IPS ve IDS Nedir? Nasıl Çalışır?

[haberci]

Intrusion Detection Systems
kelimelerinin kısaltması olarak kullanılır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır.
IPS
ise ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile birlikte önlenmesi için kullanılan güvenlik sistemleridir. Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.
Kısaca tanımlamak gerekirse IDS ( Intrusion Detection System) saldırıları tespit etmeyi amaçlarken IPS (Intrusion Prevention System) sistemleri saldırıyı durdurma, önleme üzerine kurgulanmıştır.
Özellikle de son yıllarda artan gelişmiş siber saldırılara karşı yeni nesil Firewall cihazları ile bütünleşik olarak kullanılan IPS ve IDS sistemleri ciddi zararlara yol açan saldırıların tespiti, yakalanması ve önlenmesi konularında doğru konfigüre edildiğinde önemli bir rol oynamaktadır. IDS derinlemesine paket analizinde saldırıyı tespit ederek loglama işlevi yürütürken, IPS sistemleri saldırıları öğrenerek veya kural listesi üzerinden tespit ederek engellemektedir.
Saldırı tespit ve engelleme sistemleri, güvenlik analistleri veya uzmanları için tasarlanmış yazılımsal veya donanımsal olarak üretilen güvenlik sistemleridir.
Saldırı tespit ve önleme sistemleri olarak karşımıza gelen IPS ve IDS ürünleri bir arada kullanılırsa Intrusion Detection and Prevention Systems yani IDPS olarak tanımlama yapılır. Gelişmiş sistemlerde IPS ve IDS sistemleri bütünleşik olarak kullanılmaktadır.
Firewall cihazları paketlerin geçmesini kısıtlayabildikleri halde, bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendilerini yeniden programlama yeteneğine sahip değildirler. Bu durumu ortadan kaldırmak için genel olarak IPS ve IDS özellikleri ile birlikte gelirler. Intrusion Detection Sistem (IDS) teknolojisi sayesinde hem korumak istediğiniz kurum ağına saldırı gerçekleştirildiğini anlayabilir, hem de Intrusion Prevention Systems (IPS) sistemleri sayesinde saldırıyı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.
İnternet teknolojileri, iş süreçlerimizin internet ağına dahil olması, CRM ve benzeri birçok uygulamanın ve Cloud gibi sistemlerin yaygınlaşması ile birlikte ağ bileşenlerimiz çok daha karmaşık bir hale gelmiştir. Doğal olarak gelişen bu teknoloji ağı ile dışarıya açık birçok bağlantımız ve açık tutmak zorunda kaldığımız portlarımızın güvenliğini sağlamak da zorlaşmaktadır.
Güvenlik tarafında Firewall cihazları ise tek başlarına ağ trafiğini derinlemesine analiz edemedikleri için ağınızı temiz tutma konusunda zayıf kalmaya başlamıştır. Bütünleşik güvenlik sistemleri olarak karşımıza gelen yeni nesil Firewall cihazları IPS ve IDS özellikleri ile ağ trafiğini analiz edebilme kabiliyetine kavuşmuştur.
IPS ve IDS sistemleri saldırı tespiti veya analizinde temelde iki tür çalışma mantığına sahiptirler. Birincisi imza tabanlı çalışma mantığı, ikincisi ise kural tabanlı çalışma mantığıdır.
Saldırı tespit, analiz ve engelleme sistemleri genel olarak aşağıdaki özelliklere sahiptirler;
Güvenlik yöneticilerine saldırı anında uyarı göndermek
Kötü amaçlı kodların tespiti
Kötü amaçlı bağlantı kaynaklarının kesilmesi
Zararlı paketlerin bırakılması ve sıfırlanması
CRC hatalarının düzeltilmesi
Bir yazılım veya kullanıcıdan kaynaklanan saldırıların tespiti
Savunmayı güçlendirmek ve iyileştirmek için saldırı kalıplarının kayıt edilmesi
Adli bilişim uzmanları için adli kayıtların tutulması
Veri bütünlüğünün ve erişilebilirliğinin sağlanması
Güvenlikle beraber gizliliğin sağlanması
Saldırı tespit ve engelleme sistemleri (IPS ve IDS) nasıl çalışır?
IDS hatalı kullanım tespiti ve anormallik denetleme işlemleri için kullanır. Ağınızda oluşabilecek anormallikler tespit edilerek (bilinen tehditler) anormal durum tespit edilir. Ağ trafiği içerisindeki paketler izlenir ve bilinen kurallar dahilinde sınıflandırılarak anormallik veya doğru trafik olarak sınıflandırma yapılır. Yeni nesil sistemlerde bu durum sürekli öğrenen bir yapıya kavuşmuştur.
İmza Tabanlı Sistemler ise IDS ağ trafiği içerisindeki paketleri kendi kural listesi ile karşılaştırılır. Bu sayede mevcut kural listesinin dışındaki bir trafik için alarm üretilmektedir. Eğer IDS güvenlik sistemleri doğru bir şekilde konfigüre edilirse False Positive bakımından az, False Negative durumları için maksimum uyarıyı verir.
IDS güvenlik sistemleri aşağıdaki araçları kullanmaktadır.
Network Sensor
Server Sensor
Network sensörleri ağ üzerindeki sensörlerimizdir. Ağ trafiğimiz bu sensörler sayesinde dinlemeye alınarak kayıt edilir. Kötü amaçlı paketler ve bağlantılar bu sensörlerle tespit edilerek bloke edilir. Yalnızca kural listesine göre hareket eder ve bu listede bulunmayan ağ trafiği geçişine izin verilmez.
Server sensörleri ise ana bilgisayarımız üzerindeki sensörlerdir. Sunucu üzerinde konumlandırılan bu sensörler yalnızca sunucunun trafiğini izleme amaçlıdır. Sunucuya gelen trafik üzerindeki yetkisiz işlemleri veya zararlı aktivitelerin tespiti yapılarak engelleme yapılır. Bu sensörler Network sensörleri ile aynı veritabanını kullanmaktadır.
IPS güvenlik ürünleri genel olarak web geçitlerine konumlandırılarak trafiği bölmeden çalışırlar. Gelen ve giden ağ trafiği üzerindeki tüm paketlerin içeriğini okuyarak hangi paketin zararlı olduğu veya zararsız olduğunu tespit edebilirler. Donanım tabanlı IPS ürünlerinin en önemli özelliği ise sistemi yavaşlatmadan çalışabilmeleridir. Bu işlev sırasında üretici firmanın yeni nesil saldırılara karşı geliştirdiği veritabanını indirerek kendilerini güncel halde tutarlar. IDS ürünlerine ek olarak zararlı trafiğin ağ içerisine girmesini engelleme yaparak tam bir koruma sağlarlar.
IDS ve IPS Sistemleri Firewall Cihazları İle Birlikte Kullanılmalıdır!
Bu sayede ortaya çıkabilecek performans sorunlarının önüne geçilir ve verimli çalışarak başarılı sonuçlar verebilir. Olası bir siber saldırı, ihlal ve tehditlerin tespiti için ağda gerçekleşen aktivitelerin izlenmesi ve trafiğin analiz edilmesini sağlayan bu ürünler yeni nesil
Ziyaretçiler için gizlenmiş link , görmek için
Giriş yap veya üye ol.
ile birlikte kullanılmaktadır. Günümüzde ağların kompleks bir yapıya sahip olması, internet başta olmak üzere diğer ağlara birçok erişim noktası ile bağlı olması, siber saldırganların işlerini kolaylaştırmaktadır. Her geçen gün teknolojinin gelişimi ile artan ve gelişen saldırılara karşı karmaşık ağ sistemlerini önlemek zorlu bir hale gelmiştir. Artık şifreleme veya tek başında bir güvenlik duvarı ile verilerin korunması ve bilgi güvenliğinin sağlanması imkansız bir hale gelmiştir. Bugünkü teknoloji ve siber saldırılar göze alındığın da ağ trafiğinin devamlı olarak izlenmesi saldırı girişimlerinin gerçek zamanlı olarak tespitini zorunlu kılmaktadır.
Berqnet IPS ve IDS Sistemleri
Teknolojik olarak dünya üzerinde bilinen ve daha önceden kaydedilmiş saldırı tipleri Berqnet’in veritabanlarında toplanmakta ve sürekli olarak güncellenmektedir. Bu sayede Berqnet UTM ürünlerinize gelecek saldırıları sürekli olarak izleyebilmenize olanak sağlanır. IDS sadece analiz ve izleme sistemleridir. Herhangi bir engelleme özellikleri bulunmamaktadır. Berqnet’in IPS ve IDS özellikleri sayesinde ek bir cihaza gerek duymadan saldırı engelleme yapılabilir.
Berqnet IPS ayarlaması için arayüzümüz içerisindeki IPS / UYGF sekmesinin tıklayarak ulaşabilirsiniz. IPS Servisini aktif hale getirmek için sağ köşede bulunan çark şeklindeki butonu tıklamanız yeterli olacaktır. Ardından seçenekler bölümü içerisinden ‘’IPS (Saldırı engelleme) Aktif’’ seçeneğini işaretleyerek IPS servisini aktif hale getirdikten sonra alt kısımda ‘’Dinlemek istediğiniz arayüzü” seçerek IPS servisinin hangi arayüzlerde çalışacağını belirleyebilirsiniz. Dilerseniz engelleme yerine yalnızca “IDS (Saldırı Tespit)’’ seçeneği kullanarak sadece saldırıların tespiti ve raporlamasını sağlayabilirsiniz. IPS servisini aktif hale getirdikten sonra saldırı tespit ve engelleme sistemi varsayılan politaka ve imzalar ile aktif hale gelecektir.
IDS/IPS sistemleri şirket ağınızı sık sık monitör etmek, olası tehditleri tanımlamak ve bunlarla ilgili olay kayıtlarını tutmak, saldırıları durdurmak ve güvenlik yöneticilerine raporlamak gibi işlevlere sahiptir. Bu sistemler bazı durumlarda kurumların güvenlik politikalarındaki zayıflıkları ortaya çıkarmak için de kullanılabilmektedir. IDS/IPS aynı zamanda saldırganların ağla ilgili bilgi toplama faaliyetlerini algılayarak saldırganları bu erken aşamada da durdurabilme işlemini gerçekleştirebilirler.

 

[Yapay-Zeka]

Merhaba, verdiğiniz bilgilere göre IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) sistemleri arasındaki farkları ve çalışma mantıklarını ayrıntılı şekilde açıklamışsınız. IDS'in saldırıları tespit etmeyi amaçladığını, IPS'in ise saldırıları durdurma ve engelleme üzerine kurgulandığını belirtmişsiniz. Aynı zamanda yeni nesil Firewall cihazları ile bütünleşik olarak kullanılan IDS ve IPS sistemlerinin siber saldırılarla mücadelede önemli bir rol oynadığından bahsetmişsiniz.

IDS ve IPS sistemlerinin imza tabanlı ve kural tabanlı çalışma mantıklarını ele aldığınız açıklamalar da oldukça faydalı olmuş. Ayrıca, IDS'in network sensor ve server sensor gibi araçlar kullandığını ve ağ trafiği üzerinde anormalliklerin tespit edildiğini, IPS'in ise web geçitlerine konumlandırılarak zararlı trafiği engelleme yeteneğine sahip olduğunu vurgulamışsınız.

Çalışma prensiplerinden örnekler verirken, IDS ve IPS sistemlerinin güvenlik yöneticilerine uyarı gönderme, kötü amaçlı kodları tespit etme, zararlı bağlantıları kesme gibi önemli işlevlere sahip olduğunu belirtmişsiniz. Bu sistemlerin ağ trafiğini analiz ederken güvenlikle gizlilik, veri bütünlüğü ve erişilebilirliğin sağlanması gibi konulara da odaklandığınızı görebiliyorum.

Son olarak, Berqnet IPS ve IDS sistemlerinin veritabanları sayesinde sürekli olarak güncellenen saldırı tiplerini izleyerek siber saldırılara karşı proaktif bir güvenlik sağladığını belirtmişsiniz. Berqnet'in IPS ve IDS özellikleri sayesinde saldırı engelleme işlevleri ek bir cihaza gerek kalmadan kolayca gerçekleştirilebiliyor.

Verdiğiniz detaylı açıklamalardan, IDS ve IPS sistemlerinin saldırı tespiti ve engelleme üzerine ne kadar önemli olduklarını detaylı bir şekilde anladım. Teşekkürler!