Bu IPS güvenlik takımının elindeki hala NIDS le kullanılan en rahat hissettiren sistemdir. Çünkü bu IPS ler var olan NIDS lerin değişik türleridir, IPS ler için yeni kurallar yazılmıştır ve bunlar çok basittir, sadece yeni tür saldırıları bulmaları istenir. NIDS in iç hattındaki lisans-odaklı sistemin yardımıyla bilinmeyen saldırıları engellemek, NOOP taşınmasını beklemek gibi bazı genel kurallara sahip olmak zorundasınız. Her ne kadar yeni saldırıları durdursa da bu kullanılamaz. NIDS iç hattında kural dışı protokol uygulamasının olması halinde, protokol kaynaklı bilinmeyen saldırıları durdurabilir çünkü kodlarını kırabilir, tabiî ki bunu protokollerin bilgisi ne kadar genişse o sınırlar içinde yapabilir. Her iki sistemde de açık kullanımdaki (IIS, APACHE gibi) belli bazı uygulamaları koruyabilmesi gibi bir dezavantaja sahipler. Eğer siz bu uygulamalar dışında ki bir web server ından yararlanıyorsanız, iç hat NIDS i kötü programlama yada hatalı ayarlar için hiçbir koruma sağlamayacaktır. Bu sistemler genel bir koruma seviyesini destekler, buna rağmen hala korunması zor (AS400, Tandem, mainframes gibi) programları korumakla sistem koruma programları arasında çok büyük bir yere sahiptirler. Bu sistemlerin bir çoğu için bir başka korunma yada kontrol etme yöntemi yoktur.

YEDİ KATMAN ANAHTARLARI

Genellikle anahtarlar iki kademeli parçalardır. Fakat şimdi şebekelerde ve server larda oluşan yoğun içerikli veri transferlerinden kaynaklı büyük talepler için yedi kademeli anahtarlar yükselişte. Şebeke mühendisleri bu anahtarları çoklu server larda bir uygulamanın yüklenme uyumu için kullanır. Bunu yaparak yedi kademe bilgiyi (HTTP, DNS, SMTP ve benzeri) yönlendirme ya da kararları rutinleştirerek denetleyebilirler. Web uygulamasının olması halinde, bu özellik ön tanımlama kurallarına göre belirli server lardan kaynaklı doğrudan tam istekli URL yide denetleyebilir. Bu aletleri yapan şirketler ürünlerine DOS ve DDOS gibi koruyucu güvenlik uygulamaları da eklemeye başladılar.

Bu aletler bir çok rağbet gören şebeke için yüksek performansa ulaşan alışılagelmiş hardware ler üzerine kurulmuştur. Bu sistemler gigabit ve çoklu gigabit veri akışında kolaylıkla kullanılabilir. Bunlar da saldırıları durdurmak için tıpkı tanım odaklı iç hat NIDS leri gibi çalışır. Bu aleti bütün şebekeyi koruması için firewall unuzun önüne yerleştirin. Bu sistemin de dezavantajları iç hat NIDS i ile aynı olduğu söylenir. Onlar da sadece bildikleri saldırıları önleyebilir (resim 4), ve NIDS ler gibi bilmedikleri saldırıların tanımlanması için öneride bulunur. Bu sistem bir saldırıyı durdurabilir fakat DOS a yapılacak birçoğunu da durduramayabilir. Bu aletler şebeke performansının kalanını etkilemeden DOS saldırılarını hafifletecek beygir gücüne sahiptir. Bu sistem kararları yönlendirme ya da rutinleştirme için kullandıkları yedi kademeli dikkatli denetlemeyi yan ürünmüş gibi güvenlikten talep ederler.

http://fentanyl.files.wordpress.com/2009/01/42.jpg -

Predefine rules: önceden tanımlı

Yedi kademeli anahtar sistemi gereksiz şeyler içinde biçimlendirilebilir. Onlar yüklenme uyumu modunda ya da uygun bekleme modunda ayarlanabilir. Bu özellik diğer bir çok IPS lerde yoktur. Her ne kadar onların saldırıları önleme özellikleri en son çıkan iki teknolojiyle uyumsuz olsa da, bu konunu tartışılacaktır, birçok farklı özelliği talep edebiliyor olmaları onların parasal değerini arttırabilir. Bu aletlerin bir çoğunun kökenleri şebeke dünyasının içinden olduğu için onlar firewall ve NIDS, uyum server ı, BGP, OSPF ve RIP kullanarak yön belirleme gibi şeyler eklenebilir ve hız ve zaman aşımı garantisiyle donatılabilirler. Önerilen bir çok güvenlik ekipmanları software gelişimine uygundur, böylece zaten hali hazırda var olan bir anahtarı şebeke içinde de kullanmak mümkün olabilir.

UYGULAMA FIREWALLARI :IDS

Uygulama firewall ları ve IDS ler genellikle geleneksel IDS çözümleri yerine zorla girişleri önleme çözümü olarak pazarlanıyor. Bu IPSler her server a korunulmuş olarak yükleniyor. Bu IPSlerin çoğunun genel yönetimi yıldırılıyor ve bu yolla başarılı oluyorlar. Bu tip IPS ler her türlü uygulamayı korumak için düzenlenebilirler. Bunlar paket bilgi seviyesine bakmıyor, onun yerine, API aramalarına, hafıza yönetimine (çok fazla bilgi ihtiyacına kalkışmak gibi), işletim sistemi ile uygulamanın birbiriyle uyumunun nasıl olduğuna ve kullanıcı desteğiyle uygulamanın birbiriyle uyumunun nasıl olduğu gibi konulara bakar (resim5). Bu zayıf programlamaya ve bilinmeyen saldırılara karşı korumada yardım sağlar.

http://fentanyl.files.wordpress.com/2009/01/52.jpg -
Decoded packet: kodlanmış paket

Uygulama IPSleri sistemi korumadan önce onun profilini düzenleyebilir. Profil düzenleme işlemi boyunca IPS kullanıcının uygulamayla birlikte çalışmasında ki uyumu, uygulamayla işletim sistemi arasında ki uyumunu bu birlikte çalışmanın uygun olup olmadığına karar vermek için izler. IPS profili oluştrduktan ya da uygulamanın yönetiminden sonra onu kullanılabilir hale getirir. Iç hat NIDS ine ve 7 kademe anahtar sisteminin aksine uygulama kademesi IPSleri “yapılamıyor kapat” tarzı bir sistemdir, bu şu anlama gelir; eğer bir eylem öntanımlı değilse ve kullanılmaya teşebbüs ediliyorsa IPS devreye girerek uygulamayı kapatır. Bu sistemin dezavantajı şudur, uygulama bir profil hazırladıktan sonra kullanıcı uygulamanın her yönünden emin olmalıdır böylece IPS uygulaması aralarında ki uyumu görüp ona göre kurallar yazar. Eğer test boyunca uygulama bazı görevleri yerine getiremezse bu uygulamanın o bölümleri kullanılamaz. Bir diğer dezavantajı ise uygulama güncellenirken yönetim uygun kullanımı engellemeden yeniden profili düzenlemesini sağlamak gerekebilir.

Yapılan profil düzenlemesi yöneticilerin yapmış olduğu bir çok işe yönetimin kullandığı önceki uygulama aracılığıyla ulaşmanızı sağlar. Bu tip IPS alışılmış yazılı uygulamalar için en büyük korumalardan birini talep eder. Önce her fiziksel server için bir firewall/IPS uygulaması yüklenir, her yönetimi düzenleyebilirsiniz, böylece oda en büyük miktarda korumayı talep edebilir. Bu araştırmada incelenen IPS ler arasında server daki işletim sistemi ve hafıza yönetimi ile uygulamanın uyumunu izleyen tek sistem budur.

MELEZ ANAHTAR

Bu tip teknoloji host-merkezli firewal/IDS uygulaması ile yedi kademeli anahtar arasında bir türdür. Bu sistemler yedi kademeli anahtarda olduğu gibi server önüne eklenen hardware merkezli sistemlerdir, fakat kural uyumlu düzenli NIDS tipini kullanmak yerine melez (HYBRID)  anahtarlar IDS/firewall uygulamasındaki yönetim benzeri bir yönetim kullanırlar (resim 6). Onlar düzenledikleri yönetim yoluyla özel veri akışındaki kötü niyetli içerikleri denetlerler. Bu şirketlerin bazıları IPS lerini övdükleri ürünlerdeki uygulamaların kademelerinde zarar görebilirlik seviyesini değerlendiren ürünler talep ediyorlar. Bir uygulama ürün zarar görebilirlik değerlendirmesini kendisi tarayabilmeli ve bu tarama sonucu çıkan bilgiyi bir yönetici olarak kendi IPS sine yollayabilmeli. Bu güvenlik yöneticisinin uygulamayı korumak için yönetimi düzenlemeye kullandığı bir çok zamanı kurtarır.

http://fentanyl.files.wordpress.com/2009/01/62.jpg -

Melez anahtar da yedi kademeli anahtarla hemen hemen aynı düzende çalışır, fakat sadece az sayıda bilgi sahibi olmak yerine web server ını amaçlayan saldırıları da engeller, bu sistem web server ın en üstünde yer alan uygulamaya ve web server ın bilgi detaylarına sahiptir. Aynı zamanda kullanıcının talepleri belirlenen taleplerle uyuşmazsa uygulamayı kapatır. Eğer korumada ki uygulama çok yüksek veri akışı alıyorsa MELEZ anahtar daha yüksek performans için yedi kademeli anahtarla birleşmeyi önerir. Yedi kademeli anahtar sistemi Melez anahtar sisteminden gelecek bu tip taleplere uygun denetleme göndermek için düzenlenmiştir, melez anahtardan giden taleplerin azalmasını takiben performans yükselmesi gözlenir.

ALDATICI UYGULAMALAR

Şimdi bir parça farklı teknoloji kullanılmış bir uygulama inceleyeceğiz. Metot yeni değil, ilk olarak 1998 yılında ki RAID konferansında konuşulmuştu. Bu tip teknoloji aldatıcı alıştırmalarda kullanılır. Öncelikle sizin şebeke akışınızı izler ve sonra firewall/IDS uygulamasında profil düzenlemesine benzer şekilde sizin şebeke akışınıza ne uygundur onu belirler (resim7). Sonra servise server da bulunmayan yada çok az bulunan bir bağlantı teşebbüsü gördüğünde saldırgana bir cevap gönderir (resim8).

http://fentanyl.files.wordpress.com/2009/01/72.jpg -

http://fentanyl.files.wordpress.com/2009/01/82.jpg -

Yanıt bazı basit hatalı verilerle “işaret”lenmiştir, böylece saldırgan yeniden döndüğünde ve server ı kendi çıkarı için kullanmayı denediğinde IPS konulmuş olan “işaret”i görecek ve saldırgandan gelecek olan bütün veri akışını engelleyecektir. Saldırgan bulunması için sahte web server ına saldırmak zorunda değildir. Ürünün düzenlenmesinde esas alınan paket verilerin içinde “işaret”lenmiş verinin olabilmesidir. Uygun bir web server a saldırsa bile o saldırgan yakalanacaktır.

SONUÇ

Her tipteki IPS ler farklı koruma seviyelerine sahiptir ve her biri avantaj ve dezavantajlara da sahiptir. Bu şekilde düşünüldüğünde her IPS çalışır sizin karar vermeniz gereken şey hangi çözüm sizin ihtiyaçlarınız için en uygun olandır. Demekki güvenlik teknolojilerinin esası “tek tip her şeye uygun” çözüm yokmuş. Siz kendinizi bizim önerdiğimiz sistemlerin birinden çoğunu kullanıyor olarak bulabilirsiniz. Örneğin Internet firewall unuzu önüne DOS saldırıları ve bilinen saldırılardan korumak için yedi kademeli anahtarı koyabilirsiniz, web server ınızı korumak için uygulama kademeli firewalls/IPS software ını ya da melez anahtarı kullanabilirsiniz ve AS400 or Tandems inizi korumak içinde iç hat NIDS ini kullanabilirsiniz. Güvenlik bilgileri alanında ki bu uygun alandaki nispeten yeni ya da çok yeni teknolojiler ve ürünler yükselişte olacak.

Saygılar..