Savunma Mekanizması Bileşenleri: IPS / IDS

Son yıllarda artan siber saldırılara karşı Firewall cihazları ile beraber çalışan IPS ve IDS sistemler zararlara yol açabilecek tehditlerin tespiti ,yakalanması ve önlenmesinde önemli rol almaktadır.

Savunma Mekanizması Bileşenleri: IPS / IDS

Bu yazımda sizlere  IDS ( Intrusion Detection System) ve IPS (Intrusion Prevention System) sistemlerin çalışma mantığını ,özelliklerini ve çeşitlerini aktaracağım bir yazı olacaktır. Herkese keyifli okumalar dilerim.

IPS ve IDS ‘e neden ihtiyaç duyulur?

Firewall çalışma mantığında genel olarak ağ yöneticisi tarafından oluşturulan güvenli liste içerisindeki tüm trafik herhangi bir engele maruz kalmadan ağınıza iletilir ,güvenli olmayan trafik ise bloke edilerek ağınıza erişmesini engelleyerek tarafınıza bilgi verir. Fakat saldırı durumunda kendilerini yeniden programlama yeteneğine sahip değildir. Bu durumda IPS ve IDS teknolojileri sayesinde hem ağınıza yapılan saldırıyı anlayabilir hem de saldırı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.

IPS Nedir?

Dilimize “Saldırı engelleme sistemleri” olarak çevirebileceğimiz "Intrusion Prevention Systems" tehlikeli ve şüpheli aktivitileri izleyip engellenmesini sağlar. Genellikle güvenlik duvarının arkasında oluşan bu sistem analiz edilmek üzerine kurulan bir katman sayesinde gerçekleşir. TCP sisteminde veri alışverişi katmanlar halinde gerçekleşmektedir ve paketler halinde taşınan  bu  verileri sistem üzerinde kurulmuş olan güvenlik katmanı  olan IPS trafik üzerindeki  paketleri inceleyerek kaynak ve hedef arasındaki iletişimi sürekli kontrol eder.  Tehlikeli ve şüpheli durumları tespit etmesi halinde iletişimi ve veri akışını keser ,bağlantıyı sıfırlar ve ağ yöneticisine saldırı hakkında uyarı gönderir. IPS  aşağıdakiler dahil olmak üzere farklı tehditleri önlemek için tasarlanmıştır:

  • Hizmet Reddi (DoS) saldırısı
  • Dağıtık Hizmet Reddi (DDoS) saldırısı
  • Farklı suistimal türleri
  • Solucanlar
  • Virüsler

 

Bu tehditleri belirlemekte kullanılan 3 farklı yöntem bulunmaktadır:

İmza tabanlı algılama : Ağ trafiğindeki bayt dizileri veya kötü amaçlı yazılım tarafından kullanılan imzaları kullanma gibi belirli kalıpları arayarak saldırıları algılar.

Anomi tabanlı algılama: Sistem etkinliği izleyerek burdaki normal ve anormal davranışları sınıflandırarak hem ağ hem de bilgisayar izinsiz girişlerini ve kötüye kullanımları tespit etmeye yönelik bir izinsiz giriş tespit sistemidir.

Politika tabanlı : Güvenlik politikaların kurumsal güvenlik politikalrına ve ağ altyapısına göre yapılandırmasını gerektirir.

 

Bu güvenlik tespitleri yapıldıktan sonra IPS ne gibi eylemlerde bulunmaktadır?

  • Saldırıda suistimal edilen oturum sonlandırıldıktan sonra kaynak IP adresinin herhangi bir ana makineye veya ağ kaynaklarına erişilmesi engellenir.
  • Buna benzer bir saldırı gerçekleşmesi durumunda saldırının önüne geçmek için güvenlik duvarını yeniden programlamak.
  • Saldırı sonrasında ada bulunan kötü amaçlı ve virüslü tüm içerikleirn silinmesi.

 

IPS Çeşitleri Nelerdir?

Network Based Intrusion Prevention (NIPS):  Ağ üzerinde oluşan şüpheli hareketleri tespit ve önleminde kullanılan saldırı önleme sistemidir.

Wireless Intrusion Prevention Systems (WIPS) : Kablosuz ağ protokolü üzerinden  şüpheli hareket tespiti için kurulan saldırı önleme sistemidir.

Host Based Intrusion Prevention (HIPS): Ana makine üzerine yoğunlaşıp saldırıları önlemek için kurulmuş sistemdir.

Network Behavior Analysis (NBA): Ağlar normal standart davranışları kullanırlar ve bu standart dışındaki hareketlerin analiz edilmesi ve saldırılaırın önceden tespit edilmesi için kurulan sistemdir.

Siber güvenlik sektöründe kullanılan bazı popüler IPS ürünleri şunlardır:

  • Cisco NGIPS
  • Suricata
  • Fidelis

IDS Nedir?

Dilimize “Saldırı tespit sistemi” olarak çevirebileceğimiz "Intrusion Detection System" bir ağı izleyerek güvenlik açıkları ve saldırıları tespit etmek için kurgulanmış yazılım ve donanımlardır. IDS mevcut saldırı modelini kaydederek gelecek saldırıların tespitinde kullanılmak dışında bunları rapor etmek ,gelecekte kanıt oluşturacak şekilde kaydetmek ,zarar görmüş sistemleri karantinaya almak gibi işlevleri vardır. Bilgisayar ve ağlara yönelik iki sensör çeşidi vardır:

Network Sensor: Ağ trafiğini kayıt altına alan bu sensörler kötü amaçlı paket ve bağlantıları tespit edilip bloke edilmesinde kullanılır.

Server Sensor: Ana bilgisayar üzerinde olan bu sensörler yalnızca sunucu trafiğini izler. Sunucu trafiğindeki yetkisiz erişim ve eylemleri tespiti ve engellenmesinde kullanılır.

IDS Türleri

Ağ Tabanlı İzinsiz Giriş Tespit Sistemi (NIDS): Bağlı olan tüm cihazların ağ trafiğini incelemek için önceden belirlenen bir konuma kurulur ve alt ağ trafiği bilinen saldıırılardan oluşan veri tabanı ile  karşılaştırılır. Saldırı durumunda yöneticiye uyarı gönderilir.

Host-Based Intrusion Detection System (HIDS):Ayrı ana bilgisayar veya aygıtlarda çalışan uygulamalardır.Cihazdan gelen giden tüm paketler HIDS tarafından izlenir ve olağandışı bir durumda yönetici bilgilendirilir. Sistem dosylarının anlık görüntüleri öncekİ anlık görüntüyle karşılaştırılır.

 Protocol-based Intrusion Detection System (PIDS) – Protokol Tabanlı İzinsiz Giriş Tespit Sistemi (PIDS): Sunucunun ön ucunda bulunan ,kullanıcı ve cihaz arasındaki protokolleri kontrol eden ve yorumlayan bir sistemden oluşmaktadır.

Application Protocol-based Intrusion Detection System (APIDS) – Uygulama Protokolü Tabanlı İzinsiz Giriş Tespit Sistemi: Bir sistem veya aracı temel olarak bir sunucu kümesi içinde bulunur. Uygulamaya özel protokoller üzerinden iletişimi gözlemleyip analiz ederek izinsiz girişleri tespit eder.

Hibrit Saldırı Tespit Sistemi: İki yada daha fazla saldırı tespit sistemi metodolojisinin birleşmesiyle oluşturulur. Hibrit saldırı sistemleri diğer saldırı sistemlerine göre daha etkilidir.

Siber güvenlik sektöründe kullanılan bazı popüler IDS ürünleri şunlardır:

  • Zeek/Bro
  • Snort
  • Suricata
  • Fail2Ban
  • OSSEC

IPS ve IDS sistemleri özellikleri ve farklılıkları:

  • IPS saldırılara karşı aksiyon almak üzere IDS ise tespit etmek üzere çalışmaktadır.
  • IPS kendi başına aksiyona geçer IDS ise rapor verir ,buda IDS sistmelerinin sürekli takip edecek kişiye ihtiyaç duymasına neden olur.
  • IPS kendi veritabanı üzerinde belirlenen  kurallara göre saldırı tespitinde veri paketlerini reddeder. Bu yüzden veritbanının sürekli güncel tutulması gerekmektedir.
  • Firewall cihazı arkasında konumlanabilen IPS ve IDS saldırıların izlenmesi ve önlenmesi açısından avantaj sağlar.
  • Her ikiside yazılımsal ve donanımsal çalışabilir .Donanım olarak kullanılan ürünler sistemi ve ağı yavaşlatmadan kullanılmasını sağlar.
Fırat Üniversitesi Adli Bilişim Mühendisliği 2. sınıf öğrencisiyim. Siber güvenlikle alakalı aktif olarak gelişimimi sürdürmekteyim.