IPS ve IDS Nedir?

SIBER GÜVENLIK - Mayıs 26, 2023

Saldırı Tespit Sistemleri ( IDS ) ve Saldırı Önleme Sistemleri ( IPS ), ağ yöneticilerinin siber saldırıları belirlemek için kullandığı iki araçtır. IDS ve IPS araçlarının her ikisi de çevrimiçi tehditleri keşfetmek için kullanılır, ancak nasıl çalıştıkları ve ne yaptıkları arasında belirgin bir fark vardır.

IDS Nedir?

 

IDS saldırı tespit sistemi olarak adlandırılan temelde ve bir ağı izleyip güvenlik açıkları ve saldırıları tespit etmek üzere kurgulanmış yazılım veya donanım şeklinde çalışan siber güvenlik sistemidir. IPS sistemi ile kombine bir şekilde veya ayrı olacak şekilde kurgulanabilir. Her iki sistemde güvenlik duvarının arkasında kurgulanmaktadır.

IDS sisteminin bir yazılım veya kişiden kaynaklanan saldırıları tespit etmek, bunları rapor etmek, gelecekte kanıt oluşturacak şekilde kaydetmek, zarar görmüş sistemleri karantinaya almak gibi işlevleri vardır. Bunun yanında mevcut saldırıları ve saldırı modellerini kaydederek gelecekteki saldırıların tespitini kolaylaştırmaya çalışır.



IDS Türleri Nelerdir?

 

Anomaly Based IDS

Bir ağ üzerindeki normal çalışma sisteminin dışında gerçekleşen anormal durumları izlemek üzerine kurulmuştur. Önceden belirlenmiş bir davranış modeli olmasa bile sistemde normal olarak değerlendirilmiş hareketler haricindeki olayları anormal diye nitelendirir. Yanlış negatif alarm verme durumu oldukça fazla olsa da tanımlanmamış saldırıları yakalamanın önemli bir yoludur.

Signature Based IDS

İmza bazlı yani daha önceden bilinen ve belirtilmiş kurallar ve davranışlar çerçevesinde çalışan saldırı önleme sistemidir. Olumsuz yanı ise daha önceden belirlenmemiş saldırı modellerini yakalayamamasıdır.

Protocol Decode Based IDS

RFC’ler telefondan tanımlanan protokol ihlallerini taramak üzere kurulmuş bir sistemdir. Protokollerin iyi tanımlanması durumunda güvenli bir çalışma ortamı sağlarlar.

Pattern Matching Analysis

İnternet bağlantılı noktalarında ki veri akışlarını ve paketlerini inceleyen bir analiz sistemidir. Hedef ve kaynak arasındaki bağlantı noktalarını ilişkilendirerek tarama yapar. Klasik bağlantı noktaları dışında gerçekleşen saldırıları tespit etmekte zorlanabilir.

Heuristic Based Analysis

Sistem kaynaklarını yoğun bir şekilde tüketen Bir analiz modeli olması haricinde sezgisel çalışan bir saldırı önleme sistemidir. İmzanın tetiklenir tetiklenmeyeceğini sezgisel olarak belirler.

IDS’in Avantajları Nelerdir?

 

– Güvenlik tehditlerini tespit eder: IDS, ağdaki trafiği izleyerek tehditleri tespit edip önceden önlem alınmasını sağlar.

– Güvenlik zafiyetlerini tespit eder: IDS, ağdaki bilgisayar sistemlerinin güvenlik açıklarını belirleyerek bunların giderilmesini sağlar.

– Veri kaybını önler: IDS, ağdaki veri sızıntılarını tespit ederek veri kaybını önlemeye yardımcı olur.

– Ağ performansını artırır: IDS, ağdaki gereksiz trafiği filtreleyerek ağ performansını artırır.

– Mevzuat uyumunu sağlar: ISO 27001 gibi standartlar ve 5651 gibi yasalar, ağlarda güvenlik önlemleri alınmasını gerektirir. IDS, bu kurallara uyum sağlamayı kolaylaştırır.

IDS’in Dezavantajları Nelerdir?

Olmaması Gereken (False Positive) Tespit: Eğer IDS kurallarınızda neyin kötü niyetli bir etkinlik olacağı konusunda detaylı bir kurguya sahip değilse normal bir trafiği saldırı olarak algılayabilir.

Olması Gereken (False Negative) Tespit: Yeni ve karmaşık saldırı teknikleriyle karşı karşıya kalındığında IDS bazen bu saldırıları tespit edemeyebilir. Bu nedenle IDS çözümlerinin ve kurguların düzenli olarak güncelleştirilmesi önemlidir.

IDS çözümlerinizi tercih ederken yeni tehditleri öğrenebilme ve kötü niyetli bağlantıları hızlı bir şekilde tespit edilebilme yeteneğine sahip olmasına dikkat etmenizi öneririz.

IPS Nedir?

IPS (saldırı tespit önleme sistemi veya IDPS olarak da bilinir), açıklardan yararlanmaları algılamak ve bunlara yanıt vermek için ağ trafiği içeriğini analiz eden bir yazılım platformudur.

Günümüzde IPS çözümlerin büyük çoğunluğu IDS yeteneğine de sahip olduğu için, artık hemen hemen tüm IPS çözümlerinde IDS kurallar ve saldırı/zafiyet tespit imkanı da mevcuttur.

Firewall üzerinden port erişim kısıtlamaları, antivirüs programı kullanımı gibi geleneksel güvenlik önlemleri gerçek zamanlı koruma için yetersiz gelebilir. Türkçe karşılığı “Saldırı Önleme Sistemi” olan IPS, bu önlemlere ek olarak içinde gömülü IDS kuralları ile zararlı trafik yaratan kaynakları tespit ederek, ağa erişimini engelleyebilir. Bu engellemeler, terspit edilen anlık bağlantının ve paketlerin drop edilmesi, belli süreli (örn 16 gün) erişim engelleme veya kalıcı bloke (permanent ban) uygulamaları olabilir.

IPS Türleri Nelerdir?

 

Network Based Intrusion Prevention (NIPS)

Network bazlı saldırı önleme sistemi NIPS tüm ağ üzerinde meydana gelen şüpheli hareketleri tespit edip önlemek üzerine kullanılan saldırı önlemi sistemidir.

Wireless Intrusion Prevention Systems (WIPS)

Kablosuz ağa saldırı önleme sistemi WIPS, kablosuz ağ protokolü izlenerek şüpheli hareketleri tespit etmek üzere kurulmuş saldırı önleme sistemidir.

Host Based Intrusion Prevention (HIPS)

Ana makine üzerine yoğunlaşan saldırıları önlemek için kurulmuş bir sistemdir. Temel olarak ana makine koruma altına alınır.

Network Behavior Analysis (NBA)

Normalde ağlar standart bazı davranışlar ile kullanılır. Bu standartların dışındaki hareketler şüphe ile yaklaşılması gereken hareketlerdir. Ağ üzerindeki hareketleri izleyerek, anormal durumların analiz edilmesi ve bu sayede saldırıların önceden tespit edilmesi için kurulmuş bir sistemdir.

IDS’e sahip IPS Çözümlerin Avantajları Nelerdir?

Kesintisiz koruma sağlar: Ağ trafiğini sürekli izleyerek potansiyel tehditleri analiz eder ve müdahale eder. Bu sayede ağ bağlantılarında kesinti yaşanma riski en aza indirgenir.

Hızlı müdahale eder: Tehditleri anlık olarak tespit eder ve anında müdahale eder.

Ağ güvenliğinde önemli bir rol oynar: Ağda yaşanabilecek çoğu tehdit IPS tarafından tespit ederek önleyebilir. Bu sayede ağ içerisinde yaşanabilecek riskler en aza indirgenir.

Özelleştirme yapılabilir: Network altyapınıza özel güvenlik politikaları kurulabilir.

Operasyon zamanı ve maliyetlerinde tasarruf sağlar: Ağda yaşanabilecek tehditleri hızlı bir şekilde tespit ederek çözümleyebildiği için hem zaman hem de IT operasyon maliyetlerinde tasarruf sağlar.

Mevzuat uyumunu sağlar: IDS gibi ağ güvenliğine ihtiyaç duyan IPS’de ISO, PCI DSS gibi standartlara ve 5651 sayılı kanun gibi mevzuatlara uygundur.

IPS’in Dezavantajları Var mı? Varsa Nelerdir?

Performans Sorunları: Eğer yüksek bant genişliğine sahipseniz, cihazınızın veya yazılımınızın ihtiyaç duyacağı kaynaklar da artacaktır. Bu da çözümdeki maliyetinizi artırır.

Olmaması Gereken (False Positive) ve Olması Gereken (False Negative) Tespit: Hatalı tespitler en büyük engel sayılabilir. Bu nedenle IPS yapısını kurarken uzman desteği alarak detaylı kurgulanması gerekir.

 

İLGİLİ HABER

Doxing Nedir, Nasıl Korunabiliriz?
İncele
https://www.multiyazilim.com
Subscribe
Bildir
guest

0 Yorum
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x