Anomaly Detection Sistemleri

Saldırı tespit sistemleri (IDS-Intrusion Detection System) hakkında konuşmadan önce bu sistemlerin amacını açıklayalım. Ana amaç ağınıza yapılan saldırıları tespit etmek, bunların başarılı olup olmadığını görmektir. 
Saldırı Tespit Sistemleri 4 ayrı bölüme ayrılmaktadır ve iki faktörün kombinasyonlarıdırlar. İlk olarak bir sistem 'Aktif' yada 'Pasif' olabilir. İkincisi, 'Host tabanlı' yada 'Ağ tabanlı' olabilir. Bu ikisini birleştirdiğimizde bir saldırı tespit sistemi 'Aktif/Host tabanlı', 'Pasif/Host tabanlı', 'Aktif/Ağ tabanlı' yada 'Pasif/Ağ tabanlı'dır. IDS`ler için daha başka tanımlamalarda yapılabilir fakat Internet Security Sistems (www.iss.net) tarafından ortaya atılan bu model hepsini kapsıyor. 
Bir sistemin Aktif olarak sınıflandırılabilmesi için sistemin tespit edilen bir saldırıya gerçek-zamanlı olarak (yada buna yakın) cevap vermesi (güvenlik duvarı kurallarını saldırıya göre düzenlemek yada komut konsolunu saldırı hakkında uyarmak gibi) gerekir. Pasif sistemler genelde aktiviteyi kayıt ederler ve daha sonraki bir tarihte incelenmek üzere saklarlar. Host tabanlı sistemler hedeflenen sistemler üzerinde bulunurlar. Ağ Tabanlı sistemler ağda, hedef ve saldırgan arasında bir yerde bulunurlar ve akan trafiği saldırı olup olmadığını tespit için dinlerler. Genelde ağ tabanlı sistemler ya DMZ (demilitarized zone) lerde bulunurlar, ağın güvenlik duvarı ile servis sağlayıcı arasında yada güvenlik duvarı ile iç ağ arasında yada bunların herhangi bir kombinasyonunda. 
Saldırı tespit sistemleri, başlangıcından beri 'saldırı izleri/işaretleri' (attack signatures) fikrine dayanmaktadır. Yani her saldırının kendini diğer saldırılardan ve normal ağ trafiğinden ayıran bazı izleri vardır. Bu pek çok virüs tarayıcısının dizaynına benzemektedir. Sistem trafiği tarar ve bilinen bir saldırınınkine benzeyen bir işaret gördüğünde neye ayarlanmışsa onu yapar (sistem yöneticisine çağrı mesajı göndermek, güvenlik duvarı kurallarını güncellemek, konsolu haberdar etmek vs.). 
Saldırı tespit`te, sık rastlanmayan, tanınlamayan saldırıları tespit olayı ise 'Anomaly Detection'dır. Anomaly tespit sistemi ile ağ normalde bulunan trafik gözardı edilir ve normal trafikte bulunmayacak bit`ler ağ yöneticisinin dikkatine sunulur. Bunun belirli bazı avantajları vardır. 
Tam olarak 'Güvenli' bir sistem diye birşey olmadığını hepimiz biliyoruz. Bugün internet`e bağlı olan her makinenin güvenliği yenilgiye uğrayabilir. Bunun olmasını engelleyen şeylerden biri sistemdeki açıkların daha keşfedilmemiş olmasıdır. Fakat onlar ordadır. Peki, yeni bir güvenli açığı bulununca ne olur? Açığı bulan kişi büyük ihtimalle açıktan yararlanmak için bir exploit kodu yazar. Bu kod bir süre için ya arkadaşlarla paylaşılır yada kendisine saklar. Doğal olarak bu kod bir süre sonra güvenlikle ilgilenen toplumun eline geçer ve bir yama hazırlanır. Şimdi, exploit kodu yazılmasıyla bir yama hazırlanana kadar egçen süre içinde Saldırı Tespit Sistemleri ne kadar güvenilirdir? Hiç. Çünkü bir saldırıyı tespit edebilmek için o saldırının ağda hedef sisteme yol alırken neye benzediğini bilmek gerekir. 
Benim bu yazıyla amaçladığım ağınızdaki güvenliği görüntülemede alternatif bir yol sunmaktır. 
Bazı varsayımlar yapalım: 
A. Ağınıza erişmek isteyen birisini makinenin kablosunu çekmedikçe alıkoyamazsınız. 
B. Güvenliğinizi sağlamak için sınırlı kaynaklarınız var (Hepimizin olduğu gibi). 
Bu varsayımlara göre neler yapabiliriz? Tabiki problemi çözmek için insan gücü ve kaynakları arttırabilir, cluster yapısında güvenlik duvarları satın alıp kurabilir, saldırı tespit sistemleri satın alabilir ve ağdaki tüm makineleri güvenli hale getirmeye çalışabilirsiniz. Fakat gerçekten neyi yapmayı ümit edebilirsiniz? 
Yapabileceğiniz en iyi şey sistemlere girişi, saldırganın düşündüğünden daha uzun süre uğraşmasını sağlayacak kadar zorlaştırmak olabilir. İkinci olarak ağınızda güvenlik açığı buludurabilecek servisleri tespit için bir zayıflık taraması yapabilirsiniz. Ve üçüncü olarak güvenlik açığı içerebilecek olan makinelere erişimi, aktif yada pasif olarak engelleyecek şekilde önlemler alabilirsiniz. 
Bunu nasıl yapabilirsiniz. Tüm ağ trafiğini nasıl sorguluyabilirsiniz, hatta dün yazılmış exploit`leri. Anomaly Detection ile. 
Etkili bir Anomaly tespit sistemini herhangi bir linux platformu üzerine basit ücretsiz yazılımlar ve az değişiklikler yaparak kurmak mümkün. Bu araçlar, ipchains/ipfwadm, portsentry, logcheck, gnumeric ve bir eposta adresi. Sistemin çalışması şöyle: 
Her sistemde, ipchains/ipfwadm dinlenmeyen portlara giden trafiği kaydedecek şekilde ayarlı. Eğer bu bir web suncusu ise ve ssh kullanıyorsanız, ipchains 22/tcp ve 80/tcp haricindeki tüm portlara giden paketleri loglasın. Portsentry yi logcheck`i çalıştırcak şekilde ayarlayın. portsentry -actp kullanın. Logcheck`i alışılmadık aktivitelerde epost adresinize mesaj atacak şekilde ayarlayın. Gnumeric yada diğer bir spreadsheet programı ile her makinada kötü amaçlı trafiğin kayıtlarını tutun. IP adresi, aktivitenin tarih ve saati, kullanılan portlar (kaynak port dahil) saldırganın IPsinin hostname`i, kontak bilgileri ve IP`nin sahipleri gibi bilgileri tutun. 
Bu sistem ile ağınıza giren ve ağınıza ait olmayan her paketi izlemiş olacaksınız. Her pakedi. Bir düşünün, saldırganın sistemlerinize girebilmesi için hangi servislerin çalıştığını, kullanılan işletim sistemlerini vs bilmesi gerekiyor. Onun hızını yavaşlatın, olanları görebilin ve karşılık verebilecek zamanınız olsun. Karşılığı tabiki size bırakıyorum.. 
Saygılar. 

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Anomaly Detection Sistemleri GÃ¶nderim ZamanÄ±: 29-03-2011 Saat 12:41
	Saldırı tespit sistemleri (IDS-Intrusion Detection System) hakkında konuşmadan önce bu sistemlerin amacını açıklayalım. Ana amaç ağınıza yapılan saldırıları tespit etmek, bunların başarılı olup olmadığını görmektir. Saldırı Tespit Sistemleri 4 ayrı bölüme ayrılmaktadır ve iki faktörün kombinasyonlarıdırlar. İlk olarak bir sistem 'Aktif' yada 'Pasif' olabilir. İkincisi, 'Host tabanlı' yada 'Ağ tabanlı' olabilir. Bu ikisini birleştirdiğimizde bir saldırı tespit sistemi 'Aktif/Host tabanlı', 'Pasif/Host tabanlı', 'Aktif/Ağ tabanlı' yada 'Pasif/Ağ tabanlı'dır. IDS`ler için daha başka tanımlamalarda yapılabilir fakat Internet Security Sistems (www.iss.net) tarafından ortaya atılan bu model hepsini kapsıyor. Bir sistemin Aktif olarak sınıflandırılabilmesi için sistemin tespit edilen bir saldırıya gerçek-zamanlı olarak (yada buna yakın) cevap vermesi (güvenlik duvarı kurallarını saldırıya göre düzenlemek yada komut konsolunu saldırı hakkında uyarmak gibi) gerekir. Pasif sistemler genelde aktiviteyi kayıt ederler ve daha sonraki bir tarihte incelenmek üzere saklarlar. Host tabanlı sistemler hedeflenen sistemler üzerinde bulunurlar. Ağ Tabanlı sistemler ağda, hedef ve saldırgan arasında bir yerde bulunurlar ve akan trafiği saldırı olup olmadığını tespit için dinlerler. Genelde ağ tabanlı sistemler ya DMZ (demilitarized zone) lerde bulunurlar, ağın güvenlik duvarı ile servis sağlayıcı arasında yada güvenlik duvarı ile iç ağ arasında yada bunların herhangi bir kombinasyonunda. Saldırı tespit sistemleri, başlangıcından beri 'saldırı izleri/işaretleri' (attack signatures) fikrine dayanmaktadır. Yani her saldırının kendini diğer saldırılardan ve normal ağ trafiğinden ayıran bazı izleri vardır. Bu pek çok virüs tarayıcısının dizaynına benzemektedir. Sistem trafiği tarar ve bilinen bir saldırınınkine benzeyen bir işaret gördüğünde neye ayarlanmışsa onu yapar (sistem yöneticisine çağrı mesajı göndermek, güvenlik duvarı kurallarını güncellemek, konsolu haberdar etmek vs.). Saldırı tespit`te, sık rastlanmayan, tanınlamayan saldırıları tespit olayı ise 'Anomaly Detection'dır. Anomaly tespit sistemi ile ağ normalde bulunan trafik gözardı edilir ve normal trafikte bulunmayacak bit`ler ağ yöneticisinin dikkatine sunulur. Bunun belirli bazı avantajları vardır. Tam olarak 'Güvenli' bir sistem diye birşey olmadığını hepimiz biliyoruz. Bugün internet`e bağlı olan her makinenin güvenliği yenilgiye uğrayabilir. Bunun olmasını engelleyen şeylerden biri sistemdeki açıkların daha keşfedilmemiş olmasıdır. Fakat onlar ordadır. Peki, yeni bir güvenli açığı bulununca ne olur? Açığı bulan kişi büyük ihtimalle açıktan yararlanmak için bir exploit kodu yazar. Bu kod bir süre için ya arkadaşlarla paylaşılır yada kendisine saklar. Doğal olarak bu kod bir süre sonra güvenlikle ilgilenen toplumun eline geçer ve bir yama hazırlanır. Şimdi, exploit kodu yazılmasıyla bir yama hazırlanana kadar egçen süre içinde Saldırı Tespit Sistemleri ne kadar güvenilirdir? Hiç. Çünkü bir saldırıyı tespit edebilmek için o saldırının ağda hedef sisteme yol alırken neye benzediğini bilmek gerekir. Benim bu yazıyla amaçladığım ağınızdaki güvenliği görüntülemede alternatif bir yol sunmaktır. Bazı varsayımlar yapalım: A. Ağınıza erişmek isteyen birisini makinenin kablosunu çekmedikçe alıkoyamazsınız. B. Güvenliğinizi sağlamak için sınırlı kaynaklarınız var (Hepimizin olduğu gibi). Bu varsayımlara göre neler yapabiliriz? Tabiki problemi çözmek için insan gücü ve kaynakları arttırabilir, cluster yapısında güvenlik duvarları satın alıp kurabilir, saldırı tespit sistemleri satın alabilir ve ağdaki tüm makineleri güvenli hale getirmeye çalışabilirsiniz. Fakat gerçekten neyi yapmayı ümit edebilirsiniz? Yapabileceğiniz en iyi şey sistemlere girişi, saldırganın düşündüğünden daha uzun süre uğraşmasını sağlayacak kadar zorlaştırmak olabilir. İkinci olarak ağınızda güvenlik açığı buludurabilecek servisleri tespit için bir zayıflık taraması yapabilirsiniz. Ve üçüncü olarak güvenlik açığı içerebilecek olan makinelere erişimi, aktif yada pasif olarak engelleyecek şekilde önlemler alabilirsiniz. Bunu nasıl yapabilirsiniz. Tüm ağ trafiğini nasıl sorguluyabilirsiniz, hatta dün yazılmış exploit`leri. Anomaly Detection ile. Etkili bir Anomaly tespit sistemini herhangi bir linux platformu üzerine basit ücretsiz yazılımlar ve az değişiklikler yaparak kurmak mümkün. Bu araçlar, ipchains/ipfwadm, portsentry, logcheck, gnumeric ve bir eposta adresi. Sistemin çalışması şöyle: Her sistemde, ipchains/ipfwadm dinlenmeyen portlara giden trafiği kaydedecek şekilde ayarlı. Eğer bu bir web suncusu ise ve ssh kullanıyorsanız, ipchains 22/tcp ve 80/tcp haricindeki tüm portlara giden paketleri loglasın. Portsentry yi logcheck`i çalıştırcak şekilde ayarlayın. portsentry -actp kullanın. Logcheck`i alışılmadık aktivitelerde epost adresinize mesaj atacak şekilde ayarlayın. Gnumeric yada diğer bir spreadsheet programı ile her makinada kötü amaçlı trafiğin kayıtlarını tutun. IP adresi, aktivitenin tarih ve saati, kullanılan portlar (kaynak port dahil) saldırganın IPsinin hostname`i, kontak bilgileri ve IP`nin sahipleri gibi bilgileri tutun. Bu sistem ile ağınıza giren ve ağınıza ait olmayan her paketi izlemiş olacaksınız. Her pakedi. Bir düşünün, saldırganın sistemlerinize girebilmesi için hangi servislerin çalıştığını, kullanılan işletim sistemlerini vs bilmesi gerekiyor. Onun hızını yavaşlatın, olanları görebilin ve karşılık verebilecek zamanınız olsun. Karşılığı tabiki size bırakıyorum.. Saygılar.
	WHİTE HAT BEYAZ ŞAPKA (BİLGİ NEFERİ)