SANAL IPv6 BALKÜPÜ AĞI ALTYAPISI: KOVAN

Transkript

1 SANAL IPv6 BALKÜPÜ AĞI ALTYAPISI: KOVAN Yavuz GÖKIRMAK Onur BEKTAŞ Murat SOYSAL Serdar YİĞİT Özet Kovan IPv6 ağlarında gerçekleşen saldırıları tespit etmek için geliştirilen IPv6 balküpü yazılımıdır. Bu makalede servis, işletim sistemi ve ağ seviyesinde öyküleme yapabilen Kovan yazılımının geliştirilme amacı, bileşenleri ve performans sonuçları konusunda bilgi verilmiştir. Anahtar Kelimeler IPv4, IPv6, Balküpü, Balküpü Ağı, Sanal Balküpü Abstract Kovan is an honeypot framework which is specifically designed for intrusion detection in IPv6 networks. This work summarizes the technical infrastructure of Kovan. Index Terms IPv4, IPv6, Honeypot, Honeynet, Virtual Honeypot I. GİRİŞ Balküpleri, ağ ve bilgi güvenliğine yapılan saldırıların farkına varmak, saldırganların yöntemlerini izlemek, metotlarını belirlemek ve yeni geliştirilen saldırı çeşitlerinden önceden haberdar olmak amacı ile dizayn edilmiş yazılım veya sistemlerdir [1]. Balküpleri, gücünü saldırılabilirliğinden alan güvenlik sistemleri olarak da tanımlanabilir. Diğer ağ ve bilgi güvenliği araçları olan saldırı tespit sistemleri ve güvenlik duvarlarından farklı olarak balküpleri özel bir probleminin çözümünde kullanılmazlar. Balküpleri güvenlik sisteminin sadece bir parçasıdır ve hangi problemlerin çözümüne yardımcı olacakları tasarım/kullanım şekilleri ile doğrudan bağlantılıdır [2]. Balküpleri üzerinde çalışan uygulamalar bilgisayar ve ağ üzerinden verilen servisleri öyküleyerek saldırganlara gerçek sistemler ile uğraştıkları izlenimini verir. 10 Kasım 2010 tarihinde gönderilmiştir. Y. Gökırmak TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezi Telefon: Faks e-posta: O. Bektaş TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezi Telefon: Faks e-posta: M. Soysal TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezi Telefon: Faks: e-posta: S. Yiğit TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezi Telefon: Faks: e-posta: Balküplerinin amacı saldırıya uğramak ve kırılmaktır. Ayrıca balküpleri, saldırganların dikkatini gerçek servisler veren cihazlardan uzaklaştırılmasını sağlarlar. Bu sayede saldırgan gerçek servis veren sistemlere zarar vermeden tespit edilebilir. Balküplerinin diğer bir kullanım alanı da saldırganların kullandığı tekniklerin eğitim amaçlı olarak gerçek sistemlere zarar vermeden öğretilmesidir [3] [4]. Balküpleri kullanım alanları ve oluşturulma amaçlarına göre iki sınıf altında incelenebilir [5]; gerçek sistemler kullanarak oluşturulan balküpleri (production) ve araştırma balküpleri. Araştırma balküpleri, saldırıya uğrayan sistemlerde kullanılan metot ve yöntemlerin incelenmesi için özel olarak oluşturulmuş balküplerdir. Saldırıya uğramış veya ele geçirilmiş sistemlerde yapılan tüm aktivitelerin izlenmesi için oluşturulmuş özel yazılımlar içerirler ve kurulup yönetilmeleri zordur. Web sunucusu izlenimi verilerek 80. portta çalışan ve kendisine gelen saldırıları kayıt altına alan bir sistem bu tür bir balküpü tasarımına örnek olarak verilebilir. Gerçek sistemler kullanılarak oluşturulan balküpleri, servis vermekte kullanılan yazılımların güvenlik önlemleri alınmadan (yamasız, parolasız vb.) bırakılarak bu sistemlerin uğradıkları saldırıların izlenmesi ile oluşturulurlar. Ağda solucan yayan makinelerin bulunması amacı ile Windows XP işletim sistemi yüklü bir bilgisayarın yamaları yapılmadan ağa bırakılarak solucanların bulaşmasına izin verilmesi bu tip bir balküpüne örnek olarak verilebilir. Bu tip balküplerin oluşturmak kolaydır fakat yapıları gereği araştırma balküplerine göre daha az bilgi verirler. Kovan Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi kapsamında IPv6 geçiş mekanizmalarının güvenlik açısından incelenmesi, IPv6 güvenlik açıklarının araştırılması, IPv6 ağlarında solucan yayılımının incelenmesi, IPv6 ağlarında mevcut ve yeni güvenlik tehditlerinin belirlenmesi amacıyla geliştirilen araştırma balküpüdür. Kovan diğer araştırma balküplerinde kullanılan servislerin emüle edilmesini özelliğinin desteklemesinin yanında, işletim sistemi ve ağ seviyesinde öyküleme ve sanallaştırma desteği de vermektedir. Kovan ikili yığın yapıda da çalışabilmektedir. Kovan, saldırganları üstüne çekebilmek için gerçek bir ağın davranışını taklit eden bir sanal balküpü altyapısıdır. Sanal balküpleri, gerçek sistemlere göre daha az kaynak gereksinimiyle kurulabildikleri için tercih edilmektedirler. Gerçek gibi görünen sanal ağ topolojileri kolay uygulanabilir olduğu gibi saldırganlara da gerçekçi görünmektedirler. Kovan ın oluşturduğu gerçekçi sanal ağın, Argos [6] ve Nepenthes [7] gibi balküpleri için bir çalışma ortamı olması öngörülmektedir. Kovan kullanılarak gerçekci sanal ağın üstüne çeşitli balküpleri veya servisler kurularak çeşitli etkileşim seviyelerini 49

2 ULUSAL IPv6 KONFERANSI 2011 içinde barındıran bir balküpü ağı yaratılabilir. Makalenin bundan sonraki ikinci bölümünde Kovan bileşenlerinden bahsedilecektir. Üçünce bölümde Kovanın yetenekleri ve yapabilecekleri anlatılmaktadır. Dördüncü bölümde Kovan performans testleri verilmiştir. Kovan, Kamu Kurum Araştırma Projeleri için Destek Programı (KAMAG 1007) kapsamında Türkiye Bilimsel ve Teknolojik Araştırmalar Kurumu (TÜBİTAK) tarafından desteklenmekte ve TÜBİTAK ULAKBİM tarafından geliştirilmektedir. II. KOVAN BİLEŞENLERİ Kovan mevcut ağ kavramlarını bir arada kullanarak sanal balküpü altyapısı oluşturmaktadır. Genel işleyişe bakıldığında; ilk aşamada sanal cihazlar kullanılarak ağda yer alacak yönlendiriciler, sunucular ve istemciler yaratılmaktadır. Sanal cihazların yaratılmasını sağlayan FreeBSD Jail [8] sistemi hakkında ayrıntılı bilgi bölüm II-A de verilmektedir. İkinci aşamada, sanal cihazlar arasındaki sanal bağlantılar (sanal kablolar olarak düşünülebilir) yaratılmaktadır. Sanal cihazların bağlanmasında kullanılan FreeBSD nin Netgraph [9] ve Epair [10] sistemleri hakkında II-C ve II-B bölümleri altında bilgi verilmektedir. Üçüncü basamağa kadar sanal cihazlar ve aralarındaki bağlantılar oluşturulurken, bu basamakta sanal cihazlar arasındaki iletişimi sağlama amacıyla dinamik yönlendirme protokollerini çalıştırılır. Bu aşamada Quagga [11] yazılımı kullanılmaktadır. Dördüncü ve son basamakta Kovan üzerinde koşan ve gerçek servisleri öyküleyen servisler çalıştırılmaktadır. A. Sanal Cihazlar: FreeBSD Jail FreeBSD Jail; birbirinden bağımsız, düşük kaynak tüketimli sanal sistemler yaratmaya yarayan işletim sistemi seviyesinde bir sanallaştırma sistemidir. Yaratılan sanal sistemlere jail denilmekte ve sistemler gerçek bir sistemin sağlayabildiği birçok özelliği sağlayabilmektedir. Standart jail kurulumunda, yaratılan jail lere sadece ana makinenin bulunduğu ağ dan (subnet) IP adresi verilebilmektedir. Standart sistemde yaratılan jail lerin birbirlerine bağlanarak karmaşık ağlar oluşturulması da olanaklı değildir. Kovan, ihtiyacı olan ağ işlemleri için jail sisteminin ileri bir sürümünü olan VIMAGE i kullanmaktadır. Jail sistemine yapılan VIMAGE yaması sayesinde her jail bağımsız bir ağ yığınına sahip olabilirken [8], her sanal jail e bir ağ arayüzü(ii-b ve II-C bölümleri) atanabilmektedir. Yaratılan ağ arayüzleri uygun cihazlara atanıp, kendi aralarındaki bağlantılar gerçekleştirilerek karmaşık ağ yapıları oluşturulabilmektedir. Jail VIMAGE desteği FreeBSD sürümü 8 ile getirilmiştir. Kovan, jail sistemini kullanarak yönlendirici, sunucu ve istemci gibi ağ bileşenlerini oluşturmaktadır. Her ağ cihazı, bir sınıfta yer almakta ve özellikleri bulundukları sınıfa göre belirlenmektedir. Kovanda dört cihaz sınıfı bulunmaktadır; yönlendirici, düğüm, karadelik ve monitör. Kovan her tip için gerekli yazılım ve yapılandırma dosyalarını otomatik olarak kurmakta veya oluşturmaktadır. Örneğin, cihazın yönlendirici olarak tanımlanması durumunda yönlendirme yazılımı, ağ bağlantılarına göre yönlendirme protokolü tanımları, IP yönlendirmenin açılması, trafik izi ve SNMP desteğinin verilmesi otomatik olarak tanımlanır. Monitör cihaz sınıfı Kovan da oluşan tüm aktivitelerin izlenmesi için geliştirilmiş cihaz tipidir. Web üzerinden erişilebilen monitör cihazından Kovandaki tüm servislere ait günlük(log) bilgisine, bant genişliği kullanımı, paket sayısı grafiği, ağ trafik izi bilgisi (netflow) benzeri ağ kullanım bilgilerine ve sanal servis ve ağ bileşenlerinin çalışıp çalışmadığı bilgisine erişilebilmektedir. Düğüm cihazı sunucu veya istemci olarak kullanılabilmekte ve bu cihazlara istenilen servisler yüklenebilmektedir. Kovan ın sanal HTTP, SMTP, FTP ve DNS servileri de düğüm cihazında yüklü olarak bulunmaktadır. Ağ üzerinde kullanılmayan IP adreslerine gelen trafiğin analiz için balküpüne yönlendirilmesi ile karadelik uygulaması yapılmaktadır. Karadelik sınıfı cihazda bu yakalama işlemi için gereken uygulamalar bulunmaktadır. B. Sanal Bağlar: Netgraph Netgraph sistemi, üzerinde çeşitli ağ işlemleri yapılmasını sağlayan ağ nesneleri sağlamaktadır. Netgraph nesneleri, hook adı verilen özel bağlantı nesneleriyle birbirlerine bağlanarak karmaşık ağlar oluşturulmaktadır. Kovan, netgraph nesnelerini sanal cihazlara atayıp bu nesneleri birbirine bağlayarak ağ yapıları oluşturmaktadır. Netgraph nesneleri ağ arayüzü, hook lar ise ağ kabloları olarak görülebilir. Kovan da kullanılan netgraph nesneleri: ng_eiface: Eiface türündeki netgraph nesnesi sanal bir ethernet arayüzü sağlamaktadır. Yaratılan bir eiface nesnesine ifconfig komutu yardımıyla erişilebilmektedir. Kovan ng_eiface nesnelerini iki durumda kullanmaktadır; iki cihazı doğrudan birbirine bağlarken veya bir cihazı bir köprü cihaza bağlarken. ng_bridge: Netgraph ın köprü nesnesi birden fazla nesnenin birbirine bağlanmasında kullanılmaktadır. Köprü üstündeki her bağlantı ethernet paketlerini alıpgönderme işlemi yapmaktadır. Alınan her pakette, köprü hangi düğümün hangi bağlantıda olduğunu belirler. Bilinen bir hedefe giden paketler sadece ilgili bağlantıya gönderilir, diğer trafikten ayrılır. Köprü nesnesinin bu davranışı gelen paketi tüm bağlantılara çoklayan hub dan farklılık gösterir. Kovan, köprü nesnesini birden fazla ağ arayüzünü birbirine bağlayarak yerel ağlar oluşturulmasında kullanılır. ng_pipe: Ng_pipe nesnesi bant genişliği, gecikme ve paket kaybını taklit ederek trafik şekillendirmesi yapmaktadır. Bu nesne, upper ve lower adlı iki hook a sahiptir. Upper hook tan gelen trafik lower hook a; lower hook tan gelen trafik de upper hook a yönlendirilmektedir. Geçikme dışındaki bütün parametreler paketin yönüne göre ayrı ayrı verilebilmektedir. Kovan, pipe nesnesini hem doğrudan bağlantıda hem de düğüm-köprü bağlantılarında kullanmaktadır. Bağlantı parametreleri değiştirilerek sanal ağ daha gerçekçi gösterilebilmektedir. 50

3 bütün sanal ağın ana sistemin ağına bağlandığında ortaya çıkmaktadır. Kovan bu durumda epair sistemini kullanmaktadır. Şekil 1. Üç eiface Nesnesinin Birbirine Bağlanması Netgraph nesnelerine bir örnek olarak Şekil 1 deki düzenek verilebilir. Bu örnekte, dört ng_eiface nesnesi yaratılarak bir köprü nesnesi aracılığıyla birbirlerine bağlanmaktadır. Köprü nesnesi, n tane nesneyi birbirine bağlayabilecek link0, link1, link2... linkn adlı n tane hook a sahiptir. Örneği anlaşılır kılmak amacıyla bağlantılar arasında ng_ pipe nesnesi kullanılmamıştır fakat ng_eiface ve ng_bridge nesneleri arasında pipe nesnesi de kullanılabilmektedir. Sanal cihazların dışında uygun bir şekilde birbirlerine bağlanan netgraph nesneleri hedef cihazlara atanarak karmaşık ağ yapıları oluşturulmaktadır. Netgraph nesnelerini sanal cihazlara atamak bağlantılara zarar vermemektedir. Netgraph nesnesi bir VIMAGE jail ine (bölüm II-A) atandığında, ifconfig komutu yardımıyla diğer ağ arayüzleri gibi görüntülenebilir. Netgraph sistemi birçok ng_* nesnesi sunmaktadır fakat Kovan bünyesinde sadece bu nesnelerin ufak bir alt kümesi kullanılmaktadır. Kovan ın ileri sürümlerinde kullanılan nesne türü çeşitlendirilebilir. C. Sanal Bağlar: Epair Epair sistemi netgraph gibi ağ cihazlarının birbirlerine bağlanması için kullanılmaktadır. Epair ve netgraph sistemleri arasında iki önemli farklılık bulunmaktadır. Epair sistemi, netgraph gibi karmaşık hook mekanizmaları içermemektedir. Bunun yerine, epair nesneleri ifconfig komutu yardımıyla kolayca yaratılıp dağıtılabilmektedirler. Epair sisteminin kullanımı kolay olmasına karşın netgraph sisteminin önemli bir avantajı bulunmaktadır. Netgraph nesneleri arasında, pipe nesnesi kullanılarak ağ parametreleri değiştirilebilir ve daha gerçekçi bir ağ yaratılabilir. Epair böyle bir olanak sunmamaktadır. Epair, sanal bir kablo ile birbirine bağlanmış bir çift sanal ethernet arayüzü yaratmaktadır. İki cihaz ın birbirine bağlanabilmesi için her epair ucu bir sanal cihaza atanmalıdır. Kovan ın geliştirme aşamalarının başında epair sistemi kullanılmıştır. Projenin ileriki safhalarında bağlantı parametrelerini değiştirebilme özelliğinden dolayı netgraph sistemi kullanılmaya başlanmıştır. Bağlantıların netgraph sistemiyle yapılmasına karşın, epair bağlarının kullanıldığı iki istisna durum bulunmaktadır. İlk durum, Sekil 2 deki gibi bir köprü bağlantısı netgraph ile yapıldığı durumda bağlantının A tarafına bir IP adresi verilmek istediğinde yaşanmaktadır. Netgraph sisteminde bu uca bir IP adresi verilememektedir. Kovan da bahsedilen durum, Şekil 2. Kovan epair Kullanımı İstisnası İstisna yaşanan ikinci durum ise QEMU/KVM imajlarının sanal ağa bağlanmasında ortaya çıkmaktadır. Bu imajların bağlanabilmesi için ifconfig aracılığı ile erişilebilen bir köprü nesnesine ihtiyaç duyulmaktadır. Bu yüzden, QEMU/KVM imajlarının bağlanmasında epair sistemi kullanılmaktadır. III. KOVAN YETENEKLERİ A. Durum kaydetme/yükleme Kovan araştırma balküpü olması nedeni ile yapılan saldırılara ait oldukça fazla sayıda ve çeşitlilikte veri tutabilmektedir. Kovan yeni bir yapılandırma dosyası ile çalıştırıldığında yeni cihazlar, bağlantılar ve servisler için gereken tanımların yapılabilmesi için eski yapılandırma ile ilgili tüm veriyi otomatik olarak silmektedir. Kovan farklı yapılandırma dosyaları ile farklı servisler oluşturularak çalıştırılabilir. Yeni yapılandırma dosyası çalıştırıldığında verinin kaybolmaması için Kovan durum denetimli (stateful) olarak tasarlanmıştır. Kovan yeni bir yapılandırma dosyasıyla çalıştırılırken mevcut verinin silinmesi istenmiyor ise çalışan sistemin bir kopyası alınabilir. Kovan ın çalışan sistemiyle ilgili durum bilgisi taşıyan bütün dosyalar tek bir dosya halinde kaydedebilmektedir. Sistemde durum bilgisi taşıyan dosyalar beş başlıkta toplanabilir: Kovan ayar dosyaları MRTG ayar dosyaları ve üretilmiş web dosyaları NFSEN ayar dosyaları ve veritabanları NAGIOS ayar dosyaları ve veritabanları MYSQL veritabanları Saldırı İstatistiği grafikleri Kaydedilen durum Kovan ın yüklü olduğu sunucuda veya başka bir sunucuda yüklenerek yeniden kullanılabilir. Bir çok durum kaydedilerek istenilen zamanda tekrar yüklenebilir. Bu amaçla kovanstate komutu kullanılmaktadır. B. İzleme Kovan ı oluşturan tüm bileşenlere ait gerçek zamanlı veriler monitor cihazının web arayüzü ile takip edilebilmekte ve geriye dönük olarak tutulan bilgilerden sorgulama yapılabilmektedir. Toplanan bilgilerden en çok saldırı alan portlar, saldırı yapan IPv6 adresleri, saldırılan 51

4 ULUSAL IPv6 KONFERANSI 2011 IPv6 adresleri ve en çok saldırı alan servislere ait günlük ve saatlik istatistikler grafiksel olarak sunulmaktadır. Bunun yanında, tüm trafiğin netflow verisi, bant genişliği ve paket kullanım bilgisi otomatik olarak kaydedilmekte ve grafiksel olarak sunulmaktadır. İstenilirse kovandump komutu ile paketler pcap formatında kaydedilebilmektedir. Şekil 3 te Kovan da saldırı yapılan IPv6 adreslerine yönelik olarak çizilen grafik örnek olarak verilmiştir. Şekil 4. Kovan Geniş Ağ Örneği Şekil 3. Kovan Saldırı İstatistiği Grafiği C. Sanallaştırma 1) İşletim Sistemi Sanallaştırma: Kovan da işletim sistemi sanallaştırması genel olarak Jail sistemi ile yapılmaktadır. Jail aracılığıyla yaratılan cihazların birbirlerine bağlanmasıyla sanal ağın iskeleti oluşturulmaktadır. II-A ta ayrıntılı olarak anlatılan Jail konusuna ek olarak QEMU/KVM imajları da kullanılarak işletim sistemi sanallaştırması yapılmaktadır. İstendiği takdirde Kovan a QEMU/KVM imajları bağlanarak, balküpü ağının etkileşim seviyesi arttırılmaktadır. Bir balküpüne saldırmadan önce saldırganlar, aktif/pasif imza çıkarma yöntemleriyle hedef işletim sistemini ve servislerini tanımlamaya çalışırlar. Saldırının bu aşaması keşif olarak adlandırılır. QEMU/KVM imajlarının kullanılmasıyla, saldırganın gerçek işletim sistemi ve sanalları ayırması zorlaşacaktır. QEMU-/KVM imajları kullanılarak herhangi bir işletim sistemi de sanal ağa eklenebilir. 2) Ağ Sanallaştırma: Ağ sanallaştırma yeteneği netgraph, epair ve VIMAGE teknolojileri yardımıyla gerçekleştirilmektedir. Ağ sanallaştırma ile ULAKNET [13] gibi büyük vekarmaşık gerçek ağlar taklit edilebilmektedir. Kovan Şekil 4 deki ağı tek bir cihaz içinde yaratabilmektedir. Kovan, ULAKNET gibi büyük ağları taklit edebileceği gibi yerel ağda bulunan gerçek cihazlar arasına sanal cihazlar yerleştirerek yerel ağda da saldırganları üstüne çekebilmektedir. Şekil 5 teki bil3 ve bil6 adlı cihazlar sanal cihazlardır ve Kovan tarafından yaratılarak yerel ağ a yerleştirilmişlerdir. Bu cihazlar, üçüncü bir şahıs tarafından bağımsız cihazlar olarak algılanmalarına rağmen aslında tek bir fiziksel cihaz içinde yer almaktadırlar. Şekil 5. Kovan Yerel Alan Ağı Ağ Örneği Ağın gerçekçiliğini arttırabilmek amacıyla, sanal bağlantıların özellikleri de değiştirebilmektedir. Band genişliği (bandwidth), gecikme zamanı (delay) ve bit hata oranı (BER) gibi bağlantı özellikleri proje kapsamında netgraph sistemi üzerine geliştirilen bir uygulama yardımıyla değiştirilmektedir. 3) Servis Sanallaştırma: Kovan projesi kapsamında HTTP, DNS, SMTP ve FTP servislerinin taklitleri geliştirilmiştir. TCP/UDP protokolleri üstünde çalışan servislerin geliştirilmesinde, yine proje kapsamında geliştirilen Genel Servis Altyapısı kullanılmıştır. Genel servis alt yapısı; uygulama katmanındaki servisler ve taşıma katmanı arasında bir katman olarak tasarlanmıştır. Ara katman, her servisin ihtiyacı olan işletim sistemiyle alakalı; bağlantı başlatma/bitirme, çokkanallı mimari, paylaşılan bellek erişimi ve günlük oluşturma gibi görevleri üstlenmektedir. Bu görevlerin ara katmana 52

5 verilmesiyle, uygulama seviyesinde servis geliştirme süreci kolaylaştırılmıştır. HTTP, DNS, SMTP ve FTP servislerine ek olarak yeni servisler Genel Servis Alyapısı kullanılarak geliştirilebilecektir. D. Dinamik Yönlendirme Kovan, açık kaynak kodlu Quagga yazılımını kullanarak dinamik yönlendirmeyi gerçekleştirmektedir. IPv4 yönlendirmesi için RIPv2, IPv6 içinse Ripng kullanılmaktadır. RIP, link state yönlendirme protokollerine oranla kolay ayarlanabilir olması ve az işlemci gücü kullanması nedeni ile seçilmiştir. Her yönlendirici için rip, ripng ve zebra ayar dosyaları başlangıç aşamasında otomatik olarak oluşturulmaktadır. Ayar dosyaları yönlendirici jail lerinin altında yaratılmaktadır. E. Karadelik IPv6 ağlarıyla birlikte genişleyen adres uzayı, saldırganların sıralı taramalar yaparak hedef bilgisayarları bulmalarını zorlaştırmaktadır. Buna karşın, saldırganların adres uzayını küçülterek tarama yapmaları öngörülmektedir. Adres uzayını küçültmek için akılda kolay tutulabilen kelimelerden (baba, cece, dede.. gibi) oluşturulan IPv6 adresleri taranabileceği gibi, belirli bir fiziksel kart üreticisinin numarasından üretilen adresler de taranabilir. Tüm bu taramalar bir çeşit rastgele tarama olduğu için aslında var olmayan adreslere de paket gönderilecektir. Bu bağlamda, rastgele taramaları da saptayabilmek amacıyla, Kovan bünyesinde bir karadelik sistemiyer almaktadır. Kullanılmayan IPv6 bloklarının yönlendirildiği karadelik cihazı üzerine gelen trafiği yakalayarak monitör cihazına yönlendirmektedir. F. Günlük Kovan, servislerden ve karadelikten günlük bilgisi toplamaktadır. Kovan servisleri hata mesajlarını ve erişim mesajlarını/var/log/messages dosyasına yazacak şekilde tasarlanmışlardır. /var/log/messages altına yazılan günlükler, bir betik tarafından monitör cihazına sürekli olarak gönderilmektedir.kovan servisleri aşağıdaki genel günlük yapısını kullanmaktadırlar: yapıdadır: Monitör cihaz tarafında, syslog-ng3 uygulaması kullanılarak günlükler toplanır ve veritabanına yazılır. Ayar dosyasında günlüklerin yazılacağı hedef olarak bir mysql veritabanı tanımlanmıştır. Syslog-ng3 logları 510 nolu udp portundan alarak işler ve sonrasında mysql veritabanına ekler. Veritabanı tablosu syslog-ng3 tarafından otomatik olarak yaratılmaktadır. IV. PERFORMANS Kovan ın geliştirilme ve test aşamalarında tasarımda öngörülen başarı kriterlerini karşılayıp karşılamadığına yönelik testlerin yanında süreklilik, ölçeklenebilirlik, stres ve entegrasyon testleride gerçekleştirilmiştir. Makaledeki yer kısıtı nedeni ile bu bölümde yapılan testlerden sırası ile süreklilik, ölçeklenebilirlik ve stres testlerinden birer örneğe yer verilmiştir. Kovan bünyesinde kullanılan netgraph ve VIMAGE arayüzleri yeni teknolojiler oldukları için kararlı sürümlerine tam olarak ulaşmış değillerdir. Kararsız bellek kullanımının performans sorunlarına yol açabileceği düşünülerek ilk testte çekirdekteki bellek kullanımı test edilmiştir. Bu testte, Kovan sisteminin defalarca çalıştırılıp durdurulması sonucunda çekirdeğin bellek kullanım durumu gözlenmektedir. Sabit bir ayarla yüzlerce kez Kovan ın çalıştırıldığı cihazda; Kovan çalıştırılmadan önce, Kovan çalışırken ve Kovan durdurulduktan sonra çekirdekteki bellek kullanımı kayıt altına alınmıştır. Test süresince vmstat komutuyla elde edilen bellek kullanımı verisinden Şekil 6 de yer alan grafik elde edilmiştir. Genel günlük yapısı 10 alan içermektedir, bunlar: günlük tarihi, kaynak cihaz, kaynak servis, kaynak IP, kaynak ORT, hedef IP, hedef PORT, kullanılan protokol, mesaj, UTC zamanıdır. Kovan da, tüm servis cihazları aynı jail dosya sistemini kullandıkları için, günlük oluşturulurken aynı günlük soketi ve aynı /var/log/messages dosyasını kullanmaktadırlar. Bu yüzden, servisler için sadece bir tek syslog programı çalıştırılmaktadır. Sonuç olarak, genel günlük formatının ikinci alanı her servis logunda aynı değeri almaktadır, syslog unçalıştığı sanal cihazın adı bu alanda yer almaktadır. Kovan servislerinden gönderilen bilgilere ek olarak karadelikten de günlükler monitör cihazına gönderilmektedir. Karadelik günlükleri aşağıdaki Şekil 6. Cihaz Sayısı ve Çekirdek Bellek Tüketimi Şekil 6 de, test süresince aktif sanal sayfa (virtual page) kullanımında düzenli bir dalgalanma görülmektedir. Kovan ın çalıştırılması ve durdurulması arasında da bellek kullanımı değerleri alınmaktadır, aktif sanal sayfa sayısının kovan çalışırken artış göstermesi ve durdurulduğunda azalması nedeni ile bu dalgalanma görülmektedir. Bu grafikte dikkat edilmesi gereken nokta, test süresince, kullanılmayan bellek miktarında 53

6 ULUSAL IPv6 KONFERANSI 2011 Tablo ı Cihaz sayısı ve kovan çalıştırma-durdurma süreleri (free list) düzenli bir düşüşün gözlenmesidir. Kovan bünyesinde kullanılan VIMAGE ve netgraph sistemlerinin yeni olmalarının ve olası hatalar içermelerin böylesi bir bellek verimsizliğine yol açtığı düşünülmektedir. 100 kez çalıştırılıp durdurulan Kovan sisteminde gözlenen bu davranışın normal kullanımda bir soruna yol açması düşük bir ihtimal olarak görünmektedir. Başka bir testte ise Kovan ın artan cihaz sayısı karşısındaki açılış/kapanış süreleri karşılaştırılmıştır. Kovan, çalıştırılma ve durdurulma süreçlerinde ayar dosyasında bulunan her cihaz için gerekli işlemleri yapmaktadır. Artan cihaz sayısının çalıştırılma ve durdurulma süreleri üzerindeki etkisinin ölçülebilmesi için kovan farklı cihazlar içeren ayar dosyalarıyla test edilmiştir. Sırasıyla; 16, 32, 64, 128, 256 ve 512 cihazlık ayar dosyalarıyla test edilen kovan ın çalıştırılma(2. kolon) ve durdurulma(3. kolon) süreleri Tablo I de görülebilmektedir. Tablo I deki değerlere bakıldığında artan cihaz sayısıyla başlatma/durdurma sürelerinde bir artış gözlenmektedir. Çok cihazlı sanal ağlarla çalışılırken gecikmeler göz önüne alınmalıdır. Kovan ın servis alt yapısının performansının gözlenmesi amacıyla HTTP servisi, Apache nin sağladığını ab aracı ile test edilmiştir. ab yardımıyla HTTP sunucuna, 4 istemciyle 1,000,000 HTTP isteği yapılmıştır. Test sonucunda ab nin ürettiği çıktı aşağıda görülebilmektedir: Test sonuçları Kovan bünyesindeki web sunucunun saniyede 1182 isteğe cevap verdiğini göstermektedir. Bir karşılaştırma yapabilmek için aynı test Apache sunucusuna uygulanmıştır ve saniyede 3925 isteğe cevap verildiği görülmüştür. V. SONUÇ VE İLERİKİ ÇALIŞMALAR Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi kapsamında geliştirilmesi tamamlanan Kovan ın testleri yapılarak ULAKNET bünyesinde kullanılmaya başlanmıştır. Kovan, IPv6 ağlarının özellikleri göz önüne alınarak tasarlanan ilk balküpüdür. Bir IPv6 balküpü olmasının ötesinde; sanal balküpü ağının tek bir cihazda yaratılabilmesi ve yerel ağdaki gerçek bilgisayarlar arasına sanal bilgisayarlar dağıtabilme yeteneği Kovan ın öne çıkan özellikleridir. Kovan IPv4 desteği sağlaması nedeni ile mevcut IPv4 ağlarda da kullanılabilmektedir. Kovan projelendirme aşaması ve sonlanması arasında geçen üç sene içinde literatürde olan gelişmeler takip edilerek güncellenmiş ve proje önerisinde olmayan sanal ağ, sanal işletim sistemi, trafik izleme sistemleri geliştirme sürecinde Kovan a eklenmiştir. Kovan ın ULAKNET ağına konuşlandırıldığı bir aylık çalışma süresince karadeliğe yapılan port tarama saldırıları tespit edilirken servislere yapılan bir saldırı henüz saptanmamıştır. Servisle herhangi bir saldırı olmamasının nedeninin IPv6 kullanımın çok yaygın olmaması [14], [15] ve verilen servislerin saldırganlarının dikkatini çekecek düzeyde duyurulamaması olduğu düşünülmektedir. Kovan ın şu ana kadar yakaladığı saldırılara ait en önemli bulgu, IPv6 ağlarında hedef bulmak içi rastgele tarama yapılmayacağı öngörüsünün yanlış olduğunu ortaya çıkarmasıdır. Kovan ın karadelik uygulaması ile sıralı ve rastgele IPv6 adresi ve port tarayan üçyüzden fazla sayıda IPv6 adresine ait trafik yakalanmıştır. Monitor sanal cihazınca en çok saldırı alan on IPv6 adresine ait örnek grafik Şekil 3 te verilmiştir. Bunun yanında taranan portların bilinen programlarca kullanılmayan port numaralı oldukları gözlenmiştir. Karadeliğe gelen trafiğin analizine devam edilmektedir. Kovan ın bundan sonraki geliştirme aşamalarında Kovan saldırılara karşı daha akıllı hale getirilebilir. Kovan da kullanılan karadeliğe yapılan saldırılardaki hedef adreslerinin belirli düzen içinde olduğu görülmüştür. Kovan bu düzenleri tespit ederek sırada taranacak IPv6 adresinde otomatik olarak sanal cihaz oluşturacak şekilde geliştirilebilir. Benzer şekilde normalde servis çalışmayan bir IPv6 adresine saldırı olması durumunda bu adreste bir servis başlatılabilir. Kovan durum denetimli yapısından dolayı iki farklı yapılandırma arasında geçiş yapabilir. Bu özellik saldırıların sayısı ve kullandığı bant genişliği arttıkça saldırı tipinin yakalamaya yönelik olarak farklı yapılandırmaya yönelik sistemler tasarlanmak için kullanılabilir. Örneğin tek bir IPv6 adresine çok sayıda saldırı olduğu zaman saldırı karşısında sistem kaynaklarını verimli kullanmak için az sayıda cihaz içeren bir yapılandırmaya geçilirken, port taraması tarzında saldırıların olduğu durumlarda cihaz sayısını çok fazla olduğu bir yapılandırmaya geçecek akıllı sistemler tasarlanabilir. 54

7 TEŞEKKÜRLER Bu çalışma Türkiye çapında IPv6 altyapısı oluşturmak ve Türkiye nin IPv6 protokolüne geçişini planlamak amacı ile TÜBİTAK - ULAKBİM in yönetici, Gazi Üniversitesi ve Çanakkale 18 Mart Üniversitesi nin yürütücü, Bilgi Teknolojileri ve İletişim Kurumu nun müşteri kurum olarak katıldığı Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi kapsamında gerçekleştirilmiştir [12]. Bu proje TÜBİTAK tarafından desteklenmektedir. KAYNAKLAR [1] I. Mokube, M. Adams, Honeypots: concepts, approaches, and challenges, Proceedings of the 45th Annual Southeast Regional Conference, Mart 2007, Sayfa : [2] Lance Spitzner, Honeypots: Tracking Hackers, Boston: Addison-Wesley, 2003 [3] J. K. Jones, G. W. Romney, Honeynets: an educational resource for IT security, Proceedings of the 5th Conference on Information Technology Education, Kasım 2004 [4] K. Sadasivam, B. Samudrala, T. Andrew Yang, Design of network security projects using honeypots, Journal of Computing Sciences in Colleges Volume 20, Issue 4, Nisan 2005 [5] M. J. Ranum, A Whirlwind Introduction to Honeypots rt_files/he-1&2.pdf [6] G. Portokalidis, A. Slowinska, H. Bos, Argos: an emulator for fingerprinting zero-day attacks for advertised honeypots with automatic signature generation, Proceedings of ACM SIGOPS EUROSYS2006, [7] P. Baecher, M. Koetter, T. Holz, M. Dornseif, The Nepenthes Platform: An Efficient Approach to Collect Malware, Proceedings of 9th International Symposium (RAID 06), Sayfa : , [8] M. Zec, Implementing a Clonable Network Stack in the FreeBSD Kernel, Proceedings of USENIX 2003 Annual Technical Conference, Sayfa: , [9] All about Netgraph, julian/netgraph.html [10] FreeBSD Epair, [11] Quagga Routing Suite, [12] Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi [13] ULAKNET, Türkiye Akademik Ağı [14] Goolge IPv6 kullanım istatistikleri [15] Arbor Networks IPv6 kullanım istatistikleri 55

8 ULUSAL IPv6 KONFERANSI