|
Atak Tesbit Sistemleri, diðer adý ile IDS'ler, güvenlik uzmanýnýn araçlarý içindeki en önemli bileþen haline gelmektedir. Buna raðmen, bir çok güvenlik uzmaný hala IDS'lerin ne olduðu, ne iþ yaptýklarý, nasýl kullanýldýklarý ya da neden ihtiyacýmýz olduðu hakkýnda bilgi sahibi deðildir. Bu makalede, IDS'lerin ne olduðu, fonksiyonlarýnýn neler olduðu ve farklý IDS çalýþtýrma metotlarýný da içerecek þekilde, IDS'lerin tipleri ve IDS'ler ile ilgili bir ön bilgi bulabileceksiniz.
IDS Genel
Özetlemek gerekirse, IDS'ler, isimlerinden de anlaþýlacaðý gibi; muhtemel ataklarý tesbit eden araçlardýr. Daha da açmak gerekirse, IDS araçlarý, bilgisayar saldýrýlarýný ve/veya suiistimallerini tesbit etmek ve tesbit üzerine doðru kiþiyi ikaz etmek amaçlý sistemlerdir. IDS yüklü bir network, bir evdeki hýrsýz alarmý sistemi ile ayný amaca sahiptir. Birçok deðiþik metot ile, her denetleme sonucunda saldýrgan/hýrsýz tesbit edilirse durumu bildiren deðiþik tipte ikazlar yapýlýr. Bununla birlikte IDS sistemleri, network'den giden ve network'e gelen bilgilerin regule edilmesi amacýyla firewall sistemleri ile birlikte kurulmuþ olabilir, iki sistemin görevi ayný olarak algýlanmamalýdýr. Bir önceki örnekten yola çýkýlýrsa, firewall, evin önünde durmakta olan güvenlik görevlisine benzetilebilir. IDS araçlarý network'ün saldýrý altýnda ya da network'e sýzma olduðunu tesbit edip etmediðine bakmadan Firewall araçlarý ataklarý engellemeye teþebbüs edecektir. IDS araçlarý bu sebeple güvenlik sistemini tamamlayan önemli parçalardan biridir. Güvenliði tamamen garanti etmezler, ancak güvenlik politikalarý, zayýflýk tesbitleri, veri þifreleme, kullanýcý yetkilendirmeleri ve firewall'lar ile birlikte kullanýldýklarýnda, yüksek network emniyetini saðlayabilirler.
IDS'ler 3 ilgili güvenlik fonksiyonu sunmaktadýr: izleme, tesbit ve kurum içi ya da dýþý yetkisiz ataklara cevap. Eðer bir durum, alarm olarak tesbit edilmiþ ise, IDS'ler kati olarak tanýmlanmýþ durumlar için politikalar kullanýrlar. Baþka bir ifade ile, eðer olaðandýþý bir durumun güvenlik hadisesi oluþturduðu düþünülüyorsa ve bu olay tesbit edilmiþse ikaz verilecektir. Bazý IDS sistemleri dýþa alarm gönderim özelliðine de sahiptir, bundan dolayý IDS'in yöneticisi bir form, email ya da SNMP trap aracýlýðý ile bir muhtemel güvenlik hadisesinin raporunu/ikazýný alacaktýr. Bir çok IDS sistemi sadece ilgili ikaz vermek üzere o olaðan dýþý güvenlik hadisesini tanýmakla kalmaz, ayrýca duruma otomatik olarak cevap verir. Bazý cevaplar kullanýcýyý log-off yapmayý, kullanýcý hesabýný kapatmayý ve script'leri kullaným dýþý býrakmayý içerebilir.
Neden IDS'e Ýhtiyaç Duyarýz?
Networkler üzerinde gerçekleþen güvenlik hadiselerinin çoðu (Bir çok tahmine göre %85 e kadar) network'ün içinden gelmektedir. Bu tip ataklar yetkili kullanýcýlardan kaynaklanýyor olabilir ki bu kullanýcýlarda hayal kýrýklýðýna uðramýþ þirket personeli olabilmektedir. Dýþarýdan gelen notlarda genelde bir DoS saldýrýsý ya da network altyapýsýný zorlama raporlarý görünmektedir. IDS sistemleri sadece proaktif anlamda tesbit ve içerden ya da dýþarýdan gelen tehlikelere karþý verilen cevaplarý barýndýrýr. IDS'ler, “ bir network firewall sisteminin mantýksal tamamlayýcýsý” anlamýnda güvenlik altyapýsýnýn önemli ve gerekli elemanlarýdýr. Basit bir ifade ile, IDS araçlarý networklerin tamamen denetimine ve, durumlar karþýsýnda güvenlik hadisesinin kendisi ile durumun kaynaðýna kadar uzanan bir açýklama getirecek þekilde bilgilendirme saðlayan hareketlerin yapýlmasýna olanak tanýyan araçlardýr.
Araþtýrmalar göstermektedir ki neredeyse tüm büyük firmalar ve orta ölçekli kuruluþlar IDS sistemlerinden herhangi birini sistemlerine kurmaktadýr. Þubat 2000'de Amazon.com ve E-bay gibi on-line satýþ ve e-ticaret sitelerine ( ve diðerlerine de) karþý yapýlan DoS saldýrýlarý etkili bir IDS sitemi gereksinimi için örnek teþkil etmiþtir. Bununla birlikte, çok açýktýr ki güvenlik hadiselerinin yoðunlaþmasý Internet üzerinde baðýmsýz bir oluþumun, savunma hattý anlamýnda herhangi bir çeþit IDS sistemine sahip olmasýný gerektirmektedir. Network saldýrý ve sýzmalarý finansal, politik, askeri ya da kiþisel sebepler tarafýndan motive edilebilir, bu sebeple hiçbir kurum dokunulmaz deðildir. Gerçekçi olmak gerekirse, bir network'e sahip iseniz, potansiyel olarak hedefsiniz ve herhangi çeþit bir IDS sistemini kurmanýz gerekmektedir.
Atak Tesbiti Nedir?
Daha önceden ifade edildiði gibi, atak tesbiti, network ya da bilgisayarlarýn, giriþ, aktivite veya dosya modifikasyonu gibi yetkisiz iþlemler için izlenmesi sürecidir. IDS ayrýca, eðer sistem DoS gibi saldýrýlar tarafýndan hedef haline gelmiþ ise, tesbit iþlemi vasýtasý ile network trafiðini izlemek içinde kullanýlabilir. Atak tesbitinin 2 temel tipi bulunmaktadýr: host-tabanlý ve network-tabanlý. Her biri verilerin güvenliði ve izlenmesi ile ilgili farklý yaklaþýmlar sunar ve her ikisinin de avantaj ve dezavantajlarý mevcuttur. Kýsaca, network tabanlý IDS'ler incelenmiþ datalarý bilgisayarlar arasýnda deðiþtirirken, host-tabanlý IDS'ler verileri ayrý bir bilgisayarda inceler, tutar ve host þeklinde sunar.
Host-Tabanlý IDS (HIDS)
Host-tabanlý sistemler geliþtirilmiþ ve uygulanmýþ olan ilk IDS tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal olarak veri taþýyan hostlardan verileri toplar ve analiz ederler. Bu veriler gönderilecek bilgisayar için toplandýðýnda, lokal olarak ve/veya ayrý bir analiz bilgisayarýnda analiz edilirler. Host-tabanlý programlara örnek olarak sistem üzerinde çalýþan ve iþletim sistemi ya da uygulamalarýn denetleme raporlarýný toplayan yazýlýmlar verilebilir.
Bu programlar sistemlere sýzan ve suiistimal edenlerin tesbiti için oldukça kullanýþlýdýr.Kendi güvenli network sistemleri tarafýnda bulunanlar, yetkilendirilmiþ network kullanýcýlarýna oldukça yakýn durumdadýrlar. Eðer bu kullanýcýlardan biri yetkisiz bir aktivite giriþiminde bulunursa, host-tabanlý sistemler genellikle en uygun olan veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak, host-tabanlý sistemler yetkisiz dosya modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise host-tabanlý sistemler oldukça hantaldýr.Büyük networkler deki binlerce çeþit muhtemel bitiþ noktasýndan, her ayrý makineden her ayrý bilgisayar için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir.
Buna ilaveten, eðer saldýrgan herhangi bir bilgisayar üstüne veri toplamayý pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadýðý için kullanýlmaz hale gelecektir. Uygun host-tabanlý IDS sistem uygulamalarý, Windows NT/2000 Güvenlik Durum Loglarýný, RDMS denetleme kaynaklarýný, Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarýný kendi ham formlarýnda ya da Solaris'in BSM'lerinde olduðu gibi kendi güvenli formlarýnda tutarlar; RealSecure, ITA, Squire, ve Entercept gibi ürünlerine kapsayan host-tabanlý ticari ürünlerde az bulunmaktadýr.
Network-Tabanlý IDS (NIDS)
Özel networkler üzerinde gerçekleþen aktiviteleri izleme iþlemine karþý, Network-tabanlý IDS sistemleri gerçek network dýþýna gidip gelen veri paketlerini analiz etmektedir. Bu paketler incelenir ve bazý zamanlarda, iyi ya da kötü niyetli olarak tiplerinin belirlenmesi amacý ile karþýlaþtýrýlýrlar.
Çünkü IDS'ler bir tek host'tan ziyade tüm network'ü izlemekle sorumludur, Network-tabanlý IDS sistemleri, host-tabanlý IDS'lere göre daha fazla paylaþtýrýlmýþtýr. Yazýlým, ya da bazý durumlarda cihaz olarak, network'e baðý bir yada birkaç sistem içinde konumlanýr ve, network paketleri gibi verileri analiz etmek için kullanýlýr.Bilgisayar tarafýnda bulunan orijinal bilgileri analiz etmek yerine, network-tabanlý IDS sistemleri, network dýþýna gidip gelen verileri TCP/IP ya da diðer protokollerden çekmek için paket dinleme ( sniffing) benzeri bir teknik kullanýrlar. Bilgisayarlar arasý bu tip bir gözetim baðlantýsý, network tabanlý IDS sistemlerinin güvenilir dýþ networklerden gelebilecek giriþ isteklerinin denetlenmesinde baþarýlý olmasýný saðlamaktadýr. Genel anlamda network-tabanlý sistemler aþaðýda belirtilen aktiviteleri tesbit etmekte en iyi yöntemdir:
Yetkilendirilmemiþ Yabancý Giriþler: Yetkilendirilmemiþ bir kullanýcý baþarýlý olarak log-in olur ya da buna teþebbüs ederse, bunlarý izlemenin en iyi yöntemi host_tabanlý IDS'lerdir. Ancak, yetkilendirilmemiþ kullanýcýyý log-in olmadan önce tesbit etmek için network-tabanlý IDS'ler en iyi yoldur.
Bandwidth çalýnmasý/servisin engellenmesi: Bu ataklar network dýþýndan gelen ve network kaynaklarýný suiistimal etmek ya da aþýrý yüklemek amacý ile yapýlýr. Bu ataklar paketler vasýtasý ile taþýndýðý/baþlatýldýðý için, ataklar hakkýnda haberdar olmanýn en iyi yolu network-tabanlý IDS'lerdir.
HIDS ve NIDS Kombine Kullanýmý
Belirli olarak birbirinden ayrýlmýþ 2 tip IDS sistemi bulunmakla birlikte, biri diðerini tamamlamaktadýr.Host-tabanlý network mimarilerine temsilci ( ajan)-tabanlý IDS'ler denir ve bunun anlamý ise; yazýlýmýn temsilcisi her hostta konumlanýr ve sistem tarafýndan yönetilir demektir. Buna ilaveten, çok etkili host-tabanlý IDS sistemleri, güvenlik yönetiminin esnekliðini saðlamak ve için gerçek zamanlý ve planlý olarak sistem denetleme izlerini toplamak ve izlemek yolu ile CPU yararlandýrýlmasýný ve network yoðunluðunu daðýtma kapasitesine sahiptirler.
Tam ve doðru IDS sistemlerinde bu, tek bir merkezden yönetim, sistemlerin host-tabanlý kýsýmlarýnda benzer davranýþlý alarm ve bilgilendirmelerin filtrelenmesi gibi avantajlar saðlamaktadýr. Bunun yapýlmasý, her iki tipte IDS kullanarak kötüye kullanýmlarýn idaresi ve karþýlýk verilmesini saðlamaktadýr. Bu demektir ki, hali hazýrda network sistemlerinde bulunan güvenlik stratejilerini arttýrmak amacýyla IDS sistemleri geliþtiren organizasyonlar, asýl olarak IDS'lerin host-tabanlý olmasý gerekliliðine odaklanmýþlardýr. Buna raðmen, network IDS'ler kendilerine has meziyetlere sahiptir ve kesinlikle gerçek anlamda bir IDS çözümü ile birlikte kullanýlmalýdýrlar. Tarihsel olarak veri haberleþmesi teknolojisi ile birlikte uygulama yapmak için geliþim yetenekleri yoktur. Genellikle NIDS'lerin çoðu, switch networklerde, 100 Mbps üstünde hýza sahip hýzlý networklerde ve þifrelenmiþ networklerde kötü performans göstermektedir. Ayrýca, bazý yerlerde güvenlik hadiselerinin % 80-85'i organizasyon içinden kaynaklanmaktadýr. Bu nedenle, IDS sistemleri baskýn olarak host-tabanlý bileþenlere itimat etmelidir, fakat savunmayý saðlamak için daima NIDS kullanýlmalýdýr.
Kýsaca bilgisayarlarýn kötü niyetli kullanýmýnýn tamamýnýn izlenmesi, cevaplanmasý ve tesbitinin temeli olacak saðlam ve güvenilir bir güvenlik ortamý yaratmak için, hem network-tabanlý hem de host-tabalý IDS sistemlerinin ikisine birden ihtiyaç vardýr.
IDS Teknikleri
Þu ana kadar temel 2 tip IDS sistemini ve neden birlikte kullanýlmalarý gerektiðini inceledik, iþlerini yaparken nasýl çalýþtýklarýný da araþtýrabiliriz. Saldýrganlarýn tesbiti için, her 2 tip IDS' de de 4 temel tesbit tekniði mevcuttur: anormallik tesbiti, kötüye kullaným tesbiti (imza tesbiti), hedef izlenmesi ve gizlilik araþtýrmasý.
Anormallik Tesbiti
Anormal davranýþ paternlerinin ortaya çýkarýlmasý için dizayn edilmiþ IDS sistemleri, normal kullaným paternlerinin ana hatlarý ve normaline göre çok geniþ sapmalar yapan ve muhtemel saldýrý olan her þeyi tanýmlamaktadýr. Anormalliklerin çok çeþitlilik gösterebileceði hesaba katýlmalýdýr, fakat normal olarak, herhangi bir hadise, frekansýn istatistik normlarý aþacak þekillerden elde edilen 2 standart sapmadan büyük ya da küçük olmasý durumunda oluþur. Buna ören vermek gerekirse, eðer kullanýcý, normal olarak günde 1 2 kez yapmasý gerekirken günde 20 kez makineye log on/log off oluyorsa. Ayrýca, eðer bilgisayar gece saat 02:00 da kullanýlmýþsa normal olarak iþ saatleri dýþýnda kimseye giriþ izni verilmemiþse bu durum kuþkulu bir durumun artýþý anlamýna gelmektedir. Baþka bir seviyede, anormallik tesbiti, günlük program uygulamalarý profilleri gibi kullanýcý paternlerini araþtýrabilir. Eðer grafik bölümündeki kullanýcý aniden muhasebe programýna giriþ yapar ya da kod derlerse, sistem, yöneticisini anýnda ikaz edebilir.
Kötüye Kullaným Yada Ýmza Tesbiti
Çoðunlukla imza tesbiti olarak isimlendirilen bu metot, sonradan oluþabilecek benzer ataklarý önlemek ve daha önceden bildirmek için özel olarak bilinen yetkisiz davranýþlara ait paternleri kullanýr. Bu özel paternlere imza adý verilmektedir. Host-tabanlý IDS'ler için imza örneði olarak "3 yanlýþ login" verilebilir. Network-tabanlý IDS'ler için imza ise network paketlerinin bir kýsmý ile eþleþen basit bir patern olabilir. Örnek olarak, paket içerik imzalarý ve/veya header içerik imzalarý, uygunsuz FTP giriþimleri gibi yetkisiz aksiyonlarý bildirebilir. Ýmza olayý gerçek yetkisiz eriþim isteklerini belirtmez (örneðin, bu zararsýz bir hata olabilir) fakat her ikazý ciddiye almak iyi bir fikirdir.Ýmzanýn saðlamlýðý ve ciddiliðine baðlý olarak, tetiklemeler, bazý alarmlar, cevaplar ya da bilgilendirmeler doðru otoriteye gönderilmelidir.
Hedef Ýzleme
Bu sistemler aktif olarak anormallik ya da kötüye kullanýmlarý aramaz, bunun yerine açýkça belirtilmiþ ya da modifiye edilmiþ dosyalara bakar. Bu, düzeltici iþlemleri yapabilmek bakýmýndan yetkisiz bir giriþim sonrasýnda durumu ortaya çýkarmak için dizayn edilmiþ oldukça düzeltici bir kontroldür. Dosyalarýn gizlice editlenmesini kontrol için tek yol otomatik bir kriptografi hash sistemi programlamak ve bunu belirli aralýklarla yenisi ile karþýlaþtýrmaktýr. Bu tip bir sistemin uygulanmasý kolaydýr çünkü yönetici tarafýndan sabit izleme gerektirmez. Güvenilirlik Hash Kontrolü dilediðiniz aralýklarla tüm dosyalara yada belirteceðiniz görevler/kritik sistem dosyalarý üzerinde yapýlmak için programlanabilir.
Gizlilik Araþtýrmasý
Bu teknik, görevini uzun bir periyoda yayan saldýrganlarý tesbit etmek için geliþtirilmiþtir. Örneðin saldýrgan sistem açýklarýný ve açýk portlarý 2 aylýk bir periyotta tarayacaktýr ve 2 ay daha bekledikten sonra gerçek saldýrýsýný yapacaktýr. Gizlilik Araþtýrmasý tüm sistemden geniþ çapta veri toplar ve uzun periyotlarla gerçekleþtirilecek saldýrý metotlarý için kontrol eder. Geniþ alan örnekleri alýr ve iliþkili herhangi bir atak keþfetmeye çalýþýr.Sonucunda bu metot, þüpheli aktiviteleri ortaya çýkarmak için anormallik tesbiti ve imza tesbiti ile birlikte kombine çalýþýr.
Sonuç
Güvenlik hadiseleri gün geçtikçe artmaktadýr. IDS araçlarý her geçen gün daha önemli hale gelmektedir. Cephanelik etrafýnda dolaþýrlar, firewalllar gibi diðer güvenlik araçlarý ile birlikte çalýþýrlar ve tüm network aktivitelerinin tam anlamý ile yönetimine olanak tanýrlar. Bu bilgi akýþý, doðasý ve kaynaklarýndan ötürü network suiistimallerinin tesbitine yardýmcý olabilir. Beklendiði gibi, IDS araçlarýnýn satýþý artarak devam etmekte ve elde edilen gelirler 1 milyar Euro'ya ulaþmýþtýr. Bu IDS araçlarý, normal akýþ karþýsýndaki sýzmalarýn tesbitine yardýmcý olmak için bir çok farklý teknikte kullanýlmaktadýr. Sistem anormallik tesbitlerini, suiistimal tesbitlerini, hedef izlemesini yada gizlilik araþtýrmasýný kullanýr, genellikle 1 yada 2 kategoride deðerlendirilir: network-tabanlý ve host-tabanlý.
Her kategori, her baðýmsýz hedef ortamýna karþý ölçülmüþ dayanýklýlýk ve zayýflýklara sahiptir. Ýdeal olarak, en iyi IDS aracý, bir yönetim paneli altýnda her iki kategorinin kombine kullanýlmasý yaklaþýmýdýr. Bu yolla, kullanýcý ayrýntýlý bir alan kullanýr ve tehlikelere karþý mümkün olduðunca güvenli olduðuna emin olur. Seçim ne olursa olsun, host-tabanlý ya da network-tabanlý olsun, veyahut da ikisinin birlikte kullanýmý olsun, çok açýktýr ki güvenlik yönetiminde IDS araçlarý kullanmak çok önemli ve gereklidir.
Saygýlar.
|