IPS ve IDS Nedir? Nasıl Çalışır?

IDS, ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti için kullanılan sistemlere verilen addır.

IPS IDS sistemleri

 

Intrusion Detection Systems kelimelerinin kısaltması olarak kullanılır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır. 

IPS ise ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile birlikte önlenmesi için kullanılan güvenlik sistemleridir. Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.

Kısaca tanımlamak gerekirse IDS ( Intrusion Detection System) saldırıları tespit etmeyi amaçlarken IPS (Intrusion Prevention System) sistemleri saldırıyı durdurma, önleme üzerine kurgulanmıştır.

Özellikle de son yıllarda artan gelişmiş siber saldırılara karşı yeni nesil Firewall cihazları ile bütünleşik olarak kullanılan IPS ve IDS sistemleri ciddi zararlara yol açan saldırıların tespiti, yakalanması ve önlenmesi konularında doğru konfigüre edildiğinde önemli bir rol oynamaktadır. IDS derinlemesine paket analizinde saldırıyı tespit ederek loglama işlevi yürütürken, IPS sistemleri saldırıları öğrenerek veya kural listesi üzerinden tespit ederek engellemektedir.

Saldırı tespit ve engelleme sistemleri, güvenlik analistleri veya uzmanları için tasarlanmış yazılımsal veya donanımsal olarak üretilen güvenlik sistemleridir.

Saldırı tespit ve önleme sistemleri olarak karşımıza gelen IPS ve IDS ürünleri bir arada kullanılırsa Intrusion Detection and Prevention Systems yani IDPS olarak tanımlama yapılır. Gelişmiş sistemlerde IPS ve IDS sistemleri bütünleşik olarak kullanılmaktadır.

Firewall cihazları paketlerin geçmesini kısıtlayabildikleri halde, bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendilerini yeniden programlama yeteneğine sahip değildirler. Bu durumu ortadan kaldırmak için genel olarak IPS ve IDS özellikleri ile birlikte gelirler. Intrusion Detection Sistem (IDS) teknolojisi sayesinde hem korumak istediğiniz kurum ağına saldırı gerçekleştirildiğini anlayabilir, hem de Intrusion Prevention Systems (IPS) sistemleri sayesinde saldırıyı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.

İnternet teknolojileri, iş süreçlerimizin internet ağına dahil olması, CRM ve benzeri birçok uygulamanın ve Cloud gibi sistemlerin yaygınlaşması ile birlikte ağ bileşenlerimiz çok daha karmaşık bir hale gelmiştir. Doğal olarak gelişen bu teknoloji ağı ile dışarıya açık birçok bağlantımız ve açık tutmak zorunda kaldığımız portlarımızın güvenliğini sağlamak da zorlaşmaktadır.

Güvenlik tarafında Firewall cihazları ise tek başlarına ağ trafiğini derinlemesine analiz edemedikleri için ağınızı temiz tutma konusunda zayıf kalmaya başlamıştır. Bütünleşik güvenlik sistemleri olarak karşımıza gelen yeni nesil Firewall cihazları IPS ve IDS özellikleri ile ağ trafiğini analiz edebilme kabiliyetine kavuşmuştur.

IPS ve IDS sistemleri saldırı tespiti veya analizinde temelde iki tür çalışma mantığına sahiptirler. Birincisi imza tabanlı çalışma mantığı, ikincisi ise kural tabanlı çalışma mantığıdır. 

Saldırı tespit, analiz ve engelleme sistemleri genel olarak aşağıdaki özelliklere sahiptirler;

  1. Güvenlik yöneticilerine saldırı anında uyarı göndermek
  2. Kötü amaçlı kodların tespiti
  3. Kötü amaçlı bağlantı kaynaklarının kesilmesi
  4. Zararlı paketlerin bırakılması ve sıfırlanması
  5. CRC hatalarının düzeltilmesi
  6. Bir yazılım veya kullanıcıdan kaynaklanan saldırıların tespiti
  7. Savunmayı güçlendirmek ve iyileştirmek için saldırı kalıplarının kayıt edilmesi
  8. Adli bilişim uzmanları için adli kayıtların tutulması
  9. Veri bütünlüğünün ve erişilebilirliğinin sağlanması
  10. Güvenlikle beraber gizliliğin sağlanması

Saldırı tespit ve engelleme sistemleri (IPS ve IDS) nasıl çalışır ?

IDS hatalı kullanım tespiti ve anormallik denetleme işlemleri için kullanır. Ağınızda oluşabilecek anormallikler tespit edilerek (bilinen tehditler) anormal durum tespit edilir. Ağ trafiği içerisindeki paketler izlenir ve bilinen kurallar dahilinde sınıflandırılarak anormallik veya doğru trafik olarak sınıflandırma yapılır. Yeni nesil sistemlerde bu durum sürekli öğrenen bir yapıya kavuşmuştur.

İmza Tabanlı Sistemler ise IDS ağ trafiği içerisindeki paketleri kendi kural listesi ile karşılaştırılır. Bu sayede mevcut kural listesinin dışındaki bir trafik için alarm üretilmektedir. Eğer IDS güvenlik sistemleri doğru bir şekilde konfigüre edilirse False Positive bakımından az, False Negative durumları için maksimum uyarıyı verir.

IDS güvenlik sistemleri aşağıdaki araçları kullanmaktadır.

  1. Network Sensor
  2. Server Sensor

Network sensörleri ağ üzerindeki sensörlerimizdir. Ağ trafiğimiz bu sensörler sayesinde dinlemeye alınarak kayıt edilir. Kötü amaçlı paketler ve bağlantılar bu sensörlerle tespit edilerek bloke edilir. Yalnızca kural listesine göre hareket eder ve bu listede bulunmayan ağ trafiği geçişine izin verilmez.

Server sensörleri ise ana bilgisayarımız üzerindeki sensörlerdir. Sunucu üzerinde konumlandırılan bu sensörler yalnızca sunucunun trafiğini izleme amaçlıdır. Sunucuya gelen trafik üzerindeki yetkisiz işlemleri veya zararlı aktivitelerin tespiti yapılarak engelleme yapılır. Bu sensörler Network sensörleri ile aynı veritabanını kullanmaktadır.

IPS güvenlik ürünleri genel olarak web geçitlerine konumlandırılarak trafiği bölmeden çalışırlar. Gelen ve giden ağ trafiği üzerindeki tüm paketlerin içeriğini okuyarak hangi paketin zararlı olduğu veya zararsız olduğunu tespit edebilirler. Donanım tabanlı IPS ürünlerinin en önemli özelliği ise sistemi yavaşlatmadan çalışabilmeleridir. Bu işlev sırasında üretici firmanın yeni nesil saldırılara karşı geliştirdiği veritabanını indirerek kendilerini güncel halde tutarlar. IDS ürünlerine ek olarak zararlı trafiğin ağ içerisine girmesini engelleme yaparak tam bir koruma sağlarlar.

IDS ve IPS Sistemleri Firewall Cihazları İle Birlikte Kullanılmalıdır !

Bu sayede ortaya çıkabilecek performans sorunlarının önüne geçilir ve verimli çalışarak başarılı sonuçlar verebilir. Olası bir siber saldırı, ihlal ve tehditlerin tespiti için ağda gerçekleşen aktivitelerin izlenmesi ve trafiğin analiz edilmesini sağlayan bu ürünler yeni nesil Firewall Cihazları ile birlikte kullanılmaktadır. Günümüzde ağların kompleks bir yapıya sahip olması, internet başta olmak üzere diğer ağlara birçok erişim noktası ile bağlı olması, siber saldırganların işlerini kolaylaştırmaktadır. Her geçen gün teknolojinin gelişimi ile artan ve gelişen saldırılara karşı karmaşık ağ sistemlerini önlemek zorlu bir hale gelmiştir. Artık şifreleme veya tek başında bir güvenlik duvarı ile verilerin korunması ve bilgi güvenliğinin sağlanması imkansız bir hale gelmiştir. Bugünkü teknoloji ve siber saldırılar göze alındığın da ağ trafiğinin devamlı olarak izlenmesi saldırı girişimlerinin gerçek zamanlı olarak tespitini zorunlu kılmaktadır.

Teknobil Telekom