AntiKor® Raporlama
AntiKor® Güvenlik & Web Filtreleme sunucusunda, temelde 2 tip Raporlama vardır.
Bunlardan ilki “Trafik İstatistikleri” ve “Saldırı Tespit Raporları” aşağıda
gösterilmiştir. Bu sunucu üzerinde “Raporlar Kategorisi”nde tutulur ve bilgi amaçlıdır.
İkincisi ise yerel ağımızdaki kullanıcıların yerel ağdan dışarıya olan erişimlerinin
detaylı raporlarını çıkarır. Bunlardan “Web Erişim Raporları” webde yapılan yani http
(80) trafiğinin istatistikî bilgilerini çıkarır. Sunucu üzerinde her gece, saat 12 de o günün
raporlarını html olarak üretir ve gösterir. Ayrıca sistem kullanıcısının bu raporları
saklaması için sıkıştırır ve download edilebilir halde bırakır. Bunları düzenli indirip
saklamak sistem yöneticisinin sorumluluğundadır. “Rapor yönetimi”nden de bilgilerin CD/
DVD gibi dış ortama saklandıktan sonra silinebilir.
Trafik İstatistikleri :
İnternet Hattının upload ve download olarak grafiklerini çizer. Bu grafikleri de
Günlük, Haftalık, Aylık ve Yıllık olarak tutar.
Saldırı Tespit Raporları :
Sistemde bulunan Saldırı tespit ve önleme işleminin sonucudur. Saldırı yapanın ip
leri sistem tarafından engellenir ve bir daha sisteme ulaşması engellenir. Burada görünen
“0” değerleri sadece port taraması yapanlardır.
1
Web Erişim Raporları :
Kullanıcıların internette geçirdikleri saat/tarih ve girdikleri adres bilgilerini tutar.
Sistem Ayarları kategorisinde “İstemci Tanımları” nda yapılan isimlere göre rapor üretir,
eğer burada tanım yapılmamışsa ip ile rapor üretir. Yerel alandaki giriş yapılan Top 100
siteyi, Girilen Siteleri, hangi siteye hangi kullanıcıların girdiğini ve Kullanıcıların download
Raporlarını gösterir. Bunları sırası ile ekran görüntüleri ile izleyelim.
“Raporlar Kategorisi”ndeki “Web Erişim Raporları”na bastığımızda aşağıdaki görüntü gelir.
Bu ekran görüntüsünde gün-gün tarih bilgileri, dosyanın oluşturma tarihleri, o günkü
internete giren kişi sayısı ve ortalama Megabayt cinsinden yaptıkları internet trafiklerini
göstermektedir. Hangi günün web erişim trafiğini inceleyeceksek o güne tıklayarak sadece
o günün trafik detaylarını açabiliriz.
2
23 Ağustos tarihli linke tıkladığımızda aşağıdaki ekran görüntüsü geldi.
Bu ekran görüntüsünde; kurumda en çok girilen 100 site, hangi sitelere hangi
kullanıcılar girmiş, o günkü yapılan download durumu, internete en çok dan en aza doğru
giren kişilerin bilgileri gelir. Bu kişilerin sırasıyla, dosya indirme grafiği, internete 24 saat
içinde hangi saatte girdikleri, isimleri, yaptığı bağlantılar, internette geçirdiği zaman lar
detaylı olarak gösterir.
“Topsites” e tıkladığımızda bu görüntü geldi ve kurum içinde en çok girilen siteleri sıraladı
Bağlantı sayısı, o siteden inen toplam byte cinsinden trafik ve o sitede geçen toplam
zamanı gösterir.
3
“Siteler&Kullanıcılar” a tıkladığımızda bu görüntü geldi ve site ve girilen ip bilgilerini
sıraladı.
Normalde Sistem Ayarlarındaki İstemci tanımlarında o iplerin karşılıklarını görmezse bu
şekilde ip olarak rapor çıkartır. Eğer bu bilgiler girilmişse ip yerine isim çıkardı.
“Downloads” a tıkladığımızda bu görüntü geldi ve hangi ip, hangi dosyayı download ettiği
bilgisini verdi. Download edilen saat ve tarih bilgisini de ayrıntılı olarak göstermektedir.
4
Sıra geldi Kullanıcılarımıza, bütün kullanıcıların göründüğü ekran görüntüsünden Fikret
kullanıcısını izleyelim.
Buradan soldaki grafik butonuna bastığımızda aşağıdaki görüntü geldi ve bulunduğu ay
içerisinde(31 günlük) ayın 23 ünde 2 GB lık toplamda web trafiği yapmıştır. Sadece 23
Ağustosu incelediğimiz için sadece 23 Ağustos’un bilgisi gelmiştir.
Bir sonraki tarih-saat butonuna bastığımızda ise Fikret kullanıcısının 24 saat içerisinde
kaçar byte’lik trafik yaptığını gösteriyor. Bütün saatlerdeki toplamı aldığımızda yukarıdaki
grafikteki toplam 2 Gb lik grafiği oluşturmaktadır.
5
Şimdi Fikret kullanıcısının detaylı web trafiğine, isminin üzerine tıkladığımızda, Fikret
kullanıcısının 23 Ağustos tarihinde girdiği ve en çok trafik yaptığı bütün siteleri en çok dan
en aza göre sıralı bir biçimde vermektedir. En solda o siteye girdiği saat, o sitenin linki,
yaptığı bağlantı adedi, byte cinsinden değeri, ve sitede harcadığı zamanı bütün
ayrıntılarıyla vermektedir.
İlk sıradaki vp03.video.l.google.com sitesine günün hangi saatinde girdiğinin detaylı
bilgisini vermektedir. Bu şekilde girilen bütün sayfanın bilgileri, solundaki tarih-saat
bilgisine basılarak alınabilir.
6
Bu son görüntüde de, “Sistem ayarları” Kategorisinde, “İstemci Tanımlarında”
ayarları girilmemiş kullanıcıların da aşağıdaki gibi ip olarak bilgisi görülmektedir. Bir de
sıranın en altında, internete giren kişi sayısı, yaptığı bağlantılar, internette geçirdiği
zamanların yanı sıra, toplam bağlantı sayısı, toplam internette geçen zaman ve toplam
indirilen indirme boyutu ve bunların ortalamaları görünmektedir.
Daha önce de belirttiğimiz gibi her gün oluşturulan raporları, günlük olarak bu
menüden bilgisayarınıza indirebilir, winrar gibi sıkıştırma programıyla indirilen dosyayı
açabilir ve html olan bu dosyayı İnternet Explorer, Firefox, v.b. gibi programlarla
inceleyebilirsiniz.
7
NetFlow Ayarları :
“Sistem Ayarları” kategorisnde bulunan “NetFlow Ayarları” menüsü sayesinde,
üzerinden geçen bütün trafiğin data başlıklarını, istenilen bir netflow collector’a
(toplayıcıya) yollayabilir. Buradan internet trafik analizi yapılabilir. Netflow cisco’nun bir
protokolüdür ve network monitoring özelliği ile kendi ağımızda neler olduğuna dair çok
güzel istatistiki bilgiler vermektedir. Bu kitapçıkda her biri birbirinden farklı özelliklere
sahip olan onlarca Netflow Analyzer programından sadece 2 tanesi anlatılacaktır.
Bunlardan ilki Plixer firmasının plixer-scrutinizer-win32 programının 5.02 sürümü ile ve
diğeri de Crannog NetFlow Tracker programının 3.0.5 sürümüdür. Bu iki collector’un da
kendi database olup, web arayüzünden çalışmaktadır. Bu iki program da herhangi bir
windows’a kurulabilir, tek yapılması gereken aşağıdaki gibi Antikor web yönetim
panelinden bu sunuculara yönlendirmektir.
Antikor üzerinden yapılan örnek NetFlow Yapılandırmasında;
1’ sinde 10.0.0.10 nolu ip nin 2055 portuna bütün trafik bilgisi gönderilmektedir.
2’ sinde 10.0.0.20 nolu ip nin 9996 portuna 10.0.4.0/24 ip bloğunun bilgisi
gönderilmektedir.
• 3’sünde 10.0.0.30 nolu ipnin 9996 nolu ip sine sadece 10.0.0.1 bilgisayarının trafik
bilgisi gönderilmektedir.
•
•
Bu aşamadan sonra yukarıda 3 örnekteki Windows bilgisayarlara bu collector’u kurup,
Windows güvenlik merkezinden portu açmak gerekir. Sırasıyla,
8
Özel Durumlar Sekmesinde, “Bağlantı Noktası Ekle” den
2055 veya 9996 UDP portu eklenir.
9
Collector (Toplayıcı) – Plixer firmasının Plliplixer-scrutinizer-win32.exe NetFlow Analyzer
Programı ( http://www.plixer.com )
Sitesinden “Download free” bölümünden, 5.02 sürümünü indirip kuruyoruz. Yaklaşık
52MB. Programın kurulumunun ekran görüntüsü sırasıyla,
Yukarıda değindiğimiz 2055 UDP portunun açılması için uyarı veriyor.
Lisans anlaşmasının okunup kabul edilip Next tuşuna basmamız gerekiyor.
10
Kurulum dizininin seçildiği yer. Boş alanı çok olan bir yer seçmemiz gerekir çünkü her gün
veri aldıkça database büyümektedir.Bu program içinde mysql ve apache barındırmaktadır
bu yüzden ISS kurulu veya mysql’i önceden kurulu bilgisayarlarda sorun çıkabilir.
SNMP, Lisans ve programın işleyeceği web portu seçilir. Eğer ISS felan varsa burada veb
portu değiştirilmeli, 8080 gibi portlar verilmelidir.
11
Program kuruluma başladı.
Programın kurulumu bitti.
12
Masaüstüne kısayol oluşacaktır, çalıştırdığımızda programa girmek için kullanıcı adı ve
şifre ister. Kullanıcı adı ve şifre küçük harflerle “admin” dir.
Programın genel görüntüsü, soldaki Ungrouped den menüler gelir.
13
10.0.13.251 in detayları, hangi iplerden hangi boyutta bilgi indirdiği görülüyor.(Bir
paylaşım programıyla bu trafik olmuştur ve trafik çift yönlüdür. Aşağıda incelenecektir.)
10.0.13.251 nolu ip’nin 85.254.234.63 nolu ip den hangi portlarından indirdiği bilginin MB
cinsinden boyutlarını veriyor.
14
Bu grafikte de tam tersi olarak 85.254.234.63 nolu bilgisayarın içerdeki 10.0.13.251 nolu
ip den indirdiği 2,28 GB lık bilgi gözükmektedir.
Burada da rapidshare’den 213.88.151.103 nolu dış ipnin 10.0.4.131 nolu iç ipden port 80
den aldığı 19.94 GB lik bilginin trafiği gözükmektedir.
15
Burada protokol olarak mysql(3306) trafiği görülmektedir. 2 adet sunucunun adresi ve
diğerleri içerdeki bilgisayarların detaylı bilgileridir.
193.255.128.11 sunucusuna gelen mysql(3306) trafiğinin hangi iplerden geldiği
görülmektedir. MB cinsinden boyutları da görülmektedir.
16
193.255.128.11 sunucusuna gelen ve 10.0.4.4 ipsinin yaptığı mysql(3306) trafiğinin
saatleri ile detaylı grafiği gözükmektedir.
Genel tüm “Top Conversations” çift yönlü en fazla trafik yapanların en düşüğe kadar tüm
trafikleri Lineer olarak görülmektedir.
17
http (port 80) bazında dış ipden iç ipye en fazla trafik yapanların en yüksekten en düşüğe
kadar tüm trafikleri görülmektedir.
Genel tüm “Top Conversations” çift yönlü en fazla trafik yapanların en düşüğe kadar tüm
trafikleri pasta grafiği olarak görülmektedir.
18
İstenen koşulun belirlenen tarih aralıklarında gösterilmesini sağlar.
Bu grafik de lineer moda 213.88.151.103 nolu ipden 10.0.4.131 nolu ip ye olan trafiği
saat saat gösterip ortalama ve toplam bilgi boyutlarını vermektedir.
19
Programın “Ayarlar” bölümüdür. Known Applications, Known Hosts ve User Management
bu bölümde yeralır.
Known Applications bölümünde tanımlı olmayan program ve işlediği portları buradan
girilir. Bundan sonra raporlarda bu eklediğimiz program ve port ismiyle görülür. A dan Z
ye kadar tanımlı bütün programları buradan görebiliriz.
20
Known Hosts bölümünde kullanıcılarımızın isim ve portları buradan girilir. Bundan sonra
raporlarda bu eklediğimiz kişi ip yerine ismiyle görülür.
User Management bölümünden bu programa istenilen kadar kullanıcı tanımı yapılıp bu
kullanıcıya yukarda gösterilen haklardan istenilen verilebilir.
21
Programda “Vitals” Sekmesi; Bu bölümde programın sunucu üzerindeki işleyişi greafiksel
olarak gösterilmektedir.
Kullandığı database olan mysql in çalışma durumunu gösteriyor
Programın sunucuda kullandığı CPU, Ram ve Harddisk durumunu gösteriyor.
Programın dinlediği 2055 socket portunun ve gelen bilginin zamana karşı detaylı bilgisini
gösteriyor.
22
Sunucuda dinlenen ve açık durumdaki bütün portların bilgisini gösteriyor.
Bu grafiklerden herhangi birisinin üzerine tıkladığımızda geçmişe dönük detaylı bilgisini
vermektedir.
23
Collector (Toplayıcı) – Crannog NetFlow Tracker NetFlow Analyzer Programı (http://www.
crannog-software.com)
Sitesinden “Download Evaluation Now” bölümünden, 3.0.5 sürümünü indirip kuruyoruz.
Yaklaşık 34MB. Program Java ve mysql kullanmaktadır. Programın kurulumunun ekran
görüntüsü sırasıyla,
İlk kurulum ekranı, “Next” tuşuna basarak geçiyoruz.
Bu ekranda programın Lisansını okuyup kabul ettiğimiz seçeneğini seçip “Next” tuşuna
basıyoruz.
24
Bu ekranda kullanıcı ismini ve Bütün kullanıcıların bu programı kullanacağını seçiyoruz.
Tam kurulum yapılacağını seçerek “Next” tuşuna basıyoruz.
25
Programın çalışacağı portu seçerek Test butonuna basıyoruz.
Uyarı olarak 80 portunun kullanılmakta olduğunu, başka bir port seçmemiz gerektiğini
söyledi, bizde 8000 portunu seçerek yine “Test” butonuna bastık.
Bu portun kullanılmadığını ve bu portu kullanabileceğimizi söyledi. Ok butonuna basarak
bir önceki ekranda “Next” seçerek kuruluma devam ediyoruz.
26
Program kurulmaya hazır olduğunu gösteren ekran, “Install” seçeneğini seçerek kuruluma
başlıyoruz
Program gerekli bütün dosyaları hard diske kopyalıyor.
27
Programın kurulumu bitti.
Programı Başlat’dan Programlar’dan “NetFlow Tracker” seçerek çalıştırıyoruz.
Programın ilk ekran görüntüsü bu şekilde, ilk olarak ayarları yapılacaktır.
28
“Main Menu” den “Settings” seçilir ve aşağıdaki ekran gelir.
29
Lisans dosyası, “Upload a New License” den “Göz at” seçilir ve lisans dosyası
işaretlenerek “Load” butonuna basılır ve en son “OK” seçilir.
Programın dinleyeceği port bilgisidir. Default port 2055’dir. (Antikordan yönlendirilen port)
30
Sonraki aşamada yine Ayarlar sekmesinde “Device Settings”e girilir ve ünlem işareti olan
“unknown” linkine tıklanır.
Burada bir isim verilir. “SNMP Mode”de “Don’t use SNMP” seçilir ve “OK” basılarak çıkılır.
31
AntiKor® dan bilgi gelmeye başladı, artık ana menüden “Network overview” seçerek
programın detayı incelemesine başlayabiliriz.
Programın ayarlarının yapılmış ilk görüntüsüdür. Bu sunucuya birden fazla networkden
NetFlow akışı gelebilirdi, yukarıdaki ekranda sadece 1 yerden geldiği için sadece 1 renk
var. O da ayarını yaptığımız mersin.antikor device’sinden gelen bilgi. Bu mersin.antikor
linkine tıklayarak bu sunucudan geçen trafiğin çok ayrıntılı bilgilerine ulaşabiliriz.
32
Bu network de protokol bazında, en yüksekten en düşüğe trafik bilgisi yer almaktadır.
Yukarıda Port 80 tıklanarak, bu protokolde yapılan ip trafik bilgilerini göstermektedir.
33
Burada da grafik olarak değil düz bilgi olarak daha detaylı bilgi vermektedir.
“Packet Rate” bilgisine tıklanarak istenilen 2’şer dakikalık zaman aralığındaki bilgi
gösterilmektedir.
34
Filtreleme ekranıdır. Bu sunucuya düşen bilgiler arasında, çok detaylı bilgi sorgulama
yapılabilir.
35
Download

AntiKor® Raporlama