Cisco ASA 5505 ve Wireshark ile Network Sniffing
Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYq4vchh' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349
Geçenlerde, bir networkte meydana gelen enteresan durumları analiz etmek üzere networkü sniff etmem gerekti. Zira networkün internete çıkan ip adresi çeşitli black listlere girmişti ve içeriden spam yapıldığı düşünülüyordu. Bu nedenle network trafiğini analiz ederek, böyle bir durum olup olmadığını kontrol etmek gerekiyordu. Bildiğiniz gibi wireshark isimli güçlü sniffer ile detaylı analiz yapmak mümkün. |
Sonuç olarak ben de analiz için wireshark kullandım; bu yazıyla da, sniffer bilgisayarın networkte konuşlandırılması, trafiğin dinlenmesi ve bir spambot'ların sinsice yaptığı spam faliyetlerinin kolayca nasıl tespit edilebileceği ve Cisco Asa 5505 serisi security appliance üzerinde port mirroring yaparak işlerin nasıl kolaylaştırdığını paylaşmak istiyorum.
Bildiğiniz gibi networkü sniff etmek istemeniz durumunda, tüm network trafiğini sniffer olarak görev yapacak bilgisayara da göndermeniz gerekiyor. Böylesi bir iş için izlenebilecek bir iki yol var. Çıkışa bir hub koyabilir ya da port mirroring destekleyen bir switch ile trafiğin bir kopyasını sniffer'ın bağlı olduğu porta yollayabilirsiniz. Ya da daha uzun bir yol seçerek, sniffer bilgisayarda iki ethernet kullanıp, sniffer'ı gateway ile router arasına yerleştirebilirsiniz.
Benim bulunduğum ortamda bir hub ya da yönetilebilir bir switch bulunmuyordu, bu nedenle ilk iki yöntemi izlemem olası değildi. Diğer yöntem ise sniffer'a ikinci etherneti takmak, gateway ile router arasına yerleştirmek ve gerekli ip yapılandırması ile routingleri düzenlemek (nispeten) uzun bir iş olacaktı. Bu nedenle başka bir yol ararken bir köşede atıl vaziyette duran Cisco ASA 5505 serisi adaptive security appliance cihazını, sadece bir switch olarak kullanıp port mirroring yaptırabilir miyim diye biraz bakındım ve ne güzeldir ki bu cihaz cisco tarafında SPAN (Switched Port Analyzer) olarak adlandırılan port mirroring'i destekliyormuş.
Bunun için cihaza bağlanıp, gateway'e bağlı olan portu, sniffer'ı bağlayacağım porta mirorladım.
Yapılandırma çok basit:
TUSUBASA# conf t TUSUBASA(config)# int eth 0/6 TUSUBASA(config-if)# switchport monitor ethernet 0/7
Bu şekilide, araya switch olarak konuşlandırdığım Cisco ASA'nın 6. portuna üzerinde wireshark yüklü olan bilgisayarı, 7. portuna gateway'i ve 5. porta da internete çıkış için kullanılan DSL modemi bağladım. Dolayısı ile gateway'den cihaznın 7. portuna gelen tüm paketlerin birer kopyası 6. porta yani sniffer'a gönderilmeye başladı.
Bundan sonra 6. porttaki bilgisayarda wireshark calistirarak network trafiğini analiz etmeye başladım ve şüpheler doğru çıktı. İçerideki bir windows client, bir çok e-mail gönderiminde bulunuyordu. İşte ekran çıktısı.
Resmi büyütmek için üzerine tıklayın.
Görüldüğü gibi spambot'a dönüşmüş olan bu windows client, bir çok yere mail gönderimi yapıyor. İlgili client'ı incelediğim zaman, üzerinde bir antivirüs yazılımı olan bu makinada ilk bakışta şüphe uyandıran herhangi bir durum görünmüyordu ve smtp trafiğine neden olan process de services.exe idi. Yani enteresan bir süreç olmaması, mail trafiğinin çok fazla bant genişliği kullanmaması ve antivirüs programının herhangi bir uyarı vermemiş olması teknik olmayan kullanıcıların bot'u kolayca tespit edememelerine neden oluyor.
İşte bu nedenledir ki spambot'lar ile spam yapma yöntemi bu kadar başarılı oluyor.
Bu yazılar da ilginizi çekebilir:
- TTNet’in SMTP Port Engelleme Uygulamasının Sonuçları
- Cain Abel – Password Recovery
- Qmail’de 587 Submission Portunu Devreye Almak
- Spamdyke ile Qmail’de 587 Submission Yapılandırması
Merhaba Çağrı hocam bu makaledeki durumu ASA’ya ekstra yük bindiriyor mu ? Bende Cisco 2950 serisi bir router’da denicemde. Hatta Backbone’dada denemeyi düşünüyorum. Hatta bir syslog server kurup bunu log’lamak istiyorum. Tavsiyeniz nedir ?
[Cevapla]
Selam,
Router üzerindeki yükü bilemiyorum ama ekstradan çok fazla bir maliyeti olacağını sanmıyorum.
[Cevapla]