IPS/IDS Nedir?

Saldırı Önleme Sistemi(IPS) Nedir?

Saldırı Önleme Sistemi (Intrusion Prevention System), güvenlik açığı ihlallerini tespit etmek ve önlemek için ağ trafiği akışlarını inceleyen bir ağ güvenliği-tehdit önleme teknolojisidir. IPS genellikle güvenlik duvarının hemen arkasında bulunur ve tehlikeli içeriği olumsuz , güvenilir içeriği olumlu olarak seçen tamamlayıcı bir analiz katmanı sağlar. IPS, kaynak ve hedef arasındaki doğrudan iletişim yoluna yerleştirilir, paketler aktif olarak analiz edilir ve otomatik eylemler gerçekleştirilir.

Saldırı tespit sistemi başlıca aşağıdaki eylemleri içerir:

  • Yöneticiye saldırı anında uyarı gönderme
  • Kötü amaçlı paketlerin bırakılması
  • Kaynak adreste trafiği engelleme
  • Bağlantının sıfırlanması
  • CRC hatalarını düzeltme
  • Paket akışını birleştirme
  • TCP katmanında Sequence Number’a bakarak gelen segmentleri sıralama ve eksik varsa bildirme vb.

Bir güvenlik bileşeni olarak IPS, ağ performansını düşüren saldırılardan kaçınmak için verimli bir şekilde çalışmalıdır. Aynı zamanda hızlı çalışmalıdır çünkü istismarlar gerçek zamanlı olarak gerçekleşebilir. IPS, tehditleri ve yanlış pozitifleri (güvenilir paketlerin tehdit olarak yanlış algılanmasını) ortadan kaldırmak için doğru bir şekilde tespit etmeli ve cevap vermelidir.

Saldırı Önleme Sistemi Sınıfları

Genel olarak saldırı önleme sistemleri dört sınıfa ayrılır.

  • Network-Based Intrusion Prevention (NIPS): Tüm ağdaki şüpheli durumları tespit etmek için protokol analizi yöntemini kullanarak izler.
  • Wireless Intrusion Prevention Systems (WIPS): Kablosuz ağ üzerindeki şüpheli durumları tespit etmek için kablosuz ağ protokolü ile izler.
  • Network Behavior Analysis (NBA): Ağ trafiğindeki davranışların analizinde kullanılır.
  • Host-Based Intrusion Prevention (HIPS): Ana bilgisayara yönelik saldırıları önlemek için kullanılır.

Sıgnature(İmza) Nedir?

Signature (İmza) , IDS ve IPS’in gibi bilinen saldırıları tespit etmek ve önceden tanımlanmış eylemlerle yanıt vermek için kullandığı bir dizi kuraldır. Sensors (Sensörler) , mevcut imzaları değiştirmemizi ve yenilerini tanımlamamızı sağlayan yapıdır.

Sıgnature Alarms(İmza Alarmları)

Sisteme gelen bir saldırıya veya sistem üzerinde olan bir ihlale karşı, sistemin ne yanıt vereceği imza türlerini oluşturur.

  • False-positive ,normal trafik veya olumlu bir hareket tarafından tetiklenen bir alarmdır.
  • False-negative, yanlış bir trafik vb. durum algılandığında ve buna karşı bir imza tetiklenmediğinde oluşan alarmdır.
  • True-positive, saldırıya karşı imza doğru şekilde tetiklendiğinde ve rahatsız edici trafik tespit edildiğinde oluşan alarmdır.
  • True-negative, gerçek olmayan bir saldırı yakalandığında ve analiz edildiğinde bir imza atılmadığında oluşan alarmdır.

Saldırı Tespit Sistemi(IDS) Nedir?

Saldırı Tespit Sistemi (IDS) , güvenlik analistleri için adli araç olarak tasarlanmış yazılımsal veya donanımsal ögedir. IDS ,temel olarak ağ trafiği etkinliğini izlemek, analiz etmek ve bir kullanıcı/kurumu olası güvenlik açıkları ve saldırılara karşı uyarmak üzere yapılandırılmış bir sistemdir. IPS gibi IDS genellikle güvenlik duvarının hemen arkasında bulunur.

Saldırı tespit sistemi başlıca aşağıdaki eylemleri içerir:

  • Bir program veya bir kişiden kaynaklanan saldırıları tespit eder.
  • Algılama mantığını sürekli iyileştirmek için saldırı kalıplarını kaydeder.
  • Güçlü bir kontrol paneli ve yükseltme mekanizması kullanarak uyarı ve rapor verir.
  • Gelecekteki adli kanıtlar için tüm olası ve olmuş saldırıları veritabanına kaydeder ve etkinleştirir.
  • Zarar görmüş sistemi karantinaya alır.
  • Veri bütünlüğünü ,erişilebilirliğini ve gizliliğini sağlar.

Saldırı Tespit Sistemi Sınıfları

Saldırı tespit sistemi, bilgisayar ve ağlar için güvenlik yöntemleri başlığı altında ikiye ayrılır.

  • Network Intrusion Detection Systems (NIDS) , farklı modda çalışan bir Ağ Arabirim Kartı (NIC) ve ayrı bir yönetim arayüzü olan bir ağ cihazından (veya sensörden) oluşur.IDS, bir ağ segmenti veya sınırı boyunca yerleştirilir ve o segmentteki tüm trafiği izler.Tüm alt ağda trafiği geçirme analizi yapar ve alt ağlarda geçirilen trafiği bilinen saldırıların kitaplığı ile eşleştirir. Bir saldırı tespit edildiğinde veya anormal davranış algılandığında uyarır.
  • Host Intrusion Detection Systems (HIDS), üzerinde bulunan agent ile işletim sistemini izler ve verileri günlük dosyalarına yazar. HIDS, yalnızca aracıların kurulu olduğu tekil iş istasyonlarını izleyebilir ve tüm ağı izleyemez. Genellikle kritik sunucularda herhangi bir saldırı girişimini izlemek için kullanılır.HIDS çok fazla kullanılmaz çünkü birden çok bilgisayarda izinsiz giriş denemelerini analiz etmesi zordur. Farklı işletim sistemleri ve konfigürasyonları ile büyük ağlarda bakımı çok zor olabilir. Sistem tehlikeye girdikten sonra saldırganlar tarafından devre dışı bırakılabilir.

Saldırı tespit sistemi, kullanılan algılama yöntemi başlığı altında 5’e ayrılır.

  • Signature-Based IDS, zararlı faaliyetlerin “bilinen örüntülerini(imza)” aramaya dayanmak-tadır. Tek yapması gereken, bilinen saldırı imzalarının listesini aramak ve eğer bir eşleşme raporu bulduysa bunu kullanıcı/kuruma vb. bildirmektir. Sadece gördükleri ile önceden belirlenmiş bir kural arasında bir karşılaştırma yaptığı için hızlıdır. Olumsuz olarak ,yeni bir saldırı gerçekleştirildiğinde ,kendi veritabanından herhangi bir örüntüyle eşleşmeyeceği için koruma yapamayacaktır. Saldırılar, mesajları bölerek kendisini kamufle edilebilir. Yeni bir saldırı kaydedildikten sonra, veri dosyalarının ağ güvenli hale gelmeden güncellenmesi gerekir.
  • Anomaly-Based IDS, zararlı aktivitenin bilinmeyen benzersiz davranış modelini izlemeyi temel alır. Yeni bir saldırıya veya bilinmeyen tehditlere karşı koruma sağlar. Anormal ve potansiyel olarak zararlı davranışları tanımlamak için ağ trafiğine bakılır ve karşılaştırılır. Olumsuz olarak false positive çok fazla yakalar çünkü NIDS’ler, davranış kalıplarına dayalı bir sistemi izler.Doğru kişinin çok fazla kaynak veya kaynak kullanması, bir anormallik gibi tespit edilebilir ve imza haline gelebilir.
  • Pattern Matching IDS, Tek bir paket içinde sabit bir bayt dizisi arar. Trafik incelemesini filtrelemek için, model genellikle belirli bir hizmet ve kaynak veya hedef bağlantı noktasıyla ilişkilendirilir. Bununla birlikte, birçok protokol ve saldırı iyi bilinen bağlantı noktalarından yararlanmaz ve bu nedenle Pattern Matching bu tür saldırıları tespit etmede zorluk çeker. Ayrıca eşleşme, benzersiz olmayan bir patterne dayanıyorsa, çok sayıda false-positive sonuç ortaya çıkabilir.
    Stateful Pattern Matching IDS, analizini tek bir pakete dayandırmaktan ziyade, kurulan oturu-mun bağlamını hesaba kattığı için biraz daha karmaşık bir yaklaşım sunar. Bir akış içinde birkaç paket arasında dağıtılabilen stringler arayarak şablon eşlemesini yapar. Örnek verecek olursak paket içerisinde “vi” stringi algılanırsa ve bir sonraki pakette “rüs” algılanırsa, bu durum için alarmı tetikleyerek, Pattern Matching iyileştirilebilir. Bununla birlikte çok fazla bellek ve sistem kaynağı kullanması sebebiyle Pattern Matching’e göre yavaştır.Pattern Matching kadar olmasa da çok sayıda false -positive sonuç üretebilir.
  • Protocol Decode-Based Analysis, Protokol tabanlı imzalar Pattern Matching’in akıllı bir uzantısı olarak düşünebilirsiniz. Bu tür bir imza ile IDS, RFC’ler tarafından tanımlanan protokol ihlallerini arar ve belirli bir alan için pattern eşleşmelerini içerebilir. Bu yöntem, iyi tanımlanmış protokoller için false-positive azaltmada etkili olmasına rağmen, protokol belirsiz veya gevşek tanımlanmış ise IDS tarafından kolayca gözden kaçırılır.
  • Heuristic-Based Analysis, Sezgisel tabanlı bir imza, bir alarmın tetiklenip tetiklenmeyeceğini belirlemek için algoritma kullanır. Bu tür bir analizin ve uyarının bir örneği, belirli bir ana makinede eşik değerlerin eşik sayısı taranırsa bir alarm veren bir imza olacaktır. İmza ayrıca, örneğin bir çevre yönlendiricisi gibi belirli bir kaynaktan gelen SYN paketleri ile sınırlandırılabilir. Sezgisel tabanlı imzalar, belirli saldırı türlerini tespit etmenin tek yolu olsa da, benzersiz ağ ortamlarına daha iyi uyum sağlamaları için ayarlama ve modifikasyon gerektirir. Bununla birlikte , belleği ,CPU’yu ve sistem kaynağını çok fazla kullanır.

Hangi Saldırı Tespit Yöntemi Daha İyi?

Hangi saldırı tespit yönteminin seçilmesi gerektiği zor bir soru.Her birinin kendine ait artıları ve eksileri var.Hatta bazı durumlarda yöntemler arasında neredeyse ayırt edilemez noktaya gelinebilir. Burada IDS’in maruz kalacağı trafik, uyarıların doğruluğu, false-positive oranlarının düşük olması, merkezi yönetim ve raporlama analiz araçlarını işlemek için yeterli performansa sahip olması, paketlerin işlenme yönteminden çok daha önemlidir.Heuristic ve Anomaly-Based Analysis ,kullanım gereği diğer yöntemlerden daha fazla false-positive üretme özelliğine sahip ve sonuç olarak daha fazla kaynak kullanımına sahiptir. Ama daha doğru bir saldırı tespiti için gerekli olabilir.Bu sebeple, kendinize uygun bir yöntem seçmek istiyorsanız öncelikle yukarıda belirtilen özelliklere sahip olup-olmadığınızı kontrol etmenizde fayda var.

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Emre AKKAYA

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Sızma testi hizmetlerimizi incelediniz mi?