Saldýrý tespit sistemleri (IDS-Intrusion Detection System) hakkýnda konuþmadan önce bu sistemlerin amacýný açýklayalým. Ana amaç aðýnýza yapýlan saldýrýlarý tespit etmek, bunlarýn baþarýlý olup olmadýðýný görmektir.
Saldýrý Tespit Sistemleri 4 ayrý bölüme ayrýlmaktadýr ve iki faktörün kombinasyonlarýdýrlar. Ýlk olarak bir sistem 'Aktif' yada 'Pasif' olabilir. Ýkincisi, 'Host tabanlý' yada 'Að tabanlý' olabilir. Bu ikisini birleþtirdiðimizde bir saldýrý tespit sistemi 'Aktif/Host tabanlý', 'Pasif/Host tabanlý', 'Aktif/Að tabanlý' yada 'Pasif/Að tabanlý'dýr. IDS`ler için daha baþka tanýmlamalarda yapýlabilir fakat Internet Security Sistems ( http://www.iss.net/ - www.iss.net ) tarafýndan ortaya atýlan bu model hepsini kapsýyor.
Bir sistemin Aktif olarak sýnýflandýrýlabilmesi için sistemin tespit edilen bir saldýrýya gerçek-zamanlý olarak (yada buna yakýn) cevap vermesi (güvenlik duvarý kurallarýný saldýrýya göre düzenlemek yada komut konsolunu saldýrý hakkýnda uyarmak gibi) gerekir. Pasif sistemler genelde aktiviteyi kayýt ederler ve daha sonraki bir tarihte incelenmek üzere saklarlar. Host tabanlý sistemler hedeflenen sistemler üzerinde bulunurlar. Að Tabanlý sistemler aðda, hedef ve saldýrgan arasýnda bir yerde bulunurlar ve akan trafiði saldýrý olup olmadýðýný tespit için dinlerler. Genelde að tabanlý sistemler ya DMZ (demilitarized zone) lerde bulunurlar, aðýn güvenlik duvarý ile servis saðlayýcý arasýnda yada güvenlik duvarý ile iç að arasýnda yada bunlarýn herhangi bir kombinasyonunda.
Saldýrý tespit sistemleri, baþlangýcýndan beri 'saldýrý izleri/iþaretleri' (attack signatures) fikrine dayanmaktadýr. Yani her saldýrýnýn kendini diðer saldýrýlardan ve normal að trafiðinden ayýran bazý izleri vardýr. Bu pek çok virüs tarayýcýsýnýn dizaynýna benzemektedir. Sistem trafiði tarar ve bilinen bir saldýrýnýnkine benzeyen bir iþaret gördüðünde neye ayarlanmýþsa onu yapar (sistem yöneticisine çaðrý mesajý göndermek, güvenlik duvarý kurallarýný güncellemek, konsolu haberdar etmek vs.).
Saldýrý tespit`te, sýk rastlanmayan, tanýnlamayan saldýrýlarý tespit olayý ise 'Anomaly Detection'dýr. Anomaly tespit sistemi ile að normalde bulunan trafik gözardý edilir ve normal trafikte bulunmayacak bit`ler að yöneticisinin dikkatine sunulur. Bunun belirli bazý avantajlarý vardýr.
Tam olarak 'Güvenli' bir sistem diye birþey olmadýðýný hepimiz biliyoruz. Bugün internet`e baðlý olan her makinenin güvenliði yenilgiye uðrayabilir. Bunun olmasýný engelleyen þeylerden biri sistemdeki açýklarýn daha keþfedilmemiþ olmasýdýr. Fakat onlar ordadýr. Peki, yeni bir güvenli açýðý bulununca ne olur? Açýðý bulan kiþi büyük ihtimalle açýktan yararlanmak için bir exploit kodu yazar. Bu kod bir süre için ya arkadaþlarla paylaþýlýr yada kendisine saklar. Doðal olarak bu kod bir süre sonra güvenlikle ilgilenen toplumun eline geçer ve bir yama hazýrlanýr. Þimdi, exploit kodu yazýlmasýyla bir yama hazýrlanana kadar egçen süre içinde Saldýrý Tespit Sistemleri ne kadar güvenilirdir? Hiç. Çünkü bir saldýrýyý tespit edebilmek için o saldýrýnýn aðda hedef sisteme yol alýrken neye benzediðini bilmek gerekir.
Benim bu yazýyla amaçladýðým aðýnýzdaki güvenliði görüntülemede alternatif bir yol sunmaktýr.
Bazý varsayýmlar yapalým:
A. Aðýnýza eriþmek isteyen birisini makinenin kablosunu çekmedikçe alýkoyamazsýnýz.
B. Güvenliðinizi saðlamak için sýnýrlý kaynaklarýnýz var (Hepimizin olduðu gibi).
Bu varsayýmlara göre neler yapabiliriz? Tabiki problemi çözmek için insan gücü ve kaynaklarý arttýrabilir, cluster yapýsýnda güvenlik duvarlarý satýn alýp kurabilir, saldýrý tespit sistemleri satýn alabilir ve aðdaki tüm makineleri güvenli hale getirmeye çalýþabilirsiniz. Fakat gerçekten neyi yapmayý ümit edebilirsiniz?
Yapabileceðiniz en iyi þey sistemlere giriþi, saldýrganýn düþündüðünden daha uzun süre uðraþmasýný saðlayacak kadar zorlaþtýrmak olabilir. Ýkinci olarak aðýnýzda güvenlik açýðý buludurabilecek servisleri tespit için bir zayýflýk taramasý yapabilirsiniz. Ve üçüncü olarak güvenlik açýðý içerebilecek olan makinelere eriþimi, aktif yada pasif olarak engelleyecek þekilde önlemler alabilirsiniz.
Bunu nasýl yapabilirsiniz. Tüm að trafiðini nasýl sorguluyabilirsiniz, hatta dün yazýlmýþ exploit`leri. Anomaly Detection ile.
Etkili bir Anomaly tespit sistemini herhangi bir linux platformu üzerine basit ücretsiz yazýlýmlar ve az deðiþiklikler yaparak kurmak mümkün. Bu araçlar, ipchains/ipfwadm, portsentry, logcheck, gnumeric ve bir eposta adresi. Sistemin çalýþmasý þöyle:
Her sistemde, ipchains/ipfwadm dinlenmeyen portlara giden trafiði kaydedecek þekilde ayarlý. Eðer bu bir web suncusu ise ve ssh kullanýyorsanýz, ipchains 22/tcp ve 80/tcp haricindeki tüm portlara giden paketleri loglasýn. Portsentry yi logcheck`i çalýþtýrcak þekilde ayarlayýn. portsentry -actp kullanýn. Logcheck`i alýþýlmadýk aktivitelerde epost adresinize mesaj atacak þekilde ayarlayýn. Gnumeric yada diðer bir spreadsheet programý ile her makinada kötü amaçlý trafiðin kayýtlarýný tutun. IP adresi, aktivitenin tarih ve saati, kullanýlan portlar (kaynak port dahil) saldýrganýn IPsinin hostname`i, kontak bilgileri ve IP`nin sahipleri gibi bilgileri tutun.
Bu sistem ile aðýnýza giren ve aðýnýza ait olmayan her paketi izlemiþ olacaksýnýz. Her pakedi. Bir düþünün, saldýrganýn sistemlerinize girebilmesi için hangi servislerin çalýþtýðýný, kullanýlan iþletim sistemlerini vs bilmesi gerekiyor. Onun hýzýný yavaþlatýn, olanlarý görebilin ve karþýlýk verebilecek zamanýnýz olsun. Karþýlýðý tabiki size býrakýyorum..