AntiKor Raporlama AntiKor Güvenlik & Web Filtreleme sunucusunda, temelde 2 tip Raporlama vardır. Bunlardan ilki Trafik İstatistikleri ve Saldırı Tespit Raporları aşağıda gösterilmiştir. Bu sunucu üzerinde Raporlar Kategorisi nde tutulur ve bilgi amaçlıdır. İkincisi ise yerel ağımızdaki kullanıcıların yerel ağdan dışarıya olan erişimlerinin detaylı raporlarını çıkarır. Bunlardan Web Erişim Raporları webde yapılan yani http (80) trafiğinin istatistikî bilgilerini çıkarır. Sunucu üzerinde her gece, saat 12 de o günün raporlarını html olarak üretir ve gösterir. Ayrıca sistem kullanıcısının bu raporları saklaması için sıkıştırır ve download edilebilir halde bırakır. Bunları düzenli indirip saklamak sistem yöneticisinin sorumluluğundadır. Rapor yönetimi nden de bilgilerin CD/ DVD gibi dış ortama saklandıktan sonra silinebilir. Trafik İstatistikleri : İnternet Hattının upload ve download olarak grafiklerini çizer. Bu grafikleri de Günlük, Haftalık, Aylık ve Yıllık olarak tutar. Saldırı Tespit Raporları : Sistemde bulunan Saldırı tespit ve önleme işleminin sonucudur. Saldırı yapanın ip leri sistem tarafından engellenir ve bir daha sisteme ulaşması engellenir. Burada görünen 0 değerleri sadece port taraması yapanlardır. 1
Web Erişim Raporları : Kullanıcıların internette geçirdikleri saat/tarih ve girdikleri adres bilgilerini tutar. Sistem Ayarları kategorisinde İstemci Tanımları nda yapılan isimlere göre rapor üretir, eğer burada tanım yapılmamışsa ip ile rapor üretir. Yerel alandaki giriş yapılan Top 100 siteyi, Girilen Siteleri, hangi siteye hangi kullanıcıların girdiğini ve Kullanıcıların download Raporlarını gösterir. Bunları sırası ile ekran görüntüleri ile izleyelim. Raporlar Kategorisi ndeki Web Erişim Raporları na bastığımızda aşağıdaki görüntü gelir. Bu ekran görüntüsünde gün-gün tarih bilgileri, dosyanın oluşturma tarihleri, o günkü internete giren kişi sayısı ve ortalama Megabayt cinsinden yaptıkları internet trafiklerini göstermektedir. Hangi günün web erişim trafiğini inceleyeceksek o güne tıklayarak sadece o günün trafik detaylarını açabiliriz. 2
23 Ağustos tarihli linke tıkladığımızda aşağıdaki ekran görüntüsü geldi. Bu ekran görüntüsünde; kurumda en çok girilen 100 site, hangi sitelere hangi kullanıcılar girmiş, o günkü yapılan download durumu, internete en çok dan en aza doğru giren kişilerin bilgileri gelir. Bu kişilerin sırasıyla, dosya indirme grafiği, internete 24 saat içinde hangi saatte girdikleri, isimleri, yaptığı bağlantılar, internette geçirdiği zaman lar detaylı olarak gösterir. Topsites e tıkladığımızda bu görüntü geldi ve kurum içinde en çok girilen siteleri sıraladı Bağlantı sayısı, o siteden inen toplam byte cinsinden trafik ve o sitede geçen toplam zamanı gösterir. 3
Siteler&Kullanıcılar a tıkladığımızda bu görüntü geldi ve site ve girilen ip bilgilerini sıraladı. Normalde Sistem Ayarlarındaki İstemci tanımlarında o iplerin karşılıklarını görmezse bu şekilde ip olarak rapor çıkartır. Eğer bu bilgiler girilmişse ip yerine isim çıkardı. Downloads a tıkladığımızda bu görüntü geldi ve hangi ip, hangi dosyayı download ettiği bilgisini verdi. Download edilen saat ve tarih bilgisini de ayrıntılı olarak göstermektedir. 4
Sıra geldi Kullanıcılarımıza, bütün kullanıcıların göründüğü ekran görüntüsünden Fikret kullanıcısını izleyelim. Buradan soldaki grafik butonuna bastığımızda aşağıdaki görüntü geldi ve bulunduğu ay içerisinde(31 günlük) ayın 23 ünde 2 GB lık toplamda web trafiği yapmıştır. Sadece 23 Ağustosu incelediğimiz için sadece 23 Ağustos un bilgisi gelmiştir. Bir sonraki tarih-saat butonuna bastığımızda ise Fikret kullanıcısının 24 saat içerisinde kaçar byte lik trafik yaptığını gösteriyor. Bütün saatlerdeki toplamı aldığımızda yukarıdaki grafikteki toplam 2 Gb lik grafiği oluşturmaktadır. 5
Şimdi Fikret kullanıcısının detaylı web trafiğine, isminin üzerine tıkladığımızda, Fikret kullanıcısının 23 Ağustos tarihinde girdiği ve en çok trafik yaptığı bütün siteleri en çok dan en aza göre sıralı bir biçimde vermektedir. En solda o siteye girdiği saat, o sitenin linki, yaptığı bağlantı adedi, byte cinsinden değeri, ve sitede harcadığı zamanı bütün ayrıntılarıyla vermektedir. İlk sıradaki vp03.video.l.google.com sitesine günün hangi saatinde girdiğinin detaylı bilgisini vermektedir. Bu şekilde girilen bütün sayfanın bilgileri, solundaki tarih-saat bilgisine basılarak alınabilir. 6
Bu son görüntüde de, Sistem ayarları Kategorisinde, İstemci Tanımlarında ayarları girilmemiş kullanıcıların da aşağıdaki gibi ip olarak bilgisi görülmektedir. Bir de sıranın en altında, internete giren kişi sayısı, yaptığı bağlantılar, internette geçirdiği zamanların yanı sıra, toplam bağlantı sayısı, toplam internette geçen zaman ve toplam indirilen indirme boyutu ve bunların ortalamaları görünmektedir. Daha önce de belirttiğimiz gibi her gün oluşturulan raporları, günlük olarak bu menüden bilgisayarınıza indirebilir, winrar gibi sıkıştırma programıyla indirilen dosyayı açabilir ve html olan bu dosyayı İnternet Explorer, Firefox, v.b. gibi programlarla inceleyebilirsiniz. 7
NetFlow Ayarları : Sistem Ayarları kategorisnde bulunan NetFlow Ayarları menüsü sayesinde, üzerinden geçen bütün trafiğin data başlıklarını, istenilen bir netflow collector a (toplayıcıya) yollayabilir. Buradan internet trafik analizi yapılabilir. Netflow cisco nun bir protokolüdür ve network monitoring özelliği ile kendi ağımızda neler olduğuna dair çok güzel istatistiki bilgiler vermektedir. Bu kitapçıkda her biri birbirinden farklı özelliklere sahip olan onlarca Netflow Analyzer programından sadece 2 tanesi anlatılacaktır. Bunlardan ilki Plixer firmasının plixer-scrutinizer-win32 programının 5.02 sürümü ile ve diğeri de Crannog NetFlow Tracker programının 3.0.5 sürümüdür. Bu iki collector un da kendi database olup, web arayüzünden çalışmaktadır. Bu iki program da herhangi bir windows a kurulabilir, tek yapılması gereken aşağıdaki gibi Antikor web yönetim panelinden bu sunuculara yönlendirmektir. Antikor üzerinden yapılan örnek NetFlow Yapılandırmasında; 1 sinde 10.0.0.10 nolu ip nin 2055 portuna bütün trafik bilgisi gönderilmektedir. 2 sinde 10.0.0.20 nolu ip nin 9996 portuna 10.0.4.0/24 ip bloğunun bilgisi gönderilmektedir. 3 sünde 10.0.0.30 nolu ipnin 9996 nolu ip sine sadece 10.0.0.1 bilgisayarının trafik bilgisi gönderilmektedir. Bu aşamadan sonra yukarıda 3 örnekteki Windows bilgisayarlara bu collector u kurup, Windows güvenlik merkezinden portu açmak gerekir. Sırasıyla, 8
Özel Durumlar Sekmesinde, Bağlantı Noktası Ekle den 2055 veya 9996 UDP portu eklenir. 9
Collector (Toplayıcı) Plixer firmasının Plliplixer-scrutinizer-win32.exe NetFlow Analyzer Programı ( http://www.plixer.com ) Sitesinden Download free bölümünden, 5.02 sürümünü indirip kuruyoruz. Yaklaşık 52MB. Programın kurulumunun ekran görüntüsü sırasıyla, Yukarıda değindiğimiz 2055 UDP portunun açılması için uyarı veriyor. Lisans anlaşmasının okunup kabul edilip Next tuşuna basmamız gerekiyor. 10
Kurulum dizininin seçildiği yer. Boş alanı çok olan bir yer seçmemiz gerekir çünkü her gün veri aldıkça database büyümektedir.bu program içinde mysql ve apache barındırmaktadır bu yüzden ISS kurulu veya mysql i önceden kurulu bilgisayarlarda sorun çıkabilir. SNMP, Lisans ve programın işleyeceği web portu seçilir. Eğer ISS felan varsa burada veb portu değiştirilmeli, 8080 gibi portlar verilmelidir. 11
Program kuruluma başladı. Programın kurulumu bitti. 12
Masaüstüne kısayol oluşacaktır, çalıştırdığımızda programa girmek için kullanıcı adı ve şifre ister. Kullanıcı adı ve şifre küçük harflerle admin dir. Programın genel görüntüsü, soldaki Ungrouped den menüler gelir. 13
10.0.13.251 in detayları, hangi iplerden hangi boyutta bilgi indirdiği görülüyor.(bir paylaşım programıyla bu trafik olmuştur ve trafik çift yönlüdür. Aşağıda incelenecektir.) 10.0.13.251 nolu ip nin 85.254.234.63 nolu ip den hangi portlarından indirdiği bilginin MB cinsinden boyutlarını veriyor. 14
Bu grafikte de tam tersi olarak 85.254.234.63 nolu bilgisayarın içerdeki 10.0.13.251 nolu ip den indirdiği 2,28 GB lık bilgi gözükmektedir. Burada da rapidshare den 213.88.151.103 nolu dış ipnin 10.0.4.131 nolu iç ipden port 80 den aldığı 19.94 GB lik bilginin trafiği gözükmektedir. 15
Burada protokol olarak mysql(3306) trafiği görülmektedir. 2 adet sunucunun adresi ve diğerleri içerdeki bilgisayarların detaylı bilgileridir. 193.255.128.11 sunucusuna gelen mysql(3306) trafiğinin hangi iplerden geldiği görülmektedir. MB cinsinden boyutları da görülmektedir. 16
193.255.128.11 sunucusuna gelen ve 10.0.4.4 ipsinin yaptığı mysql(3306) trafiğinin saatleri ile detaylı grafiği gözükmektedir. Genel tüm Top Conversations çift yönlü en fazla trafik yapanların en düşüğe kadar tüm trafikleri Lineer olarak görülmektedir. 17
http (port 80) bazında dış ipden iç ipye en fazla trafik yapanların en yüksekten en düşüğe kadar tüm trafikleri görülmektedir. Genel tüm Top Conversations çift yönlü en fazla trafik yapanların en düşüğe kadar tüm trafikleri pasta grafiği olarak görülmektedir. 18
İstenen koşulun belirlenen tarih aralıklarında gösterilmesini sağlar. Bu grafik de lineer moda 213.88.151.103 nolu ipden 10.0.4.131 nolu ip ye olan trafiği saat saat gösterip ortalama ve toplam bilgi boyutlarını vermektedir. 19
Programın Ayarlar bölümüdür. Known Applications, Known Hosts ve User Management bu bölümde yeralır. Known Applications bölümünde tanımlı olmayan program ve işlediği portları buradan girilir. Bundan sonra raporlarda bu eklediğimiz program ve port ismiyle görülür. A dan Z ye kadar tanımlı bütün programları buradan görebiliriz. 20
Known Hosts bölümünde kullanıcılarımızın isim ve portları buradan girilir. Bundan sonra raporlarda bu eklediğimiz kişi ip yerine ismiyle görülür. User Management bölümünden bu programa istenilen kadar kullanıcı tanımı yapılıp bu kullanıcıya yukarda gösterilen haklardan istenilen verilebilir. 21
Programda Vitals Sekmesi; Bu bölümde programın sunucu üzerindeki işleyişi greafiksel olarak gösterilmektedir. Kullandığı database olan mysql in çalışma durumunu gösteriyor Programın sunucuda kullandığı CPU, Ram ve Harddisk durumunu gösteriyor. Programın dinlediği 2055 socket portunun ve gelen bilginin zamana karşı detaylı bilgisini gösteriyor. 22
Sunucuda dinlenen ve açık durumdaki bütün portların bilgisini gösteriyor. Bu grafiklerden herhangi birisinin üzerine tıkladığımızda geçmişe dönük detaylı bilgisini vermektedir. 23
Collector (Toplayıcı) Crannog NetFlow Tracker NetFlow Analyzer Programı (http://www. crannog-software.com) Sitesinden Download Evaluation Now bölümünden, 3.0.5 sürümünü indirip kuruyoruz. Yaklaşık 34MB. Program Java ve mysql kullanmaktadır. Programın kurulumunun ekran görüntüsü sırasıyla, İlk kurulum ekranı, Next tuşuna basarak geçiyoruz. Bu ekranda programın Lisansını okuyup kabul ettiğimiz seçeneğini seçip Next tuşuna basıyoruz. 24
Bu ekranda kullanıcı ismini ve Bütün kullanıcıların bu programı kullanacağını seçiyoruz. Tam kurulum yapılacağını seçerek Next tuşuna basıyoruz. 25
Programın çalışacağı portu seçerek Test butonuna basıyoruz. Uyarı olarak 80 portunun kullanılmakta olduğunu, başka bir port seçmemiz gerektiğini söyledi, bizde 8000 portunu seçerek yine Test butonuna bastık. Bu portun kullanılmadığını ve bu portu kullanabileceğimizi söyledi. Ok butonuna basarak bir önceki ekranda Next seçerek kuruluma devam ediyoruz. 26
Program kurulmaya hazır olduğunu gösteren ekran, Install seçeneğini seçerek kuruluma başlıyoruz Program gerekli bütün dosyaları hard diske kopyalıyor. 27
Programın kurulumu bitti. Programı Başlat dan Programlar dan NetFlow Tracker seçerek çalıştırıyoruz. Programın ilk ekran görüntüsü bu şekilde, ilk olarak ayarları yapılacaktır. 28
Main Menu den Settings seçilir ve aşağıdaki ekran gelir. 29
Lisans dosyası, Upload a New License den Göz at seçilir ve lisans dosyası işaretlenerek Load butonuna basılır ve en son OK seçilir. Programın dinleyeceği port bilgisidir. Default port 2055 dir. (Antikordan yönlendirilen port) 30
Sonraki aşamada yine Ayarlar sekmesinde Device Settings e girilir ve ünlem işareti olan unknown linkine tıklanır. Burada bir isim verilir. SNMP Mode de Don t use SNMP seçilir ve OK basılarak çıkılır. 31
AntiKor dan bilgi gelmeye başladı, artık ana menüden Network overview seçerek programın detayı incelemesine başlayabiliriz. Programın ayarlarının yapılmış ilk görüntüsüdür. Bu sunucuya birden fazla networkden NetFlow akışı gelebilirdi, yukarıdaki ekranda sadece 1 yerden geldiği için sadece 1 renk var. O da ayarını yaptığımız mersin.antikor device sinden gelen bilgi. Bu mersin.antikor linkine tıklayarak bu sunucudan geçen trafiğin çok ayrıntılı bilgilerine ulaşabiliriz. 32
Bu network de protokol bazında, en yüksekten en düşüğe trafik bilgisi yer almaktadır. Yukarıda Port 80 tıklanarak, bu protokolde yapılan ip trafik bilgilerini göstermektedir. 33
Burada da grafik olarak değil düz bilgi olarak daha detaylı bilgi vermektedir. Packet Rate bilgisine tıklanarak istenilen 2 şer dakikalık zaman aralığındaki bilgi gösterilmektedir. 34
Filtreleme ekranıdır. Bu sunucuya düşen bilgiler arasında, çok detaylı bilgi sorgulama yapılabilir. 35