IDS - IPS

Değerli arkadaşlar, merhaba! Bu yazımızda sizlere, IDS ve IPS kavramlarından söz edeceğiz. Anlatımı yaparken IDS ve IPS kavramlarını ayrı ayrı ele alacağız ancak bu ikisini bir bütün olarak okumaya çalışırsanız aralarındaki farkı daha iyi anlamış olursunuz ve bunların ne olduğu, kafanızda daha net oluşur.

IDS

'Genelde' bir 'yazılım' olarak geçen ve açılımı, "Intrusion Detection System"; Türkçe karşılığı ise "Saldırı/İzinsiz Giriş Tespit Sistemi" şeklinde olan IDS, ağ trafiğini şüpheli etkinlikler için izleyen ve bu tür etkinlikler keşfedildiğinde uyarılar veren bir sistemdir. Herhangi bir kötü niyetli girişim veya ihlal, bir yöneticiye bildirilir veya bir SIEM sistemi kullanılarak merkezi olarak toplanır. Bir önceki blogumuzdan bildiğiniz üzere bir SIEM sistemi, birden fazla kaynaktan gelen çıktıları entegre eder ve kötü amaçlı faaliyetleri yanlış alarmlardan ayırt etmek için alarm filtreleme tekniklerini kullanır.

DoS - DDoS blogunda söz ettiğimiz üzere 'ağınızı iyi tanımalısınız'. IDS dediğimiz bu sistemler, yukarıdaki güzel özelliklere karşın yanlış alarmlar da üretebilirler. Bu iki kritik uç nokta içerisinde yapılması gereken şey; IDS'in ince ayarlarla yapılandırılması ve doğru şekilde kurulmasıdır. Bu ikilemlerin daha net oturtulabilmesi, oluşturulabilmesi veya yapılandırılabilmesi için IDS, sisteme gelen ağ paketlerini de izler.

Bu noktada IDS'in ne olduğunu öğrendiğimize göre IDS'in çeşitlerine de bakmak elzemdir ancak bunları birbirine karıştırma ihtimaliniz olduğu için dikkatli bir şekilde okumanızı ve bunları, isimleriyle bağdaştırmanızı önerebiliriz.

IDS Çeşitleri

NIDS (Network Intrusion Detection System - Ağ İzinsiz Giriş Sistemi)

  • Bu IDS çeşidi, isminden de anlayacağınız üzere ağı göz önüne alır ve ağdaki tüm cihazlardan gelen trafiği incelemek için ağ içinde planlı bir noktada kurulur.
  • Burada bir 'saldırı koleksiyonu' vardır. Bu saldırı koleksiyonu, bilinen saldırıları tutar. Dolayısıyla NIDS, tüm alt ağlarda geçen trafiği gözlemler ve bu trafiği, bilinen saldırıların koleksiyonu ile karşılaştırır/eşleştirir. Bu saldırılar, koleksiyondakilerle eşleştiğinde yani bir saldırı tespit edildiğinde veya anormal bir davranış gözlemlendiğinde yöneticiye uyarı gider.

HIDS (Host Intrusion Detection System - Ana Bilgisayar Saldırı Tespit Sistemi)

  • Bu IDS çeşidi, ağdaki ana bilgisayarlara veya cihazlarda çalışır. Bir HIDS, yalnızca cihazdan gelen ve giden paketleri izler ve şüpheli veya kötü amaçlı bir etkinlik algılarsa yöneticiyi uyarır.
  • HIDS'in ek bir özelliği; mevcut sistem dosyalarının anlık görüntüsünü alması ve önceki anlık görüntü ile karşılaştırmasıdır. NIDS'e benzer yanı budur hatta bu özelliğiyle biraz da Git'e de benzer. Karşılaştırılan bu dosyalar düzenlenmiş, değiştirilmiş veya silinmişse yine incelenmesi adına bir yöneticiye uyarı gider.

PIDS (Protocol-based Intrusion Detection System - Protokol Tabanlı Saldırı Tespit Sistemi)

  • 'Protokol' kavramının ne olduğunu 'Network' kategorisinden zaten biliyorsunuzdur. PIDS dediğimiz bu IDS çeşidi, adından da anlayacağınız üzere cihaz ile sunucu arasındaki protokolleri kontrol eden, yorumlayan ve sunucunun önünde bulunan bir sistemdir. PIDS'ler daha çok, HTTPS protokol akışını düzenli olarak izleyerek ve ilgili HTTP protokolünü kabul ederek web sunucusunun güvenliğini sağlamaya çalışır.

Hybrid Intrusion Detection System (Hibrit Saldırı Tespit Sistemi)

  • Bu arkadaşımız ise saldırı tespit sistemlerinin iki veya daha fazla yaklaşımının kombinasyonunu alır; doğal olarak diğer saldırı tespit sistemlerine göre daha etkilidir.

IDS'lerin çeşitlerini öğrendik. IDS'lerin bu noktada bir de 'tespit metotları' bakımından üç çeşidi vardır. Ancak bunlara bakmadan önce öğrenmenizi istediğim iki kavram var: 'yanlış pozitif' ve 'yanlış negatif'. Yanlış pozitif, 'yanlış uyarıları' temsil ederken yanlış negatif, 'kaçırılan tespitleri' temsil eder.

IDS Metotları

Signature-based Method (İmza Tabanlı Metot)

  • Bu metodu, sabıkalı insanlara olan yaklaşıma benzetebilirsiniz. Biri, bir suç işlediğinde bu suç onun siciline işler ve parmak izi alınır; o artık bir sabıkalıdır. Bu noktada bu metot ile kötü amaçlı yazılım veya diğer kötü amaçlı herhangi bir içerik belirlendiğinde bir imza oluşturulur ve gelen içeriği test etmek için IDS çözümü tarafından kullanılan listeye eklenir.
  • Bilinen kötü amaçlı içeriğin algılanmasına dayalı olarak oluşturulduğundan, bir IDS'in yanlış pozitifler olmadan yüksek bir tehdit algılama oranı elde etmesini sağlar. Ancak imza tabanlı bir IDS, bilinen tehditleri algılamakla sınırlıdır ve sıfırıncı gün (zero day) güvenlik açıklarına karşı tabiri caizse kördür.

Anomaly-based Method (Anomali Tabanlı Metot)

  • Anomali, literatürde 'aykırı değer' olarak geçer; 'anomali' kelimesi aklınızı karıştırmasın. Her gün yepyeni kötü amaçlı yazılımlar hızla geliştirildiği için geliştirilen bu metodun görevi; bilinmeyen kötü amaçlı yazılım saldırılarını tespit etmektir.
  • Burada bahsettiğimiz 'aykırı değer' yapısını fark etmek için makine öğrenmesi teknolojisinden yararlanır ve güvenilir bir 'aktivite modeli' belirler. Yani korunan sistemin 'normal davranışlarının bir modelini' ortaya koyar. Daha sonra, gelen her aktiviteyi bu model ile karşılaştırır. Bu noktada bahsettiğimiz bu aktivite, model içerisinde bulunursa 'kötü amaçlı' olarak ilan edilirken modele uymayan aktiviteler salınmaz; 'şüpheli' olarak ilan edilir.
  • Bu metot, makine öğrenmesi teknolojisi sayesinde uygulamalara ve donanım konfigürasyonlarına göre eğitilebilir. Dolayısıyla yukarıdaki imza tabanlı metoda göre daha iyi olarak sayılabilir.
  • Anomali tabanlı yaklaşım, sıfırıncı gün tehditlerini tespit edebilirken doğru bir 'normal davranış modeli' oluşturmak oldukça zordur. Dolayısıyla bu sistemlerin yanlış pozitifleri ve yanlış negatifleri dengelemesi gerekir.

Hybrid Detection (Hibrit Algılama)

  • Bu yaklaşımda hem imza tabanlı hem de anomali tabanlı algılama kullanılır yani bunlar birleştirilir. Bu, her iki sistemi de ayrı ayrı kullanmaktan daha düşük bir hata oranıyla daha fazla potansiyel saldırı tespit etmesini sağlar.

IDS vs. Firewall

IDS konusunun sonuna gelirken IDS'in bir Firewall'dan farkının ne olduğunu düşünebilirsiniz; kısaca bakalım.

Aslında hem IDS hem de Firewall, ağ güvenliğiyle alakalıdır. Ancak bu noktada bir Firewall, izinsiz girişi önlemek için önceden tanımlanmış kurallara dayalı olarak trafiğe izin verir veya trafiği engeller. Ağın içinden bir saldırı olursa sinyal vermez, ağ paketlerinin meta verilerinin analizini gerçekleştirir. Bir IDS ise, bir kez gerçekleştiğinde şüphelenilen bir izinsiz girişi tanımlar ve ardından bir alarm verir. Ayrıca IDS, 'SOC' dediğimiz güvenlik operasyon merkezlerindeki analistlerin bir olayı araştırmasını ve yanıt vermesini sağlayan pasif bir izleme cihazıdır.

Dikkat ederseniz IDS'i anlattığım süre boyunca hep 'yöneticiyi uyarır, alarm verir' tarzında cümleler kurduk. IDS'in temel amacı, uyarmaktır. Şimdi, IPS dediğimiz yapılara geçeceğiz. Bunu okurken aralarında bulunan farkları da anlayacaksınızdır.

IPS

Açılımı "Intrusion Prevention System"; Türkçe karşılığı ise "Saldırı/İzinsiz Giriş Önleme Sistemi" şeklindedir. Bazı yerlerde bunu, 'İzinsiz Giriş Tespit Önleme Sistemi - IDPS' olarak geçer; görürseniz, farklı bir şey olduğunu düşünmeyin.

IPS, IDS gibi saldırıları raporlar; ek olarak burada, gerektiğinde saldırıyı önleyebilir. Buradan da anlayacağınız üzere IPS'ler, IDS'lere göre oldukça gelişmiştir; hem IDS'in özelliklerini taşımaktadır hem de ek ve önemli özellikleri vardır. Örneğin, IPS; kötü amaçlı aktivite tespit ettiğinde yöneticileri uyarmak, paketleri bırakmak (drop), kaynak adresten gelen trafiği engellemek, bağlantıyı sıfırlamak hatta gelecekteki saldırıları önlemek için güvenlik duvarlarını yapılandırmak gibi birçok eylemi otomatik olarak gerçekleştirebilir.

IPS'ler, büyük ölçüde otomatikleştirilmiş oldukları için kötü amaçlı herhangi bir etkinliğin diğer güvenlik aygıtlarına ya da kontrollerine ulaşmadan önce filtrelenmesine olanak tanır. Böylece güvenlik ekiplerinin manuel (el ile) müdahalesini azaltır ve güvenlik ürünlerinin daha verimli çalışmasını sağlar. Elbette IPS'ler, birçok ağ güvenliği teknolojisi gibi ağ performansını düşürmeden yüksek hacimli trafiği tarayabilecek kadar güçlü olmalıdırlar.

IPS'ler, kaynak ve hedef arasındaki ağ trafiği akışına sıralı olarak yerleştirilir ve genellikle güvenlik duvarının hemen arkasında bulunur.

IPS Çeşitleri

NIPS (Network Intrusion Prevention System - Ağa İzinsiz Giriş Önleme Sistemi)

  • Bir ağı izlemek ve ağın gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için kullanılan bir sistemdir. Ana işlevleri; ağı, DoS ve yetkisiz kullanım gibi tehditlerden korumaktır. NIPS, protokol etkinliğini analiz ederek ağı kötü amaçlı etkinlik veya şüpheli trafik açısından izler; ağı akıllı hâle getirir ve iyi trafiği kötü trafikten hızlı bir şekilde ayırt eder.

HIPS (Host Intrusion Prevention System - Ana Bilgisayar İzinsiz Giriş Önleme Sistemi)

  • Bir uç noktaya kurulan ve yalnızca o makineden gelen ve giden trafiğe bakan bir IPS çeşididir.

NBA (Network Behavior Analysis - Ağ Davranışı Analizi)

  • Olağan dışı trafik akışlarını, yeni kötü amaçlı yazılımları, DoS - DDoS saldırılarını veya sıfırıncı gün açıklarını tespit etmek için ağ trafiğini analiz eder.

WIPS (Wireless Intrusion Prevention System - Kablosuz İzinsiz Giriş Önleme Sistemi)

  • Bu tür IPS'ler, bir Wi-Fi ağını yetkisiz erişime karşı tarar ve yetkisiz cihazları ağdan atar.

IPS Metotları

IPS'lerin, IDS'ler gibi; tehditleri belirlemek için kullandığı üç adet metot vardır.

Signature-based Method (İmza Tabanlı Metot)

  • IDS'te bulunan metot ile aynı işi yapar ancak buna, 'önleme' faaliyeti de dahildir. İmza tabanlı metot da ikiye ayrılır. Bu iki metodun ne olduklarını isimlerinden kapabilirsiniz; ekstra bir anlatıma gerek duymuyoruz.
    • Exploit-oriented Signatures (Açıktan Yararlanmaya Yönelik İmzalar)
    • Vulnerability-facing Signatures (Güvenlik Açığına Yönelik İmzalar)

Anomaly-based Method (Anomali Tabanlı Metot)

  • IDS'te bulunan metot ile aynı işi yapar ancak buna, 'önleme' faaliyeti de dahildir. Bu noktada, az önce bahsettiğimiz 'yanlış pozitifler' ortaya çıkabilir.

Policy-based Method (Politika Tabanlı Metot)

  • İmza tabanlı veya anomali tabanlı metotlardan biraz daha az yaygındır. Bu metot, kuruluş tarafından tanımlanan güvenlik ilkelerini/prosedürleri/politikaları kullanır ve bu politikaları ihlal eden faaliyetleri engeller. Dolayısıyla bu, bir yöneticinin güvenlik politikalarını ayarlamasını ve yapılandırmasını gerektirir. Yönetici, bu yapılandırma esnasında bahsi geçen IPS sisteminin; saldırganları 'honeypot (bal küpü)' dediğimiz tuzak sunuculara çekebilmesini sağlayabilir.

Yayınlanma Tarihi: 2022-09-26 18:51:27

Son Düzenleme Tarihi: 2022-09-30 14:18:19