Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Intrusion Prevention Systems (IPS) !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Intrusion Prevention Systems (IPS) !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Intrusion Prevention Systems (IPS) !
    Gönderim Zamanı: 10-06-2009 Saat 12:56

IDS nin gelişiminde bir sonraki aşama

Peki tam olarak nedir bu IPS? Birçok terim de olduğu gibi bu onu kime sorduğunuza bağlı. IPS nin tanımı şudur; kullandığımız bu program, her türlü aygıtta (hardware yada software) bilinen yada bilinmeyen saldırıları tespit etme ve saldırı başarılı olmadan onu önlemesi için kullanılır. Şimdi bu firewall lar TCP sayı zincirlerinin izini takip edebilir ve belli tipteki (kırmızı kod ve Nimda gibi) trafikleri engelleme yeteneğine sahiptirler böylece içeri girişleri engelleyen sistemler gibi çalışabilirler. Bununla birlikte bu bizim ilgileneceğimiz konu değil. Tersine bu makale IPS nin saldırıları kademe kademe önleyen ki birçok firewall bu şifre kırmayı yapamadı, en azından şu ana kadar, beş ayrı türünü inceleyecek. Beş çeşit IPS ki biz bunları NIDS, uygulama merkezli firewall-IDSler, yedi katman anahtarlar, şebeke merkezli uygulama IDSler ve aldatıcı uygulamalar.

İÇ HAT ŞEBEKE KAÇAK GİRİŞLERİ AÇIĞA ÇIKARTAN SİSTEMLER

Birçok NIDS iki NIC ile düzenlenir, biri yönetim için diğeri açığa çıkartmak için (ilk resimdeki gibi). Açığa çıkartmak için düzenlenen NIC genellikle kendisi için belirlenmiş bir IP adresine sahip değildir onun için ”gizlenmiş” (başka bilgisayardan çekilmiş) bağlantı yapılır. Kendisine ait bir IP adresi olmadığı için hiç kimse ona paket gönderemez ya da NIDS den kaynaklı (başka bilgisayardan çekilmiş) bağlantı üzerinden yanıtlanır.

Network traffic: bağlantı hattı

Copy of traffic: hat kopyası

Monitoring interface: monitör girişi

Management interface: yönetim girişi

İç hat NIDS i, şebekeyi rahatlatması gereken ve korunmaya ihtiyacı olan sistemler arasında bulunan iki köprü gibi çalışır.

Bütün veri akışı iç hat NIDS inin içinden geçecektir. Ne yazık ki düzenli bir geçiş parçası olmasına rağmen iç hat NIDS i yaralanabilirlik için paketleri denetleyecektir, bunun için ayarlanır. Eğer bir paket azıcık bilgi içeriyorsa, ilerletilebilir ya da geriletilebilir,  kilitli ya da açık bir paketin kaydını serbest bırakır. Hogwash bunu biraz daha geliştirmek suretiyle ki ona hata yapılan çalışamayacak paketleri yeniden yazacak bir özellik eklemektir bu geliştirme, kullanabilir, temizlik paketi olarak bilinir bu program. (Resim3). Bu çeşit IPS saldırıyı yapanın saldırısının başarısız olduğunu bilmemesini istiyorsanız ve sizin sistemlerinizden her hangi birine saldırılarına devam etmesi sayesinde daha fazla kanıt toplamayı hedefliyorsanız, çok kullanışlıdır. Bu ayrıca bir honeynet açacağın zamanda kullanışlıdır, böylece sadece honeynet ten dışarı çıkan veri akışı “temizlenir”.

Bir iç hat NIDS bir firewall un engelleme yetenekleri ile birlikte NIDS düzeninin geniş yeteneklerini sunar. Birçok NIDS te olduğu gibi, kullanıcı kontrol edebilir böylece küçücük bir parçayla şebekeleri ya da server ları korur. Bu hem kutsama hem de beddua gibidir. Eğer sistem başarılı olamazsa ya da veri akışında sorun çıkarsa, makinede de veri akışı olmaz. (ISS güvenliği aslında veriler çakıştığı zamanlar başarısızlığa açıktır). Zaman aşımı ve SLA larla ilgili endişeleriniz varsa bu şebekenizden geçen büyük bir veri akışından kaynaklı olabilir.

 

Bu IPS güvenlik takımının elindeki hala NIDS le kullanılan en rahat hissettiren sistemdir. Çünkü bu IPS ler var olan NIDS lerin değişik türleridir, IPS ler için yeni kurallar yazılmıştır ve bunlar çok basittir, sadece yeni tür saldırıları bulmaları istenir. NIDS in iç hattındaki lisans-odaklı sistemin yardımıyla bilinmeyen saldırıları engellemek, NOOP taşınmasını beklemek gibi bazı genel kurallara sahip olmak zorundasınız. Her ne kadar yeni saldırıları durdursa da bu kullanılamaz. NIDS iç hattında kural dışı protokol uygulamasının olması halinde, protokol kaynaklı bilinmeyen saldırıları durdurabilir çünkü kodlarını kırabilir, tabiî ki bunu protokollerin bilgisi ne kadar genişse o sınırlar içinde yapabilir. Her iki sistemde de açık kullanımdaki (IIS, APACHE gibi) belli bazı uygulamaları koruyabilmesi gibi bir dezavantaja sahipler. Eğer siz bu uygulamalar dışında ki bir web server ından yararlanıyorsanız, iç hat NIDS i kötü programlama yada hatalı ayarlar için hiçbir koruma sağlamayacaktır. Bu sistemler genel bir koruma seviyesini destekler, buna rağmen hala korunması zor (AS400, Tandem, mainframes gibi) programları korumakla sistem koruma programları arasında çok büyük bir yere sahiptirler. Bu sistemlerin bir çoğu için bir başka korunma yada kontrol etme yöntemi yoktur.

YEDİ KATMAN ANAHTARLARI

Genellikle anahtarlar iki kademeli parçalardır. Fakat şimdi şebekelerde ve server larda oluşan yoğun içerikli veri transferlerinden kaynaklı büyük talepler için yedi kademeli anahtarlar yükselişte. Şebeke mühendisleri bu anahtarları çoklu server larda bir uygulamanın yüklenme uyumu için kullanır. Bunu yaparak yedi kademe bilgiyi (HTTP, DNS, SMTP ve benzeri) yönlendirme ya da kararları rutinleştirerek denetleyebilirler. Web uygulamasının olması halinde, bu özellik ön tanımlama kurallarına göre belirli server lardan kaynaklı doğrudan tam istekli URL yide denetleyebilir. Bu aletleri yapan şirketler ürünlerine DOS ve DDOS gibi koruyucu güvenlik uygulamaları da eklemeye başladılar.

Bu aletler bir çok rağbet gören şebeke için yüksek performansa ulaşan alışılagelmiş hardware ler üzerine kurulmuştur. Bu sistemler gigabit ve çoklu gigabit veri akışında kolaylıkla kullanılabilir. Bunlar da saldırıları durdurmak için tıpkı tanım odaklı iç hat NIDS leri gibi çalışır. Bu aleti bütün şebekeyi koruması için firewall unuzun önüne yerleştirin. Bu sistemin de dezavantajları iç hat NIDS i ile aynı olduğu söylenir. Onlar da sadece bildikleri saldırıları önleyebilir (resim 4), ve NIDS ler gibi bilmedikleri saldırıların tanımlanması için öneride bulunur. Bu sistem bir saldırıyı durdurabilir fakat DOS a yapılacak birçoğunu da durduramayabilir. Bu aletler şebeke performansının kalanını etkilemeden DOS saldırılarını hafifletecek beygir gücüne sahiptir. Bu sistem kararları yönlendirme ya da rutinleştirme için kullandıkları yedi kademeli dikkatli denetlemeyi yan ürünmüş gibi güvenlikten talep ederler.

Predefine rules: önceden tanımlı

Yedi kademeli anahtar sistemi gereksiz şeyler içinde biçimlendirilebilir. Onlar yüklenme uyumu modunda ya da uygun bekleme modunda ayarlanabilir. Bu özellik diğer bir çok IPS lerde yoktur. Her ne kadar onların saldırıları önleme özellikleri en son çıkan iki teknolojiyle uyumsuz olsa da, bu konunu tartışılacaktır, birçok farklı özelliği talep edebiliyor olmaları onların parasal değerini arttırabilir. Bu aletlerin bir çoğunun kökenleri şebeke dünyasının içinden olduğu için onlar firewall ve NIDS, uyum server ı, BGP, OSPF ve RIP kullanarak yön belirleme gibi şeyler eklenebilir ve hız ve zaman aşımı garantisiyle donatılabilirler. Önerilen bir çok güvenlik ekipmanları software gelişimine uygundur, böylece zaten hali hazırda var olan bir anahtarı şebeke içinde de kullanmak mümkün olabilir.

UYGULAMA FIREWALLARI :IDS

Uygulama firewall ları ve IDS ler genellikle geleneksel IDS çözümleri yerine zorla girişleri önleme çözümü olarak pazarlanıyor. Bu IPSler her server a korunulmuş olarak yükleniyor. Bu IPSlerin çoğunun genel yönetimi yıldırılıyor ve bu yolla başarılı oluyorlar. Bu tip IPS ler her türlü uygulamayı korumak için düzenlenebilirler. Bunlar paket bilgi seviyesine bakmıyor, onun yerine, API aramalarına, hafıza yönetimine (çok fazla bilgi ihtiyacına kalkışmak gibi), işletim sistemi ile uygulamanın birbiriyle uyumunun nasıl olduğuna ve kullanıcı desteğiyle uygulamanın birbiriyle uyumunun nasıl olduğu gibi konulara bakar (resim5). Bu zayıf programlamaya ve bilinmeyen saldırılara karşı korumada yardım sağlar.


Decoded packet: kodlanmış paket

Uygulama IPSleri sistemi korumadan önce onun profilini düzenleyebilir. Profil düzenleme işlemi boyunca IPS kullanıcının uygulamayla birlikte çalışmasında ki uyumu, uygulamayla işletim sistemi arasında ki uyumunu bu birlikte çalışmanın uygun olup olmadığına karar vermek için izler. IPS profili oluştrduktan ya da uygulamanın yönetiminden sonra onu kullanılabilir hale getirir. Iç hat NIDS ine ve 7 kademe anahtar sisteminin aksine uygulama kademesi IPSleri “yapılamıyor kapat” tarzı bir sistemdir, bu şu anlama gelir; eğer bir eylem öntanımlı değilse ve kullanılmaya teşebbüs ediliyorsa IPS devreye girerek uygulamayı kapatır. Bu sistemin dezavantajı şudur, uygulama bir profil hazırladıktan sonra kullanıcı uygulamanın her yönünden emin olmalıdır böylece IPS uygulaması aralarında ki uyumu görüp ona göre kurallar yazar. Eğer test boyunca uygulama bazı görevleri yerine getiremezse bu uygulamanın o bölümleri kullanılamaz. Bir diğer dezavantajı ise uygulama güncellenirken yönetim uygun kullanımı engellemeden yeniden profili düzenlemesini sağlamak gerekebilir.

Yapılan profil düzenlemesi yöneticilerin yapmış olduğu bir çok işe yönetimin kullandığı önceki uygulama aracılığıyla ulaşmanızı sağlar. Bu tip IPS alışılmış yazılı uygulamalar için en büyük korumalardan birini talep eder. Önce her fiziksel server için bir firewall/IPS uygulaması yüklenir, her yönetimi düzenleyebilirsiniz, böylece oda en büyük miktarda korumayı talep edebilir. Bu araştırmada incelenen IPS ler arasında server daki işletim sistemi ve hafıza yönetimi ile uygulamanın uyumunu izleyen tek sistem budur.

MELEZ ANAHTAR

Bu tip teknoloji host-merkezli firewal/IDS uygulaması ile yedi kademeli anahtar arasında bir türdür. Bu sistemler yedi kademeli anahtarda olduğu gibi server önüne eklenen hardware merkezli sistemlerdir, fakat kural uyumlu düzenli NIDS tipini kullanmak yerine melez (HYBRID)  anahtarlar IDS/firewall uygulamasındaki yönetim benzeri bir yönetim kullanırlar (resim 6). Onlar düzenledikleri yönetim yoluyla özel veri akışındaki kötü niyetli içerikleri denetlerler. Bu şirketlerin bazıları IPS lerini övdükleri ürünlerdeki uygulamaların kademelerinde zarar görebilirlik seviyesini değerlendiren ürünler talep ediyorlar. Bir uygulama ürün zarar görebilirlik değerlendirmesini kendisi tarayabilmeli ve bu tarama sonucu çıkan bilgiyi bir yönetici olarak kendi IPS sine yollayabilmeli. Bu güvenlik yöneticisinin uygulamayı korumak için yönetimi düzenlemeye kullandığı bir çok zamanı kurtarır.

Melez anahtar da yedi kademeli anahtarla hemen hemen aynı düzende çalışır, fakat sadece az sayıda bilgi sahibi olmak yerine web server ını amaçlayan saldırıları da engeller, bu sistem web server ın en üstünde yer alan uygulamaya ve web server ın bilgi detaylarına sahiptir. Aynı zamanda kullanıcının talepleri belirlenen taleplerle uyuşmazsa uygulamayı kapatır. Eğer korumada ki uygulama çok yüksek veri akışı alıyorsa MELEZ anahtar daha yüksek performans için yedi kademeli anahtarla birleşmeyi önerir. Yedi kademeli anahtar sistemi Melez anahtar sisteminden gelecek bu tip taleplere uygun denetleme göndermek için düzenlenmiştir, melez anahtardan giden taleplerin azalmasını takiben performans yükselmesi gözlenir.

ALDATICI UYGULAMALAR

Şimdi bir parça farklı teknoloji kullanılmış bir uygulama inceleyeceğiz. Metot yeni değil, ilk olarak 1998 yılında ki RAID konferansında konuşulmuştu. Bu tip teknoloji aldatıcı alıştırmalarda kullanılır. Öncelikle sizin şebeke akışınızı izler ve sonra firewall/IDS uygulamasında profil düzenlemesine benzer şekilde sizin şebeke akışınıza ne uygundur onu belirler (resim7). Sonra servise server da bulunmayan yada çok az bulunan bir bağlantı teşebbüsü gördüğünde saldırgana bir cevap gönderir (resim8).

Yanıt bazı basit hatalı verilerle “işaret”lenmiştir, böylece saldırgan yeniden döndüğünde ve server ı kendi çıkarı için kullanmayı denediğinde IPS konulmuş olan “işaret”i görecek ve saldırgandan gelecek olan bütün veri akışını engelleyecektir. Saldırgan bulunması için sahte web server ına saldırmak zorunda değildir. Ürünün düzenlenmesinde esas alınan paket verilerin içinde “işaret”lenmiş verinin olabilmesidir. Uygun bir web server a saldırsa bile o saldırgan yakalanacaktır.

SONUÇ

Her tipteki IPS ler farklı koruma seviyelerine sahiptir ve her biri avantaj ve dezavantajlara da sahiptir. Bu şekilde düşünüldüğünde her IPS çalışır sizin karar vermeniz gereken şey hangi çözüm sizin ihtiyaçlarınız için en uygun olandır. Demekki güvenlik teknolojilerinin esası “tek tip her şeye uygun” çözüm yokmuş. Siz kendinizi bizim önerdiğimiz sistemlerin birinden çoğunu kullanıyor olarak bulabilirsiniz. Örneğin Internet firewall unuzu önüne DOS saldırıları ve bilinen saldırılardan korumak için yedi kademeli anahtarı koyabilirsiniz, web server ınızı korumak için uygulama kademeli firewalls/IPS software ını ya da melez anahtarı kullanabilirsiniz ve AS400 or Tandems inizi korumak içinde iç hat NIDS ini kullanabilirsiniz. Güvenlik bilgileri alanında ki bu uygun alandaki nispeten yeni ya da çok yeni teknolojiler ve ürünler yükselişte olacak.

Saygılar..


Düzenleyen megabros - 10-06-2009 Saat 12:56
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.207 Saniyede Yüklendi.