IPS ve IDS Nedir? Nasıl Çalışır?

IDS ve IPS teknolojilerinin ne olduğunu açıklamaya başlamadan önce, ağa izinsiz girişin ne olduğunu ve ne tür güvenlik açıklarının ağa izinsiz girişlere izin verebileceğini bilmeniz önemlidir. Ağa izinsiz giriş (network intrusion), bir cihazın veya sistemin güvenliğini tehlikeye atan bir olaydır. Temel olarak bir ağdaki herhangi bir yetkisiz faaliyet, bir ağa izinsiz giriş olarak tanımlanabilir. Tipik olarak, bir ağa izinsiz girişin amacı, ağ kaynaklarını çalmak veya verilere yetkisiz erişim sağlamaktır. Ağ izinsiz girişlerine genellikle sosyal mühendislik saldırıları, kötü amaçlı yazılımlar, güncel olmayan yazılımlar vb. neden olur. Sistemlerinizi ağ izinsiz girişlerinden korumanın en iyi yolu IDS ve IPS kullanmaktır.

IPS Nedir?

IPS (Intrusion Prevention System), İzinsiz Girişi Önleme Sistemi anlamına gelir. Ağlarınıza ve sistemlerinize yönelik güvenlik tehditlerini tespit etmek ve önlemek için kullanılan bir teknolojidir. IDS, tehditler hakkında hiçbir şey yapmadan sadece tehditleri algılarken, IPS ağdan geçen trafik üzerinde otomatik eylemler gerçekleştirebilir.

IPS Nasıl Çalışır?

IPS’nin çalışma prensibi oldukça basittir. Ağdaki tüm trafiği tarar ve ardından virüsleri, solucanları, DDoS saldırılarını ve diğer güvenlik açığı istismarlarını tanımlar ve önler. Bir ağa izinsiz giriş algılandığında, bir IPS, izinsiz girişle ilişkili IP adresini veya kullanıcı hesabını engelleyebilir, güvenlik duvarını yeniden programlayarak saldırı türünü tespit edebilir ve yeniden olmasını engelleyebilir, bir saldırıdan sonra kalan kötü amaçlı dosyaları ve bilgileri de kaldırabilir.

IPS Ne İşe Yarar?

IPS (güvenlik duvarı gibi) dış dünya ile iç ağ arasında konumlanır. IPS, istismarları tespit etmek ve bunlara yanıt vermek için ağ trafiği içeriğini analiz eden bir yazılım platformudur. IPS, bilinen bir güvenlik tehdidini temsil ediyorsa, bir güvenlik profiline dayalı olarak ağ trafiğini proaktif olarak reddeder. Bu, trafiğin ağa ulaşmamasını sağlar.

IPS, belirli bir kural kümesine dayalı olarak ağ paketlerini kabul eder ve reddeder. İşlem oldukça basittir. Paketler şüpheliyse ve belirli bir kural kümesine aykırıysa, IPS bunları reddeder. IPS sistemleri ayrıca, ağ tehditlerini tanımlamak için imza tabanlı algılama ve tabii ki anormallik algılaması kullandığından, yeni tehdit profilleriyle sürekli olarak güncellenen bir veri tabanı gerektirir.

Birkaç çeşit saldırı tespit sistemi mevcuttur. Aşağıda en yaygın dört tanesini bulabilirsiniz:

• Ağ tabanlı IPS – Network-based IPS (NIPS)
• Ağ davranış analizi – Network behavior analysis (NBA)
• Kablosuz IPS – Wireless IPS (WIPS)
• Ana bilgisayar tabanlı IPS – Host-based IPS (HIPS)

1. Ağ Tabanlı IPS (NIPS)

Bu tür IPS, tüm ağ boyunca protokol paketlerini analiz ederek kötü amaçlı etkinlikleri algılar ve önler. NIPS, ağ genelinde yaygın olarak kullanılan izin verilen ana bilgisayarları, uygulamaları ve işletim sistemlerini belirlemek için bir ana bilgisayar konsolundan ve ağdan bilgi toplar.

NIPS, saldırıları önlemek için TCP bağlantısını sonlandırmak, bant genişliği kullanımını sınırlamak ve hatta şüpheli ağ etkinliğini reddetmek gibi çeşitli şekillerde saldırıları önleyebilir. NIPS’in bazı dezavantajları vardır:

• NIPS, şifrelenmiş ağ trafiğini analiz etmez.
• NIPS, yüksek trafik yüklerini işlemez.

2. Ağ Davranış Analizi (NBA)

NBA sensörleri ve programları, dağıtılmış hizmet reddi (DDoS) saldırıları, belirli kötü amaçlı yazılım türleri ve politika ihlalleri gibi olağandışı trafik akışları oluşturan güvenlik tehditlerini belirlemek için ağ trafiğini inceler. NBA tespiti öncelikle aşağıdaki iki yöntemi içerir:

• Anormallik tabanlı algılama, sistem veya ağ etkinliğinde “normal” davranış olarak bilinen davranıştan sapmaları arar. Anormallik tabanlı algılama, belirli bir süre boyunca normal davranış olarak kabul edilen bir profilin oluşturulduğu bir eğitim dönemi gerektirir. Burada iki sorun vardır. İlk olarak, bir profil oluşturulurken kötü niyetli bir davranış normal olarak günlüğe kaydedilebilir. İkincisi, anormallik tabanlı algılama, ilk eğitim döneminde tanınmayan iyi huylu etkinlik nedeniyle birçok yanlış pozitif üretir.
• Durum bilgisi olan protokol analizi algılaması, normal ağ veya sistem davranışından sapmaları da arar. Bu protokol analizi, kimliği doğrulanmış ve kimliği doğrulanmamış durumlarda iyi huylu ve şüpheli etkinlik arasında ayrım yapmak için tasarlanmıştır.

Katmanlı koruma sağlamak için NIPS veya IDS IPS’nin bir uzantısı olarak bir NBA sistemi kullanılmalıdır.

3. Kablosuz IPS (WIPS)

WIPS, ağa bağlı cihazlar hakkında bilgi toplar ve hileli erişim noktaları, DoS saldırıları, yetkisiz erişim, geçici ağlar, sahtekarlık ve ortadaki adam saldırıları dahil olmak üzere çeşitli kötü amaçlı olayları tespit etme ve önleme konusunda çok etkilidir.

4. Ana Bilgisayar Tabanlı IPS (HIPS)

HIPS, kötü amaçlı etkinliği tespit etmek ve önlemek için tek bir ana bilgisayardaki etkinliği analiz eder. HIPS’in üç ana amacı vardır:

• Şifrelemeden yararlanan saldırıları önleme.
• Ana bilgisayarda bulunan hassas bilgilere erişimi engelleme (bu, rootkit’lerin veya Truva atlarının neden olabileceği olası hasarları önler).
• Ana makinenin bir ağdaki kötü amaçlı etkinliği işlemesini önleme.

IDS Nedir?

IDS (intrusion detection system), izinsiz giriş tespit sistemi anlamına gelir. Temel olarak ağ trafiği modellerini analiz ederek ağ izinsiz girişlerini tespit etmek için kullanılan bir teknolojidir. Bir IDS, sadece herhangi bir şüpheli etkinlik hakkında yöneticiyi uyarır, veri akışı üzerinde herhangi bir etkisi yoktur.

IDS Nasıl Çalışır?

IDS tarafından kullanılan en yaygın üç teknoloji türü vardır. İmza tabanlı IDS (signature-based IDS), kötü amaçlı yazılımların ve diğer izinsiz girişlerin neden olduğu bilinen ağ modellerini arar. Anormallik tabanlı IDS (Anomaly-based IDS), yeni geliştirilen kötü amaçlı yazılımların saldırıları gibi önceden bilinmeyen saldırıları algılamak için makine öğrenimini kullanır. İtibara dayalı IDS (reputation-based IDS), belirli bir dosyanın itibarını analiz eder ve yöneticiyi şüpheli dosyalara karşı uyarır.

IDS Ne İşe Yarar?

IDS sistemleri, güvenlik ilkesi ihlalleri, kötü amaçlı yazılımlar ve bağlantı noktası tarayıcıları gibi çeşitli davranış türlerini algılamak için mevcut ağ etkinliğini bilinen bir tehdit veri tabanıyla karşılaştırır. IDS çözümleri iki çeşittir:

Ağ İzinsiz Giriş Tespit Sistemi – Network Intrusion Detection System (NIDS): Bu tür IDS, ağ boyunca yerleştirilmiş sensörler aracılığıyla tehditler için ağ trafiğini izler.

Host Saldırı Tespit Sistemi – Host Intrusion Detection System (HIDS): Bu tip IDS, kurulu olduğu cihaz veya sistemdeki trafiği izler.

IDS sistemleri kendi başlarına çalışmaz. Tarama sonuçlarını izlemek ve ardından harekete geçmek için bir insan veya uygulama gerektirir.

IDS ve IPS Arasındaki Farklar

IDS platformu, kalıplar için ağ trafiğini analiz edebilir ve kötü niyetli saldırı kalıplarını tanıyabilir ancak paketlerin ağa girmesini engelleyemez. IPS, bu trafiğin ağ ile etkileşimini engelleyebilecek bir tanılama ve olay yanıt aracıdır. IDS, sonuçlara bakmak ve hangi eylemlerin yapılması gerektiğini belirlemek için bir insan veya başka bir sisteme ihtiyaç duyarken, IPS kendisi için tanımlanmış kurallara göre ne yapacağına karar verebilir.

Başka bir deyişle, IPS, bir IDS’nin analiz işlevselliğini, müdahale etme ve kötü niyetli paketlerin teslim edilmesini önleme yeteneği ile birleştirir.