyen
baktas
Güncelleme Zamanı
07.06.2012