Network Forensic Nedir?

Bunun öncesinde “Neden Forensic?” sorusunu sorabiliriz.

Bazı uygulamalar ile saldırganlar sızdığı bilgisayar üzerine hiçbir kayıt tutmadan sistemden istediğini alabiliyor. Veya sızılan bilgisayarda işlerini gördükten sonra logları temizleyip delilleri ortadan kaldırabiliyor. Böylece RAM ve network harici hiç bir delil bırakmayabiliyor. O zaman devreye saldırganın geride delil bırakmış olabileceği RAM ve network izlerini incelemek kalıyor.

Yeni bir adli bilişim dalı olan “Network Forensic“, bilgisayar ağ trafiğini dinleyerek iletilen bilgilere erişmek ve delil toplamak eylemidir.

Paketlerin yakalanmasını, analiz edilmesini, yakalanan paketlerden orjinal içeriklerin çıkarılmasını ve delillere uygun şekilde mahkemelere verilmesini kapsar.

Eğer ağımız güvenli bir şekilde korunmuyorsa ve verilerimiz encrypt edilmemiş şekilde yani plain text şeklinde akıyorsa, ağımız dinlenerek verilerimize ulaşılabilir. Network Forensic eylemi, TCP/IP protokollerine bağımlı bir analiz biçimidir.

Network Forensic ve Computer Forensicte amaç delil aramaktır. Fakat Network Forensici, Computer Forensicten ayıran en önemli kısım; delillerin bilgisayarda, ramde değil de network paketlerinde aranması durumudur.

 Delil Toplama Yöntemleri

Network hakkında delil toplamak için 2 yöntemimiz vardır. Bunlardan biri “Proaktif Delil Toplama“, diğeri ise “Reaktif Delil Toplama” dır.

Proaktif Delil Toplama Evresi

Gerekli cihazlarımızı, donanımlarımızı veya yazılımlarımızı kurarak herhangi bir olay gerçekleşmeden hedefi izlemeye başlarız.

Reaktif Delil Toplama Evresi

Bir olay olduğunu bildiğimiz anda izlemeye başlarız. Beklediğimiz herhangi bir adrese giriş, networkte bir hareketlenme vs.

 Delil Türleri

Network Forensicte 4 farklı delil türü vardır. Bunlar;

• Full Content (Tam İçerik)
• Session Data (Oturum Verisi)
• Alert Data (Uyarı Verisi)
• Statical Data (İstatiksel Veri)

Full Content (Tam İçerik)

Diğer delil türlerine göre daha uğraştırıcıdır çünkü buradaki amaç içeriğin tamamını yakalamaktır. Eğer hedef hakkında detaylı bir inceleme yapılacak ise bu delil toplama türü kullanılmalıdır.

• Tcpdump
• WireShark
• FlowGrep
• HexDump

Bu delil türü için bu araçları kullanabiliriz.

Session Data (Oturum Verisi)

İçerik verileri burada yoktur. Burada session(oturum) hakkında bilgiler vardır. Örneğin; Oturum süresi, transfer süresi, oturumun kurulduğu uç noktalar vs. burada bulunur.

• Argus
• Tcptrace

Araçları kullanılabilir.

Alert Data (Uyarı Verisi)

Networkteki bot aktiviteleri gibi tespitler yapılır. Belirlediğimiz kriterler doğrultusunda, o kriterlere uyan paketlere rastlandığında olur.

• Snort
• Bro

Araçları kullanılabilir.

Statical Data (İstatiksel Veri)

Hedef hakkında istatistiksel bilgi almamızı sağlar. Örneğin; en çok hangi protokolden veri transferi yapmış, en çok hangi uç noktalar ile haberleşmiş…

• Tcpdstat
• Tcpstat

Araçları kullanılabilir.

Yukarıdaki bazı araçlar hakkında bilgiyi daha sonra vereceğim. Şimdi delillere hangi cihazlarla erişebileceğimize bakalım.

 Cihazlar İle Delillere Erişim

• Hub
• Switch
• TAP

cihazları ile networke kendimizi dahil edebiliriz.

Hub Kullanmak

Hub, taşıdığı paketleri diğer bağlı olduğu bütün portlara ileten cihazdır. (Kendi portu hariç.) Hub sayesinde bütün trafiği izleyebiliriz.

Switch Kullanmak

Switch, Hub cihazından farklı olarak gelen paketlerin hepsini diğer portlar ile de paylaşmaz.
Bir switch kurulduğu an bağlanan serverları tanıyarak kendi mac adresi tablosunu oluşturur. Üzerine gelen paketlerin gitmesi gerektiği yeri bu tablodan bakarak seçer ve böylece paketler sadece gitmesi gerektiği yere gider.

Bu durumda network trafiğini izleyebilmek için, “mirror port” denilen yöntem kullanılır.
Mirror port, bizim daha önceden belirlediğimiz bir portdur. Böylece paketlerin o portada gönderilmesi sağlanır. Bu olaya “Port Span” denir.

TAP(Test Access Ports) Kullanmak

Bu cihaz ise firewall ve routerlar arasına veya switchlerin arasına konularak network trafiliğini izler, yani ağ üzerinde akan trafiğin bir kopyasını elde etmemizi sağlar.

 Bazı Network Analiz Araçları ve Yazılımları

Network analiz araçlarının amacı, ağ üzerinde akan paketleri tutmak ve onları çeşitli şekilde parçalayarak kullanıcıya anlamlı, işe yarar bir hale getirmektir.

Örnek olarak; WireShark, TcpDump, Packet O Matic, WinDump, EtterCap verilebilir.

TcpDump/WinDump

TcpDump Linux işletim sistemi için geliştirilmiş, açık kaynak kodlu ve terminal ekranında çalıştırılan bir yazılımdır. Kısacası ağ trafiğini izler, paketleri yakalayıp gösterir.

Daha sonra Windows işletim sistemi için WinDump çıkartılmıştır.

Linux işletim sistemindeki kullanımı için terminal ekranına tcpdump yazmalıyız.

WireShark

WireSharkta yine TcpDump ile benzer bir uygulamadır aralarında ki büyük fark WireShark‘ın Grafik Arayüzü (GUI) olmasıdır.
WireShark ağ trafiğini izleme, paket analizi yapma, yazılım ve iletişim protokol geliştirme alanlarında kullanılabilecek popüler bir ücretsiz yazılımdır.

Ayrımsız(Promiscouous) moda geçerek kullanıcının networkteki tüm trafiği görebilmesini sağlar.
Promiscouous moddan biraz bahsetmemiz gerekirse, işletim sistemleri kendine gelmediğini anladığı paketler katman 3(layer 3)’te reddecektir. Fakat ağ arabirimimizi Promiscouous moda geçirir isek, kendimize gelmeyen paketlerede erişebilmiş oluruz.

WireShark ile çeşitli script çalışmaları yapabilmek için, kendisinin komut satırı ekranında çalışan “TShark” uygulaması kullanılabilir.

Packet O Matic

Gerçek zamanlı bir paket yakalama uygulamasıdır. Tıpkı TcpDump ve WireShark‘ın kullandığı gibi, bu uygulamada “libpcap” kütüphanesini kullanır.

NetWitness Investigator

RSA tarafından yapılan bir oturum tabanla(session based) network forensic yazılımıdır.

Network Miner

Yalnızca Windows işletim sisteminde çalıştırılan bir Network Forensic yazılımıdır.

 Anti Forensic

Arkada delil bırakmayarak adli bilişimci kişilerin bulacağı bilgileri yok eden işlemlerdir.

• Tünelleme
• Encoding
• Proxy Kullanımı
• IP Spoofing

gibi yöntemler ile Network Forensicte bu sağlanabilir.