Sayfayı Yazdır | Pencereyi Kapat

Intrusion Prevention Systems (IPS) !

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=7712
Tarih: 13-12-2024 Saat 06:13


Konu: Intrusion Prevention Systems (IPS) !
Mesajı Yazan: megabros
Konu: Intrusion Prevention Systems (IPS) !
Mesaj Tarihi: 10-06-2009 Saat 12:56

IDS nin geliþiminde bir sonraki aþama

Peki tam olarak nedir bu IPS? Birçok terim de olduðu gibi bu onu kime sorduðunuza baðlý. IPS nin tanýmý þudur; kullandýðýmýz bu program, her türlü aygýtta (hardware yada software) bilinen yada bilinmeyen saldýrýlarý tespit etme ve saldýrý baþarýlý olmadan onu önlemesi için kullanýlýr. Þimdi bu firewall lar TCP sayý zincirlerinin izini takip edebilir ve belli tipteki (kýrmýzý kod ve Nimda gibi) trafikleri engelleme yeteneðine sahiptirler böylece içeri giriþleri engelleyen sistemler gibi çalýþabilirler. Bununla birlikte bu bizim ilgileneceðimiz konu deðil. Tersine bu makale IPS nin saldýrýlarý kademe kademe önleyen ki birçok firewall bu þifre kýrmayý yapamadý, en azýndan þu ana kadar, beþ ayrý türünü inceleyecek. Beþ çeþit IPS ki biz bunlarý NIDS, uygulama merkezli firewall-IDSler, yedi katman anahtarlar, þebeke merkezli uygulama IDSler ve aldatýcý uygulamalar.

ÝÇ HAT ÞEBEKE KAÇAK GÝRÝÞLERÝ AÇIÐA ÇIKARTAN SÝSTEMLER

Birçok NIDS iki NIC ile düzenlenir, biri yönetim için diðeri açýða çýkartmak için (ilk resimdeki gibi). Açýða çýkartmak için düzenlenen NIC genellikle kendisi için belirlenmiþ bir IP adresine sahip deðildir onun için ”gizlenmiþ” (baþka bilgisayardan çekilmiþ) baðlantý yapýlýr. Kendisine ait bir IP adresi olmadýðý için hiç kimse ona paket gönderemez ya da NIDS den kaynaklý (baþka bilgisayardan çekilmiþ) baðlantý üzerinden yanýtlanýr.

http://fentanyl.files.wordpress.com/2009/01/16.jpg -

Network traffic: baðlantý hattý

Copy of traffic: hat kopyasý

Monitoring interface: monitör giriþi

Management interface: yönetim giriþi

Ýç hat NIDS i, þebekeyi rahatlatmasý gereken ve korunmaya ihtiyacý olan sistemler arasýnda bulunan iki köprü gibi çalýþýr.

http://fentanyl.files.wordpress.com/2009/01/23.jpg -

Bütün veri akýþý iç hat NIDS inin içinden geçecektir. Ne yazýk ki düzenli bir geçiþ parçasý olmasýna raðmen iç hat NIDS i yaralanabilirlik için paketleri denetleyecektir, bunun için ayarlanýr. Eðer bir paket azýcýk bilgi içeriyorsa, ilerletilebilir ya da geriletilebilir,  kilitli ya da açýk bir paketin kaydýný serbest býrakýr. Hogwash bunu biraz daha geliþtirmek suretiyle ki ona hata yapýlan çalýþamayacak paketleri yeniden yazacak bir özellik eklemektir bu geliþtirme, kullanabilir, temizlik paketi olarak bilinir bu program. (Resim3). Bu çeþit IPS saldýrýyý yapanýn saldýrýsýnýn baþarýsýz olduðunu bilmemesini istiyorsanýz ve sizin sistemlerinizden her hangi birine saldýrýlarýna devam etmesi sayesinde daha fazla kanýt toplamayý hedefliyorsanýz, çok kullanýþlýdýr. Bu ayrýca bir honeynet açacaðýn zamanda kullanýþlýdýr, böylece sadece honeynet ten dýþarý çýkan veri akýþý “temizlenir”.

http://fentanyl.files.wordpress.com/2009/01/31.jpg -

Bir iç hat NIDS bir firewall un engelleme yetenekleri ile birlikte NIDS düzeninin geniþ yeteneklerini sunar. Birçok NIDS te olduðu gibi, kullanýcý kontrol edebilir böylece küçücük bir parçayla þebekeleri ya da server larý korur. Bu hem kutsama hem de beddua gibidir. Eðer sistem baþarýlý olamazsa ya da veri akýþýnda sorun çýkarsa, makinede de veri akýþý olmaz. (ISS güvenliði aslýnda veriler çakýþtýðý zamanlar baþarýsýzlýða açýktýr). Zaman aþýmý ve SLA larla ilgili endiþeleriniz varsa bu þebekenizden geçen büyük bir veri akýþýndan kaynaklý olabilir.

 

Bu IPS güvenlik takýmýnýn elindeki hala NIDS le kullanýlan en rahat hissettiren sistemdir. Çünkü bu IPS ler var olan NIDS lerin deðiþik türleridir, IPS ler için yeni kurallar yazýlmýþtýr ve bunlar çok basittir, sadece yeni tür saldýrýlarý bulmalarý istenir. NIDS in iç hattýndaki lisans-odaklý sistemin yardýmýyla bilinmeyen saldýrýlarý engellemek, NOOP taþýnmasýný beklemek gibi bazý genel kurallara sahip olmak zorundasýnýz. Her ne kadar yeni saldýrýlarý durdursa da bu kullanýlamaz. NIDS iç hattýnda kural dýþý protokol uygulamasýnýn olmasý halinde, protokol kaynaklý bilinmeyen saldýrýlarý durdurabilir çünkü kodlarýný kýrabilir, tabiî ki bunu protokollerin bilgisi ne kadar geniþse o sýnýrlar içinde yapabilir. Her iki sistemde de açýk kullanýmdaki (IIS, APACHE gibi) belli bazý uygulamalarý koruyabilmesi gibi bir dezavantaja sahipler. Eðer siz bu uygulamalar dýþýnda ki bir web server ýndan yararlanýyorsanýz, iç hat NIDS i kötü programlama yada hatalý ayarlar için hiçbir koruma saðlamayacaktýr. Bu sistemler genel bir koruma seviyesini destekler, buna raðmen hala korunmasý zor (AS400, Tandem, mainframes gibi) programlarý korumakla sistem koruma programlarý arasýnda çok büyük bir yere sahiptirler. Bu sistemlerin bir çoðu için bir baþka korunma yada kontrol etme yöntemi yoktur.

YEDÝ KATMAN ANAHTARLARI

Genellikle anahtarlar iki kademeli parçalardýr. Fakat þimdi þebekelerde ve server larda oluþan yoðun içerikli veri transferlerinden kaynaklý büyük talepler için yedi kademeli anahtarlar yükseliþte. Þebeke mühendisleri bu anahtarlarý çoklu server larda bir uygulamanýn yüklenme uyumu için kullanýr. Bunu yaparak yedi kademe bilgiyi (HTTP, DNS, SMTP ve benzeri) yönlendirme ya da kararlarý rutinleþtirerek denetleyebilirler. Web uygulamasýnýn olmasý halinde, bu özellik ön tanýmlama kurallarýna göre belirli server lardan kaynaklý doðrudan tam istekli URL yide denetleyebilir. Bu aletleri yapan þirketler ürünlerine DOS ve DDOS gibi koruyucu güvenlik uygulamalarý da eklemeye baþladýlar.

Bu aletler bir çok raðbet gören þebeke için yüksek performansa ulaþan alýþýlagelmiþ hardware ler üzerine kurulmuþtur. Bu sistemler gigabit ve çoklu gigabit veri akýþýnda kolaylýkla kullanýlabilir. Bunlar da saldýrýlarý durdurmak için týpký taným odaklý iç hat NIDS leri gibi çalýþýr. Bu aleti bütün þebekeyi korumasý için firewall unuzun önüne yerleþtirin. Bu sistemin de dezavantajlarý iç hat NIDS i ile ayný olduðu söylenir. Onlar da sadece bildikleri saldýrýlarý önleyebilir (resim 4), ve NIDS ler gibi bilmedikleri saldýrýlarýn tanýmlanmasý için öneride bulunur. Bu sistem bir saldýrýyý durdurabilir fakat DOS a yapýlacak birçoðunu da durduramayabilir. Bu aletler þebeke performansýnýn kalanýný etkilemeden DOS saldýrýlarýný hafifletecek beygir gücüne sahiptir. Bu sistem kararlarý yönlendirme ya da rutinleþtirme için kullandýklarý yedi kademeli dikkatli denetlemeyi yan ürünmüþ gibi güvenlikten talep ederler.

http://fentanyl.files.wordpress.com/2009/01/42.jpg -

Predefine rules: önceden tanýmlý

Yedi kademeli anahtar sistemi gereksiz þeyler içinde biçimlendirilebilir. Onlar yüklenme uyumu modunda ya da uygun bekleme modunda ayarlanabilir. Bu özellik diðer bir çok IPS lerde yoktur. Her ne kadar onlarýn saldýrýlarý önleme özellikleri en son çýkan iki teknolojiyle uyumsuz olsa da, bu konunu tartýþýlacaktýr, birçok farklý özelliði talep edebiliyor olmalarý onlarýn parasal deðerini arttýrabilir. Bu aletlerin bir çoðunun kökenleri þebeke dünyasýnýn içinden olduðu için onlar firewall ve NIDS, uyum server ý, BGP, OSPF ve RIP kullanarak yön belirleme gibi þeyler eklenebilir ve hýz ve zaman aþýmý garantisiyle donatýlabilirler. Önerilen bir çok güvenlik ekipmanlarý software geliþimine uygundur, böylece zaten hali hazýrda var olan bir anahtarý þebeke içinde de kullanmak mümkün olabilir.

UYGULAMA FIREWALLARI :IDS

Uygulama firewall larý ve IDS ler genellikle geleneksel IDS çözümleri yerine zorla giriþleri önleme çözümü olarak pazarlanýyor. Bu IPSler her server a korunulmuþ olarak yükleniyor. Bu IPSlerin çoðunun genel yönetimi yýldýrýlýyor ve bu yolla baþarýlý oluyorlar. Bu tip IPS ler her türlü uygulamayý korumak için düzenlenebilirler. Bunlar paket bilgi seviyesine bakmýyor, onun yerine, API aramalarýna, hafýza yönetimine (çok fazla bilgi ihtiyacýna kalkýþmak gibi), iþletim sistemi ile uygulamanýn birbiriyle uyumunun nasýl olduðuna ve kullanýcý desteðiyle uygulamanýn birbiriyle uyumunun nasýl olduðu gibi konulara bakar (resim5). Bu zayýf programlamaya ve bilinmeyen saldýrýlara karþý korumada yardým saðlar.

http://fentanyl.files.wordpress.com/2009/01/52.jpg -
Decoded packet: kodlanmýþ paket

Uygulama IPSleri sistemi korumadan önce onun profilini düzenleyebilir. Profil düzenleme iþlemi boyunca IPS kullanýcýnýn uygulamayla birlikte çalýþmasýnda ki uyumu, uygulamayla iþletim sistemi arasýnda ki uyumunu bu birlikte çalýþmanýn uygun olup olmadýðýna karar vermek için izler. IPS profili oluþtrduktan ya da uygulamanýn yönetiminden sonra onu kullanýlabilir hale getirir. Iç hat NIDS ine ve 7 kademe anahtar sisteminin aksine uygulama kademesi IPSleri “yapýlamýyor kapat” tarzý bir sistemdir, bu þu anlama gelir; eðer bir eylem öntanýmlý deðilse ve kullanýlmaya teþebbüs ediliyorsa IPS devreye girerek uygulamayý kapatýr. Bu sistemin dezavantajý þudur, uygulama bir profil hazýrladýktan sonra kullanýcý uygulamanýn her yönünden emin olmalýdýr böylece IPS uygulamasý aralarýnda ki uyumu görüp ona göre kurallar yazar. Eðer test boyunca uygulama bazý görevleri yerine getiremezse bu uygulamanýn o bölümleri kullanýlamaz. Bir diðer dezavantajý ise uygulama güncellenirken yönetim uygun kullanýmý engellemeden yeniden profili düzenlemesini saðlamak gerekebilir.

Yapýlan profil düzenlemesi yöneticilerin yapmýþ olduðu bir çok iþe yönetimin kullandýðý önceki uygulama aracýlýðýyla ulaþmanýzý saðlar. Bu tip IPS alýþýlmýþ yazýlý uygulamalar için en büyük korumalardan birini talep eder. Önce her fiziksel server için bir firewall/IPS uygulamasý yüklenir, her yönetimi düzenleyebilirsiniz, böylece oda en büyük miktarda korumayý talep edebilir. Bu araþtýrmada incelenen IPS ler arasýnda server daki iþletim sistemi ve hafýza yönetimi ile uygulamanýn uyumunu izleyen tek sistem budur.

MELEZ ANAHTAR

Bu tip teknoloji host-merkezli firewal/IDS uygulamasý ile yedi kademeli anahtar arasýnda bir türdür. Bu sistemler yedi kademeli anahtarda olduðu gibi server önüne eklenen hardware merkezli sistemlerdir, fakat kural uyumlu düzenli NIDS tipini kullanmak yerine melez (HYBRID)  anahtarlar IDS/firewall uygulamasýndaki yönetim benzeri bir yönetim kullanýrlar (resim 6). Onlar düzenledikleri yönetim yoluyla özel veri akýþýndaki kötü niyetli içerikleri denetlerler. Bu þirketlerin bazýlarý IPS lerini övdükleri ürünlerdeki uygulamalarýn kademelerinde zarar görebilirlik seviyesini deðerlendiren ürünler talep ediyorlar. Bir uygulama ürün zarar görebilirlik deðerlendirmesini kendisi tarayabilmeli ve bu tarama sonucu çýkan bilgiyi bir yönetici olarak kendi IPS sine yollayabilmeli. Bu güvenlik yöneticisinin uygulamayý korumak için yönetimi düzenlemeye kullandýðý bir çok zamaný kurtarýr.

http://fentanyl.files.wordpress.com/2009/01/62.jpg -

Melez anahtar da yedi kademeli anahtarla hemen hemen ayný düzende çalýþýr, fakat sadece az sayýda bilgi sahibi olmak yerine web server ýný amaçlayan saldýrýlarý da engeller, bu sistem web server ýn en üstünde yer alan uygulamaya ve web server ýn bilgi detaylarýna sahiptir. Ayný zamanda kullanýcýnýn talepleri belirlenen taleplerle uyuþmazsa uygulamayý kapatýr. Eðer korumada ki uygulama çok yüksek veri akýþý alýyorsa MELEZ anahtar daha yüksek performans için yedi kademeli anahtarla birleþmeyi önerir. Yedi kademeli anahtar sistemi Melez anahtar sisteminden gelecek bu tip taleplere uygun denetleme göndermek için düzenlenmiþtir, melez anahtardan giden taleplerin azalmasýný takiben performans yükselmesi gözlenir.

ALDATICI UYGULAMALAR

Þimdi bir parça farklý teknoloji kullanýlmýþ bir uygulama inceleyeceðiz. Metot yeni deðil, ilk olarak 1998 yýlýnda ki RAID konferansýnda konuþulmuþtu. Bu tip teknoloji aldatýcý alýþtýrmalarda kullanýlýr. Öncelikle sizin þebeke akýþýnýzý izler ve sonra firewall/IDS uygulamasýnda profil düzenlemesine benzer þekilde sizin þebeke akýþýnýza ne uygundur onu belirler (resim7). Sonra servise server da bulunmayan yada çok az bulunan bir baðlantý teþebbüsü gördüðünde saldýrgana bir cevap gönderir (resim8).

http://fentanyl.files.wordpress.com/2009/01/72.jpg -

http://fentanyl.files.wordpress.com/2009/01/82.jpg -

Yanýt bazý basit hatalý verilerle “iþaret”lenmiþtir, böylece saldýrgan yeniden döndüðünde ve server ý kendi çýkarý için kullanmayý denediðinde IPS konulmuþ olan “iþaret”i görecek ve saldýrgandan gelecek olan bütün veri akýþýný engelleyecektir. Saldýrgan bulunmasý için sahte web server ýna saldýrmak zorunda deðildir. Ürünün düzenlenmesinde esas alýnan paket verilerin içinde “iþaret”lenmiþ verinin olabilmesidir. Uygun bir web server a saldýrsa bile o saldýrgan yakalanacaktýr.

SONUÇ

Her tipteki IPS ler farklý koruma seviyelerine sahiptir ve her biri avantaj ve dezavantajlara da sahiptir. Bu þekilde düþünüldüðünde her IPS çalýþýr sizin karar vermeniz gereken þey hangi çözüm sizin ihtiyaçlarýnýz için en uygun olandýr. Demekki güvenlik teknolojilerinin esasý “tek tip her þeye uygun” çözüm yokmuþ. Siz kendinizi bizim önerdiðimiz sistemlerin birinden çoðunu kullanýyor olarak bulabilirsiniz. Örneðin Internet firewall unuzu önüne DOS saldýrýlarý ve bilinen saldýrýlardan korumak için yedi kademeli anahtarý koyabilirsiniz, web server ýnýzý korumak için uygulama kademeli firewalls/IPS software ýný ya da melez anahtarý kullanabilirsiniz ve AS400 or Tandems inizi korumak içinde iç hat NIDS ini kullanabilirsiniz. Güvenlik bilgileri alanýnda ki bu uygun alandaki nispeten yeni ya da çok yeni teknolojiler ve ürünler yükseliþte olacak.

Saygýlar..



Sayfayı Yazdır | Pencereyi Kapat