IDS/IPS Hakkında

IDS - Pasif Güvenlik Çözümü

Bir saldırı tespit sistemi (IDS), gelen ve giden tüm ağ etkinliklerini izlemek ve  sisteme girmeye veya bu sisteme bulaşmaya çalışan  kişiden gelen bir ağ veya sistem saldırısı olduğunu gösterebilecek şüpheli kalıpları tanımlamak üzere tasarlanmıştır. Bir IDS ürününün ana işlevi, sizi şüpheli hareketlilik konusunda uyarmaktır - onları engellemez - çünkü IDS bir pasif izleme sistemi olarak düşünülür. Bir IDS, esas olarak ağ trafiğinizi ve verilerinizi inceler ve soruşturmaları, saldırıları, patlatmaları ve diğer açıkları belirler. IDS şüpheli etkinliğe, bir uyarı görüntüleme - saldırıları günlüğe kaydetme veya hatta bir yöneticiyi çağırma gibi çeşitli yollardan biriyle yanıt verebilir.

IDS özellikle bir virüs , solucan veya bilgisayar korsanının sonucun da olabilecek şüpheli etkinlik ve olayları araştırır. Bu, farklı solucanları veya virüsleri karakterize ederek bilinen saldırı imzaları veya saldırı imzalarını aramak ve normal sistem etkinliğinden farklı genel değişkenleri izlemek suretiyle yapılır. IDS, yalnızca bilinen saldırıların bildirimini sağlayabiliyor.

IDS terimi aslında çok sayıda ürün yelpazesini kapsamakta olup bunların hepsi müdahaleleri tespit etmenin nihai sonucunu vermektedir. Bir IDS çözümü, daha ucuz shareware veya serbestçe dağıtılan open source programlar biçiminde, daha pahalı ve güvenli bir satıcı yazılım çözümü haline gelebilir. Buna ek olarak, bazı IDS'ler hem ağınızdaki farklı noktalarda kurulu olan yazılım uygulamaları ve hardware appliances ve sensör aygıtlarından oluşur.

Bir IDS sistemini kategorize etmek için birkaç yol vardır:

Misuse Detection vs. Anomaly Detection

In misuse detection, IDS topladığı bilgileri analiz eder ve büyük saldırı imzaları veritabanıyla karşılaştırır. Aslında IDS, daha önce belgelenmiş belirli bir saldırı arar. Bir virüs algılama sistemi gibi, algılama yazılımı, paketleri karşılaştırmak için kullandığı saldırı imzalarının veritabanında olduğu kadar iyidir. Anomali tespitinde, sistem yöneticisi şebekenin trafik yükünün taban çizgisini veya normal durumunu, arıza, protokolü ve tipik paket boyutunu tanımlar. Anomali detektörü, durumlarını normal taban çizgisi ile karşılaştırmak ve anormallikler aramak için ağ kesimlerini izler.

 

Passive Vs. Reactive Systems

Pasif bir sistemde, IDS potansiyel bir güvenlik ihlalini tespit eder, bilgileri günlüğe kaydeder ve bir uyarı sinyali verir. Reaktif bir sistemde, IDS, bir kullanıcıyı kapatarak veya şüpheli kötü amaçlı kaynaklardan gelen ağ trafiğini engellemek için Firewall’ı yeniden programlayarak şüpheli etkinliğe tepki verilir.

Network-based vs. Host-based IDS

Saldırı tespit sistemleri ağ veya ana bilgisayar tabanlı çözümlerdir. Ağ tabanlı IDS sistemleri(Network-based IDS systems) ( NIDS ) genellikle ağ saldırı tespit yeteneklerini içeren bağımsız donanım donanımlarıdır. Genellikle ağın çeşitli noktalarında bulunan donanım sensörlerinden veya ağa giren ve çıkan veri paketlerini analiz eden ağınıza bağlı sistem bilgisayarlarına yüklenen yazılımdan oluşacaktır. Host-based IDS sistemleri (HIDS) gerçek gerçek zamanlı algılamayı sunmaz, ancak doğru yapılandırıldıysa gerçek zamana yakın olur.

Host-based IDS sistemleri, sistem içindeki tek tek bilgisayarlara yüklenen yazılım aracılarından oluşur. HIDS, saldırı tespit yazılımının bulunduğu belirli bilgisayardan gelen trafiği analiz eder. HIDS sistemleri genellikle ağa dayalı bir IDS ile elde edemediğiniz özellikleri sağlar. Örneğin, HIDS, yalnızca bir yöneticinin uygulayabileceği etkinlikleri izleyebilir. Ayrıca anahtar sistem files değişiklikleri ve bu dosyaların üzerine yazmaya çalışmak için herhangi bir girişim izleyebilirsiniz.  Trojans ve backdoors  girişimleri bir HIDS tarafından izlenebilir ve durdurulabilir. Bu özel saldırı olayları her zaman bir NIDS tarafından görülmez.

Ağınızın boyutuna ve izinsiz giriş tespit sistemini gerektiren kişisel bilgisayarların sayısına bağlı olmakla birlikte, HIDS genellikle uygulanması daha ucuz bir çözümdür ve daha az yönetim ve eğitim gerektirir - ancak bir NIDS kadar çok yönlü değildir. Her iki sistem de, sistemin en son virüs ve worm imzaları ile güncel tutulmasını sağlamak için İnternet erişimi ( bant genişliği ) gerektirir.

Is IDS the Same as Firewall?

Kısaca cevap hayır, Maalesef yanlış bir kullanım olarak IDS yaygın olarak firewall olarak  kullanılıyor veya güvenlik duvarı yerine geçiyor sanılıyor. Her ikisi de ağ güvenliği ile ilgiliyken, IDS, firewall ile farklıdır. Güvenlik duvarı, saldırıları önlemek için ağlar arasındaki erişimi sınırlar veya engeller;  ağın içinden gelen bir saldırı sinyali vermez. Bir IDS, şüphelenilen bir saldırıyı, gerçekleştikten sonra değerlendirir ve bir alarm sinyali verir. Bir IDS,  sistemin içinden çıkan saldırıları da izler ve size alarm olarak döner. Ağ tabanlı saldırı önleme sistemi, bir güvenlik duvarı basit filtreleme kuralları tarafından göz ardı edilmek üzere tasarlanmış kötü amaçlı paketleri de tespit edebilir.

Bir IDS, bir güvenlik duvarı veya iyi bir virüsten koruma programı yerine geçmez. Bir IDS, sisteminize özgü veya ağ çapında güvenliği artırmak için standart güvenlik ürünlerinizle (anti-virüs ve firewall gibi) birlikte kullanmak için bir araç olarak düşünülmelidir.

False Positive and Negatives

False positive güvenlik sistemlerinin meşru istekleri yanlışlıkla spam veya güvenlik ihlali olarak görmesi anlamına gelir. Yanlış ama olumlu yada olumsuz bir şeyi IDS anlayamaz. Bu sorunsal problemlerin her ikisi de IDS ile ilişkilidir. Son zamanlarda vendor firmalar bu konuda epey yol kat etmiş ve çalışmalarına devam etmektedirler.  IPS/IDS bir ürün alırken mevcut sisteminizi iyi analiz etmek gerekmektedir. Pahalı her zaman en iyisi değildir. Yada bu kurum bu ürünü kullanıyor biz de bunu kullanalım demek yanlış olur. Öncelikle kendi sisteminize göre bu ürün seçmelisiniz. Yine de, farklı IDS çözümlerine bakarken dikkate alınması gereken bir konudur.

IPS — An Active Security Solution

IPS or intrusion prevention system,  Kesinlikle işletim sistemi çekirdeğinden ağ veri paketlerine kadar tüm sistem düzeylerinde güvenlik sağlamak olan bir sonraki güvenlik teknolojisi seviyesidir.  IDS olası bir saldırıyı bildirirse, bir IPS bunu durdurma girişimlerinde bulunur. Genellikle IDS ve IPS birbiriyle entegreli çalışırlar. O yüzden bu sisteme IDPS denmektedir. IPS ve IDS en kötü özelliklerinden bir tanesi Ddos ataklarını algılayamaz hatta aksine veri hattındaki trafiğin daha fazla şişmesine ve sistemlerin geçici olarak hizmet verememesine sebep olurlar. Bir diğer sorun ise doğru yapılandırmamasından kaynaklı sorunlardır. IDS ve IPS, internet protokol(IP) adreslerini ve bu IP lerin geçtiği port numaralarını denetlerler. Bu sebeple yapılması gereken ayarlamaları hatasız bir şekilde yapıp filtreleme sağlamak gerekmektedir.

Örneğin bir şirketin kendisine ait olan bir proxy serverı kullanması , networkun dışarıya çıkmamasını sağlar ve veri iletim hızını arttırır. Ancak Telnet yada VPN gibi uzaktan bağlantı yolları ille networkünüze dahil olmak isteyen ve proxy server üzerinden web portallara girmek isteyen düşmanlara karşı IDS ve IPS tercih edilir.

Şu anda, IDS ile benzer iki tür IPS vardır. Bunlar, sunucu tabanlı saldırı önleme sistemleri ( HIPS ) ürünlerinden ve ağ tabanlı saldırı önleme sistemlerinden ( NIPS ) oluşur.

 Network İntrusion Protection System (NIPS)

Bir ağ saldırı koruma sistemi (NIPS), bilgisayar ağlarını yetkisiz erişime ve kötü niyetli etkinlikten koruyan donanım ve yazılım sistemlerinin bir kombinasyonu için kullanılan şemsiye bir terimdir.

NIPS donanımı, Saldırı Önleme ve Algılama Sistemi (IPDS) gibi özel bir Ağ İzinsiz Giriş Algılama Sistemi (NIDS) aygıtı, bir Saldırı Önleme Sistemi (IPS) veya ikisinin bir birleşiminden oluşabilir. Bir NIDS yalnızca müdahaleleri algılayabilirken, IPS, güvenlik duvarı ayarlarını değiştirme, belirli İnternet protokolünü (IP) adreslerini engelleme veya belirli paketleri tamamen bırakma gibi belirlenmiş kuralları izleyerek saldırıyı etkin bir şekilde durdurabilir. Bir NIPS yazılım bileşenleri çeşitli güvenlik duvarı , Pano ve diğer veri görselleştirme araçlarının yanında sniffer ve antivirüs araçlarını da içerir. Bir NIPS, bir kuruluşun bilgisayar ağlarını anormal trafik kalıpları için sürekli olarak izler, olay günlükleri oluşturur , sistem yöneticilerini önemli olaylara uyarır ve olası ihlalleri mümkün olduğunca durdurur. Bir NIPS, dahili güvenlik denetimi ve uyumluluk düzenlemeleri için dokümantasyon sağlamak için de yararlıdır. Casus yazılımlar , virüsler ve saldırılar büyümeye devam ediyor ve bilgisayar ağlarını uzlaşmaya karşı korumak için birlikte çalışan güvenlik sistemlerinin katmanlı bir kombinasyonunun gerekli olduğu artık biliniyor. NIPS'ler herhangi bir biçimde, yetkisiz kişiler tarafından erişilebilen herhangi bir bilgisayar ağı için hayati önem taşımaktadır. Hassas verileri barındıran bilgisayarların her zaman korunması gerekir; Bununla birlikte, görünüşte anlamsız ağlar bile botnet saldırılarında kullanılmak üzere kaçınılabilir.

Host saldırı önleme sistemleri (HIPS)

Ana bilgisayar saldırı önleme sistemi (HIPS), kötü niyetli etkinlikleri tanımlamak ve önlemek için üçüncü parti yazılım araçlarına dayanan bir güvenlik yaklaşımı diye düşünmek gerekiyor.Ana bilgisayar tabanlı saldırı önleme sistemleri tipik olarak uç nokta aygıtlarını korumak için kullanılır. Kötü amaçlı etkinlik tespit edildiğinde, HIPS aracı bilgisayar kullanıcısına bir alarm göndermek, kötü niyetli etkinliği gelecekteki araştırmalar için günlüğe kaydetmek, bağlantıyı sıfırlamak, kötü amaçlı paketleri atmak ve müteakip trafiği şüpheli IP adresinden engellemek gibi çeşitli önlemler alabilir. Bazı ana bilgisayar izinsiz giriş önleme sistemleri, kullanıcıların analiz ve olası kimlik tespiti için kötü amaçlı etkinlik ve şüpheli kod parçalarını doğrudan satıcısına göndermelerine olanak tanır. Sağlayıcı veritabanında olmayan sıfır gün saldırılarına veya imzalara karşı koruma sağlayamaz.