Aradığınız içerik sitemizde mevcut durumdadır
buradan sitemize dönebilirsiniz !
Forum Başlıklarına gitmek için tıklayınız
Saldırı Tespit Sistemleri
Saldırı Tespit Sistemleri ( Intrusion Detection Systems )
Günümüzde artan bilgisayar korsanlığı ve internet üzerinden
gelen saldırılar, savunma sistemlerinin de gelişmesinde büyük bir rol
oynamaktadır. Savunma sistemlerini ise doğru ve bilinçli bir şekilde
kullanmamız gerekmektedir. Uzman olmayan kişiler tarafından kullanılan
savunma sistemleri, sistemize zararlı aktivitelerin yapılmasına sebep
olmaktadır. Savunma stratejimizi belirlemek için, saldırgan profilleri
ve saldırı çeşitlerini tespit etmemiz gerekmektedir. Burada Saldırı
Tespit Sistemleri (STS) devreye girmektedir. Saldırı Tespit
Sistemleri, kendisine ulaşan veri paketlerini inceleyip, belirlenmiş
izler (signature) aracılığı ile saldırı ve bilgi toplama
aktivitelerinin kayıtlarını tutmamızı sağlar. Bu yazımızda Saldırı
Tespit Sistemlerini ayrıntılı bir şekilde inceleyip, kullanım
şekilleri ve yararlarını tartışacağız.
Saldırı Tespit Sistemleri, bizim için çalışan özel
yazılımlardır. Bu yazılım sensör ve yönetim arabirimi olarak iki
parçadan oluşur. Genel olarak incelediğimizde, Saldırı Tespit
Sistemleri ağdaki paketlerin hedefini önemsemeden hepsini incelemek
için ağ bağlantı noktasından alan ve iz veritabanı dediğimiz listeye
göre eleme yaparak, saldırı aktivitelerini kayıt eden yazılımlar
olarak tanımlayabiliriz. Tanıma dikkat edersek, bir ağ bağlantı
noktası ve oradan alınan veri paketlerinden bahsetmekteyiz.Saldırı
Tespit Sistemleri, sadece erişimi olan veri paketlerini
inceleyebilmektedir. Bu yüzden, Saldırı Tespit Sistemlerinin konumu ve
ağımızdaki bağlantı noktası çok önemlidir. Eğer yapmak istediğimiz
analizin, tüm ağı kapamasını istiyorsak, buna dikkat etmeliyiz.
Saldırı Tespit Sistemleri, küçük ve orta boy ağlarda
ateşduvarının (firewall) önüne ve arkasına olmak üzere iki noktada
konumlandırılmaktadır. Büyük ağlarda ise, sistemin yapısına göre,
gerek görülen her noktaya, Saldırı Tespit Sistemi sensörleri
konulmaktadır. Büyük ağların, küçük ağ yapılarından oluştuğunu
bildiğimize göre, yazımızda küçük ağlarda Saldırı Tespit Sistemlerinin
konumlarını incelememiz bir problem oluşturmaz.
Ateşduvarının önünde, yönlendiricimizin arkasında bir Saldırı
Tespit Sistemini hat üzerine (inline) bağlamamız kesinlikle
gerekmektedir. Bu noktada varolan yapıyı bozmamak, Saldırı Tespit
Sisteminin varlığının fark edilmesini ve saldırıya maruz kalmasını
engellemek için, Saldırı Tespit Sistemlerini iki portlu bir switch
haline dönüştürmeliyiz. Yazımızın konusu olmadığı için, iki ethernet
kartlı bir bilgisayarın nasıl switch haline getirileceğini
anlatmayacağız. Saldırı Tespit Sistemimizi konumlandırdığımıza göre,
ondan elde edebileceğimiz faydaların neler olduğuna bir göz atalım.
Ateşduvarımızın önünde konumlandırılması dolayısı ile, hiçbir
filtrelemeye maruz kalmadan tüm paketleri inceleyebilen sistemimiz,
internet ortamında şirketimizin ağına gelen tüm saldırıları ve
saldırgan profillerini rahatça ortaya koyabilmektedir. Saldırı
tiplerine ve saldırıların hedeflerine bakarak, önlemler almamız
kolaylaşmaktadır. Örnek olarak, e-posta sunucumuzu hedef alan
saldırılar gözlemlediğimizde, sunucumuz üzerinde başarıya ulaşmış bir
saldırı izi olup olmadığını ve çalışan tüm servislerin yamalarının
yapılıp yapılmadığını kontrol edebiliriz. Saldırganların kullandığı
sistemlerin IP adreslerinin de kayıtları tutulduğu için, ya
saldırganları yakalayabiliriz ya da daha önce saldırıya uğramış başka
bir kurbanı uyarabiliriz. İkinci durumla karşılaşma olasılığımız daha
yüksektir, çünkü saldırganlar genelde kendilerini gizlemek için daha
önce ele geçirdikleri sistemleri kullanırlar.
Ateşduvarının arkasında, yerel ağımızın içinde bulunan Saldırı
Tespit Sistemini konumlandırmak, ilki kadar kolay olmamaktadır. Yerel
ağımızda çok fazla bağlantı olması ve günümüzde ağlarda switch
kullanılması nedeniyle biraz ön çalışma yapmamıza sebep olmaktadır.
Yaygın olarak kullanılan Cisco Systems’in ağ cihazları işimizi çok
fazla kolaylaştırmaktadır. İzleme portu dediğimiz bir özellik
sayesinde, Cisco switch’lerde seçtiğimiz bir porta, tüm ağ trafiğinin
bir kopyasını gönderebilmekteyiz. Ancak ağımızdaki switch’in teknik
özelliklerini inceleyip, monitör özelliğini aktif hale getirdiğimiz
zaman, problem yaratıp yaratmayacağına karar vermeliyiz. Bu
bilgilendirmeden sonra, Saldırı Tespit Sistemimizi kolayca
konumlandırıp, işimize geri odaklanabiliriz. İçerdeki Saldırı Tespit
Sistemi sayesinde, ağımızdaki kullanıcılar arasında saldırgan olup
olmadığını, ağımızdaki sistemlerde trojan/worm benzeri uygulamaların
olup olmadığını ve ateşduvarımızın kurallarının doğruluğunu
öğrenebiliriz. Sonuçta, yine yönetim arabirimde inceleme yapılıp,
gerekli düzenlemeleri yapmalıyız.
Şu ana kadar çok güzel özelliklerden ve hep Saldırı Tespit
Sistemlerinin iyi yönlerinden bahsettik. Ancak Saldırı Tespit
Sistemlerinin dünyası bu kadar toz pembe değildir. Günümüzde Saldırı
Tespit Sistemlerinin problemleri, saldırı olmayan aktiviteleri bazen
saldırı olarak algılaması (false-negative) ve saldırı olan
aktiviteleri ise bazen saldırı olarak algılamaması (false-positive)
olayıdır. Bu yüzden, Saldırı Tespit Sistemlerini uygulanmasında insan
faktörü ve bilgi çok önemlidir. Saldırı Tespit Analisti dediğimiz
bilgili kişiler tarafından kayıtların incelenmesi gerekmektedir.
Kayıtların doğruluğu tespit edildikten sonra, harekete geçilip çok
kolay önlem alınabilir. Bazı Saldırı Tespit Sistemleri otomatik olarak
müdahele etmeye olanak sağlamaktadır. Yani, saldırı kaydı sistemde
tespit edilir edilmez, insan faktörü olmadan tepki vermek veya gerekli
cihazlarda konfigurasyon değişikleri yapmaya olanak sağlar. Saldırı
Tespit Sistemlerinin doğruluk yüzdesinin %80’nin üzerine çıkmadığı
durumlarda otomatik müdahelelerin çok doğru olmayacağı kanısındayım.
Bilgi çağında, internete her kurumun bağlı olduğunu
düşündüğümüze, herkesin bir Saldırı Tespit Sistemi oluşturması ve bunu
düzenli olarak takip etmesi gerekmektedir. Bunun bir ihtiyaç ve
ateşduvarı kadar önemli bir uygulama olduğunu tüm firmaların bilmesi
gerekmektedir. Güvenlikte sadece bir uygulama veya cihazın
kullanılması değil, komple bir çözümün uygulamaya geçirilmesi, takip
edilmesi ve sürekli güncellenmesi gerekir. Dökümanimizda, Saldırı
Tespit Sistemlerinin neler olduğunu, sistemimizde nerelere
konumlandırılacaklarına, faydaları kadar yanlışlıklara da sahip
olduğuna değindik.
Hosting Sponsorumuz - Noktahost internet hizmetleri