Log Analyzer Kurulum (TR)

2 ZyXEL LogAnalyzer datasheet
I.
Kanuna Neden İhtiyaç Duyuldu?
Dünyada yaşanan gelişmelere paralel olarak, ülkemizde de internetin hızla yayılımı, şirketlerde ve kurumlarda
kullanımı da arttırmış; kurumların sadece muhasebesinde bir bilgisayar mevcut iken, günümüz çalışma şartları tüm
çalışanların masasında bir bilgisayar olma zorunluluğunu getirmiştir. Çünkü şirketler ve kurumlar iletişim, araştırma,
internet bankacılığı v.b kullanımlarla, hem zaman hem de para kazanmaktadırlar. Ancak bunun yanında internet ve
network ile ilgili gerekli önlemler alınmadığından bir takım sorunlarla karşılaşılmaktadır. İnternet dahil hızla
yaygınlaşan elektronik iletişim araçlarının sağladığı imkânların suiistimal edilmesi, personelinin her türlü siteye
erişimine izin verilmesi, MSN, ICQ gibi Anlık İletişim Araçlarının denetlenmemesi gibi başta gelen problemlerin
sonucunda birçok sıkıntı söz konusu olmaktadır. Şirketlerde ve kurumlarda genellikle internet erişim hattı şirket ve
kurumun üzerine alınmakta, personel de internet çıkışını ve diğer iletişim araçlarını bu hat üzerinden sağlamaktadır.
Dolayısı ile siber alemde oluşan bir suçun ilk muhatabı IP yolu ile şirket/kurum, dolayısı ile ceza yargılaması
bakımından şirket/kurum yetkilileri olmaktadır. Eğer şirket içi ağ yapısı iyi denetlenemiyorsa ve giriş çıkışlar bir
logbook ta tutulmuyorsa, gerçek fail bulunamayacağı için şirket yetkilileri mağdur olacaklardır.
Ülkemizde internet ortamı dahil elektronik ortamda yapılan yayınları teknik açıdan ve bilimsel olarak takip eden,
sorunu tespit eden, çözümü için öneriler getiren; internet servis sağlayıcıları da dahil elektronik haberleşme ve
internet sektörünü koordine edecek kurumsal bir yapılanmanın kurulması zorunlu hale gelmiş bulunmaktadır. Bu
çerçevede ZyXEL İletişim Teknolojileri A.Ş 4/5/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların
Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gerekliliklerinin yerine
getirilmesi, kanunun çıkarılış amacına hizmet etmesi açısından ZyXEL LogAnalyzer yazılımını hazırladı.
ZyXEL’in LogAnalyzer yazılımı, 5651 sayılı yasa doğrultusunda çok kullanıcılı internet erişimine sahip şirketlerin yasal
yükümlülüklerini yerine getirmeleri için ekonomik ve rasyonel bir çözüm sunmaktadır. ZyXEL tarafından kullanıma
sunulan yeni yazılım LogAnalyzer, internet ağları üzerinden gerçekleştirilebilecek katalog suçları başta olmak üzere,
hakaret, organize suç, terör içerikli girişimler vb. gibi kanuna aykırı durumlara karşı kurumların yasal tedbirler
alabilmesini sağlamaktadır.
II. 5651 No’lu Yasa Nedir?
5651 No’lu yasa 4 Mayıs 2007 tarihinde İnternet Suçları ile mücadele için çıkarılmış bir yasadır. Bu yasanın Ekim 2007
ve Kasım 2007 yılında çıkarılmış olan yönetmelikler ile kapsamı genişletilmiş ve İnternet üzerinde suç oluşturabilecek
durumlara karşı suçlunun takibi ve bulunması amacı ile Servis Sağlayıcılar ve Tüm Kurumların internet ile ilgili
aktivitelerinin loglarının tutulmasını zorunlu hale getirmiştir.
5651 sayılı Kanunda, erişim sağlayıcı, yer sağlayıcı, içerik sağlayıcı, İnternet toplu kullanım sağlayıcı ve ticari amaçla
İnternet toplu kullanım sağlayıcılar İnternet aktörleri olarak değerlendirilmektedir. Bu Kanunla İnternet aktörleri ilk
kez tanımlanmış ve yükümlülükleri belirlenmiştir.
Kanunun amaç ve kapsamı, internet aktörlerinin ve toplu kullanım sağlayıcıların yükümlülük ve sorumluluklarını
belirlemek ve internet ortamında işlenen belirli suçlarla mücadele usul ve esaslarını belirlemektir.
Erişim sağlayıcı; kullanıcılarına İnternet ortamına erişim olanağı sağlar. 406 Sayılı Telefon ve Telgraf Kanunu ve
Telekomünikasyon Hizmet ve Alt Yapılarına İlişkin Yetkilendirme Yönetmeliği çerçevesinde Bilgi Teknolojileri ve
İletişim Kurumu tarafından yetkilendirilen işletmeler erişim sağlayıcılığı faaliyetinde bulunabilirler.
Yer sağlayıcılar; İnternet ortamında, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel
kişilerdir. Yer sağlama işini ticari olarak yapan hosting firmaları başta olmak üzere, ticari olmasa da kendi sitelerini
barındıran gerçek kişiler, kamu kurumları, üniversiteler, dernekler, şirketler, vakıflar vb. kuruluşlar da yer sağlayıcılığı
faaliyetinde bulunabilirler.
ZyXEL LogAnalyzer datasheet
3
Yer sağlayıcı trafik bilgisi, İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; Kaynak IP adresi, hedef IP adresi,
bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri
ifade etmektedir. Trafik bilgisinin loglanması işlemi için; kullanılan web sunucunun belgelerine başvurulması ve uygun
log tutulması için hangi işlemlerin yapılması gerektiğinin öğrenilmesi gerekmektedir.
Yönetmeliğe göre; yer sağlayıcılar trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan
verilerin dosya bütünlük değerlerini (Hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle
yükümlüdür. Reseller veya VPS olarak hosting hizmeti verenler yer sağlayıcı olarak değerlendirilmektedir. Dolayısıyla,
yer sağlayıcılar, “Yer Sağlayıcılığı Faaliyet Belgesi” almakla ve Yönetmelik’in gereklerini yerine yetirmekle
yükümlüdürler.
İçerik sağlayıcılar, İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve
sağlayan gerçek veya tüzel kişilerdir. Günlük gazeteler, dergiler içerik sağlayıcılara örnek olarak verilebilir. Yasaya göre;
içerik sağlayıcılar, İnternet ortamında kullanıma sundukları her türlü içerikten dolayı sorumludurlar. Yine ticari veya
ekonomik amaçlı içerik sağlayıcılar, tanıtıcı bilgilerini kendilerine ait İnternet ortamında kullanıcıların ulaşabileceği
şekilde ve güncel olarak bulundurmakla yükümlüdürler.
İnternet toplu kullanım sağlayıcı, kişilere belli bir yerde ve belli bir süre İnternet ortamı kullanım olanağı sağlar. Fakat
bu faaliyeti kar amacıyla değil, sosyal ya da bir yan hizmet olarak yerine getirir. Kamu kurum ve kuruluşları,
üniversiteler, şirketler, oteller ve kafeler gibi çalışanlarına ve müşterilerine İnternet erişim olanağı sunan yerler
İnternet toplu kullanım sağlayıcıdır. Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar,
konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
Çalışanlarına İnternet erişimi sağlayan şirketler, 5651 sayılı Kanuna dayanılarak hazırlanan “İnternet Toplu Kullanım
Sağlayıcılar Hakkında Yönetmelik"e tabidirler ve İnternet toplu kullanım sağlayıcı olarak değerlendirilmektedirler.
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 4'üncü maddesi birinci fıkrasında İnternet toplu kullanım
sağlayıcılarının yükümlülükleri konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak ve iç IP dağıtım
loglarını elektronik ortamda kendi sistemlerine kaydetmek olarak düzenlenmiştir. Dolayısıyla, Kamu kurum ve
kuruluşları, üniversiteler ve şirketler gibi çalışanlarına İnternet erişim olanağı sunan yerler, bu yükümlülükleri yerine
getirmekle sorumludurlar.
Yönetmelikte İç IP dağıtım logları; kendi iç ağlarında dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş tarih
ve saatini ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgiler
olarak tanımlanmaktadır. İç bilgisayar ağlarında bilgisayarlara atanmış olan IP adreslerinin hangi bilgisayara tahsis
edildiği bilgisinin tutulması öngörülmüştür. Hangi bilgisayarın hangi IP adresine eriştiği ile ilgili herhangi bir
düzenleme bu kapsamda öngörülmemiştir.
Dolayısıyla iç ağda bulunan bilgisayarların İnternet ortamına çıkarken hangi gerçek IP adresini aldığı ve bu IP adresi ile
hangi yayınlara eriştiği bilgisinin tutulması söz konusu değildir. Tanımdan anlaşıldığı üzere; İç ağdaki her bilgisayarın
MAC adresi ile hangi tarih-saat aralığında hangi IP adresine sahip olduğu bilgisi tutulmalıdır.
Bu kapsamda, iç ağdaki her bilgisayarın MAC adresi ile hangi tarih-saat aralığında hangi IP adresine sahip olduğu
bilgisi tutulmalıdır. Söz konusu mevzuatta kablosuz internet erişimine ilişkin olarak özel bir düzenleme bulunmamakla
birlikte, toplu kullanım sağlayıcıların yükümlülükleri arasında yer alan iç IP dağıtım loglarını tutmaya ilişkin husus
kapsamında kablosuz olarak sunulan İnternet erişiminin de değerlendirilmesi gerekmektedir. Dolayısıyla, kablosuz
İnternet hizmeti verilen şahıslara ilişkin iç IP dağıtım loglarının tutulmasının uygun olacağı değerlendirilmektedir.
Ticari amaçla İnternet toplu kullanım sağlayıcılar, İnternet salonu ve benzeri umuma açık yerlerde belirli bir ücret
karşılığı İnternet toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda bilgi ve beceri artırıcı
veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân sağlayan gerçek ve tüzel kişilerdir. Başta halk arasında
“İnternet kafe” olarak bilinen yerler olmak üzere benzeri yerler ticari amaçla İnternet toplu kullanım sağlayıcıdır.
İnternet kullanım olanağı sağlanan bir yerde işlenen bir suçun failinin belirlenmesinde ya da konusu suç olan bir
durum meydana geldiğinde sorumluları tespit etme noktasında adli merciler, adli soruşturmalar çerçevesinde yetkili
kılınmıştır.
4 ZyXEL LogAnalyzer datasheet
III. ZyXEL LogAnalyzer
Göstergeler (Dashboard):
ZyXEL LogAnalyzer Göstergeler ekranı sayesinde sistemin topladığı ve işlediği tüm loglar kategorilerine göre tespit
edilebilir, sistemle ilgili işlemci, bellek ve disk performans değerleri tam zamanlı olarak izlenebilir.
Göstergeler ekranında logların kaynaklarına göre dağılımı ile aylık, haftalık ve günlük toplam kayıt sayıları grafiksel
olarak gösterilir. Bu sayede normal olmayan bir süreci tespit etme olanağına sahip olunabilmektedir.
ZyXEL LogAnalyzer datasheet
5
İstatistik Raporlar:
Gelişmiş istatistiksel verilerde toplanan loglarla ilgili her türlü rapor sistemden alınabilmektedir. Sistem gerçek
zamanlı olarak pluginler üzerinde tanımlananan istatistik sayaçları üzerinden işlem yapmaktadır.
Raporlar PDF, EXCEL, WORD ve CSV ortamına aktarılabilir. Loglar toplanırken ZyXEL LogAnalyzer bu alanlara göre
sayaçlar tutar ve kullanıcı istediği bir anda bu sayaçlar hakkında rapor alabilir. Bu alanlar üzerinden alınan raporlar
önceden hesaplanmış olduğundan çok hızlı görüntülenmektedir. Normal raporların görüntülenmesinin saatler
sürdüğü milyarlarca kayıt olan büyük sistemlerde, bu raporlar sadece bir kaç saniyede alınmaktadır. Bu süratli
raporlama yeteneği de ZyXEL LogAnalyzer’ın benzersiz özelliklerinden birisidir.
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
6 ZyXEL LogAnalyzer datasheet
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
En Çok Trafik Üreten Kaynak IP’ler
En Çok İstek Alan Hedef IP ler
ZyXEL LogAnalyzer datasheet
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
En Çok İstek Yapılan Port/Servisler
En Çok Engellenen Kaynak IP’ler
7
8 ZyXEL LogAnalyzer datasheet
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
En Çok Web Trafiği Oluşturan Kaynak IP’ler
En Çok Yasaklamaya Uğrayan Kaynak IP’ler
ZyXEL LogAnalyzer datasheet
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
En Çok Ziyaret Edilen Web Siteleri
En Çok Bloklanan Web Siteleri
9
10 ZyXEL LogAnalyzer datasheet
Sistemde bulunan bazı rapor tipleri aşağıda gösterilmiştir.
Genel Web Kullanımı
En Çok Web Trafiği Oluşturan Kullanıcılar
ZyXEL LogAnalyzer datasheet 11
İstenilen istatiktik raporlar alındıktan sonra PDF, DOC, XLS, CVS formatında dışarı aktarılabilmektedir.
12 ZyXEL LogAnalyzer datasheet
ZyXEL LogAnalyzer datasheet
13
Adli Bilişim (Forensic) Analizi:
ZyXEL LogAnalyzer, analizler (Forensic) için gelişmiş bir sorgulama imkanı verir. Sorgulama kriterleri isteğe bağlı
olarak birden çok sayıda verilebilir. Sorgulamalar işlenen ve ayrıştırılan log satırları üzerinden yapılabilir. İsteğe bağlı
olarak orijinal loglar da sorgularda gösterilebilmektedir ve bu sorgu sonuçları da yine PDF, EXCEL, WORD ve CSV
formatına aktarılabilir.
Hangi loglar üzerinde analiz yapılmak isteniyorsa ilgili plugin seçilir. Daha sonra analizin gerçekleştirileceği tarih
aralığı belirlenir. Sorgu sonucunda sistemin maksimum kaç satır log getirmesi isteniyorsa Maks. Satır Sayısı kısmına
değer girilir. Burada tüm logların getirilmesi isteniyorsa değer 0 olarak girilebilir. Ayrıştırılan log alanlarının yanı sıra
orijinal log satırının da gösterilmesi isteniyor ise Log Satırını Göster seçilmelidir.
Filtreleme yapmak için filtre bölümüne değerler girilmelidir. Burada Kolon, Op ve Değer parametreleri
belirlenmelidir. Kolon nesnesi tıklanarak hangi alan filtrelenmek isteniyorsa seçilir. Daha sonra Op olarak “=” yada
“in” seçilir. “=” operatörü aranmak istenen değerin aynısı olması durumunda tetiklenecektir. “in” operatörü ise
aranmak istenen alfa nümerik ya da nümerik değer ilgili log parçası içerisinde geçiyor ise tetiklenecektir. Değer
kısmına da aranmak istenen değer girilir.
14 ZyXEL LogAnalyzer datasheet
Aşağıda ZyXEL USG 100 Firewall Traffic logları içerisinde Access Block olanlar ve hedef IP 138 olan loglar filtrelenmiştir.
Aşağıda ZyXEL USG 100 Content Filter loları içerisinde msg alanında face geçen ve Kaynak IP si 192.168.1.34 olan IP filtrelenmiştir.
ZyXEL LogAnalyzer datasheet
Aşağıda forensic filtreleme sonuçları PDF formatında dış ortama aktarılmıştır.
15
16 ZyXEL LogAnalyzer datasheet
Aşağıda forensic filtreleme sonuçları DOC formatında dış ortama aktarılmıştır.
İnkar Edilemezlik ve 5651:
ZyXEL LogAnalyzer kendi içerisindeki PKI alt yapısına uygun olarak işlediği logların hashlerini almakta ve zaman
damgası ile damgalayarak dijital imza ile imzalamaktadır. Bu işlemi her saniye yapmaktadır. İsteğe bağlı olarak; log
dosyaları kapatıldığında ya da gün sonunda UEKAE’nin sağladığı zaman damgası servisini kullanarak
damgalamaktadır. ZyXEL LogAnalyzer parametrik alt yapısı ile kullanılan hash ve imza algoritmaları seçilebilmektedir.
İmza algoritmalarında ön tanımlı olarak RSA(1024 bit) veya DSA kullanılmaktadır. Hash’leme algoritmaları olarak
MD5, SHA1, SHA216, SHA512 isteğe bağlı olarak seçilebilir.
Bununla birlikte, sistemde yasal istekler için dışarı veri aktarma imkanı da bulunmaktadır. Forensic Analiz kısmında
Yasal Sorgulama için Dışarı veri aktarma seçilerek orijinal log dosyaları, içerisinde hash ve zaman damgası bilgisi
bulunan dijital imza dosyaları ve sertifikalar dışarı aktarılabilmektedir.
ZyXEL LogAnalyzer datasheet
17
Seçilen dosyaları yasal sorgulama için dışarı aktar Seçilerek dosyalar ima dosyaları ve doğrulama araçları ile beraber dışarı aktarılır.
Export edilen loglar doğrulama aracı ile imzalarının geçerliliği kontrol edilebilir. Aşağıdaki örnekte trafik logları ve
TIB formatında export edilen iç IP dağıtım logları doğrulama aracı ile sınanmış ve imzaların geçerli olduğu
değiştirilmediği görülmüştür.
18 ZyXEL LogAnalyzer datasheet
Yüksek Düzeyde Kullanılabilirlik (High Availability):
ZyXEL LogAnalyzer, kümeleme alt yapısı ile aktif-pasif çalışarak yüksek oranda kullanılabilirlik imkanı vermektedir.
Aynı zamanda aktif-aktif olarak da çalışabilmekte, bu da sistemlerde yük paylaşımına olanak tanımaktadır.
Arşiv ve Yedekleme:
ZyXEL LogAnalyzer, sistem yapılandırma ve eklenti yedeklerini istenen lokasyona yedekleyebilmekte ve aynı
zamanda işlediği logları da güvenli bir şekilde farklı ortamlara aktarabilmektedir. ZyXEL LogAnalyzer ayrıca,
kullanıcılar tarafından karar verilen bir tarihten önceki kayıtları sıkıştırabilmekte ve bu oran 1/20 civarındadır. Sistem
sıkıştırılmış veriler üzerinden sorgulama ve raporlama imkanı da tanır.
Gelişmiş Eklenti (Plugin) Yapısı:
ZyXEL LogAnalyzer gelişmiş eklenti yapısı ile benzersiz bir log işleme kapasitesi sunar. Eklenti alt yapısı regular
expressions veya ZyXEL LogAnalyzer görüntü işleme fonksiyonlarını kullanır. Her iki yöntemde de sihirbazlar ya da
doğrudan eklenti adımları seçilerek ekstra eklenti yazılabilir. Aynı zamanda ZyXEL LogAnalyzer benzersiz olarak, C#
ve Visual Basic ile plugin yazmaya da olanak tanımaktadır.
Bu da varolan plugin sistemine çok yüksek bir esneklik ve güç katar. Hangisinin kullanılacağı kullanıcının isteğine
bağlıdır ve ön tanımlı olarak gelen 100’den fazla plugin ve deyim, depoda hazır bulunur. Plugin’ler üzerinde Alarm
alanları ve mesajları da tanımlanabilmektedir. Bununla birlikte, log üzerindeki herhangi bir alandaki herhangi bir
pattern’e uyan log işlendiğinde, sistem kullanıcının belirlediği alarmı üretmektedir.
ZyXEL LogAnalyzer datasheet
19
Benzersiz Gerçek Zamanlı Log İzleme:
ZyXEL LogAnalyzer, gerçek zamanlı olarak o saniye içerisinde gelen log sayılarını ve örneklerini grafiksel olarak
göstermektedir. Benzersiz olarak eklenti seviyesinde ve expression seviyesinde işlenen log sayıları bu şekilde
görülebilir. Ayrıca eklenti tarafından işlenen veya işlenmeyen kayıtlar da listelenebilir. Bu grafikleri toplam, eklenti
ve expression seviyesinde yaptığı ve o saniye içerisinde işlenen ve eklentiye uymayan kayıtları da gösterdiği için
logların herhangi bir kayba uğramadan işlenebilmesi için benzersiz bir “fine tuning” ortamı sunmaktadır.
20 ZyXEL LogAnalyzer datasheet
Log Durumu Gösterge Ekranı:
Log Durumu ekranında toplanan tüm logların adet bazında grafikleri gösterilir ve bu veriler sistem tarafından saatlik
olarak tutulur. Ekran üzerinde ise günlük ve aylık olarak gruplanması sağlanabilir. Ayrıca toplam, log kaynağı ve/veya
plugin bazında hangi grafiklerin birlikte alınacağı seçilebilir ve rapor olarak da listelenmesi sağlanabilir. Böylelikle
sistemin ne kadar log topladığı da ayrıca hesaplanabilir.
Sistem Uyarıları:
Sistem uyarıları ekranında sunucu programın ne zaman açılıp kapandığı ve sistemin ürettiği uyarı mesajları takip
edilebilmektedir. Sistemin kesintisiz olarak çalışması açısından bu kısımdaki mesajların takibi büyük önem taşır. Bu
ekranda pluginler için log gelip gelmediği, kullanıcı tanımlı uyarılar ve kritik hatalar listelenmektedir. Böylece
sistemde oluşan hatalara da erkenden müdahale edilebilir.