WEBVTT

00:00.270 --> 00:01.103
-: Bu derste izleme

00:01.103 --> 00:03.690
ve denetleme konularına odaklanacağız.

00:03.690 --> 00:05.343
Önce izleme ile başlayalım.

00:05.343 --> 00:06.930
İzleme hakkında konuştuğumuzda,

00:06.930 --> 00:09.090
bir güvenlik analistinin ana işlerinden

00:09.090 --> 00:11.130
biri gerçekten de ağı izlemektir.

00:11.130 --> 00:12.150
Dedektifler gibiyiz.

00:12.150 --> 00:13.350
Doğru görünmeyen her şeyin

00:13.350 --> 00:14.970
kökünü kazımaya çalışıyoruz ve

00:14.970 --> 00:18.180
bu manuel olarak ya da otomatik bir yöntemle yapılabilir.

00:18.180 --> 00:21.150
Şimdi, syslog, farklı cihazların ve yazılım uygulamalarının

00:21.150 --> 00:23.820
günlüklerini veya olay kayıtlarını merkezi bir sunucuya

00:23.820 --> 00:26.520
iletmelerini sağlayan bir protokoldür.

00:26.520 --> 00:30.300
Şimdi syslog standart bir istemci sunucu modelini takip edecek.

00:30.300 --> 00:33.030
Ve bu, bir ağ boyunca dağıtılmış sistemlerden gelen olayların

00:33.030 --> 00:35.490
günlüğe kaydedilmesi için defacto standarttır.

00:35.490 --> 00:38.820
Günlük olarak üzerinde çalışacağınız pek çok sistemde syslog'un

00:38.820 --> 00:40.950
kullanıldığını göreceksiniz.

00:40.950 --> 00:43.590
Artık syslog çoğu işletim sisteminde ve çoğu ağ

00:43.590 --> 00:45.270
ekipmanında çalışmaktadır.

00:45.270 --> 00:47.310
Yani ister bir Cisco yönlendirici kullanıyor olun,

00:47.310 --> 00:49.920
ister bir Windows makinesi ya da bir Linux sunucusu kullanıyor

00:49.920 --> 00:51.630
olun, hepsi syslog kullanabilir.

00:51.630 --> 00:53.490
Şimdi, bu mesajları geri gönderdiğimizde,

00:53.490 --> 00:55.920
bir syslog mesajı neye benzer?

00:55.920 --> 00:58.860
Bir syslog mesajı birkaç şey içerecektir.

00:58.860 --> 01:01.530
Bir öncelik kodu olan PRI kodu içerir.

01:01.530 --> 01:04.410
Bir başlık ve bir mesaj bölümü içerir.

01:04.410 --> 01:05.610
Bunların her biri hakkında konuşalım.

01:05.610 --> 01:08.040
İlk olarak, bu PRI koduna, bu önceliğe sahibiz

01:08.040 --> 01:10.200
ve bu, tesise ve verilerin önem derecesine

01:10.200 --> 01:12.450
göre hesaplanacaktır.

01:12.450 --> 01:13.710
Ardından, bir başlığımız

01:13.710 --> 01:15.570
var ve başlık olayın zaman damgasını ve

01:15.570 --> 01:17.190
ana bilgisayar adını içerecek.

01:17.190 --> 01:20.160
Yani nereden geldiğini ve ne zaman olduğunu biliyoruz.

01:20.160 --> 01:22.230
Ve son olarak, olayın kaynak sürecini ve ilgili

01:22.230 --> 01:24.360
içeriği içeren mesaj bölümümüz var, temel

01:24.360 --> 01:27.330
olarak hangi veriler oldu ve bize ne hakkında bilgi vermek

01:27.330 --> 01:28.560
istiyorsunuz?

01:28.560 --> 01:30.570
Mesaj kısmındaki fikir de budur.

01:30.570 --> 01:33.390
Bu mesajın özü budur.

01:33.390 --> 01:34.800
Şimdi, syslog ile ilgilendiğimizde,

01:34.800 --> 01:37.770
orijinal sürümde bunun birkaç dezavantajı var.

01:37.770 --> 01:40.230
Orijinal protokol UDP'ye dayanıyordu.

01:40.230 --> 01:42.990
UDP bir ateşle ve unut protokolü olduğu için bu, sıkışık

01:42.990 --> 01:45.510
ağlarda teslimat sorunlarına neden olabilir.

01:45.510 --> 01:46.920
Gönderir ve yanıt ve

01:46.920 --> 01:48.270
onay beklemez.

01:48.270 --> 01:50.250
Ve böylece oraya ulaştığını varsayar.

01:50.250 --> 01:51.420
Sıkışık bir ağınız varsa,

01:51.420 --> 01:53.051
veriler düşebilir ve bu nedenle

01:53.051 --> 01:55.500
bilgileriniz günlük sunucusuna ulaşmaz

01:55.500 --> 01:57.630
ve günlüğe kaydedilmez.

01:57.630 --> 01:59.760
İlk günlerde bu sorun olmayabilirdi, çünkü insanlar

01:59.760 --> 02:00.930
ağınızdaki herkesin güvenilir

02:00.930 --> 02:02.520
olduğunu varsayıyordu, ancak bugünlerde

02:02.520 --> 02:04.080
bunu istemiyoruz.

02:04.080 --> 02:05.760
Verilerimizin oraya ulaştığından emin olmak istiyoruz.

02:05.760 --> 02:07.920
Bu yüzden bunun için bir çözüm bulmamız gerekecek.

02:07.920 --> 02:09.690
İkinci husus ise çok fazla temel güvenlik

02:09.690 --> 02:11.640
kontrolünün bulunmamasıdır.

02:11.640 --> 02:14.070
Syslog ile varsayılan olarak şifreleme veya

02:14.070 --> 02:16.080
kimlik doğrulama gibi bir şey yoktu.

02:16.080 --> 02:17.850
Bu da yine bir başka dezavantajdı.

02:17.850 --> 02:20.250
Bu yüzden syslog'un modern uygulamalarında

02:20.250 --> 02:21.750
bunları düzelttik.

02:21.750 --> 02:23.220
Şimdi bu güvenlik sorunları nedeniyle,

02:23.220 --> 02:25.590
daha yeni syslog uygulamalarımız birçok farklı

02:25.590 --> 02:27.510
özellik ve yetenek ekledi.

02:27.510 --> 02:29.400
Burada bunlardan birkaçı hakkında konuşacağız.

02:29.400 --> 02:32.460
İlk yeni uygulamalar tutarlı teslimat için

02:32.460 --> 02:34.170
TCP kullanmaktadır.

02:34.170 --> 02:36.360
Bu şekilde, ağ tıkanırsa ve mesaj oraya

02:36.360 --> 02:37.770
ulaşamazsa, TCP kullandığı

02:37.770 --> 02:41.220
için mesajı tekrar tekrar iletecektir.

02:41.220 --> 02:43.470
İkinci gelişme, daha yeni uygulamalar, sunuculara

02:43.470 --> 02:46.230
gönderilen mesajlarınızı şifrelemek için TLS veya taşıma

02:46.230 --> 02:49.050
katmanı güvenliğini kullanabilir.

02:49.050 --> 02:50.760
Bu şekilde, aktarım halindeki veriler

02:50.760 --> 02:52.580
ağdaki başka biri tarafından okunamaz.

02:52.580 --> 02:55.200
Yalnızca onu gönderen uç nokta ve onu alan

02:55.200 --> 02:57.510
sunucu tarafından okunabilir.

02:57.510 --> 02:58.343
Üçüncü husus

02:58.343 --> 03:02.130
ise, yeni uygulamaların kimlik doğrulama ve bütünlük sağlamak

03:02.130 --> 03:04.950
için MD5 ve SHA1 kullanmasıdır.

03:04.950 --> 03:07.770
Bu şekilde mesajlar ağınızdan geçerken mesaj kimlik doğrulamasına

03:07.770 --> 03:10.080
ve bütünlüğüne sahip olabilir ve böylece başka biri tarafından

03:10.080 --> 03:12.930
karıştırılmadıklarından emin olabilirsiniz.

03:12.930 --> 03:14.730
Yine birçok başka özellik.

03:14.730 --> 03:16.920
Bu sete çok fazla odaklanmıyorum çünkü

03:16.920 --> 03:19.290
gerçekten önem verdiğimiz üç büyük set,

03:19.290 --> 03:21.900
tutarlı bir teslimat için TCP'ye geçtik.

03:21.900 --> 03:23.910
Şifreleme için TLS'ye geçtik ve kimlik

03:23.910 --> 03:26.130
doğrulama ve bütünlük için MD5 ve SHA1

03:26.130 --> 03:28.050
kullanmaya başladık.

03:28.050 --> 03:30.090
Şimdi sunucunun bu yeni sürümü genellikle

03:30.090 --> 03:35.490
syslog-ng, syslog next generation veya rsyslog olarak adlandırılıyor.

03:35.490 --> 03:37.470
Şimdi syslog hakkında bahsetmek istediğim son

03:37.470 --> 03:40.560
şey, syslog'un genellikle üç anlama gelecek şekilde kullanıldığıdır.

03:40.560 --> 03:43.380
Verileri hangi protokol üzerinden gönderdiğimizi ifade edebilir.

03:43.380 --> 03:46.410
Bir syslog sunucusunda olduğu gibi sunucuya veya syslog verilerinde

03:46.410 --> 03:48.690
olduğu gibi günlük girdilerinin kendisine

03:48.690 --> 03:50.430
atıfta bulunabilir.

03:50.430 --> 03:51.990
İnsanlar genellikle sadece syslog derler

03:51.990 --> 03:54.090
ve bağlama bağlı olarak bu üçünü veya bu üçünden herhangi

03:54.090 --> 03:55.470
birini kastederler.

03:55.470 --> 03:56.700
Bu nedenle, sektörde konuşan

03:56.700 --> 03:58.530
insanları duyduğunuzda, SNMP hakkında

03:58.530 --> 03:59.790
konuştukları üçünden hangisinin

03:59.790 --> 04:01.860
bir sonraki olduğunu anladığınızdan emin olmak

04:01.860 --> 04:03.810
için bu konuda dikkatli olun.

04:03.810 --> 04:06.900
SNMP, Basit Ağ Yönetimi Protokolüdür.

04:06.900 --> 04:09.480
Ağa bağlı cihazların ve bilgisayarların izlenmesine

04:09.480 --> 04:12.000
yardımcı olan bir TCP protokolüdür.

04:12.000 --> 04:14.520
SNMP, ağ yönetimi ve izleme sistemlerine dahil

04:14.520 --> 04:16.830
edilmiştir ve yönetim ve izleme konseptinde

04:16.830 --> 04:18.840
yoğun olarak kullanılmaktadır.

04:18.840 --> 04:21.870
SNMP üç bileşene ayrılmıştır.

04:21.870 --> 04:24.030
Yönetilen cihazlar, aracı ve ağ yönetim

04:24.030 --> 04:26.370
sistemlerinin kendileri vardır.

04:26.370 --> 04:28.020
Yönetilen cihazlar hakkında konuşuyoruz.

04:28.020 --> 04:30.510
Bu, bir ağ yönetim sistemi tarafından aracılar

04:30.510 --> 04:32.400
kullanılarak izlenen bilgisayarlar

04:32.400 --> 04:34.380
ve ağa bağlı diğer cihazlardır.

04:34.380 --> 04:37.560
Aracılar, yönetilen bir cihaza yüklenen yazılımlardır.

04:37.560 --> 04:39.450
Bu da bilgileri, izlemeyi yapacak

04:39.450 --> 04:41.040
olan ağ yönetim sistemine yönlendirmemizi

04:41.040 --> 04:42.510
sağlar.

04:42.510 --> 04:44.700
Bir ağ yönetim sistemi ya da NMS, bir ya da

04:44.700 --> 04:47.100
daha fazla sunucu üzerinde çalışan ve ağ üzerindeki

04:47.100 --> 04:48.120
tüm ağa bağlı cihazların

04:48.120 --> 04:52.230
ve bilgisayarların izlenmesini kontrol eden yazılımdır.

04:52.230 --> 04:54.840
SNMP, SNMP protokolünü kullanarak bunların üçünün

04:54.840 --> 04:58.080
de birbiriyle konuşmasını sağlayan yapıştırıcıdır.

04:58.080 --> 05:00.570
Peki tüm bunlar ağ içinde neye benziyor?

05:00.570 --> 05:03.180
Burada, ekranda kısa bir diyagram görebilirsiniz.

05:03.180 --> 05:05.910
Sol tarafta, ağ yönetim sistemimizin bir parçası

05:05.910 --> 05:09.000
olan ağ yönetim istasyonumuz veya NMS'miz var.

05:09.000 --> 05:10.830
Bu bizim yöneticimiz olarak hareket

05:10.830 --> 05:12.630
edecek ve ağdaki tüm yönetilen cihazlara,

05:12.630 --> 05:15.060
yönlendiricilerinize, anahtarlarınıza ve sunucularınıza

05:15.060 --> 05:17.850
mesaj gönderip alacak, değil mi?

05:17.850 --> 05:19.290
Şimdi, bilgi istediğinde,

05:19.290 --> 05:20.860
bir get isteği gönderecek ve

05:20.860 --> 05:23.970
ardından bu cihazlar bir set isteği kullanarak bilgileri

05:23.970 --> 05:25.890
geri gönderecektir.

05:25.890 --> 05:27.960
Ayrıca, periyodik aralıklarla gerektiğinde

05:27.960 --> 05:29.910
bilgi gönderdikleri bu yönetim cihazlarından

05:29.910 --> 05:31.320
istenmeyen bilgileri alacak

05:31.320 --> 05:32.970
olan tuzak isteği adı verilen bir

05:32.970 --> 05:34.440
şey de vardır.

05:34.440 --> 05:38.070
Dolayısıyla, SNMP kullanarak tüm bu ağ yönetimini gerçekleştirdiğinizde, verilerin

05:38.070 --> 05:40.620
gönderilebileceği iki seçeneğiniz vardır.

05:40.620 --> 05:42.690
Bunu kullandığınız ağ üzerinden gönderebilirsiniz

05:42.690 --> 05:44.670
ki buna bant içi iletişim denir ya da bant

05:44.670 --> 05:46.830
dışından gönderebilirsiniz.

05:46.830 --> 05:47.940
Şimdi, bant içi yaptığınızda,

05:47.940 --> 05:49.890
bu yönetim verilerini kurumsal bilgilerinizi

05:49.890 --> 05:51.810
ve normal verilerinizi taşıyan aynı ağ üzerinden

05:51.810 --> 05:54.120
göndereceğiniz anlamına gelir.

05:54.120 --> 05:57.600
Bu daha ucuz ve kolaydır, ancak daha az güvenlidir.

05:57.600 --> 05:58.710
Şimdi daha güvenli olmak

05:58.710 --> 06:00.930
için bant dışı bir ağ oluşturmalısınız.

06:00.930 --> 06:02.760
Bu, tüm yönetimin gerçekleştiği

06:02.760 --> 06:04.560
ikincil bir ağdır, ancak yine de

06:04.560 --> 06:06.780
kullanıcıların alacağı tüm verilerin

06:06.780 --> 06:08.940
gerçekleşeceği birincil bant içi ağınız

06:08.940 --> 06:10.050
vardır.

06:10.050 --> 06:11.610
Yönetim her zaman bant dışı bir

06:11.610 --> 06:14.490
ağ üzerinde yapılmalıdır çünkü bu güvenliği artırır ve yönetim

06:14.490 --> 06:17.160
işlevini kullanıcıların dokunabileceği veya görebileceği

06:17.160 --> 06:18.993
bir yerden çıkarır.