Network Forensics Eğitimi İçeriği

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)

Eğitim tanımı:

Günümüz sosyal yaşamın parçası haline gelen siber dünyaya bağımlılık arttıkça bu durum suç odaklarının da dikkatini çekmiş ve bilişim sistemleri suç aracı olarak kullanılmaya başlanmıştır.

Bilişim suçlarının araştırılmasında en önemli hususlardan birisi sayısal kanıtlardır. Bilişim sistemi denildiğinde akla gelen ilk sözcüklerden biri “ağ “ olmaktadır. Bağlantısız (ağsız) bilgisayar tekerliksiz araca benzer özlü sözünün doğruluğunu kanıtlar nitelikte tüm bilişim suçlarında en önemli bileşen “ağ” kavramı olmaktadır.
Bu ağ yeri geldiğinde internet, yeri geldiğinde yerel/özel ağ, yeri geldiğinde GSM olmaktadır.

Bu eğitimle birlikte günümüz bilişim dünyasının en önemli bileşeni sayılabilecek bilgisayar ve GSM ağlarının çalışma mantığı, suç odaklarının internet, GSM altyapılarını kullanarak hangi yöntemlerle, nasıl suç işledikleri, izlerini nasıl sildikleri uygulamalı olarak gösterilecektir.

Eğitim sonunda her bir katılımcı bilgisayar ağları kullanılarak işlenen suçlarda olay analizi, delil toplama, iz sürme, delil karartma gibi süreçleri teknik detaylarıyla pratik olarak görme şansı yakalayacaktır.

Eğitimin katılımcılara kazancı:

-Ağ ve güvenlik sistemlerinin detaylı çalışma yapısının anlaşılması
-Ağ ve güvenlik sistemlerinin adli bilişim açısından incelenmesi
-Internet izleme ve telefon dinleme sistemlerinin teknik ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi, kanıt toplama ve koruma yöntemleri
-GSM dünyası ve çalışma yapılarının anlaşılması
-Adli analiz konusundaki güncel yazılımların efektif kullanımı

Kime hitap ediyor

• Sistem yöneticileri

• Ağ yöneticileri ve operatörleri

• Ağ güvenliği yönetici ve operatörleri

• Bilgi güvenliği uzmanları

• Adli bilişim uzmanları

• Bilişim hukuku alanı çalışanları

İşleyiş

Eğitim gerçek sistemler üzerinde uzman eğitmenler eşliğinde uygulamalı olarak gerçekleştirilecektir. Eğitim sonrası katılımcılara gerçek olaylar üzerinde inceleme yapması için olanaklar sağlanacaktır.

Eğitim materyalleri

• Eğitime özel Linux dağıtımı Vmware imajı

• Eğitim notlarının basılı hali

• “Uygulamalı TCP/IP ve Ağ Güvenliği” kitabı

• Eğitim notlarına bir yıllık online erişim hakkı

• Katılım sertifikası

Katılımcıdan beklenenler:
Kişisel dizüstü bilgisayarı(Laptop)

Laptop gereksinimleri

• Windows XP, Windows 7 veya Linux

• Virtualbox, Vmware Workstation

• Admin hesabı

• 2GB ram

Eğitim Süresi
4 gün

Ön Gereksinimler

• Temel TCP/IP ve ağ bilgisi

• Katılımcılara onlien olarak ağ ve tcp/ip eğitimi hediye edilecektir.

Ana Başlıklar

Network Forensics Kavramları

• Diğer adli analiz çeşitlerinden farklılıklarıAdli analiz bilimi ve çeşitleri
  • Bilgisayar ağlarında adli analiz
• Adli bilişim analizi
• Bilgisayar ağlarında adli bilişim analizinin önemi
• Adli bilişim analizlerinde zaman kavramı ve önemi
• Bilgisayar ağlarında adli bilişim ve Türkiye’deki kanunlar (5651)

TCP/IP Ağlarda Protokol Analizi

• Paket, protokol kavramları
  • Paket, protokol analizi
  • Örnek protokol analiz çalışmaları
    http, smtp, arp, tcp, udp, voip, h323, sip, msn,. HTTP, SIP, FTP, IMAP, POP, SMTP, TCP, UDP, IPv4, IPv6, …
• Internet trafiği takip/izleme sistemleri ve çalışma mantığı
• Ağ trafiğini gizli/okunmaz hale getirme
• Tünelleme sistemleri
• Şifreli tünelleme sistemleri
• Paket yakalama ve analiz araçları
  • tcpdump, Wireshark, snort, tshark, Argus, Kismet, Ngrep, NetworkMiner, Xplico, tcpxtract, Ntop, NetFse, tcpstat, tcpdstat, Etherape, p0, Netwitness
• Ağda çalışan paket koklayıcı(Sniffer) yakalama

Şifreli trafik analizi

• SSL, TLS incelemesi

• SSL trafiğinde araya girme, veri okuma

• SSL trafiği ve HTTP (HTTPS)

• Şifreli anonimleştirme ağları (TOR ) incelemesi

Derinlemesine Paket İncelemesi(DPI)

• Saldırı ve anormallik tespit sistemleri
  • Çalışma yapıları
  • Paket karekteristiği algılama
  • Diğer güvenlik sistemlerinden temel farklılıkları

• Açık kod IPS/ADS sistemleri
  • BroIDS
  • Snort IDS

• Saldırı tespit sistemi imzaları nasıl geliştirilir?

• Saldırı tespit sistemleri kötücül yazılımlar tarafından nasıl atlatılır?

• Saldırı tespit sistemleri ve şifreli trafik

• Yakalanan paketlerden orjinal verilerin elde edilmesi

• Ağ trafiğinde kelime bazlı izleme

• Uygulama seviyesi protokollerin pasif olarak izlenmesi

Ağ Trafiği Analizinde Donanımsal Bileşenler

• HUB

• Switch

• Bridge

• Router

• TAP sistemleri

TCP/IP Protokollerine Yönelik Adli Bilişim Analizi

• TCP/IP 2. katmana yönelik adli bilişim analizi
  • MAC adreslerinin kanıt olma durumu
  • KAblosuz ağlarda MAC adresleri ve önemi
  • ARP saldırıları ve önlemleri
  • ArpON, Arpwatch yazılımları

• IP katmanında adli bilişim analizi
  • Yerel ağlar ve Internet üzerinde IP adresleri
  • IP adresleri ve sahiplerinin bulunması
  • IP adreslerinin lokasyon bilgilerine ulaşma
  • Sahte IP adresleriyle iletişim
  • Sahte IP adreslerinin belirlenmesi ve engellenmesi

• TCP ve UDP katmanlarında adli bilişim analizi

• DNS protokolü üzerinde adli bilişim analizi

• DNS protokolü ve çalışma mantığı

• DNS hakkında bilgi toplama, dns sorguları

• Dns tünelleme yöntemleriyle veri transferi

• Socks proxyler ve dns sorguları

• Dns flood saldırıları ve incelemesi

• HTTP trafiği ve çalışma mantğı
  • HTTP komutları, istek ve cevapları
  • HTTPS trafiği inceleme
  • HTTPS trafiğinde araya girme
  • HTTP paketlerini ağda yakalama .
  • URL saklama teknikleri
  • Veri encoding ve decoding
  • HTTP oturum yönetimi ve cookie mantığı

• Veritabanı ağ bağlantıları incelemesi
  • Ağ üzerinde Mysql iletişimi
  • Ağ üzerinde MsSQL iletişimi
  • Ağ üzerinde Oracle iletişimi

• DHCP
  • DHCP’nin adli bilişim açısından önemi
  • Dhcp bilgisayara ait hangi bilgileri verir
  • Dhcp logları analizi
  • Dhcp kullanarak mitm saldırıları
  • Wireless da dhcp vs ne olabilirse

Güvenlik Cihazları Ve Temel Çalışma Mantıkları

• Router ve işlevi
  • OSI ve TCP/IP’deki görevleri

• Firewall ve kullanım amaçları
  • Firewlal çeşitleri
  • OSI ve TCP/IP’deki görevleri
  • Örnek firewall kuralları ve analizi
  • Firewall log analizi

• IPS ve kullanım amaçları
  • Firewall, IPS farklılıkları
  • Örnek IPS, ADS kuralı geliştirme çalışmaları
  • IPS loglarını yorumlama

E-posta İletişiminde Adli Bilişim Analizi

• E-posta çalışma mantığı
  • SMTP, POP, IMAP protokolleri
  • SMTP Ve DNS ilişkisi

• SMTP 25. port ve 587( Submission) farklılıkları

• E-posta başlık incelemesi
  • E-posta göndericisinin IP adresi ve lokasyonunun bulunması
  • Sahte e-posta başlık bilgileri kullanarak posta gönderimi
  • Yahoo webmail üzerinden gönderilen e-postaların incelenmesi
  • Gmail webmail üzerinden gönderilen e-postaların incelenmesi
  • Hotmail webmail üzerinden gönderilen e-postaların incelenmesi
  • Diğer web tabanlı e-posta servisleri üzerinden gönderilen postaların incelenmesi

• Anlık e-posta gönderim servisleri

• Facebook üzerinden gönderilen mesajların kimliğini belirleme

• Hotmail, Yahoo, Gmail, gibi webmail hizmetlerinde e-posta göndericisini bulma

• Spam mantığı ve incelemesi

• Spam gönderen firmaların bulunması

• E-posta takip programları ve çalışma yapıları
  • E-postanızı kaç kişi okudu?
  • E-postanızı hangi bilgisayarlardan kimler okudu?
  • E-postanız kaç kişiye iletildi(forward)

Windows Kullanılan Ağlarda Adli Bilişim Analizi

• Windows spesifik ağ protokolleri

• Windows ağ servisi logları

• Başarılı başarısız giriş deneyimleri

• Windows güvenlik duvarı logları

• Windows güvenlik olay loglarının incelenmesi

• Açık servisleri ve kullanan programları bulma

Linux/UNIX Kullanılan Ağlarda Adli Bilişim Analizi

• Linux ağ servisi logları

• Linux iptables güvenlik duvarı logları

• Linux sistemlerde güvenlik olaylarının logları

• Başarılı başarısız giriş deneyimleri

Kablosuz Ağlarda Adli Bilişim Analizi

• Kablosuz ağ protokolleri ve kullanımı

• Kablosuz ağlarda trafik analizi

• Trafik analiz yazılımları
  • Wireshark
  • tcpdump, tshark
  • Kismet

• Promiscious ve monitor mode farklılıkları

• Kablosuz ağlardan bilgi toplama
  • Ağa bağlı istemcileri bulma
  • Erişim noktası(AP) lokasyon tespiti
  • İstemcilerin daha önce hangi ağlara bağlanıldığını listesi

• Şifreli WLAN paketlerini çözümleme(WEP/WPA)

Voip Sistemlerde Adli Bilişim Analizi

• Temel Voip bilgisi

• TCP/IP ve Voip

• Voip için kullanılan protokoller
  • Real-Time Protocol (RTP)
  • Real-Time Transport Protocol (RTCP)
  • H.323
  • SIP
  • MGCP (Media Gateway Control Protocol/Megaco)

• Arayan numaranın hangi şirkete, hangi lokasyona ait olduğunun bulunması

• Voip ağlarını tarama

• Caller id spoofing teknikleri

• Sahte numaralardan SMS gönderimi

• SIP protokolü analizi

• SIP-PSTN, PSTN-SIP iletişimi

• VOIP üzerinden yapılan telefon konuşmalarının kaydedilmesi

• Skype güvenliği ve analizi

• Ağ trafiğinde skype analizi

• Skype telefon görüşmelerinin izlenmesi

GSM Ağlarında Adli Bilişim Analizi

• GSM hakkında temel bilgiler

• Temel kavramlar
  • GSM (Global System for Mobile Communication)
  • BTS (Base Transceiver Station)
  • GPRS (General Packet Radio Service)
  • HSDPA (High-Speed Downlink Packet Access)
  • 3G
  • Roaming
  • IMEI
  • UMTS (Universal Mobile Telephony Standard)
  • Base Station Subsystem (BSS)
  • Mobile Station (MS)
  • Home Location Register (HLR)
  • Visitors Location Register (VLR)
  • MSISDN
  • SS7 protokolü

• GPRS ve 3G bağlantı tipleri

• Telefon dinleme yöntemleri

• Ortam dinleme telefon dinleme farkları

• GPRS/EDGE ve 3G güvenliği

• GTP/GGSN/SGSN protokolleri incelemesi

• BlackBerry, iphone ağ trafiklerinin incelenmesi

• BlackBerry iletişim güvenliği

Ağ Ve Güvenlik Cihazlarında Log Analizi

• DHCP loglarının analizi

• Wireless AP loglarının incelenmesi

• Switch ve router sistemlerinin loglama altyapısı ve incelemesi
  • Cisco sistemlerde denetim loglarının açılması ve izlenmesi
  • show audit komutları
  • Cisco loglama altyapısı
    • AAA loglama
    • syslog loglama

• Netflow, sflow , jflow

• Güvenlik duvarı(Firewall) loglama altyapısı ve logların incelenmesi-

• Web sunucu loglarının incelenmesi
  • Apache logları
  • IIS logları

• Saldırı tespit ve engelleme sistemleri loglarının analizi

• Logların merkezi syslog sunucusuna aktarılması

• Loglara sayısal zaman damgası vurma

Örnek Olay İncelemeleri

• DDOS saldırı analizi
  • SYN Flood saldırı analizi
  • HTTP GET flood saldırı analizi
  • DNS flood saldırı analizi-DDoS saldırı analizi

• Hacklenmiş web sunucu analizi

• Hacklenmiş e-posta hesabı analizi

• Proxy üzerinden gerçekleştirilen saldırıların analizi

• MITM saldırısına uğramış yerel ağlarda analiz çalışması

• İzinsiz sniffer kullanan çalışanın izini sürme

• Hacklenmiş kablosuz ağ incelemesi

• Ultrasurf anonimity aracı incelemesi

• Internet üzerinde ücretsiz proxy servisleri ve adli bilişim açısından incelenmesi

Anlık Mesajlaşma Sistemleri (IM) Trafik İncelemesi

• Tercih edilen IM yazılımları ve çalışma yapıları

• Gtalk, MSN Messenger, ICQ

• Msn messenger görüşmelerinin takip edilmesi
  • Msn shadow yazılımı
  • MSN video ve ses görüşmelerinin takibi

• Web üzerinden kullanılan IM mesajlaşma yazılımlarının takibi

Anti Network Forensic Teknikleri

• Anti forensic teknikleri

• Tünelleme

• Şifreleme

• Proxy kullanımı

• IP spoofing

• Güvenlik sistemlerini kandırma
  • Tuzak sistemler kullanma
  • Anonimleştirici ağlardan saldırı gerçekleştirme