15 Şubat 2013 Cuma

Saldırı analizi için bir çerçeve: NfQuery

Bazı projeler üzerinde çok çalışıldığını ama duyurmak için neredeyse hiçbir şey yapılmadığını görüyorum. Geliştirciler yaptıkları işlerinden bahsetmeyi de bir tür belgeleme olarak gördüklerinden projelerini duyurmak için pek az çaba gösteriyorlar. Elbette bu kendi bilecekleri bir iş ama geliştirilen proje kişisel kullanım için olmadığında bundan haberdar olmak bazen mümkün olmayabiliyor.

Geliştiricilerinin hepsi arkadaşlarım ve öğrencilerim olan NfQuery'den bahsetmek istiyorum biraz. GEANT3 projesi çerçevesinde ULAKBİM ekibinden, her işin üstesinden gelebilen, Murat Soysal, Emre Yüce ve Serdar Yiğit tarafından geliştirilmesine başlanan bir yazılım NfQuery. Şimdiki geliştiricileri ise öğrencilerim Serhat Rıfat Demircan ve Ahmet Can Kepenek. Serhat ve Ahmet yaz stajlarını ULAKBİM'de yaptıktan sonra bitirme projeleri olarak benim danışmanlığımda NfQuery'yi geliştirmeye devam ediyorlar.

NfQuery sorgu sunucusu ULAKBİM'de ve ona bağlı eklentiler İtalya'da GARR'da ve Çek Cumhuriyetinde CESNET'te çalışıyor. Yapılan çalışma bu yıl Hollanda'da TNC2013 Konferansında sunulacak.

Yurt dışı akademik ağlarda çok ilgi gören NfQuery, NfSen ve NfDump araçları ve bu araçların güçlü özellikleri üzerine inşa edilmiş, çoklu alan ortamlarında güvenlik uyarıları veren bir sistem.  Nfdump netflow verisini toplayan ve analiz eden araçlardan oluşuyor. Nfsen Nfdump araçlarını web arayüzü ile kullanmak ve netflow verisini grafiklerle göstermek üzere geliştirildi. Tutulan flow verisi Nfsen filtreleri ve eklentiler ile analiz edilebiliyor. Flow verisi üzerindeki anormallikleri algılayan ve tehditleri tespit eden bir çok Nfsen eklentisi mevcut. Aşağıda NfQuery’nin bileşenlerinin bir şeması var.



Çoklu alan ağlarında omurga seviyesindeki tüm akış verisinin toplanıp analiz edilmesi etkili olmayacağından NfQuery tehditleri algılamak için yeni bir yaklaşım getirerek bir sorgu sunucusuna bağlı her bir organizasyonun veya alanın Nfsen eklentisinde kullanılacak faydalı sorgular üretiyor (her sorgu bir Nfsen filtresi). Sorgular plugin vasıtası ile sorgu sunucusundan alınarak toplanmış akış verisi üzerinde çalıştırılıyor. Bu çalıştırmalar sonucunda Nfsen eklentisi tehdit ve atak bilgisini elde ediyor ve atak bilgisini sorgu sunucusuna yolluyor. Oluşturulan olay raporunda tehditi hangi sorgunun tespit ettiği, etkilenen alanlar ve istatistik bilgileri yer alıyor. Eklenti bu olay raporunu otomatik olarak oluşturarak sorgu sunucusuna yolluyor. Sorgu sunucusu da gelen olay raporuna göre uyarılar oluşturularak bu uyarılar ilgili alanlar ile ilişkilendiriliyor.

NfQuery hakkında ayrıntılı bilgiyi bu adreste bulmak mümkün. İçinde olduğumuz herşey gibi NfQuery de bir özgür yazılım, kodları burada. Her özgür yazılım projesinde olduğu gibi katkıcılar memnuniyetle karşılanıyorlar.

Son iki yıldır Akademik Bilişim Konferansı öncesinde python kursu veren Ahmet ve Serhat eminim bundan sonra da yapacakları işlerle özgür yazılım camiasının aktif birer üyesi olarak kendilerinden sonra gelen arkadaşlarına örnek olmaya devam edecekler.

Özgür yazılım ile açık kaynağın ne farkı var?

Özgür Yazılım hareketi 1983'de başlayan ve kullanıcıların yazılımları çalıştırma, anlama, değiştirme ve değiştirdikleri halini dağıtma ö...