Ana içeriğe atla

Saldırı analizi için bir çerçeve: NfQuery

Bazı projeler üzerinde çok çalışıldığını ama duyurmak için neredeyse hiçbir şey yapılmadığını görüyorum. Geliştirciler yaptıkları işlerinden bahsetmeyi de bir tür belgeleme olarak gördüklerinden projelerini duyurmak için pek az çaba gösteriyorlar. Elbette bu kendi bilecekleri bir iş ama geliştirilen proje kişisel kullanım için olmadığında bundan haberdar olmak bazen mümkün olmayabiliyor.

Geliştiricilerinin hepsi arkadaşlarım ve öğrencilerim olan NfQuery'den bahsetmek istiyorum biraz. GEANT3 projesi çerçevesinde ULAKBİM ekibinden, her işin üstesinden gelebilen, Murat Soysal, Emre Yüce ve Serdar Yiğit tarafından geliştirilmesine başlanan bir yazılım NfQuery. Şimdiki geliştiricileri ise öğrencilerim Serhat Rıfat Demircan ve Ahmet Can Kepenek. Serhat ve Ahmet yaz stajlarını ULAKBİM'de yaptıktan sonra bitirme projeleri olarak benim danışmanlığımda NfQuery'yi geliştirmeye devam ediyorlar.

NfQuery sorgu sunucusu ULAKBİM'de ve ona bağlı eklentiler İtalya'da GARR'da ve Çek Cumhuriyetinde CESNET'te çalışıyor. Yapılan çalışma bu yıl Hollanda'da TNC2013 Konferansında sunulacak.

Yurt dışı akademik ağlarda çok ilgi gören NfQuery, NfSen ve NfDump araçları ve bu araçların güçlü özellikleri üzerine inşa edilmiş, çoklu alan ortamlarında güvenlik uyarıları veren bir sistem.  Nfdump netflow verisini toplayan ve analiz eden araçlardan oluşuyor. Nfsen Nfdump araçlarını web arayüzü ile kullanmak ve netflow verisini grafiklerle göstermek üzere geliştirildi. Tutulan flow verisi Nfsen filtreleri ve eklentiler ile analiz edilebiliyor. Flow verisi üzerindeki anormallikleri algılayan ve tehditleri tespit eden bir çok Nfsen eklentisi mevcut. Aşağıda NfQuery’nin bileşenlerinin bir şeması var.



Çoklu alan ağlarında omurga seviyesindeki tüm akış verisinin toplanıp analiz edilmesi etkili olmayacağından NfQuery tehditleri algılamak için yeni bir yaklaşım getirerek bir sorgu sunucusuna bağlı her bir organizasyonun veya alanın Nfsen eklentisinde kullanılacak faydalı sorgular üretiyor (her sorgu bir Nfsen filtresi). Sorgular plugin vasıtası ile sorgu sunucusundan alınarak toplanmış akış verisi üzerinde çalıştırılıyor. Bu çalıştırmalar sonucunda Nfsen eklentisi tehdit ve atak bilgisini elde ediyor ve atak bilgisini sorgu sunucusuna yolluyor. Oluşturulan olay raporunda tehditi hangi sorgunun tespit ettiği, etkilenen alanlar ve istatistik bilgileri yer alıyor. Eklenti bu olay raporunu otomatik olarak oluşturarak sorgu sunucusuna yolluyor. Sorgu sunucusu da gelen olay raporuna göre uyarılar oluşturularak bu uyarılar ilgili alanlar ile ilişkilendiriliyor.

NfQuery hakkında ayrıntılı bilgiyi bu adreste bulmak mümkün. İçinde olduğumuz herşey gibi NfQuery de bir özgür yazılım, kodları burada. Her özgür yazılım projesinde olduğu gibi katkıcılar memnuniyetle karşılanıyorlar.

Son iki yıldır Akademik Bilişim Konferansı öncesinde python kursu veren Ahmet ve Serhat eminim bundan sonra da yapacakları işlerle özgür yazılım camiasının aktif birer üyesi olarak kendilerinden sonra gelen arkadaşlarına örnek olmaya devam edecekler.

Bu blogdaki popüler yayınlar

Bilgisayar mühendisliği öğrencilerine tavsiyeler

Üniversite tercihlerinin pek azı gerçekten bilerek, isteyerek yapıldığından öğrencilerin bölümlerini tanımaları, kendilerine bir yön belirlemeleri bazen bir iki yılı bile bulabiliyor. Elbette bir günlük girdisiyle bu sorunu çözmek mümkün değil ama yolun başındaki genç arkadaşlar için bir kaç önerinin faydalı olacağını düşünüyorum. Aşağıda yazanların benim onbeş yıllık tecrübelerim olduğunu, bunları yapmanın iyi geleceği bünyeler olduğu gibi bunları yapmadan da başarılı/mutlu olanlar olabileceğini bilip öyle okumakta fayda var.
Üniversite hayatını sadece okuldan ibaret görmeyin. Mezun olduktan sonraki hayatınız da sadece işten ibaret olmayacak. En çok kitap okuduğunuz, müzik dinlediğiniz yıllar üniversite yıllarınız olsun. Üniversitelerde bir sürü öğrenci topluluğu var, ilginizi çeken birine katılın. Beğenmezseniz başkasına katılırsınız. Sosyal faaliyetleri, konserleri küçümsemeyin pişman olursunuz sonra.Lisans eğitimi dört yıl ve bu yeterince uzun bir süre. Üniversiteye gelene kadar bi…

SHA1'in kırılması ne anlama geliyor?

İnternette güvenlik, gizlilik, bütünlük gibi konular çoğunlukla bizim üzerinde pek düşünmediğimiz ve kullandığımız yazılımlar tarafından halledilen konular arasında yer alıyor. Örneğin internette bankacılık işlemi yaparken bağlandığımız sunucu gerçekten bağlanmak istediğimiz sunucu mu, gönderip aldığımız verileri araya giren birileri ele geçirip ondan bir anlam çıkartabiliyor mu diye düşünmüyoruz. Bu işlemleri tarayıcımız bizim yerimize yapıyor. O da verilerin şifrelenmesi ve sunucuların doğrulanması gibi işlemleri kriptografik protokolleri kullanarak gerçekleştiriyor. Benzer şekilde kullandığınız programlar güncellemeleri indirdikten sonra onların bozulmadan indiğini kontrol etmek için benzer kriptografik araçları arka planda çalıştırıyorlar.

Kriptografinin diğer kullanım alanlarının yanı sıra veri bütünlüğünün kontrol edilmesi de hepimiz için büyük önem taşıyor. Bu işlem için dosya içeriklerini kontrol etmek yerine onların tek yönlü fonksiyonlar kullanılarak özetleri çıkartılıyor ve…

Yerli yazılım, Milli yazılım

Ülkemizin olabildiğince çok konuda dışa bağımlı olmaması hepimizin isteği. Elbette her şeyi yurt içinde üretemeyiz ama eğer bir ürünün yurt dışından kullanılması ülkenin kaynaklarının dışa aktarılması anlamına geliyorsa veya o ürünü geliştirmek için dışa bağımlı oluyorsak onu kendimizin üretmesi anlamlı olacaktır. Ülke menfaatleri açısından bakıldığında bazen dışarıdan daha ucuza alınabilecek bir ürünü yurt içinde üretmek onun sağlayacağı katma değerler göz önüne alındığında daha faydalı olabilir. Güvenlik, gizlilik gibi konuların yanı sıra bir ülke vatandaşı için kullandığı ürünlerin çoğunun kendi ülkesinde üretildiğini bilmek bile önemlidir.

Uzun zamandır özgür yazılımı anlatmaya gittiğim yerlerde 'neden yabancıların yazılımlarını kullanıyoruz da kendimiz yazmıyoruz' sorusuyla karşılaştığımdan bu konuda kısaca yazayım istiyorum. Bu bahsettiğime çok benzer tepkileri Pardus hakkında da sıklıkla duyuyorduk, 'neden milli çekirdek yok, neden kendi ofis paketimizi yazmıyoruz&#…