Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Atak Tespit Sistemleri
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Atak Tespit Sistemleri

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Atak Tespit Sistemleri
    Gönderim Zamanı: 08-04-2010 Saat 00:03

Atak Tesbit Sistemleri, diğer adı ile IDS'ler, güvenlik uzmanının araçları içindeki en önemli bileşen haline gelmektedir. Buna rağmen, bir çok güvenlik uzmanı hala IDS'lerin ne olduğu, ne iş yaptıkları, nasıl kullanıldıkları ya da neden ihtiyacımız olduğu hakkında bilgi sahibi değildir. Bu makalede, IDS'lerin ne olduğu, fonksiyonlarının neler olduğu ve farklı IDS çalıştırma metotlarını da içerecek şekilde, IDS'lerin tipleri ve IDS'ler ile ilgili bir ön bilgi bulabileceksiniz.

IDS Genel

Özetlemek gerekirse, IDS'ler, isimlerinden de anlaşılacağı gibi; muhtemel atakları tesbit eden araçlardır. Daha da açmak gerekirse, IDS araçları, bilgisayar saldırılarını ve/veya suiistimallerini tesbit etmek ve tesbit üzerine doğru kişiyi ikaz etmek amaçlı sistemlerdir. IDS yüklü bir network, bir evdeki hırsız alarmı sistemi ile aynı amaca sahiptir. Birçok değişik metot ile, her denetleme sonucunda saldırgan/hırsız tesbit edilirse durumu bildiren değişik tipte ikazlar yapılır. Bununla birlikte IDS sistemleri, network'den giden ve network'e gelen bilgilerin regule edilmesi amacıyla firewall sistemleri ile birlikte kurulmuş olabilir, iki sistemin görevi aynı olarak algılanmamalıdır. Bir önceki örnekten yola çıkılırsa, firewall, evin önünde durmakta olan güvenlik görevlisine benzetilebilir. IDS araçları network'ün saldırı altında ya da network'e sızma olduğunu tesbit edip etmediğine bakmadan Firewall araçları atakları engellemeye teşebbüs edecektir. IDS araçları bu sebeple güvenlik sistemini tamamlayan önemli parçalardan biridir. Güvenliği tamamen garanti etmezler, ancak güvenlik politikaları, zayıflık tesbitleri, veri şifreleme, kullanıcı yetkilendirmeleri ve firewall'lar ile birlikte kullanıldıklarında, yüksek network emniyetini sağlayabilirler.

IDS'ler 3 ilgili güvenlik fonksiyonu sunmaktadır: izleme, tesbit ve kurum içi ya da dışı yetkisiz ataklara cevap. Eğer bir durum, alarm olarak tesbit edilmiş ise, IDS'ler kati olarak tanımlanmış durumlar için politikalar kullanırlar. Başka bir ifade ile, eğer olağandışı bir durumun güvenlik hadisesi oluşturduğu düşünülüyorsa ve bu olay tesbit edilmişse ikaz verilecektir. Bazı IDS sistemleri dışa alarm gönderim özelliğine de sahiptir, bundan dolayı IDS'in yöneticisi bir form, email ya da SNMP trap aracılığı ile bir muhtemel güvenlik hadisesinin raporunu/ikazını alacaktır. Bir çok IDS sistemi sadece ilgili ikaz vermek üzere o olağan dışı güvenlik hadisesini tanımakla kalmaz, ayrıca duruma otomatik olarak cevap verir. Bazı cevaplar kullanıcıyı log-off yapmayı, kullanıcı hesabını kapatmayı ve script'leri kullanım dışı bırakmayı içerebilir.

Neden IDS'e İhtiyaç Duyarız?

Networkler üzerinde gerçekleşen güvenlik hadiselerinin çoğu (Bir çok tahmine göre %85 e kadar) network'ün içinden gelmektedir. Bu tip ataklar yetkili kullanıcılardan kaynaklanıyor olabilir ki bu kullanıcılarda hayal kırıklığına uğramış şirket personeli olabilmektedir. Dışarıdan gelen notlarda genelde bir DoS saldırısı ya da network altyapısını zorlama raporları görünmektedir. IDS sistemleri sadece proaktif anlamda tesbit ve içerden ya da dışarıdan gelen tehlikelere karşı verilen cevapları barındırır. IDS'ler, “ bir network firewall sisteminin mantıksal tamamlayıcısı” anlamında güvenlik altyapısının önemli ve gerekli elemanlarıdır. Basit bir ifade ile, IDS araçları networklerin tamamen denetimine ve, durumlar karşısında güvenlik hadisesinin kendisi ile durumun kaynağına kadar uzanan bir açıklama getirecek şekilde bilgilendirme sağlayan hareketlerin yapılmasına olanak tanıyan araçlardır.

Araştırmalar göstermektedir ki neredeyse tüm büyük firmalar ve orta ölçekli kuruluşlar IDS sistemlerinden herhangi birini sistemlerine kurmaktadır. Şubat 2000'de Amazon.com ve E-bay gibi on-line satış ve e-ticaret sitelerine ( ve diğerlerine de) karşı yapılan DoS saldırıları etkili bir IDS sitemi gereksinimi için örnek teşkil etmiştir. Bununla birlikte, çok açıktır ki güvenlik hadiselerinin yoğunlaşması Internet üzerinde bağımsız bir oluşumun, savunma hattı anlamında herhangi bir çeşit IDS sistemine sahip olmasını gerektirmektedir. Network saldırı ve sızmaları finansal, politik, askeri ya da kişisel sebepler tarafından motive edilebilir, bu sebeple hiçbir kurum dokunulmaz değildir. Gerçekçi olmak gerekirse, bir network'e sahip iseniz, potansiyel olarak hedefsiniz ve herhangi çeşit bir IDS sistemini kurmanız gerekmektedir.

Atak Tesbiti Nedir?

Daha önceden ifade edildiği gibi, atak tesbiti, network ya da bilgisayarların, giriş, aktivite veya dosya modifikasyonu gibi yetkisiz işlemler için izlenmesi sürecidir. IDS ayrıca, eğer sistem DoS gibi saldırılar tarafından hedef haline gelmiş ise, tesbit işlemi vasıtası ile network trafiğini izlemek içinde kullanılabilir. Atak tesbitinin 2 temel tipi bulunmaktadır: host-tabanlı ve network-tabanlı. Her biri verilerin güvenliği ve izlenmesi ile ilgili farklı yaklaşımlar sunar ve her ikisinin de avantaj ve dezavantajları mevcuttur. Kısaca, network tabanlı IDS'ler incelenmiş dataları bilgisayarlar arasında değiştirirken, host-tabanlı IDS'ler verileri ayrı bir bilgisayarda inceler, tutar ve host şeklinde sunar.

Host-Tabanlı IDS (HIDS)

Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal olarak veri taşıyan hostlardan verileri toplar ve analiz ederler. Bu veriler gönderilecek bilgisayar için toplandığında, lokal olarak ve/veya ayrı bir analiz bilgisayarında analiz edilirler. Host-tabanlı programlara örnek olarak sistem üzerinde çalışan ve işletim sistemi ya da uygulamaların denetleme raporlarını toplayan yazılımlar verilebilir.

 
Bu programlar sistemlere sızan ve suiistimal edenlerin tesbiti için oldukça kullanışlıdır.Kendi güvenli network sistemleri tarafında bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça yakın durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir aktivite girişiminde bulunursa, host-tabanlı sistemler genellikle en uygun olan veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak, host-tabanlı sistemler yetkisiz dosya modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise host-tabanlı sistemler oldukça hantaldır.Büyük networkler deki binlerce çeşit muhtemel bitiş noktasından, her ayrı makineden her ayrı bilgisayar için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir.
 
Buna ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri toplamayı pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadığı için kullanılmaz hale gelecektir. Uygun host-tabanlı IDS sistem uygulamaları, Windows NT/2000 Güvenlik Durum Loglarını, RDMS denetleme kaynaklarını, Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarını kendi ham formlarında ya da Solaris'in BSM'lerinde olduğu gibi kendi güvenli formlarında tutarlar; RealSecure, ITA, Squire, ve Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde az bulunmaktadır.

Network-Tabanlı IDS (NIDS)

Özel networkler üzerinde gerçekleşen aktiviteleri izleme işlemine karşı, Network-tabanlı IDS sistemleri gerçek network dışına gidip gelen veri paketlerini analiz etmektedir. Bu paketler incelenir ve bazı zamanlarda, iyi ya da kötü niyetli olarak tiplerinin belirlenmesi amacı ile karşılaştırılırlar.

Çünkü IDS'ler bir tek host'tan ziyade tüm network'ü izlemekle sorumludur, Network-tabanlı IDS sistemleri, host-tabanlı IDS'lere göre daha fazla paylaştırılmıştır. Yazılım, ya da bazı durumlarda cihaz olarak, network'e bağı bir yada birkaç sistem içinde konumlanır ve, network paketleri gibi verileri analiz etmek için kullanılır.Bilgisayar tarafında bulunan orijinal bilgileri analiz etmek yerine, network-tabanlı IDS sistemleri, network dışına gidip gelen verileri TCP/IP ya da diğer protokollerden çekmek için paket dinleme ( sniffing) benzeri bir teknik kullanırlar. Bilgisayarlar arası bu tip bir gözetim bağlantısı, network tabanlı IDS sistemlerinin güvenilir dış networklerden gelebilecek giriş isteklerinin denetlenmesinde başarılı olmasını sağlamaktadır. Genel anlamda network-tabanlı sistemler aşağıda belirtilen aktiviteleri tesbit etmekte en iyi yöntemdir:

Yetkilendirilmemiş Yabancı Girişler: Yetkilendirilmemiş bir kullanıcı başarılı olarak log-in olur ya da buna teşebbüs ederse, bunları izlemenin en iyi yöntemi host_tabanlı IDS'lerdir. Ancak, yetkilendirilmemiş kullanıcıyı log-in olmadan önce tesbit etmek için network-tabanlı IDS'ler en iyi yoldur.

Bandwidth çalınması/servisin engellenmesi: Bu ataklar network dışından gelen ve network kaynaklarını suiistimal etmek ya da aşırı yüklemek amacı ile yapılır. Bu ataklar paketler vasıtası ile taşındığı/başlatıldığı için, ataklar hakkında haberdar olmanın en iyi yolu network-tabanlı IDS'lerdir.

HIDS ve NIDS Kombine Kullanımı

Belirli olarak birbirinden ayrılmış 2 tip IDS sistemi bulunmakla birlikte, biri diğerini tamamlamaktadır.Host-tabanlı network mimarilerine temsilci ( ajan)-tabanlı IDS'ler denir ve bunun anlamı ise; yazılımın temsilcisi her hostta konumlanır ve sistem tarafından yönetilir demektir. Buna ilaveten, çok etkili host-tabanlı IDS sistemleri, güvenlik yönetiminin esnekliğini sağlamak ve için gerçek zamanlı ve planlı olarak sistem denetleme izlerini toplamak ve izlemek yolu ile CPU yararlandırılmasını ve network yoğunluğunu dağıtma kapasitesine sahiptirler.

 
Tam ve doğru IDS sistemlerinde bu, tek bir merkezden yönetim, sistemlerin host-tabanlı kısımlarında benzer davranışlı alarm ve bilgilendirmelerin filtrelenmesi gibi avantajlar sağlamaktadır. Bunun yapılması, her iki tipte IDS kullanarak kötüye kullanımların idaresi ve karşılık verilmesini sağlamaktadır. Bu demektir ki, hali hazırda network sistemlerinde bulunan güvenlik stratejilerini arttırmak amacıyla IDS sistemleri geliştiren organizasyonlar, asıl olarak IDS'lerin host-tabanlı olması gerekliliğine odaklanmışlardır. Buna rağmen, network IDS'ler kendilerine has meziyetlere sahiptir ve kesinlikle gerçek anlamda bir IDS çözümü ile birlikte kullanılmalıdırlar. Tarihsel olarak veri haberleşmesi teknolojisi ile birlikte uygulama yapmak için gelişim yetenekleri yoktur. Genellikle NIDS'lerin çoğu, switch networklerde, 100 Mbps üstünde hıza sahip hızlı networklerde ve şifrelenmiş networklerde kötü performans göstermektedir. Ayrıca, bazı yerlerde güvenlik hadiselerinin % 80-85'i organizasyon içinden kaynaklanmaktadır. Bu nedenle, IDS sistemleri baskın olarak host-tabanlı bileşenlere itimat etmelidir, fakat savunmayı sağlamak için daima NIDS kullanılmalıdır.

Kısaca bilgisayarların kötü niyetli kullanımının tamamının izlenmesi, cevaplanması ve tesbitinin temeli olacak sağlam ve güvenilir bir güvenlik ortamı yaratmak için, hem network-tabanlı hem de host-tabalı IDS sistemlerinin ikisine birden ihtiyaç vardır.

IDS Teknikleri

Şu ana kadar temel 2 tip IDS sistemini ve neden birlikte kullanılmaları gerektiğini inceledik, işlerini yaparken nasıl çalıştıklarını da araştırabiliriz. Saldırganların tesbiti için, her 2 tip IDS' de de 4 temel tesbit tekniği mevcuttur: anormallik tesbiti, kötüye kullanım tesbiti (imza tesbiti), hedef izlenmesi ve gizlilik araştırması.

Anormallik Tesbiti

Anormal davranış paternlerinin ortaya çıkarılması için dizayn edilmiş IDS sistemleri, normal kullanım paternlerinin ana hatları ve normaline göre çok geniş sapmalar yapan ve muhtemel saldırı olan her şeyi tanımlamaktadır. Anormalliklerin çok çeşitlilik gösterebileceği hesaba katılmalıdır, fakat normal olarak, herhangi bir hadise, frekansın istatistik normları aşacak şekillerden elde edilen 2 standart sapmadan büyük ya da küçük olması durumunda oluşur. Buna ören vermek gerekirse, eğer kullanıcı, normal olarak günde 1 2 kez yapması gerekirken günde 20 kez makineye log on/log off oluyorsa. Ayrıca, eğer bilgisayar gece saat 02:00 da kullanılmışsa normal olarak iş saatleri dışında kimseye giriş izni verilmemişse bu durum kuşkulu bir durumun artışı anlamına gelmektedir. Başka bir seviyede, anormallik tesbiti, günlük program uygulamaları profilleri gibi kullanıcı paternlerini araştırabilir. Eğer grafik bölümündeki kullanıcı aniden muhasebe programına giriş yapar ya da kod derlerse, sistem, yöneticisini anında ikaz edebilir.

Kötüye Kullanım Yada İmza Tesbiti

Çoğunlukla imza tesbiti olarak isimlendirilen bu metot, sonradan oluşabilecek benzer atakları önlemek ve daha önceden bildirmek için özel olarak bilinen yetkisiz davranışlara ait paternleri kullanır. Bu özel paternlere imza adı verilmektedir. Host-tabanlı IDS'ler için imza örneği olarak "3 yanlış login" verilebilir. Network-tabanlı IDS'ler için imza ise network paketlerinin bir kısmı ile eşleşen basit bir patern olabilir. Örnek olarak, paket içerik imzaları ve/veya header içerik imzaları, uygunsuz FTP girişimleri gibi yetkisiz aksiyonları bildirebilir. İmza olayı gerçek yetkisiz erişim isteklerini belirtmez (örneğin, bu zararsız bir hata olabilir) fakat her ikazı ciddiye almak iyi bir fikirdir.İmzanın sağlamlığı ve ciddiliğine bağlı olarak, tetiklemeler, bazı alarmlar, cevaplar ya da bilgilendirmeler doğru otoriteye gönderilmelidir.

Hedef İzleme

Bu sistemler aktif olarak anormallik ya da kötüye kullanımları aramaz, bunun yerine açıkça belirtilmiş ya da modifiye edilmiş dosyalara bakar. Bu, düzeltici işlemleri yapabilmek bakımından yetkisiz bir girişim sonrasında durumu ortaya çıkarmak için dizayn edilmiş oldukça düzeltici bir kontroldür. Dosyaların gizlice editlenmesini kontrol için tek yol otomatik bir kriptografi hash sistemi programlamak ve bunu belirli aralıklarla yenisi ile karşılaştırmaktır. Bu tip bir sistemin uygulanması kolaydır çünkü yönetici tarafından sabit izleme gerektirmez. Güvenilirlik Hash Kontrolü dilediğiniz aralıklarla tüm dosyalara yada belirteceğiniz görevler/kritik sistem dosyaları üzerinde yapılmak için programlanabilir.

Gizlilik Araştırması

Bu teknik, görevini uzun bir periyoda yayan saldırganları tesbit etmek için geliştirilmiştir. Örneğin saldırgan sistem açıklarını ve açık portları 2 aylık bir periyotta tarayacaktır ve 2 ay daha bekledikten sonra gerçek saldırısını yapacaktır. Gizlilik Araştırması tüm sistemden geniş çapta veri toplar ve uzun periyotlarla gerçekleştirilecek saldırı metotları için kontrol eder. Geniş alan örnekleri alır ve ilişkili herhangi bir atak keşfetmeye çalışır.Sonucunda bu metot, şüpheli aktiviteleri ortaya çıkarmak için anormallik tesbiti ve imza tesbiti ile birlikte kombine çalışır.

Sonuç

Güvenlik hadiseleri gün geçtikçe artmaktadır. IDS araçları her geçen gün daha önemli hale gelmektedir. Cephanelik etrafında dolaşırlar, firewalllar gibi diğer güvenlik araçları ile birlikte çalışırlar ve tüm network aktivitelerinin tam anlamı ile yönetimine olanak tanırlar. Bu bilgi akışı, doğası ve kaynaklarından ötürü network suiistimallerinin tesbitine yardımcı olabilir. Beklendiği gibi, IDS araçlarının satışı artarak devam etmekte ve elde edilen gelirler 1 milyar Euro'ya ulaşmıştır. Bu IDS araçları, normal akış karşısındaki sızmaların tesbitine yardımcı olmak için bir çok farklı teknikte kullanılmaktadır. Sistem anormallik tesbitlerini, suiistimal tesbitlerini, hedef izlemesini yada gizlilik araştırmasını kullanır, genellikle 1 yada 2 kategoride değerlendirilir: network-tabanlı ve host-tabanlı.

 
Her kategori, her bağımsız hedef ortamına karşı ölçülmüş dayanıklılık ve zayıflıklara sahiptir. İdeal olarak, en iyi IDS aracı, bir yönetim paneli altında her iki kategorinin kombine kullanılması yaklaşımıdır. Bu yolla, kullanıcı ayrıntılı bir alan kullanır ve tehlikelere karşı mümkün olduğunca güvenli olduğuna emin olur. Seçim ne olursa olsun, host-tabanlı ya da network-tabanlı olsun, veyahut da ikisinin birlikte kullanımı olsun, çok açıktır ki güvenlik yönetiminde IDS araçları kullanmak çok önemli ve gereklidir.
 
Saygılar.


Düzenleyen megabros - 08-04-2010 Saat 00:03
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.160 Saniyede Yüklendi.