İzinsiz Girişleri Engelleme Sistemi (IGES)

Konu: İzinsiz Girişleri Engelleme Sistemi (IGES) C.tesi Haz. 12, 2010 2:00 pm

İzinsiz girişleri
engelleme sistemi (IGES) teknolojisi, bilgisayarları izinsiz
girişlerden ve açık suistimallerinden korumak amacıyla erişimleri
denetleyen bir bilgisayar güvenlik aracıdır. Bu sistem kimilerince
izinsiz girişleri saptama sisteminin (IGSS) genişletilmiş hali olarak
görülür ancak tıpkı uygulama tabanlı güvenlik duvarları gibi erişim
denetiminin bir diğer biçimidir. Yeni nesil güvenlik duvarları derin
paket denetleme motorlarını izinsiz girişleri engelleme sistemleri ile
desteklerler. Terim NetworkICE çalışanı, danışman ve teknik yazar Andrew
Plato tarafından türetilmiştir.

İzinsiz girişleri önleme sistemi (Intrusion Prevention System), hatlara
saptama sistemleri yerleştirerek pasif ağ izlemedeki belirsizlikleri
çözmek amacıyla 90'ların sonlarında icat edilmiştir. Klasik güvenlik
duvarlarının ip adresi ve port denetimleri ile uğraşmalarının aksine
IGES uygulama içeriği temelli erişim kontrolü kararlarını verir ve bu
kendilerini güvenlik duvarlarından bir adım öteye taşır. IGES’ler
izinsiz girişleri saptama sistemlerden türediklerinden aralarında
benzerliklerin ve bağlantıların olması doğaldır.

lk ticari IGES, NetworkICE şirketi tarafından üretilen BlackICE idi.1998
yılında kurumsal ve kişisel versiyonları piyasaya sunuldu. Bu program
çekirdek denetleme tekniği olarak protokol analizini kullanıp, kullanıcı
ve ağ içi IGES özelliklerinin etkin şekilde kullanımı sağlamıştır.
Şirketin ilk ürünleri BlackICE Desktop ( HIPS), BlackICE Guard (NIPS) ve
BlackICE Sentry ( pasif IGSS çözümleri)idi. NetworkICE, 2000 yılında
İnternet Güvenlik Sistemleri (ISS) tarafından satın alındı. 2006 yılında
ise ISS, IBM bünyesine katıldı. Birçok ISS ürününde hala BlackICE
motoru kullanılmaktadır.

İzinsiz girişleri engelleme sistemleri potansiyel zararlı aktivitesini
önlemek amacıyla ana makine (host) seviyesinde de hizmet verir. Ana
makine tabanlı IGES’ler ( HIPS) ile ağ tabanlı IGES’ler (NIPS)
karşılaştırıldıklarında birçok avatajlar ve dezavantajlar vardır. Çoğu
durumda bu iki teknoloji birbirlerini tamamlayıcı niteliklere haizdir

İzinsiz girişleri engelleme sistemleri yanlış uyarıları (false positive)
azaltmak maksadıyla bir izinsiz girişleri saptama sistemi olarak da
işlev görebilir. Bazı IGES’ler tampon taşmasından (Buffer Overflow)
kaynaklanan saldırılar gibi henüz tanımlanmamış saldırıları da
önleyebilirler.

İzinsiz Girişleri Saptama Sistemlerinden Farklılıklar

IGES’lerin IGSS’lere oranla birçok avatajı vardır. Bunlardan biri şebeke
yapısına entegre edilerek veri akışını ve gerçek zamanlı saldırıları
önlemek için tasarlanmış olmalarıdır. Ayrıca çoğu IGES ürünü HTTP, FTP
ve SMTP gibi katman 7 protokollerini çözümleme kabiliyetleri ile önemli
bir farkındalık sağlarlar. NIPS ağa tesis edilirken , dikkat ağ
bölümünün şifrelenip şifrelenmediğine kesilmelidir çünkü birçok NIPS
ürünü bu tür trafiği denetleme yetisinde değildir.

Çeşitleri

HIPS

HIPS ( host based intrusion prevention system) belli ip adresleri
üzerine yerleşik ana makine (host) tabanlı izinsiz girişleri engelleme
uygulamasıdır. İnternete bağlandığınız kişisel bilgisayarınızdaki
izinsiz girişleri engelleme sistemi bir HIPS olarak kabul görür.

NIPS

NIPS (Network Based Intrusion Prevention System); ağ üstündeki ana
makine ya da makinelere yönelen izinsiz girişleri önleme amaçlı yapılan
bütün hareketlerin network önünde yer alan ve farklı IP sahibi başka bir
ana makinece yönetildiği IGES'dir. NIPS ağ önü güvenlik duvarı aygıtına
tesis edilebilir.

Ağlara izinsiz giriş önleme sistemleri (NIPS), güvenlikle ilgili
olayları yakalama, analiz ve rapor etme amacı için dizayn edilmiş özel
yazılım ve donanım platformlarıdır. NIPS, ağ trafiğini teftiş etmek ve
güvenlik politikaları temel alınarak içinde zararlı buldukları trafiği
işlemden çıkarmak için tasarlanmışlardır.

CBIPS

CBIPS'ler (Content Based Intrusion Prevention System) ağ paketlerinin
içeriğini imza olarak nitelenen belirli dizilerin tespiti için
denetlerler. Bu sayede bilinen solucan ve sızma saldırılarını saptamayı
ve mümkünse engellemeyi amaçyan içerik bazlı IGES'lerdir.

RBIPS

RBIPS'lerin (Rate Based Intrusion Prevention System) öncelikli olarak
Hizmetin Reddi ve Yaygın Hizmetin Reddi Saldırılarını engellemk amacıyla
tasarlanmışlardı. Normal ağ davranışlarını izleyerek ve öğrenerek
çalışırlar. Gerçek zamanlı ağ trafiği gözlemi ve elde edilen verilerin
biriktirilmiş olan istatistikler ile mukayesesi sonucu, RBIPS'ler TCP,
UDP ya da ARP paketleri, saniye başına bağlantılar, bağlantı başına
düşen paketler, belirli portlara özel paketler vb. bell li trafiklerin
anormal oranlarını tespit edebilir. Paketler, eşik seviyeleri
aşıldığında yakalanırlar. Eşik değerleri arşiv istatistikleri kontrol
edilerek dinamik olarak günün zamanına, haftanın gününe vb. bağlı bir
şekilde ayarlanırlar.

Olağandışı fakat makul ağ trafiği davranışları yanlış uyarılar
yaratabilirler. Sistemin etkinliği RBIPS’in kural tabanının öğe boyutuna
ve arşiv istatistiklerinin kalitesine bağlıdır.

Bir saldırı bulunduğu andan itibaren, belli saldırılar ile
ilişkilendiren trafik türlerinin oransal kısıtlaması, kaynak ve ya
bağlantı izleme, kaynak adresi, port ya da protokol filtreleme ( kara
listeleme) ya da doğrulama (beyaz listeleme) gibi birçok engelleme
tekniği kullanılabilir.

HIPS ve NIPS Karşılaştırması

* HIPS tüm kodları analiz edebilir ve tüm şifreli ağlarla başa
çıkabilir.

* NIPS ağa bağlı ana makinelerdeki işlemci ve hafızayı kullanmaz,
kendine ait işlemci ve hafızaya sahiptir.

* NIPS tüm sistemin güvenlik kaderini belirleyen baş öğedir ,
kimilerince dezavantaj olarak nitelense de bu özellik NIPS'leri kolay
idame edilir kılmaktadır.

Host
Tabanlı Saldırı Nedir?

Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS
tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal
olarak veri taşıyan hostlardan verileri toplar ve analiz ederler. Bu
veriler gönderilecek bilgisayar için toplandığında, lokal olarak ve/veya
ayrı bir analiz bilgisayarında analiz edilirler. Host-tabanlı
programlara örnek olarak sistem üzerinde çalışan ve işletim sistemi ya
da uygulamaların denetleme raporlarını toplayan yazılımlar verilebilir.
Bu programlar sistemlere sızan ve suiistimal edenlerin tesbiti için
oldukça kullanışlıdır.Kendi güvenli network sistemleri tarafında
bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça yakın
durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir aktivite
girişiminde bulunursa, host-tabanlı sistemler genellikle en uygun olan
veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz
aktivitelerin tesbitine ek olarak, host-tabanlı sistemler yetkisiz dosya
modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise
host-tabanlı sistemler oldukça hantaldır.Büyük networkler deki binlerce
çeşit muhtemel bitiş noktasından, her ayrı makineden her ayrı bilgisayar
için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir. Buna
ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri toplamayı
pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadığı için
kullanılmaz hale gelecektir. Uygun host-tabanlı IDS sistem uygulamaları,
Windows NT/2000 Güvenlik Durum Loglarını, RDMS denetleme kaynaklarını,
Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX
Sistem loglarını kendi ham formlarında ya da Solaris'in BSM'lerinde
olduğu gibi kendi güvenli formlarında tutarlar; RealSecure, ITA, Squire,
ve Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde az
bulunmaktadır.

HIPS
Ne İşe Yarar?

HIPS (Host Tabanlı İzinsiz Giriş Saptama Sistemi): Güvenlik duvarı gibi
savunma sistemlerinin kapılarını bloke eden sınırı atlayabilen araçların
gelişmesiyle artık kuruluşların Host Tabanlı İzinsiz Giriş Saptama
(HIDS) sistemlerini kurması zorunlu olmuştur. Bu sistem bilgi işlem
yapan sistemin izlenmesi ve analizine odaklanmıştır. Host Tabanlı
Izinsiz Giriş Saptama Sistemimimiz yanlışlıkla, kötü niyetle veya
korsanlık sonucu ortaya çıkan sistemsel değişiklikler ve yapılandırma
dosyalarındaki oynamaları buluşsal tarayıcılar, host günlük bilgileri ve
sistemdeki aktivitelerin izlenmesi yoluyla saptanıp yerlerinin
bulunmasında yardımcı olmaktadır. Değişikliklerin hızlıca saptanması
potansiyel zarar riskini ayrıca arıza arama ve kurtarma süresini azaltıp
böylece genel sistemsel etkileri azaltarak sistemin güvenlik ve
çalışabilirliğini iyileştirir.

HIPS
YAZILIMLARININ GENEL ÖZELLİKLERİ

Host-Based Intrusion Prevention ya da
Protection Systems

Host Tabanlı Saldırı Önleme Sistemleri Ne Yapar?

Öncelikle HIPS'in ne olduğunu anlamak için @Drazy arkadaşımızın
başlattığı şu konuyu incelemekde fayda var.

Daha sonra bilinmesi ve günümüz internet şartlarında kabul edilmesi
gereken şey, HIPS yazılımları gereklidir. Çok yakın bir gelecekte
bilgisayarlarımızın olmazsa olmaz yazılımları arasında yer alacaktır.
Tanıma dayalı klasik anti-virüs yazılımları ile korunma devri yavaş
yavaş kapanmaktadır. Sıfır günü saldırısı dediğimiz, bir zararlının ve
ya açığın çıkmasından önlem alınana kadar geçen sürede, bilgisayarların
bu zararlılardan etkilenmesi yüksek olasılıkla mümkündür ve bunun da tek
kurtuluşu HIPS yazılımlarıdır.

Şimdi HIPS yazılımlarımızın içinde neler var, neler yok ve neler olmalı
ona bakalım.

HIPS Tanımlara Bağımlı Değildir.

Tanım dediğimiz şey, aslında yaptığımız çok büyük ahmaklıklardan
birisiydi. Ama hem güven verici görünmesi hem de zamanla gelişmesi
sayesinde şu an bilgisayarlarımızda kurulu anti-virüs yazılımlarımızın
içinde listelediğimiz 400 000 e yakın tanım var. Bir dosyaya denk
geldiğinde burdakilerle uyuşuyormu diye kontrol ediliyor, ve eğer
tanımlarda varsa izin verilmiyor, yoksa geç deniyor vs... Halbuki
listelenen 400 000 zararlı işlemin yanında sizin kullandığınız zararsız
kaç işlem var bilgisayarlarınızda? 30, 40 bilemedin 50.. 400 000 işlemi
listeleyeceğine, benim 40 tane zararsız işlemimi listeleyip geri kalan
herşeyi reddetsen daha iyi olmaz mıydı?

Velhasıl uzatmadan, HIPS buna yakın birşeyi beceriyor. Sistemde normal
dışı bir aktivite gördüğüne engelliyor ve uyarıyor.

Sizin Konfigürasyonunuz İle Birlikte
Hareket Eder.

Bazı Hİps çözümleri, bazı yazılımlara karşı kısıtlamacı olabilirler,
kullandığınız hips yazılımının popüler programların yanında ev yapımı
fakat sizin severek kullandığınız bazı yazılımlarda uyum içinde
çalışabilir olmasına dikkat etmelisiniz. Bu uç bir örnek olabilir ama en
azından kullandığınız HIPS'in diğer kullandığınız programları
koruyacağından emin olmalısınız.

Kural Yaratmanıza Olanak Sağlar.

Birçok HIPS yazılımı önceden belirlenmiş kurallar ile birlikte gelir.
Bilinen açıklara ve zararlılara karşı korumayı bu şekilde sağlar. Ancak
bilinmeyen sıfır günü saldırılarına karşı kural yaratılabilir bir HIPS
kullanıp, kendi kurallarınızı mutlaka oluşturmalısınız. Zor görünse de
büyük bir gerekliliktir.

Olayları Raporlar.

Ne kadar dikkatli olursanız olun, gözünüzden kaçan bazı şeyler
olabilir.. HIPS yazılımınız aktiviteleri raporlar halinde saklamalı ve
gerektiğinde siz bu raporları inceleyerek sıradışı bir işlem olup
olmadığını kontrol edebilmelisiniz.

İşin özü, bir adet HIPS yazılımı kurup, bir iki haftanızı harcayarak ne
işe yaradığına ve nasıl kullanıldığına kafa yormanız yakın gelecek için
çok faydalı olacaktır.

Bazı HIPS Yazılımları:

[Linkleri görebilmek için üye olun veya giriş yapın.]