SSH Honeypot Log Analizi

0 Replies 12 Views
·

Leave a rating: SSH Honeypot Log Analizi

You have already rated this thread. Re-rating it will remove your existing rating or review.

Rating:

Raters: SSH Honeypot Log Analizi

Participants
Thread Starter #0
SSH bağlantıları, ağ güvenliği açısından büyük önem taşır. Ancak, bu bağlantıların kötüye kullanılması da oldukça yaygındır. İşte burada SSH honeypot devreye giriyor. Bir honeypot, saldırganları çekmek ve onların davranışlarını analiz etmek için tasarlanmış bir tuzak sistemidir. Özellikle SSH honeypotları, yetkisiz giriş denemelerini kaydetmek ve bu veriler üzerinden güvenlik açıklarını belirlemek için kullanılır. Ne dersiniz, bu tür bir sistemi nasıl kurup analiz edebiliriz?

Öncelikle, bir SSH honeypot oluşturmak için birkaç adım izlemek gerekir. Bunun için genellikle "Cowrie" adı verilen bir honeypot yazılımı tercih edilir. Cowrie, Python tabanlı bir uygulamadır ve SSH ile telnet protokollerini simüle edebilir. İlgili yazılımı kurmak için öncelikle bir Linux sunucusuna ihtiyacınız var. Sunucunuzda gerekli bağımlılıkları yükledikten sonra, Cowrie'nin kaynak kodunu GitHub'dan indirebilirsiniz. Kurulum sırasında, yapılandırma dosyasını değiştirerek hangi port ve IP adresinde dinleme yapacağını belirlemeniz önemlidir...

Log analizine geçtiğimizde, elde ettiğimiz verilerin ne kadar değerli olduğunu göreceksiniz. Cowrie, tüm oturumları ve giriş denemelerini kaydeder. Log dosyaları genellikle "/var/log/cowrie/" dizininde bulunur. Burada, her bir giriş denemesi için IP adresi, zaman damgası ve kullanılan kimlik bilgileri gibi veriler yer alır. Bu verileri analiz etmek için "GoAccess" gibi bir analiz aracı kullanabilirsiniz. GoAccess, log dosyalarını gerçek zamanlı olarak analiz etmenize olanak tanır. Analiz yapmak için, öncelikle log formatınızı GoAccess ile uyumlu hale getirmeniz gerekebilir...

Bir diğer önemli nokta ise saldırganların hangi yöntemlerle sisteme girmeye çalıştığıdır. Log dosyalarınızda sıkça görülen IP adreslerini ve kimlik bilgilerini gözlemleyerek, hangi saldırı türlerinin daha yaygın olduğunu belirleyebilirsiniz. Örneğin, bruteforce saldırıları genellikle çok sayıda başarısız giriş denemesi ile kendini gösterir. Bu tür girişimleri tespit ettiğinizde, saldırganın kullandığı kullanıcı adları ve şifre kombinasyonlarını kaydetmek, gelecekteki güvenlik önlemleriniz için faydalı olacaktır...

Gözlemleriniz sırasında, belirli IP adreslerinin sıkça tekrarlandığını fark edebilirsiniz. Bunları Blacklist'e eklemek, benzer saldırıların önüne geçmek için etkili bir yöntemdir. Ayrıca, log dosyalarındaki anormallikleri inceleyerek, koşullu uyarılar oluşturabilirsiniz. Örneğin, belirli bir IP adresinin bir dakikada 10'dan fazla başarısız giriş yapması durumunda bir uyarı almak isteyebilirsiniz. Bunu gerçekleştirmek için basit bir bash script yazabilirsiniz...

Sonuç olarak, SSH honeypot kullanmak, sadece saldırıları tespit etmenin ötesinde, daha geniş bir güvenlik perspektifi kazanmanızı sağlar. Saldırganların taktiklerini ve yöntemlerini anlamak, güvenlik stratejilerinizi geliştirmek için kritik öneme sahiptir. Elde ettiğiniz log verilerini dikkatlice analiz ederek, ağınızı daha güvenli hale getirebilirsiniz. Belki de en başından bu yana düşündüğümüz gibi, bilgi her zaman güçtür...

You must be logged in to reply.

0 quotes selected