IDS
IDS, Intrusion Detection System, ağ içerisinde bulunan, saldırı olabilecek tehditleri ve hareketleri tanır. Tanınan tehditler ağ yöneticisine loglanır. Böylece trafikte bulunan tehditler IDS aracılığı ile kolayca tespit edilir. IDS, aynı zamanda derinlemesine paket analizi yapar. Böylece bir sisteme girmeye ya da bir sistemi ele geçirmeye çalışan bir tehdidi veya ağ ya da sistem saldırısı geçekleştirebilecek şüpheli işlemleri erkenden tespit etme aşamasında önemli rol oynar. Tehdit olarak belirlenen paketler işaretlenir.
IDS teknolojisi ağ trafiğini ve trafikteki paketleri takip eder. Kullanılan tespit yöntemi imza veya anormallik bazlı olabilir. Bilinen saldırıları tespit etmek ve önceden tanımlanmış eylemlerle bu tehditlere yanıt vermek için kullanılan belirli kalıplar “imza” olarak adlandırılır. Bir eşleşme olup olmadığını görmek için paket akışları önceden tanımlanmış imzalar ile karşılaştırılır. Bu sayede mevcut kural listesinin dışındaki bir trafik için alarm üretilir. Anormallik tabanlı saldırı tespit sistemlerinde ise hatalı veya anormal bir durum ile karşılaşıldığında bu durumu anormallik olarak sınıflandırır. Anormallik olarak sınıflandırılan davranışın yapısını kontrol etmek için yine belirli imzalar kullanılabilir. IDS sürekli öğrenen ve kendini geliştiren akıllı bir yapıya sahiptir.
IDS teknolojisi iki farklı araç ile çalışır. Bunlar Ağ Sensörü ve Sunucu Sensörü araçlarıdır. Ağ sensörleri ağ trafiğini dinler ve kaydeder. Tehlike durumu arz eden paketler, ağ sensörleri aracılığı ile tespit edilir. Kural listesine uygun olmayan paketler loglanır. Sunucu sensörleri ise sadece sunucuya gelen trafiği takip eder. Sunucu ve ağ sensörleri aynı şekilde çalışır ve aynı veri tabanını kullanır, aralarındaki tek fark takip ettikleri alanlardır.
IPS
IPS, Intrusion Prevention System ise ağ içerisinde bulunan güvenlik ihlallerinin, zararlı hareketlerin veya risk teşkil eden bağlantıların tespit edildikten sonra muhtemel zararın önlenebilmesi için kullanılan bir güvenlik sistemidir. IPS genellikle güvenlik duvarının hemen arkasında veya ağ içerisinde güvenlik duvarıyla birlikte, dış dünya ile iç ağ arasında bulunur. Yani, kaynak ve hedef arasındaki doğrudan iletişim yoluna yerleştirilir. Paketler aktif olarak analiz edilir ve önceden belirlenen eylemler otomatik olarak gerçekleştirilir. Bu sayede ağ için bir analiz katmanı oluşturur.
IPS ürünleri genellikle web geçitlerine konumlandırılır ve trafiği bölmeden çalışır. Gelen ve giden ağ trafiği üzerinde IDS tarafından tespit edilmiş zararlı ve zararsız paketlerin geçişlerini kontrol eder. IDS sayesinde tespit edilen tehditler, IPS ile belirli bir kural listesine bağlı olarak engellenir. Bu olayları sistem yöneticilerine rapor eder. Erişim noktalarının kapatılması ve gelecekteki saldırıları önlemek amacıyla güvenlik duvarının yapılandırılması gibi önleyici eylemlerde bulunur.
IPS çalışma yapısı üçe ayrılır. Ağ Temelli IPS, Kullanıcı Temelli IPS ve Kablosuz Temelli IPS.
- Ağ Temelinde IPS: Ağ üzerindeki trafiği protokol analizi yaparak inceleyen sistemlerdir.
- Kullanıcı Temelinde IPS: Sadece IPS kurulu olan ana bilgisayara karşı gerçekleştirilen saldırıları engellemeyi hedefleyen sistemlerdir.
- Kablosuz Temelinde IPS: Kablosuz ağ trafiğini analiz ederek şüpheli hareketleri tespit eden ve saldırı girişimini engellemeyi hedefleyen sistemlerdir.
IPS teknolojisine ait en önemli özellik ise donanım tabanlı IPS’in sistemi yavaşlatmadan çalışmasıdır. IPS, yüksek verim sağlayarak ağ performansını düşüren saldırılardan kaçınmak için hızlı ve eşzamanlı çalışmalıdır. IPS cihazı, üretici firmasının yeni nesil saldırılara karşı geliştirdiği veritabanını indirerek kendisini saldırılara karşı güncel halde tutar. Tanımlanmamış yeni bir ağ tehdidi çıktığında, güvenlik yaması uygulanmadan önce saldırganların bu güvenlik açığından yararlanmaları için bir fırsat vardır. Bu sebeple IPS, IDS ürünlerine ek olarak zararlı trafiğin ağ içerisine girmesini engelleyerek tam bir koruma sağlar. Bu sayede ortaya çıkabilecek performans sorunlarının önüne geçer ve verimli çalışarak başarılı sonuçlar verir.
IDS vs IPS
IDS bir izleme sistemi, IPS ise bir kontrol sistemidir. IDS, ağ paketlerini değiştiremez, IPS ise paketin içeriğini, IP adresine ve trafiği önleme biçimine göre paketin kaynaktan hedefe teslim edilmesini önler. IPS ve IDS, Firewall cihazları ile bütünleşik olarak kullanılır. Birçok Firewall cihazı trafik içerisindeki paketlerin geçişine kısıtlama getirebilir ancak bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendini yeniden programlayamaz. IPS ve IDS aracılığı ile bu durum ortadan kalkar. IDS teknolojisi sayesinde korumak istenilen ağa saldırı gerçekleştirildiği tespit edilebilir. IPS teknolojisi sayesinde ise saldırıyı yapan kaynağın sisteme erişmesi engellenebilir.
IDS ve IPS yapısı gereği Katman 2 olarak kurulur ancak Katman 7 üzerinde çalışır. Cihaz kurulduktan sonra “Learning” yani öğrenme modunda çalıştırılır. Bu süreçte sistem/güvenlik yöneticisi ile kullanıcılar birlikte hareket ederek, trafik içerisinde belirli periyotlarda uyarı veren tehditlerle ilgili paketin blok veya izinli durumda olması ile ilgili görüşür. Yaklaşık iki üç ay süren çalışmalar sonucunda trafik için imza setleri netleşir. Bu imza setleri yine belirli periyotlarda güncellenerek sistem güvenli tutulmuş olunur. Ayrıca bu cihazlar tıpkı bir HUB gibi, tek kablo ile trafik takibi (IDS) çift kablo ile trafik hakimiyeti (IPS) yaparak kullanılabilir. Böylece basit bir sensör yapısında, trafiğe etkisi olmadan tek bir kablo gibi davranarak sistemin kontrolü kolayca sağlanır. Ek olarak tek cihazın birden çok noktaya bağlanması sağlanabilir ve istenilen noktada konumlandırılabilir.
IDS ve IPS, ağ paketlerini okur ve içerikleri bilinen tehditlerin bulunduğu bir veritabanı ile karşılaştırır. Aralarındaki temel fark, bundan sonra ne olacağıdır. IDS, kendi başlarına işlem yapmayan algılama ve izleme araçlarıdır. IPS, bir paketi kural setine göre kabul eden veya reddeden bir kontrol sistemidir. IDS tespit ettiği olaylara karşı kendi başına aksiyon almaz ancak IPS önceden tanımlanmış olan kural ve aksiyon setlerini baz alarak ağ trafiğinde gelen/giden paketlere müdahale edebilir.
IPS ve IDS, sistemleri ciddi zararlara yol açan saldırıların tespiti, yakalanması ve önlenmesi konularında doğru yapılandırıldığında önemli rol oynar. IPS ve IDS ürünleri bir arada kullanılırsa Intrusion Detection and Prevention Systems yani kısaca IDPS olarak tanımlanır. Gelişmiş sistemlerde IPS ve IDS birleşik olarak IDPS yapısı olarak kullanılır.
Teknolojinin ilerlemesi, yeni uygulamaların sayısının ve kullanımının artması ile birlikte geleneksel Firewall cihazlarının, ağ trafiğini analiz etme ve ağı tehditlerden uzak tutma konusundaki etkisi zayıflamıştır. Bu noktada yeni nesil Firewall cihazları IDS ve IPS teknolojileri ile tümleşik yapıda karşımıza çıkar. Bu sayede Firewall cihazları trafik takip ve yönetiminde çok daha etkili rol oynar.
Saldırı tespit, analiz ve engelleme sistemlerinin avantajlarından bazıları, sistemi yöneten güvenlik yöneticilerine saldırının olduğu anda seviyesine göre uyarı gönderilmesi, kötü amaçlı yazılımların tespit edilmesi ve sisteme zarar vermeden önce bağlantı kaynaklarının kesilmesi, zararlı olduğu tespit edilen paketlerin düşürülmesi, CRC hatalarının düzeltilmesi, yazılım veya kullanıcı kaynaklı olası saldırıların tespit edilmesi ve güvenlik yöneticilerine konuyla ilgili uyarı gönderilmesi ve savunmayı güçlendirebilmek için geçmiş saldırı kalıplarının kayıt altında tutulması avantajları arasındadır.
Ancak IDS ve IPS yapısı, kullanıcı dostu bir yapıyı bozabilme potansiyeline sahiptir. IPS ve IDS, otomatize sistemler oldukları için ne kadar iyi konfigüre edilse de zaman zaman ters sonuçlar üretebilmektedirler. Böyle bir durumda kullanıcı deneyimi olumsuz etkilenmektedir. Bu durumu en aza indirmek ve en yüksek kapasitede güvenliği sağlayabilmek için sistemlerin her ikisinin de en iyi ayarlarla konfigüre edilmesi ve uzun bir test sürecine dahil edilmesi gerekir. Bu sebeple, IDS sonuçların incelenmesi için bir insana veya bir yazılıma ihtiyaç duyar. IPS ise sürekli güncel tutulması gereken, tehditleri ve aksiyon emirlerini içeren veritabanına ihtiyaç duyar.
