IDS Ve IPS Saldırı Tespit ve Önleme Sistemleri

IDS Ve IPS Sistemleri

Bu yazımda sizlere IDS ve IPS sistemlerinden bahsedeceğim. IDS ve IPS cihazları ağ trafiğini inceleyerek zararlı hareketleri tespit etmek için kullanılan ağ cihazlarıdır.

IPS ve IDS cihazları ağ üzerinde gelen trafiği inceleyebilecek şekilde ayarlanarak daha önce saldırı olarak tespit edilmiş durumları ve verilerin imzalarını karşılaştırarak saldırıları tespit eder. Saldırıları tespit ettikten sonra alarm verir veya saldırı yapıldığı tespit edilen trafiği bloklar. Genellikle sistem yöneticisi cihazı bir saldırı tespit ettiğinde trafiği engellemek yerine uyarı vermesi yönünde konfigüre eder. Böyle konfigüre edilmesinin sebebi ise normal bir ağ trafiğinin de saldırı olarak tespit edilme ihtimali olmasıdır.

Cihazların verdiği alarmlar 4’e ayrılır: True-Positive, False-positive, True-Negative, False-Negative. Buradaki true ifadesi zararlı, false ifadesi zararsız, positive ifadesi alarmın tetiklendiği negative ise tetiklenmediği anlamına gelir. Örneğin True-Positive bir saldırının olduğunu ve bunun tespit edildiği anlamına gelir, False-Positive ise bir saldırı olmadığı halde bunun saldırı sanılıp alarm verilmesi durumda olur. True-Negatif bir saldırı olduğu ama alarm verilmediği anlamına geliyor ki bu çok büyük bir sıkıntıdır. Böyle bir durumda sistem yöneticiler bu durumu fark etmezse büyük zararlar oluşabilir.

IPS

IPS, saldırı önleme sistemi(Instrucsion Prevention System) olarak dilimize çeviriliyor. Ağ trafiği görselde de gözüktüğü gibi doğrudan IPS cihazının üzerinden geçerek yoluna devam eder. IPS verilerin imzalarına bakarak veri tabanında kaydedilmiş zararlı olduğu bilenen kayıtlarla karşılaştırarak saldırıları tespit etmeye çalışır. Bu imzalar veri üzerinde küçük değişiklikler yaparak kolaylıkla değiştirilebildiği için bu yöntem tam bir koruma sağlayamasada bir çok saldırıyı önleyebilmektedir.

IPS bir tehdit tespit ettiğinde direkt veri akışını kesebilecek yetkilere sahiptir. Cihaz konfigüre edilirken genelde çoğu durum için ağ trafiğini kesmek yerine alarm oluşturacak şekilde ayarlanır. Çünkü IPS cihazları saldırı olmayan bir davranışı saldırı olarak tespit edebilir. Bu sayede sistemden hizmet alan kişilerin yanlışlıkla bloklanması önlenir. IPS cihazlarının performansı çok iyi olmalı ve yedekleri bulundurulmalı. Ağdaki iletişim doğrudan IPS üzerinden sağlandığından IPS cihazının yavaşlaması veya hizmet veremez duruma gelmesi sistemi tamamen çalışamaz hale getirecektir.

IDS

IDS saldırı tespit sistemi(Intrusion Detection System) olarak dilimize çevriliyor. IDS'de IPS'deki gibi ağ trafiği doğrudan IDS üzerinden geçirilmez. Onun yerine switch'ten kendisine veri akışının bir kopyası gönderilir. Bu yönteme SPAN ya da port mirroring denir. Switch üzerinde belirlenmiş porttan gelen akış hem hedef porta hem de kopyalanarak başka bir porttan analiz cihazlarına gönderilir. Genel olarak görevi IPS'e benzesede ondan farklı olarak herhangi bir trafiği engellemek gibi bir özelliğe sahip değildir. Ağı dinleyerek loglama yapar, sistem yöneticilerine uyarılar göndererek olası saldırılar için haber verir.

Yazımın sonuna geldik umarım sizler için faydalı bir yazı olmuştur.