IDS & IPS (Saldırı Tespit ve Önleme Sistemleri) Nedir?

Ağ Güvenliği Nedir?

Bir iş yeriniz olduğunu varsayalım ve bu iş yerinizin güvenliğini sağlamak için bir kamera sistemi, önemli dosya ve verileri korumak için bir anahtarlı kasa bulundurduğunuzu düşünelim. Akşam iş yerinizi kapatıp evinize gittiğinizde iş yerinizi izleyecek bir kamera sistemi ve verilerinizi koruyacak bir kasanız var. Ağ güvenliğinin amacı da tam olarak bunu yapmaktır. Bir kuruluşun stratejisini ve verilerini korumasını amaçlayan, ağ trafiğinin güvenilir bir şekilde sağlanmasına olanak tanıyan sistemlerin tamamı ağ güvenliği için önemli unsurlardır.

Ağ güvenliği teknolojileri yetkisiz sızma olaylarına, gizli iş verilerinin kötüye kullanmasına ve internetten akaynaklanan virüs ve soluncanların kötü amaçlı saldırılana karşı korur.

Ağ Saldırı Tespit Sistemi Nedir? (Network Intrusion Detection System)

Bir bilgisayar korsanı sistemimize girmeye çalıştığında bu bir saldırı olarak tanımlanır ve ağ saldırı tespit sistemleri bu tür mudahaleleri tespit eden bir sistemdir. NIDS, bir ağ üzerindeki paketleri gözetir, farklı kötü amaçlı etkinlik işaretlerini izlemek için ağ trafiğini analiz eder. Bu sistemin temel amacı, bilgisayar korsanının sistemimize girip girmediğini tespit etmektir.

Bir ağ saldırı tespit sisteminin temel işlevleri şunları içerir:

Saldırı tespiti: Gerçek zamanlı ağ izlemesi yaparak gerçekleştiği andan itibaren güvenlik tehditlerini ve saldırıları tespit eder.

Saldırı bilgisi: Eğer bu sistem bir saldırı tespit ederse saldırı hakkında bilgi verir.

Düzeltici adımlar: Sistem tarafından bir saldırı tespit edildiğinde, aktif sistemler saldırıyı çözmek için önlemler alırlar.

Depolama: Olayları yerel olarak ya da saldırı olması durumunda da depolar.

Bir ağ saldırı tespit sistemi çoğunlukla bir ağdaki stratejik noktalardadır, böylece o ağdaki farklı cihazlardan veya bu alandaki farklı cihazlardan gelen trafiği izleyebilir.Bu tür sistemlerin başlıca iki türü vardır. Birincisi imza tabanlı sistem, diğeri anormalliğe dayalı bir sistemdir. İmza tabanlı algılama , her bir saldırı kodunda benzersiz olarak tanımlanabilen kalıpların (veya imzaların) bir sözlüğüne dayanır. Bir exploit keşfedildiğinde imza kaydedilir ve sürekli büyüyen imza sözlüğünde saklanır. İstatistiksel anormallik tespiti, ağ trafiğinin örneklerini rastgele alır ve önceden hesaplanmış temel performans seviyesiyle karşılaştırır. Ağ trafiği aktivitesi örneği temel performans parametrelerinin dışındaysa, saldırı önleme sistemi(IPS) durumu halletmek için harekete geçer.

Saldırı Tespit Sistemi Nedir ? (Intrusion Detection System)

Saldırı tespit sitemi (IDS), ağlara, sistemlere veya uygulamalara yapılan kötü niyetli saldırıları, ihlalleri ve bu sistemlerin güvenlik açıklarını tespit etmek için geliştirilmiş bir ağ güvenlik teknolojisidir.

IDS, yanlızca tehditleri tespit etmek için çalışır.Tespit edilen herhangi bir aktivite veya ihlal bir yöneticiye bildirilir veya  bir güvenlik ve olay yönetimi (SIEM) sistemi kullanılarak merkezi olarak toplanır. SIEM sistemlerinde farklı kaynaklardan gelen verileri birleştirir ve filtreleme yaparak kötü niyetli alarmın yanlış alarm olup olmadığını denetler ve ayırır.

IDS, yanlızca dineleme amaçlı yazılım veya cihazdır. Bu sistem trafiği izler ve sonuçlarını bir yöneticiye rapor eder, ancak tespit edilen bir saldırının sistemi ele geçirmesini önlemek için otomatik olarak harekete geçemez. Saldırganlar, güvenlik önlemlerini aşıp ağa girdikten sonra çok hızlı bir şekilde kullanabilirler, böylece IDS, önleme aygıtı için yetersiz bir dağıtım yapar.

Saldırı Önleme Sistemi Nedir ? (Intrusion Prevention System)

Saldırı Önleme Sistemi(IPS), dışarıdan gelecek herhangi bir tehdit veya ihlali tespit ederek buna cevap verir. Saldırıya yanıt verme özellikli bir önleme sistemidir.

IPS, genellikle güvenlik duvarının arkasına oturur ve tehlikeli içerik için bir analiz katmanı sağlar. Trafiği tarayan, tehditlere karşı rapor veren ve bu tehditlere karşı pasif olan IDS’nin aksine IPS kaynak ve hedef arasında bir sıraya yerleştirilir. Burda bütün paketlerin analizini yapar ve otomatik eylemler gerçekleştirir. Bu eylemler şunlardır:

• IDS’de olduğu gibi yöneticiye alarm gönderir.
• Kaynak ve hedef arasındaki ağ trafiğinde tespit edilen kötü paketleri bırakır.
• Kaynak adresin trafiğini engeller.
• Bağlantıyı sıfırlar.

IPS, saldırıları tespit etmek için birtakım algılama yöntemlerine sahiptir. Bunlar imza tabanlı algılama ve istatistiksel anomali temelli algılama mekanızmalarıdır. IPS ve IDS arasındaki temel farklar şunlardır:

İşletmeler için ücretsiz Ağ Saldırı Tespit Sistemleri

Snort, açık kaynaklı NIDS çözümlerinde lider konumundadır. Snort hem imza tabanlı saldırı tespitini hem de anormalliğe dayalı algılama yöntemleri kullanır ve kullanıcı tarafından oluşturulan kurallara veya gelişen tehditler olarak veritabanından gelen güncelleme imzalarına güvenebilir.

Suricata, Snort’un doğrudan rakibidir. Saldırıları tespit etmek için imza tabanlı algılama metodolojisine dayalı güvenlik ve anormalliğe dayalı bir yaklaşım uygular.

Bro IDS, anomali tabanlı bir saldırı algılama yöntemi kullanır. Bro IDS’in dili ağ uygulamalarına özgü özgü bir dildir. Trafik analizinde oldukça etkilidir. Adli tıp ve ilgili kullanım durumlarında kullanılır.

OpenWIPS-ng, logo ve dökümantasyonsuz olmasına rağmen onbinlerce dolarlık çözümleri ücretsiz sunan, kablosuz güvenlik için popüler bir açık kaynak projesidir. İmza tabanlı saldırı tespit teknolojisi, kablosuz trafiği yakalamak için sensörler, saldırıları analiz eden bir sunucu ve kolay yönetim için bir grafiksel kullanıcı arayüzüne sahiptir.

Security Onion(Güvenlik Soğanı), IDS ve ağ güvenlik izleme(NMS) için bir Ubuntu tabanlı Linux dağıtımıdır. Platform, Snort, Suricata, Bro gibi en iyi araçaların yanı sıra Sguil, Squert, ELSA, Xplico gibi araçların birçoğuyla birleştirilerek kapsamlı bir saldırı tespiti, ağ güvenliği izlemesi ve günlük yönetimi imkanı sunar.