Tshark

Tshark  güçlü bir ağ protokolleri analiz programıdır. Tshark komut satırından çalışır ve yine bir ag trafik analiz programı olan Wireshark’da bulunan  çoğu özelliği destekler.

Komut satırından çalışan ve çok bilinen diğer bir trafik analiz aracı da tcpdump’dır.

Tshark ile tcpdump’ın ayrıldığı en belirgin nokta Tshark’ın trafik analizinde protokolleri tanıyabilmesi ve bunları detaylı bir şekilde gösterebilmesidir.

Basit Tshark Kullanımı

tshark, çeşitli işlevleri olan bir sürü parametreye sahiptir. Eğer herhangi bir paramnetre kullanmadan çalıştırılırsa ilk aktif ağ arabirimi üzerinden geçen trafiği yakalayıp ekrana basar.

Symantec DLP Network Discover

Symantec DLP Network Discovery sayesinde network üzerindeki bilgisayarlardaki kritik ve gizli bilgiler içeren,örneğin Kredi kartı numaraları vs., nesnelerin tesbit edilip raporlanmasını sağlamaktadır. Gerektiği takdirde tesbit edilen dosyalar için aksiyon oluşturulabilmektedir. Tesbit edilen dosyaların bir kopyasını belirlediğimiz bir sunucu ve dizini alıp orjinal dosyanın içeriği silinip bizim yazacağımız bir uyarı notu bırakılabilmektedir. Burada bu tarz bir aksiyon alıp almayacağınız kurum stratejisi ve genel bir karar ile olabilir.

Network Discovery

Symantec DLP Endpoint Discover

Symantec DLP Endpoint Discovery sayesinde endpoint ajanların kurulu olduğu bilgisayarlardaki kritik ve gizli bilgiler içeren,örneğin Kredi kartı numaraları vs., nesnelerin tesbit edilip raporlanmasını sağlamaktadır. Gerektiği takdirde tesbit edilen dosyalar için aksiyon oluşturulabilmektedir. Tesbit edilen dosyaların bir kopyasını belirlediğimiz bir sunucu ve dizini alıp endpointteki orjinal dosyanın içeriği silinip bizim yazacağımız bir uyarı notu bırakılabilmektedir. Burada bu tarz bir aksiyon alıp almayacağınız kurum stratejisi ve genel bir karar ile olabilir.

Endpoint Discover

Backtrack 5 R3 Konfigürasyonu

Backtrack 5 R3 işletim sistemi 13 Ağustos 2012 tarihinde yayınlanmıştır. http://www.backtrack-linux.org/downloads/ adresinden .iso yada vmware versiyonlarını download edebilirsiniz.

Backtrack 5 R3 kurulumu aynı Backtrack 5 R2 kurulumundaki adımlar gibidir. http://www.bilgiguvenlik.org/2012/03/backtrack-5-r2-ozellikleri-ve-kurulumu.html  bu linkten kurulumu yapabilirsiniz.

Symantec DLP TMG Entegrasyonu

Symantec Network DLP for Web diye adlandırılan Network seviyesinde Web tarafında Http,Https,Ftp gibi protokolleri inceleyip içerisinde confidential dataları tesbit etmek ve gerektiğinde oluşan web trafiğini engellemek işlemlerinin yapılabildiği modülüdür. Web gateway sistemleriyle ICAP ile konuşarak işlemlerin yapılabilmesine olanak sağlanmaktadır. Bu yazımda Microsoft Threat Management Gateway ile Symantec Network DLP for Web çözümünün entegrasyon işlemleri anlatılacaktır.

İlk olarak Symantec Data Loss Prevention System>Server>Overview kısmından Add Server diyerek Network DLP for Web sunucumuzu ekliyoruz.

Symantec DLP Politikalar

Symantec DLP kurulum ve ön konfigürasyon işlemleri tamamlandıktan sonra sistemin ana bileşeni olan politikaların hazırlanması kısmına gelmiş durumdayız. Yazacağımız politikalar sayesinde ister endpoint seviyesinde istersek gateway seviyesinde veri sızıntılarını önleyebilecek yada raporlayabilecek duruma geleceğiz. Politikaları oluştururken dikkatli olmakta fayda bulunmaktadır. Yapılacak yanlış konfigürasyon gereksiz bir sürü incident oluşmasına neden olabilir. Blocklama aksiyonu aldıracaksanızda belli bir sure monitor modda izleyip sonrasında blocklama yapmanızı tavsiye ederim.

Dashboard ekranındaki Manage> Policy List tıklayalım.

Symantec DLP Konfigürasyonu

Symantec DLP kurulumlarımızı tamamladık. Sıra geldi konfigürasyon işlemlerine. İlk olarak sistemin genel ayarlarını yapacağız.

Sisteme login olduğumuzda bizi Dashboard ekranı karşılayacaktır. System bölüme tıklayalım.

Symantec DLP Detection Server Kurulumu

Symantec DLP Detection Server rolünü başka bir sunucuya verebilmekteyiz. Ayrı bir sunucuya Detection server kurulum işlemlerine başlayalım.

Kurulum dosyasını çalıştırıyoruz.

Symantec DLP Kurulumu

Symantec DLP kurulum işlemi için ilk adım Oracle Database kurulumunun tamamlanmasıdır. Bir önceki makalemde Oracle kurulumunu anlatmıştım. Sıra geldi Symantec DLP kurulumu işlemlerine…

Kurulum dosyasını çalıştırıyoruz.

Symantec DLP Oracle Kurulumu

DLP (Data Loss Prevention) yazılımları ile veri sızmaları engellenmeye çalışılıyor. Ancak bilmeyen ya da konuya ısınmaya çalışan IT personelinin yanlış yönlendirildiğini düşünüyorum. DLP’nin amacı %95 oranında kazara veri sızmasını önlemektir. Günümüzde kasten veri sızdırmaya çalışan bir kişiyi engellemek mümkün değildir. En basitinden, istediğim dökümanı açıp, cep telefonumla resmini çekip veriyi sızdırabilirim.

Symantec DLP ürünü veri kaybı önleme çözümlerinden bir tanesidir. Bu yazımda Symantec DLP kurulumunun ilk aşaması olan Oracle kurulumunun nasıl yapıldığını anlatacağım.

Ön Kurulumlar

İlk olarak sunucumuz üzerine winpcap kurulumunu gerçekleştiriyoruz. Winpcap kurulum dosyasını çalıştıralım.