Blog » Nedir, Nasıl Yapılır? » IPS ve IDS Nedir? Nasıl Çalışır?
Nedir, Nasıl Yapılır? Teknoloji

IPS ve IDS Nedir? Nasıl Çalışır?

Hosting Fiyatları

Bir internet ağının güvenliği ile ilgili kullanılan birçok araç vardır. Ancak yine de çok sayıda siber saldırıya maruz kalınıyor. Bu internet ağlarına gerçekleştirilen saldırılar birçok şirkete veya kisileri sıkıntılı durumlara sokabiliyor. IPS (Intrusion Prevent System) ve IDS (Intrusion Detection System), siber saldırıları önlemek ve tespit etmek amacıyla geliştirilmiş oldukça güvenilir saldırı önleme ve tespit etme sistemleridir. İsterseniz şimdi “IPS ve IDS Nasıl Çalışır?” sorusunu cevaplayarak bu detaylara odaklanalım.

IPS Nedir?

IPS (Intrusion Prevention System), bir çeşit siber saldırı önleme sistemidir. Genel olarak güvenlik duvarının arkasında oluşturulan bu önleme sistemi, tehlikeli ve güvenilir içerikleri analiz edip ayırt etmek üzerine kurulmuş bir katman sayesinde gerçekleştirilir. TCP sisteminde veri alışverişinin katmanlar halinde gerçekleştiğini biliyoruz. Bu katmanlar içinde veriler paketler halinde taşınırlar. Bu sistem üzerinde oluşturulan bir güvenlik katmanı olan IPS, trafik üzerindeki paketleri analiz eder, kaynak ve hedef arasındaki iletişimi sürekli olarak kontrol eder. Anormal durumlar tespit etmesi halinde iletişimi ve veri akışını keser, bağlantıyı sıfırlar ve ağ yöneticisine saldırı hakkında uyarı gönderir.

Her ne kadar bu güvenlik sistemi analizleri hızlı bir şekilde gerçekleştirse de bazı zararsız verileri de saldırgan olarak nitelendirip bağlantıyı kesebilir, bu da ağ performansını düşürebilir. Bu sebeple IPS sisteminin gerçek zamanlı ve doğru analizler yapması büyük önem arz eder.

IPS Cesitleri Nelerdir?

Network Based Intrusion Prevention (NIPS)

Network bazlı saldırı önleme sistemi NIPS tüm ağ üzerinde meydana gelen şüpheli hareketleri tespit edip önlemek üzerine kullanılan saldırı önlemi sistemidir.

Wireless Intrusion Prevention Systems (WIPS)

Kablosuz ağa saldırı önleme sistemi WIPS, kablosuz ağ protokolü izlenerek şüpheli hareketleri tespit etmek üzere kurulmuş saldırı önleme sistemidir. 

Host Based Intrusion Prevention (HIPS)

Ana makine üzerine yoğunlaşan saldırıları önlemek için kurulmuş bir sistemdir. Temel olarak ana makine koruma altına alınır.

Network Behavior Analysis (NBA)

Normalde ağlar standart bazı davranışlar ile kullanılır. Bu standartların dışındaki hareketler şüphe ile yaklaşılması gereken hareketlerdir. Ağ üzerindeki hareketleri izleyerek, anormal durumların analiz edilmesi ve bu sayede saldırıların önceden tespit edilmesi için kurulmuş bir sistemdir.

IDS Nedir?

IDS (Intrusion Detection System) saldırı tespit sistemi olarak adlandırılan temelde ve bir ağı izleyip güvenlik açıkları ve saldırıları tespit etmek üzere kurgulanmış yazılım veya donanım şeklinde çalışan siber güvenlik sistemidir. IPS sistemi ile kombine bir şekilde veya ayrı olacak şekilde kurgulanabilir. Her iki sistemde güvenlik duvarının arkasında kurgulanmaktadır.

IDS sisteminin bir yazılım veya kişiden kaynaklanan saldırıları tespit etmek, bunları rapor etmek, gelecekte kanıt oluşturacak şekilde kaydetmek, zarar görmüş sistemleri karantinaya almak gibi işlevleri vardır. Bunun yanında mevcut saldırıları ve saldırı modellerini kaydederek gelecekteki saldırıların tespitini kolaylaştırmaya çalışır.

IDS sistemleri saldırıları imza alarmı denilen yöntemle belirlemektedir. Signature (İmza) denilen şey ise saldırıları tespit etmek amacıyla önceden belirlenmiş durumlarla karşılaşıldığında tetiklenen birtakım kurallar dizisidir. Kurgulanan her signatur farklı şekilde davranabilir.

İmza alarmları dört kategoride değerlendirilir. False positive, o üzerindeki normal davranışlar rağmen tetiklenen alarmdır. False negative, olumsuz bir davranış olsa bile tetiklenmeyen alarmdır. True positive, daha önceden belirlenmiş olumsuz davranış karşısında başarılı bir şekilde tetiklenen alarmdır. True negative gerçekte bir saldırı olmadığını belirten alarmdır. 

IDS sistemlerini  bilgisayar ve ağlara yönelik oluşturulabilen iki sensör çeşidi vardır. Network sensörü ağ üzerinde kurgulanarak ağdaki kötü amaçlı bağlantılar ve veri paketlerini tespit edip bloke eder. Server sensör ise sunucu üzerinde konumlandırılır ve sunucunun veri trafiğini izler. sunucu üzerindeki yetkisiz ve zararlı işlemleri tespit ederler. Her iki sensör tipi de aynı veritabanına kullanırlar. Bunun yanında IDS sistemleri algılama çeşidine göre de sınıflandırılabilir.

IDS Çeşitleri Nelerdir?

Anomaly Based IDS

Bir ağ üzerindeki normal çalışma sisteminin dışında gerçekleşen anormal durumları izlemek üzerine kurulmuştur. Önceden belirlenmiş bir davranış modeli olmasa bile sistemde normal olarak değerlendirilmiş hareketler haricindeki olayları anormal diye nitelendirir. Yanlış negatif alarm verme durumu oldukça fazla olsa da tanımlanmamış saldırıları yakalamanın önemli bir yoludur.

Signature Based IDS

İmza bazlı yani daha önceden bilinen ve belirtilmiş kurallar ve davranışlar çerçevesinde çalışan saldırı önleme sistemidir. Olumsuz yanı ise daha önceden belirlenmemiş saldırı modellerini yakalayamamasıdır. 

Protocol Decode Based IDS

RFC’ler telefondan tanımlanan protokol ihlallerini taramak üzere kurulmuş bir sistemdir. Protokollerin iyi tanımlanması durumunda güvenli bir çalışma ortamı sağlarlar.

Pattern Matching Analysis

İnternet bağlantılı noktalarında ki veri akışlarını ve paketlerini inceleyen bir analiz sistemidir. Hedef ve kaynak arasındaki bağlantı noktalarını ilişkilendirerek tarama yapar. Klasik bağlantı noktaları dışında gerçekleşen saldırıları tespit etmekte zorlanabilir.

Heuristic Based Analysis

Sistem kaynaklarını yoğun bir şekilde tüketen Bir analiz modeli olması haricinde sezgisel çalışan bir saldırı önleme sistemidir. İmzanın tetiklenir tetiklenmeyeceğini sezgisel olarak belirler.

IPS ve IDS Sistemi Nasıl Çalışır? Aralarındaki Fark Nedir?

  • IPS saldırılara karşı aksiyon almak üzere kurulmuştur ancak IDS ise sadece tespit etmek üzere çalışmaktadır.
  • Her ikisi de donanımsal veya yazılımsal çalışabilir.
  • Her ikisi de bilinen tehditleri ve davranış modellerini kendi veritabanları ile karşılaştırarak saldırıları tespit etmeye çalışır.
  • IPS kendi başına aksiyona geçer, IDS ise aksiyon alacak kişiye rapor verir. Bu sebeple IDS sistemini sürekli takip eden bir personel ihtiyacı doğar.
  • Her ikisi de bir güvenlik duvarı arkasında konumlanarak çalışır.
IPS ve IDS Sistemi Nasıl Çalışır? Aralarındaki Fark Nedir?

IPS bir kontrol sistemidir kendi veritabanı üzerinde belirlenen kural setlerine göre oluşan saldırıları tespit ettiğinde veri paketlerini reddederek veri alışverişini durdurur. Veritabanın sürekli güncel tutulmasına ihtiyacı vardır.

Her iki sistemde bilinen tehditleri kendi ve veritabanları üzerinde karşılaştırarak bulmaya çalışır. IDS bir saldırı tespit ve monitörize etme sistemidir. Kendi başlarına aksiyon almazlar. Aksiyon almak için başka bir sistem veya bir personele ihtiyaç duyar.

Bu güvenlik ürünleri donanımsal veya yazılımsal olarak çalışmaktadır. Donanım olarak kullanılan ürünler sistemi ve ağları yavaşlatmadan çalışabilmektedir. Bu açıdan avantaj sağlayacak ürünlerdir. 

Bir güvenlik duvarı firewall cihazı arkasında konumlanan IPS ve IDS sistemleri siber saldırıların izlenmesi ve önlenmesi açısından gerçek zamanlı koruma sağlayan profesyonel güvenlik sistemleridir.

Firewall cihazları paketlerin geçişini kısıklı’ya bildikleri halde saldırı anında programlama yeteneğine sahip değildir. IPS ve IDS sistemleri kendi veritabanları ve oluşturdukları sensör ve kontrol sistemleri ile bu saldırıları tespit ettikten sonra aksiyon alabilmek açısından avantaj sağlayan ürünlerdir.

Real time yani gerçek zamanlı izleme ve önleme sağlayan ve iyi kurgulanmış imza sistemleriyle donatılan bu sistemler günümüz siber saldırıları için yüksek true positive ve düşük false positive oranlarıyla  yüksek koruma sağlarlar.

Görüldüğü üzere saldırı modelleri ve yöntemleri çeşitlendikçe Siber güvenlik yöntemleri ve araçları da aynı oranda gelişip çeşitleniyor.  Profesyonel güvenlik sistemleri olan IPS ve IDS sistemleri büyük oranda koruma sağlayan siber güvenlik sistemleridir. Önemli veriler içeren ve yüksek öncelikli bilgileri işleyen bir sisteminiz varsa böyle bir sistem kurmanız kaçınılmaz olmalıdır. 

Domain Sorgulama
guest
0 Yorum
Inline Feedbacks
View all comments