Blackdream Yönetici
Zodyak : Mesaj Sayısı : 56296 Yaş : 35 Nereden : Bursa İş : Makine Teknikeri Kayıt tarihi : 24/01/08 Rep Puanı : 28 Rep Puanı : 232054
| Konu: İzinsiz Girişleri Engelleme Sistemi (IGES) C.tesi Haz. 12, 2010 2:00 pm | |
| İzinsiz girişleri engelleme sistemi (IGES) teknolojisi, bilgisayarları izinsiz girişlerden ve açık suistimallerinden korumak amacıyla erişimleri denetleyen bir bilgisayar güvenlik aracıdır. Bu sistem kimilerince izinsiz girişleri saptama sisteminin (IGSS) genişletilmiş hali olarak görülür ancak tıpkı uygulama tabanlı güvenlik duvarları gibi erişim denetiminin bir diğer biçimidir. Yeni nesil güvenlik duvarları derin paket denetleme motorlarını izinsiz girişleri engelleme sistemleri ile desteklerler. Terim NetworkICE çalışanı, danışman ve teknik yazar Andrew Plato tarafından türetilmiştir.
İzinsiz girişleri önleme sistemi (Intrusion Prevention System), hatlara saptama sistemleri yerleştirerek pasif ağ izlemedeki belirsizlikleri çözmek amacıyla 90'ların sonlarında icat edilmiştir. Klasik güvenlik duvarlarının ip adresi ve port denetimleri ile uğraşmalarının aksine IGES uygulama içeriği temelli erişim kontrolü kararlarını verir ve bu kendilerini güvenlik duvarlarından bir adım öteye taşır. IGES’ler izinsiz girişleri saptama sistemlerden türediklerinden aralarında benzerliklerin ve bağlantıların olması doğaldır.
lk ticari IGES, NetworkICE şirketi tarafından üretilen BlackICE idi.1998 yılında kurumsal ve kişisel versiyonları piyasaya sunuldu. Bu program çekirdek denetleme tekniği olarak protokol analizini kullanıp, kullanıcı ve ağ içi IGES özelliklerinin etkin şekilde kullanımı sağlamıştır. Şirketin ilk ürünleri BlackICE Desktop ( HIPS), BlackICE Guard (NIPS) ve BlackICE Sentry ( pasif IGSS çözümleri)idi. NetworkICE, 2000 yılında İnternet Güvenlik Sistemleri (ISS) tarafından satın alındı. 2006 yılında ise ISS, IBM bünyesine katıldı. Birçok ISS ürününde hala BlackICE motoru kullanılmaktadır.
İzinsiz girişleri engelleme sistemleri potansiyel zararlı aktivitesini önlemek amacıyla ana makine (host) seviyesinde de hizmet verir. Ana makine tabanlı IGES’ler ( HIPS) ile ağ tabanlı IGES’ler (NIPS) karşılaştırıldıklarında birçok avatajlar ve dezavantajlar vardır. Çoğu durumda bu iki teknoloji birbirlerini tamamlayıcı niteliklere haizdir
İzinsiz girişleri engelleme sistemleri yanlış uyarıları (false positive) azaltmak maksadıyla bir izinsiz girişleri saptama sistemi olarak da işlev görebilir. Bazı IGES’ler tampon taşmasından (Buffer Overflow) kaynaklanan saldırılar gibi henüz tanımlanmamış saldırıları da önleyebilirler.
İzinsiz Girişleri Saptama Sistemlerinden Farklılıklar
IGES’lerin IGSS’lere oranla birçok avatajı vardır. Bunlardan biri şebeke yapısına entegre edilerek veri akışını ve gerçek zamanlı saldırıları önlemek için tasarlanmış olmalarıdır. Ayrıca çoğu IGES ürünü HTTP, FTP ve SMTP gibi katman 7 protokollerini çözümleme kabiliyetleri ile önemli bir farkındalık sağlarlar. NIPS ağa tesis edilirken , dikkat ağ bölümünün şifrelenip şifrelenmediğine kesilmelidir çünkü birçok NIPS ürünü bu tür trafiği denetleme yetisinde değildir.
Çeşitleri
HIPS
HIPS ( host based intrusion prevention system) belli ip adresleri üzerine yerleşik ana makine (host) tabanlı izinsiz girişleri engelleme uygulamasıdır. İnternete bağlandığınız kişisel bilgisayarınızdaki izinsiz girişleri engelleme sistemi bir HIPS olarak kabul görür.
NIPS
NIPS (Network Based Intrusion Prevention System); ağ üstündeki ana makine ya da makinelere yönelen izinsiz girişleri önleme amaçlı yapılan bütün hareketlerin network önünde yer alan ve farklı IP sahibi başka bir ana makinece yönetildiği IGES'dir. NIPS ağ önü güvenlik duvarı aygıtına tesis edilebilir.
Ağlara izinsiz giriş önleme sistemleri (NIPS), güvenlikle ilgili olayları yakalama, analiz ve rapor etme amacı için dizayn edilmiş özel yazılım ve donanım platformlarıdır. NIPS, ağ trafiğini teftiş etmek ve güvenlik politikaları temel alınarak içinde zararlı buldukları trafiği işlemden çıkarmak için tasarlanmışlardır.
CBIPS
CBIPS'ler (Content Based Intrusion Prevention System) ağ paketlerinin içeriğini imza olarak nitelenen belirli dizilerin tespiti için denetlerler. Bu sayede bilinen solucan ve sızma saldırılarını saptamayı ve mümkünse engellemeyi amaçyan içerik bazlı IGES'lerdir.
RBIPS
RBIPS'lerin (Rate Based Intrusion Prevention System) öncelikli olarak Hizmetin Reddi ve Yaygın Hizmetin Reddi Saldırılarını engellemk amacıyla tasarlanmışlardı. Normal ağ davranışlarını izleyerek ve öğrenerek çalışırlar. Gerçek zamanlı ağ trafiği gözlemi ve elde edilen verilerin biriktirilmiş olan istatistikler ile mukayesesi sonucu, RBIPS'ler TCP, UDP ya da ARP paketleri, saniye başına bağlantılar, bağlantı başına düşen paketler, belirli portlara özel paketler vb. bell li trafiklerin anormal oranlarını tespit edebilir. Paketler, eşik seviyeleri aşıldığında yakalanırlar. Eşik değerleri arşiv istatistikleri kontrol edilerek dinamik olarak günün zamanına, haftanın gününe vb. bağlı bir şekilde ayarlanırlar.
Olağandışı fakat makul ağ trafiği davranışları yanlış uyarılar yaratabilirler. Sistemin etkinliği RBIPS’in kural tabanının öğe boyutuna ve arşiv istatistiklerinin kalitesine bağlıdır.
Bir saldırı bulunduğu andan itibaren, belli saldırılar ile ilişkilendiren trafik türlerinin oransal kısıtlaması, kaynak ve ya bağlantı izleme, kaynak adresi, port ya da protokol filtreleme ( kara listeleme) ya da doğrulama (beyaz listeleme) gibi birçok engelleme tekniği kullanılabilir.
HIPS ve NIPS Karşılaştırması
* HIPS tüm kodları analiz edebilir ve tüm şifreli ağlarla başa çıkabilir.
* NIPS ağa bağlı ana makinelerdeki işlemci ve hafızayı kullanmaz, kendine ait işlemci ve hafızaya sahiptir.
* NIPS tüm sistemin güvenlik kaderini belirleyen baş öğedir , kimilerince dezavantaj olarak nitelense de bu özellik NIPS'leri kolay idame edilir kılmaktadır.
Host Tabanlı Saldırı Nedir?
Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal olarak veri taşıyan hostlardan verileri toplar ve analiz ederler. Bu veriler gönderilecek bilgisayar için toplandığında, lokal olarak ve/veya ayrı bir analiz bilgisayarında analiz edilirler. Host-tabanlı programlara örnek olarak sistem üzerinde çalışan ve işletim sistemi ya da uygulamaların denetleme raporlarını toplayan yazılımlar verilebilir. Bu programlar sistemlere sızan ve suiistimal edenlerin tesbiti için oldukça kullanışlıdır.Kendi güvenli network sistemleri tarafında bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça yakın durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir aktivite girişiminde bulunursa, host-tabanlı sistemler genellikle en uygun olan veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak, host-tabanlı sistemler yetkisiz dosya modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise host-tabanlı sistemler oldukça hantaldır.Büyük networkler deki binlerce çeşit muhtemel bitiş noktasından, her ayrı makineden her ayrı bilgisayar için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir. Buna ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri toplamayı pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadığı için kullanılmaz hale gelecektir. Uygun host-tabanlı IDS sistem uygulamaları, Windows NT/2000 Güvenlik Durum Loglarını, RDMS denetleme kaynaklarını, Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarını kendi ham formlarında ya da Solaris'in BSM'lerinde olduğu gibi kendi güvenli formlarında tutarlar; RealSecure, ITA, Squire, ve Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde az bulunmaktadır.
HIPS Ne İşe Yarar?
HIPS (Host Tabanlı İzinsiz Giriş Saptama Sistemi): Güvenlik duvarı gibi savunma sistemlerinin kapılarını bloke eden sınırı atlayabilen araçların gelişmesiyle artık kuruluşların Host Tabanlı İzinsiz Giriş Saptama (HIDS) sistemlerini kurması zorunlu olmuştur. Bu sistem bilgi işlem yapan sistemin izlenmesi ve analizine odaklanmıştır. Host Tabanlı Izinsiz Giriş Saptama Sistemimimiz yanlışlıkla, kötü niyetle veya korsanlık sonucu ortaya çıkan sistemsel değişiklikler ve yapılandırma dosyalarındaki oynamaları buluşsal tarayıcılar, host günlük bilgileri ve sistemdeki aktivitelerin izlenmesi yoluyla saptanıp yerlerinin bulunmasında yardımcı olmaktadır. Değişikliklerin hızlıca saptanması potansiyel zarar riskini ayrıca arıza arama ve kurtarma süresini azaltıp böylece genel sistemsel etkileri azaltarak sistemin güvenlik ve çalışabilirliğini iyileştirir.
HIPS YAZILIMLARININ GENEL ÖZELLİKLERİ
Host-Based Intrusion Prevention ya da Protection Systems
Host Tabanlı Saldırı Önleme Sistemleri Ne Yapar?
Öncelikle HIPS'in ne olduğunu anlamak için @Drazy arkadaşımızın başlattığı şu konuyu incelemekde fayda var.
Daha sonra bilinmesi ve günümüz internet şartlarında kabul edilmesi gereken şey, HIPS yazılımları gereklidir. Çok yakın bir gelecekte bilgisayarlarımızın olmazsa olmaz yazılımları arasında yer alacaktır. Tanıma dayalı klasik anti-virüs yazılımları ile korunma devri yavaş yavaş kapanmaktadır. Sıfır günü saldırısı dediğimiz, bir zararlının ve ya açığın çıkmasından önlem alınana kadar geçen sürede, bilgisayarların bu zararlılardan etkilenmesi yüksek olasılıkla mümkündür ve bunun da tek kurtuluşu HIPS yazılımlarıdır.
Şimdi HIPS yazılımlarımızın içinde neler var, neler yok ve neler olmalı ona bakalım.
HIPS Tanımlara Bağımlı Değildir.
Tanım dediğimiz şey, aslında yaptığımız çok büyük ahmaklıklardan birisiydi. Ama hem güven verici görünmesi hem de zamanla gelişmesi sayesinde şu an bilgisayarlarımızda kurulu anti-virüs yazılımlarımızın içinde listelediğimiz 400 000 e yakın tanım var. Bir dosyaya denk geldiğinde burdakilerle uyuşuyormu diye kontrol ediliyor, ve eğer tanımlarda varsa izin verilmiyor, yoksa geç deniyor vs... Halbuki listelenen 400 000 zararlı işlemin yanında sizin kullandığınız zararsız kaç işlem var bilgisayarlarınızda? 30, 40 bilemedin 50.. 400 000 işlemi listeleyeceğine, benim 40 tane zararsız işlemimi listeleyip geri kalan herşeyi reddetsen daha iyi olmaz mıydı?
Velhasıl uzatmadan, HIPS buna yakın birşeyi beceriyor. Sistemde normal dışı bir aktivite gördüğüne engelliyor ve uyarıyor.
Sizin Konfigürasyonunuz İle Birlikte Hareket Eder.
Bazı Hİps çözümleri, bazı yazılımlara karşı kısıtlamacı olabilirler, kullandığınız hips yazılımının popüler programların yanında ev yapımı fakat sizin severek kullandığınız bazı yazılımlarda uyum içinde çalışabilir olmasına dikkat etmelisiniz. Bu uç bir örnek olabilir ama en azından kullandığınız HIPS'in diğer kullandığınız programları koruyacağından emin olmalısınız.
Kural Yaratmanıza Olanak Sağlar.
Birçok HIPS yazılımı önceden belirlenmiş kurallar ile birlikte gelir. Bilinen açıklara ve zararlılara karşı korumayı bu şekilde sağlar. Ancak bilinmeyen sıfır günü saldırılarına karşı kural yaratılabilir bir HIPS kullanıp, kendi kurallarınızı mutlaka oluşturmalısınız. Zor görünse de büyük bir gerekliliktir.
Olayları Raporlar.
Ne kadar dikkatli olursanız olun, gözünüzden kaçan bazı şeyler olabilir.. HIPS yazılımınız aktiviteleri raporlar halinde saklamalı ve gerektiğinde siz bu raporları inceleyerek sıradışı bir işlem olup olmadığını kontrol edebilmelisiniz.
İşin özü, bir adet HIPS yazılımı kurup, bir iki haftanızı harcayarak ne işe yaradığına ve nasıl kullanıldığına kafa yormanız yakın gelecek için çok faydalı olacaktır.
Bazı HIPS Yazılımları:
[Linkleri görebilmek için üye olun veya giriş yapın.]
| |
|