1. Nüfuz Tespiti Nedir?
Nüfuz tespit sistemleri bir bilgisayar sisteminde veya ağında meydana gelen olayları görüntüleme ve bu olayların bilgisayar veya ağın mahremiyetine, bütünlüğüne, kullanılırlığına uyuşma teşebbüsleri veya güvenlik sistemini atlatma olarak tanımlanan izinsiz olarak erişim işareti olup olmadığını analiz eden süreçtir. İzinsiz olarak erişim, sisteme internetten erişen saldırganlar, yetkisi kapsamında olmayıp ilave ayrıcalık kazanma teşebbüsünde bulunan sistem yetkili kullanıcıları ve kendilerine verilen ayrıcalıkları yanlış kullanan sistem yetkili kullanıcılar tarafından kaynaklanmaktadır. Nüfuz tespit sistemleri bu görüntüleme ve analiz sürecini otomasyona çeviren yazılım ve donanım ürünleridir.
2. Nüfuz Tespit Sistemleri Neden Kullanılmalıdır?
Nüfuz tespiti şirketlerin sistemlerini artan ağ bağlanırlığı ve bilgi sistemlerine güvenle gelen tehditlerden korumasını sağlamaktadır. Modern ağ tehditlerinin seviyesi ve doğası gereği profesyonel güvenlikçiler için esas soru nüfuz tespit sistemlerinin kullanıp kullanılmayacağından ziyade hangi nüfuz tespit sistem özellik ve yeteneklerinin kullanılacağıdır.
Nüfuz tespit sistemleri her şirketin güvenlik altyapısına ilave gerekli tedbir olarak geçerliliğini kazanmıştır. Nüfuz tespit sistemlerini kullanmak ve temin etmek için zorunlu sebepler vardır.
a. Saldırganların cezalandırılması ve keşfedilme riskinin artmasıyla problemli davranışları engellemek,
b. Saldırıları ve diğer güvenlik ölçütleri tarafından önlenemeyen diğer güvenlik ihlallerini bulmak,
c Saldırı başlangıçlarını bulmak ve çözmek (genellikle ağ araştırmaları ile tecrübe edilmiştir.),
ç. Var olan tehdidi belgelendirmek,
d. Özellikle geniş ve karmaşık şirketlerin güvenlik dizaynı ve yönetimi için kalite kontrolcüsü olarak rol almak,
e. Gelişmiş teşhislere, iyileşmelere ve neden olan faktörlerin düzeltilmesine izin veren izinsiz olarak erişimler hakkında faydalı bilgi sağlamak.
2.1. Saldırganların Cezalandırılması ve Keşfedilme Riskinin Artmasıyla Problemli Davranışları Engellemek
Bilgisayar güvenlik yönetiminin temel amacı bireysel kullanıcıların davranışlarını bilgi sistemlerini güvenlik problemlerinden koruyacak şekilde etkilemektir. Nüfus tespit sistemleri saldırganların cezalandırılması ve keşfedilme riskini artırarak şirketlere bu amacı sağlamada yardımcı olmaktadır. Bu güvenlik politikasını ihlal etmek isteyenlere caydırıcı etki olarak yardım etmektedir.
2.2. Diğer Güvenlik Ölçütleriyle Engellenemeyen Problemleri Bulmak
Saldırganlar büyük oranda genelleşmiş teknikleri kullanarak özellikle umumi ağlara bağlı sistemlere yetkisiz erişim sağlayabilirler. Bu genellikle sistemlerdeki bilinen savunmasızlığın doğrulanmadığı zamanlarda olmaktadır.
Satıcılar ve yöneticiler savunmasızlar olmasın diye konuşmaya cesaretlendirilseler de saldırılara imkan tanırlar, imkansız olsa da böyle birkaç durum vardır.
* Miras kalan birçok sistemde işletim sistemleri yamamanamakta ve güncellenememektedir.
* Yama yapılabilen sistemlerde dahi yöneticiler bazen gerekli yamaları indirmeye ve izlemeye ne kaynak ne de zaman bulabiliyor. Bu çok sayıda host içeren çevrelerde veya geniş ölçekli birbirinden farklı yazılım/donanım çevrelerinde genel bir sorundur.
* Kullanıcılar saldırılara açık olduğu bilinen protokoller ve ağ sistemi için zorlayıcı işletimsel ihtiyaçlara sahip olabilirler.
* Kullanıcılar ve yöneticilerin her ikisi de sistemi kullanmada ve yapılandırmada hata yapar.
* Şirketlerin prosedürsel bilgisayar kullanma politikalarını yansıtan sistem erişim kontrol mekanizmalarını yapılandırmada tutarsızlıklar mutlaka oluşur. Bu farklılıklar yasal kullanıcıların yetkilerini aşmasına izin vermektedir.
İdeal dünyada ticari yazılım satıcıları ürünlerinin savunmasızlığını ve kullanıcı şirketler belgelendirilmiş tüm savunmasızlıkları hızlı ve güvenli bir şekilde düzeltmek ister. Her nasılsa gerçek dünyada günlük olarak yeni hatalar ve savunmasızlıklar ortaya çıktıkça bu çok nadir olur.
Durumlar tespit edildikçe nüfus tespiti sistemi korumak için mükemmel bir yaklaşım sunabilir. Nüfus tespit sistemleri saldırgan sisteme düzeltilmemiş veya düzeltilemeyen hatalar yardımıyla girdiğinde sezebilir. Dahası da sistemin saldırıya uğradığını yöneticilere bildirerek sistem korumasında önemli bir görev alarak hizmet edebilir. Bu saldırgana sisteme erişimini devam etmesine ve bilgi sağlamasına izin veren ağ güvenlik tehditlerini yok saymayı basitleştirmede daha çok tercih edilebilir.
2.3. Saldırıya Girişleri Sezme (Genellikle Ağ Araştırmaları ve Diğer Varolan Savunmasızlıklar İçin Testlerle Tecrübe Edilmiştir.)
Düşmanlar bir sisteme saldırdığında tipik olarak önceden tahmin edilebilir aşamalara göre yaparlar. Saldırının ilk aşaması genellikle sistemi veya ağı araştırmak veya incelemek, optimal giriş noktasını aramaktır. Nüfuz tespit sistemi olmayan sistemlerde saldırgan çok az keşfedilme veya cezalandırılma riskiyle sistemi doğrudan inceleme de serbesttir. Böyle başıboş erişimde kararlı bir saldırgan ağ da er geç bir savunmasızlık bulacaktır ve çeşitli sistemlere girişte kullanacaktır.
Faaliyetlerini gösteren nüfuz tespit sistemli aynı ağ saldırgana aşılması daha güç zorluklar sunmaktadır. Saldırganın ağı zayıflıkları için inceleyebilmesine rağmen, nüfuz tespit sistemi incelemeyi gözlemleyecek, şüpheli olarak kimliklendirecek, aktif olarak saldırganın hedef sisteme erişimini engelleyebilecek ve saldırganın yapacağı girişleri engellemek için gerekli tedbirleri alacak olan güvenlik personelini uyaracaktır. Saldırganın yaptığı ağ araştırması karşı bir reaksiyonun varlığı dahi saldırı riskini azaltacak ve yapılacak diğer saldırıların cesaretini kıracaktır.
2.4. Var Olan Tehdidi Belgelendirmek
Ağ güvenliği için bütçe hazırlarken ağın saldırıya uğrayacağını veya hatta saldırı altında olduğunu düşünmek sıklıkla iddiaları gerçekleştirmeye yardımcı olmaktadır. Dahası da saldırıların sıklığını ve karakteristiğini anlamak bu saldırılara karşı ağınızı korumakta hangi güvenlik ölçütünün uygun olduğunu anlamanıza yardım eder.
Nüfuz tespit sistemleri bilgisayar güvenlik kaynaklarınızın tahsisinde sağlam kararlar almanıza yardım ederek şirketinizin ağına hem dışarıdan hem içeriden olacak saldırıları doğrular, ayrıntılarını belirtir ve karakterize eder. Nüfuz tespit sistemlerini bu şekilde düşünmek önemlidir. Birçok insan içerden veya dışarıdan herhangi birinin ağlarına girmek için ilgilendiğini yanlışlıkla reddeder. Daha fazlası nüfuz tespit sistemlerinin saldırının niteliği ve kaynağı hakkında verdiği bilgi gerçek ihtiyaçlar doğrultusundaki güvenlik stratejisi hakkında karar vermenizi sağlar.
2.5. Güvenlik Planları ve Yönetimi İçin Kalite Kontrolü
Nüfuz tespit sistemleri belli bir süre çalıştırıldığı zaman sistem kullanım şekilleri ve tespit edilen problemler görüntülenebilir. Bunlar sistem için güvenlik yönetimindeki ve tasarımdaki hataları ön plana çıkarmaktadır.
2.6. İzinsiz Erişimler Hakkında Faydalı Bilgiler Sağlamak
Nüfuz tespit sistemleri saldırıları engelleyemedikleri zaman bile saldırılar hakkında detaylı ve güvenli, bilgiler toplamaya devam ederler. Daha fazlası bu bilgi belli koşullar altında ceza ve sivil yasal yolları destekleyebilir ve olanak tanıyabilir. Sonuçta böyle bir bilgi şirketin güvenlik politikası veya yapısındaki problem alanlarını belirleyebilir.
3. Başlıca Nüfuz Tespit Sistemleri
Farklı görüntüleme ve analiz yaklaşımlarıyla karakterize olan birkaç çeşit nüfuz tespit sistemi mevcuttur. Her yaklaşımın avantaj ve dezavantajları vardır. Bütün yaklaşımlar nüfuz tespit sistemleri için soysal süreç modeli terimi ile tanımlanabilir.
3.1. Nüfuz Tespiti İçin Süreç Yaklaşımı
Nüfuz tespit sistemleri 3 temel fonksiyonel bileşen ile tanımlanabilmektedir.
3.1.1. Bilgi Kaynakları: Olay bilgilerinin farklı kaynakları izinsiz erişimin olup olmadığını tespit edilmekte konulmaktaydı. Bu kaynaklar ağ, host ve en genel görüntüleme uygulamaları ile sistemin farklı seviyelerinden elde edilebilir.
3.1.2. Analiz: Bilgi kaynaklarından gelen olayları hisseden, düzenleyen ve bu olaylardan izinsiz erişim olduğuna dair bir belirti olduğunda karar veren nüfuz tespit sistemlerinin bir parçasıdır. En genel analiz yaklaşımları yanlış kullanım tespiti ve anormallik tespitidir.
3.1.3. Cevap: Sistemin izinsiz erişimi tespit ettiği zaman uyguladığı faaliyetler bütünüdür. Bunlar aktif ve pasif ölçütler olmak üzere ikiye ayrılmaktadır. Aktif ölçütler sistemin parçası olarak alınan otomatik müdahale tedbirleridir. Pasif ölçütler gerekli tedbirleri alacak personele sistemin bulduklarını raporlamasını içermektedir.
3.2. Mimari
Bir nüfuz tespit sistemininin mimarisi fonksiyonel bileşenlerinin birbirleri arasındaki düzene dayanmaktadır. Öncelikli mimari bileşen host, nüfuz tespit sistemi yazılımının çalıştığı sistem ve hedeftir.
3.3. Amaçlar
Nüfuz tespit sistemleri için genellikle iki amaç vardır.
1. Sorumluluk,
2. Cevap.
3.4. Kontrol Stratejisi
Nüfuz tespit sistemlerinin elemanlarının nasıl kontrol edildiğini ve dahası girdi ve çıktılarının nasıl yönetildiğini tanımlar. Merkezi (merkezi yer), Kısmen Dağıtılmış (yerel kontrol düğümleri), Tamamen Dağıtılmış (temsilci tabanlı yaklaşım) olmak üzere üç çeşittir.
Şekil-1: Merkezi Kontrol
Şekil-2: Kısmen Dağıtılmış Kontrol Stratejisi
Şekil-3: Tamamen Dağıtılmış (Temsilci Tabanlı) Kontrol Stratejisi
3.5. Zamanlama
Görüntülenen olaylar ve bu olayların analizleri arasında geçen zamana dayanmaktadır.
3.5.1. İnterval (Fasılalı) Tabanlı (Yığın Modu)
Görüntüleme noktalarından analiz motorlarına bilgi akışı sürekli değildir. İşlemde benzer bilgiler biriktirilir ve sonra gönderilir. İnterval tabanlı nüfuz tespit sistemleri aktif cevap verememektedirler.
3.5.2. Gerçek Zamanlı (Devamlı)
Gerçek zamanlı nüfuz tespit sistemleri bilgi kaynaklarından aldıkları sürekli bilgiler ile işlem yapmaktadırlar. Gerçek zamanlı tespit, nüfuz tespit sistemlerinin tespit edilen ataklara karşı yeteri kadar hızlı şekilde işlem yapmasına olanak sağlar.
3.6. Bilgi Kaynakları
Nüfuz tespit sistemlerinin en genel sınıflandırma yöntemi onları bilgi kaynaklarına göre gruplandırmaktır. Bazı nüfuz tespit sistemleri saldırganı bulmak için LAN bölümlerinden veya ağın ana hattından yakalanan ağ paketlerini analiz ederler. Diğer nüfuz tespit sistemleri izinsiz erişimin işareti için işletim sistemi veya uygulama yazılımlarından üretilmiş bilgi kaynaklarını analiz ederler.
3.6.1. Ağ Tabanlı Nüfuz Tespit Sistemleri
Ticari nüfuz tespit sistemlerinin büyük bir çoğunluğu ağ tabanlıdır. Bu sistemler ağ paketlerini yakalayarak ve analiz ederek saldırıları tespit eder. Ağ bölümlerini veya anahtarı dinleyerek bir ağ tabanlı nüfuz tespit sistemi ağ bölümüne bağlı çoklu hostları etkileyen trafiği görüntüleyebilir ve böylece bu hostları koruyabilir.
Ağ tabanlı nüfuz tespit sistemleri genellikle tek amaçlı sensör setleri veya ağın çeşitli noktalarına yerleştirilmiş hostları içermektedir. Bu birimler ağ trafiğini görüntüler, yerel analizler yaparlar ve merkezi yönetim konsoluna saldırıları raporlarlar. Sensörlerin çoğu saldırganın yerlerini ve varlıklarını tespit etmesini zorlaştırmak için gizli modda çalışmaktadır.
Avantajları:
* İyi yerleştirilmiş birkaç ağ tabanlı nüfuz tespit sistemi geniş bir ağı görüntüleyebilir.
* Genellikle ağı dinleyen pasif cihazlar oldukları için mevcut ağa etkileri yok denecek kadar azdır.
* Saldırılara karşı büyük güvenlik sağlayabilirler ve çoğu saldırgan tarafından fark edilmeleri zordur.
Dezavantajları:
* Geniş veya yoğun ağlarda tüm paketleri işlemede zorluklar yaşanmakta ve dolayısıyla yoğun trafik zamanlarında saldırıları sezmede hataya düşebilmektedir.
* Ağ tabanlı nüfuz tespit sistemlerinin bir çok avantajı modern anahtarlama (switch) tabanlı ağlarda uygulanamamaktadır. Anahtarlama cihazı ağı birçok alt bölümlere ayırmaktadır. Bir çok anahtarlama cihazının evrensel görüntüleme portu bulunmamaktadır ve bu ağ tabanlı nüfuz tespit sistemi sensörlerinin etki alanını daraltmaktadır. Hatta anahtarlama cihazları böyle bir görüntüleme portu sağlasa bile tek port cihazın yolladığı tüm ağ trafiğini yansıtamamaktadır.
* Şifrelenmiş bilgi incelenememektedir. Bu daha çok sanal özel ağ (Virtual Private Network-VPN) kullanılarak yapılan saldırılarda baş gösteren bir sorundur.
* Bir çok ağ tabanlı nüfuz tespit sistemi sadece ağa saldırının olduğunu tespit etmekte saldırının başarılı olup olmadığını sezememektedir.
3.6.2. Host Tabanlı Nüfuz Tespit Sistemleri
Bireysel bilgisayar sistemlerinden toplanan bilgiler üzerine işlem yapan sistemdir. Bu üstünlük noktası host tabanlı nüfuz tespit sistemlerine işletim sistemine yapılan saldırıda tam olarak hangi sürecin uygulandığını hangi kullanıcıların yer aldığını belirleyerek büyük bir güvenirlilik ve kesinlikle analiz etme imkanı sağlar. Dahası da ağ tabanlı nüfuz tespit sistemlerinin tersine saldırının hedeflenen veri dosyalarına ve işletim süreçlerine doğrudan erişip görüntüleyerek saldırının sonuçlarını görüntüleyebilmektedir.
Host tabanlı nüfuz tespit sistemleri işletim sistemi denetleme denemeleri ve sistem günlük kayıtları olmak üzere iki bilgi kaynağını kullanmaktadır. İşletim sistemi denetleme sistemleri işletim sisteminin çekirdeğinde üretilmektedir ve böylece sistem günlük kayıtlarından daha detaylıdır ve daha iyi korunmaktadır. Her nasılsa sistem günlük kayıtları denetleme denemelerine göre daha az kalın ve daha küçüktür ve dahası da anlaşılması daha kolaydır.
Avantajları:
* Host tabanlı nüfuz tespit sistemleri yerelden hosta kadara olan olayları görüntüleme yetenekleriyle ağ tabanlı nüfuz tespit sistemleriyle tespit edilemeyen saldırıları sezebilmektedirler.
* Host tabanlı nüfuz tespit sistemleri genellikle host tabanlı bilginin veri şifrelenmeden önce ve/veya varış hostunda veri şifresi çözüldükten sonra üretilen zamanlardaki gibi olan ağ trafiği şifrelenmiş koşularda çalışabilmektedirler.
* Anahtarlama cihazlı ağlardan etkilenmemektedirler.
* Host tabanlı nüfuz tespit sistemleri işletim sistemleri denetleme denemeleri üzerine çalıştığı zaman trojenlerin ve yazılımla bütünleşik açıkları içeren saldırıları sezmeye yardımcı olabilmektedir.
Dezavantajları:
* Host tabanlı nüfuz tespit sistemleri bilginin görüntülenen her host için yapılandırılması ve yönetilmesi gerektiğinden yönetimi daha zordur.
* Saldırıya uğrayabilir ve saldırının bir parçası olarak hizmet dışı bırakılabilirler.
* Host tabanlı nüfuz tespit sistemleri ağ taramalarını sezmek veya tüm ağı hedef alan gözetleme için uyumlu değildir; çünkü ait olduğu hostun aldığı ağ paketlerini görebilmektedirler.
* Bazı hizmet reddi saldırılarıyla hizmet dışı bırakılabilirler.
* Bilgi kaynağı olarak işletim sistemi denetleme denemelerinin kullanılması durumunda bilgi miktarı artmakta ve işletim sisteminde ilave yerel depolama alanı gerekmektedir.
3.6.3. Uygulama Tabanlı Nüfuz Tespit Sistemleri
Uygulama tabanlı nüfuz tespit sistemi yazılım uygulamalarının arasında meydana gelen olayları analiz eden host tabanlı nüfuz tespit sisteminin bir alt çeşididir. Uygulama tabanlı nüfuz tespit sistemlerinin kullandığı en yaygın bilgi kaynağı uygulamalara ait hareketlerin, işlemlerinin günlük kayıtlarıdır.
Analiz motorunda bulunan önemli etki alanı (domain) ve uygulamaya özgü bilgi birikimi ile uygulamayı doğrudan ara yüzleme yeteneği uygulama tabanlı nüfuz tespit sistemlerinin yetkili kullanıcıların yetkilerini aştığı şüpheli davranışları sezmeye izin vermektedir. Bunun nedeni bu çeşit problemlerin daha çok kullanıcıların, verinin ve uygulamaların birbirleri arasında etkileşimi ile olmasıdır.
Avantajları:
* Uygulama tabanlı nüfuz tespit sistemleri bireysel kullanıcıların yetkisiz işlemlerini takip edilmesine yarayan, kullanıcılar ve uygulamalar arasındaki etkileşimleri görüntüleyebilirler.
* Genellikle uygulama hareketlerinin son noktasını ara yüzledikler için şifreli koşullarda çalışabilmektedirler
Dezavantajları:
* Uygulama gülük kayıtları işletim sistemi denetleme denemeleri kadar iyi korunmadığından uygulama tabanlı nüfuz tespit sistemleri host tabanlılara göre saldırıya daha açıktır.
* Uygulama tabanlı nüfuz tespit sistemleri genellikle kullanıcı seviyesindeki olayları görüntülemekte olup, trojen veya diğer yazılım saldırılarını sezememektedir. Bundan dolayı uygulama tabanlı nüfuz tespit sistemlerinin host tabanlı ve/veya ağ tabanlı sistemlerle birlikte kullanılması uygundur.
3.7. Nüfuz Tespit Sistemleri Analizleri :
3.7.1. Hatalı Kullanım Tespiti :
Hatalı kullanım dedektörleri bilinen bir atağı tanımlayan olayların önceden tanımlanan düzenlerini karşılaştıran olaylara veya olay setlerine bakarak sistem faaliyetlerini analiz eder. Düzenler bilinen saldırılara uydukça imza adını alır, bazen hatalı kullanım sezmesi imza tabanlı sezme olarak ta bilinir. Ticari ürünlerde kullanılan hatalı kullanım sezmelerinin en yaygın kullanımı saldırılara uyan her olay düzenini ayrı imza olarak sınıflandırandır.
3.7.2. Anormallik Tespiti :
Anormallik dedektörleri host veya ağ üzerindeki anormal olağan dışı davranışların kimliğini tespit eder. Normalin dışındaki hareketliliklerin saldırı olduğu varsayımları üzerine çalışırlar ve böylece bu farklılıkları kimliklendiren sistemler tarafından tespit edilebilirler. Anormallik dedektörleri kullanıcıların, hostların veya ağ bağlantılarının normal davranışlarını temsil eden profil yapılar oluştururlar. Bu profiller bellili bir süre normal işleyişten elde edilen geçmiş bilgilerden oluşturulmaktadır. Dedektörler faaliyetler normal seviyelerinden farklılık gösterdiğini belirlemek için olaylara ait verileri toplarlar ve birçok çeşit ölçüt kullanırlar.
Maalesef anormallik dedektörleri ve bunlara dayalı nüfuz tespit sistemleri kullanıcıların modelleri ve sistem davranışları çok çeşitlendikçe bir çok yanlış alarm üretmektedir. Bu kusura rağmen araştırmacılar anormallik tabanlı nüfuz tespit sistemlerinin geçmiş saldırı yollarını karşılaştırmaya dayanan imza tabanlı nüfuz tespit sistemlerinin aksine yeni saldırı çeşitlerini sezebildiklerini kanıtlamışlardır.
Anormallik dedektörlerinin bazıları hatalı kullanım dedektörleri tarafından bilgi kaynakları olarak kullanılabilen çıktılar üretebilmektedir. Örneğin; eşik tabanlı anormallik dedektörleri normal kullanıcılar tarafından erişilen dosyaların normal sayılarını temsil eden bir şekil üretebilir. Hatalı kullanım dedektörleri bu şekilleri hata sezmede kullanır. Eğer kullanıcının dosyalara erişimi normal şekli yüzde on geçerse alarm verir.
Avantajları:
* Anormallik tespitine dayanan nüfuz tespit sistemleri anormal davranışları sezer ve böylece özel bir bilgi birikimine ihtiyaç duymadan saldırıların belirtilerini sezme yeteneğine sahiptir.
* Anormallik dedektörleri hatalı kullanım dedektörlerinin bilgi kaynaklarını üretebilirler.
Dezavantajları:
* Anormallik tespiti yaklaşımı ağ ve kullanıcı davranışlarının öngörülememesi nedeniyle bir çok hata üretmektedir.
* Anormallik tespiti yaklaşımı genellikle normal davranış yollarını tespit etmek için çok sayıda olay kayıtlarına ihtiyaç duyar.
3.8. Nüfuz Tespit Sistemleri İçin Tepki Seçenekleri:
Nüfuz tespit sistemleri olay bilgisini elde ettiğinde ve onu saldırı belirtilerini bulmak için incelediğinde tepkiler üretirler. Bu tepkilerden bazıları daha önceden belirlenen yerlere bulgu ve sonuç raporlarını içermektedir. Diğerleri ise daha aktif tepkilerdir. Ticari nüfuz tespit sistemleri geniş yelpazeli tepki seçeneklerini desteklemektedir. Genellikle bu tepkiler aktif, pasif veya ikisinin karışımı olarak sınıflandırılmaktadır.
3.8.1. Aktif Tepkiler:
* İlave bilgi toplamak,
* Ortamı değiştirmek
- Saldırganın kurban sisteme olan bağlantısına TCP sıfırlama paketlerini eklemek böylece bağlantıyı sonlandırmak,
- Saldırganın görünen yerinden gelen paketleri engellemek için güvenlik duvarını ve yönlendiricileri yeniden yapılandırmak,
- Saldırgan tarafından kullanılan servisleri, protokolleri ve ağ bağlantı noktalarını (port) engellemek için güvenlik duvarını ve yönlendiricileri yeniden yapılandırmak,
- Uç durumlarda belli ağ arabirim bağlantılarını kesmek için güvenlik duvarını ve yönlendiricileri yeniden yapılandırmak.
* İzinsiz Erişim Yapana Karşı İşlem Yapmak
3.8.2. Pasif Tepkiler:
* Alarmlar ve bildirimler,
* Basit ağ yönetim protokolü (SNMP) tuzakları ve eklentileri.
4. Nüfuz Tespit Sistemlerinin Yerleşimi:
Nüfuz tespiti her büyük firmanın bilgisayar ağ güvenlik alt yapısına eklenmesi gereken bir teknolojidir. Günümüz bir çok nüfuz tespit ürünlerinin eksiklikleri ve bir çok sistem yöneticisinin kısıtlı güvenlik yetenek seviyeleri etkili bir nüfuz tespit sisteminin yerleşiminde dikkatli planlama, hazırlık, modelleme, test ve uzman eğitimi gerektirmektedir.
4.1. Ağ Tabanlı Nüfuz Tespit Sistemlerinin Yerleşimi:
Ağ tabanlı nüfuz tespit sistemini yerleştirirken ortaya çıkan soru sistem sensörlerinin nereye yerleştirileceğidir. Ağ tabanlı nüfuz tespit sistemlerini konumlandıkları her yerle ilişkili olarak farklı avantajları ile birlikte yerleştirmek için bir çok seçenek vardır.
4.1.1. Yer 1: Ağda Silahsızlandırılmış Alandaki (DMZ) Her Dış Güvenlik Duvarının Arkası
Avantajları:
* Ağın çevre savunmasına sızma yapan dış kaynaklı saldırıları görebilir.
* Ağ güvenlik duvarının politikası veya performansıyla ilgili problemleri vurgular.
* Genellikle silahsızlandırılmış alanda bulunan ağ (web) ve dosya aktarım protokol (FTP) sunucularını hedef alabilecek saldırıları görebilir.
* Gelen saldırılar fark edilmese bile nüfuz tespit sistemi bazen sunucu ile saldırının birleşmesi sonucu giden trafiği fark edebilir.
Şekil-4: Ağ Tabanlı Nüfuz Tespit Sistemi Sensörlerinin Yerleşimi
4.1.2. Yer 2: Dış Güvenlik Duvarının Dışına
Avantajları:
* Ağı hedef alan internet kaynaklı saldırıları yapılan dosyaların sayısı.
* Ağı hedef alan internet kaynaklı saldırıları yapılan dosyaların tipleri.
4.1.3. Yer 3: Ağın Ana Omurgası Üzerinde
Avantajları:
* Ağ trafiğinin büyük bir bölümünü görüntüler böylece saldırıları belirleme olasılığını artırırlar.
* Yetkili kullanıcıların şirket güvenliği çerçevesinde yetkisiz faaliyetlerini tespit ederler.
4.1.4. Yer 4: Önemli Alt Ağların Üzerinde
Avantajları:
* Kritik sistem ve kaynakları hedef alan saldırıları tespit ederler.
* Ağdaki kısıtlı kaynakların gözlemlenmesine izin verirler.
4.2. Host Tabanlı Nüfuz Tespit Sistemlerinin Yerleşimi:
Ağ tabanlı nüfuz tespit sistemleri yerleştiril çalıştırıldıkları zaman ilave host tabanlı nüfuz tespit sistemleri sisteminiz için gelişmiş koruma seviyeleri sağlayabilmektedir. Ancak host tabanlı nüfuz tespit sistemlerinin her host için kurulması, yapılandırılması oldukça çok zaman harcamaktadır.
Bu nedenle kurumlar host tabanlı nüfuz tespit sistemlerini öncelikle kritik sunucularına kurmalıdır. Bu tüm yerleşim maliyetlerini düşürmekte ve yeni personelin en önemli hostlardan gelen alarmlara odaklanmasına müsaade etmektedir. Host tabanlı nüfuz tespit sistemlerinin işlevleri olağanlaştığı zaman güvenlik bilincinde olan kurumlar hostlarının büyük bir çoğunluğuna host tabanlı nüfuz tespit sistemi kurmayı düşünebilirler. Bu durumda merkezi yönetim ve raporlama fonksiyonu olan host tabanlı sistemler satın alınmalıdır. Bu özellikler bir çok hosttan gelen alarm yönetiminin karmaşıklığını önemli ölçüde azaltacaktır.
Host tabanlı nüfuz tespit sistemlerini kullanırken göz önümde bulundurulması gereken diğer bir şeyde işletmenin korunan nüfuz tespit sistemine alışmasına izin vermektir. Çoğu nüfuz tespit sistemlerinin ama özellikle host tabanlı nüfuz tespit sistemlerinin etkinliği işletmenin doğru ve yanlış alarmları ayırt etme yeteneğine dayanmaktadır. Belli koşullar altında belli bir süre nüfuz tespit sistemi ile çalışan işletmen nüfuz tespit sistemi tarafından görüntülenen o koşullar için neyin normal olduğunu anlama yeteneğini kazanacaktır.
Ayrıca nüfuz tespit sistemlerinin sonuçlarının kontrolü için bir zaman çizelgesi oluşturmak önemlidir. Eğer yapılmaz ise düşmanın artan saldırılarıyla nüfuz tespit sisteminin karıştırılma riski vardır.
5. Tipik Nüfuz Tespit Sistemi Çıktıları:
Hemen hemen tüm nüfuz tespit sistemleri tespit edilen her saldırı hakkında küçük bir özet satırı çıktısı vermektedir. Bu özet satırı tipik olarak aşağıdaki bilgi alanlarını içermektedir.
* Zaman/tarih,
* Sensör IP adresi,
* Saldırının satıcıya özel ismi,
* Standart saldırı ismi (eğer varsa),
* Kaynak ve varış IP adresleri,
* Kaynak ve varış port numaraları,
* Saldırı tarafından kullanılan ağ protokolü.
Ayrıca birçok nüfuz tespit sistemi her saldırı tipi hakkında kapsamlı bir tanım yapmaktadır. Bu tanım işletmenin saldırıların etkilerini düzgün ölçebilmesini sağlaması açısından önemlidir. Bu tanım genellikle aşağıdaki bilgileri içermektedir.
* Saldırının metin tanımı,
* Saldırının büyüklük ölçüsü,
* Saldırı sonucundaki kayıpların tipleri,
* Saldırının kullandığı sistem açığının tipi,
* Saldırıya açık yazılım tiplerinin ve versiyon tiplerinin numarası,
* Yama bilgisi böylece bilgisayarlar saldırılara karşı dayanaklı hale getirilir,
* Saldırılar veya faydalandıkları açıklıklar hakkında tavsiye niteliğinde belgeler.
6. Saldırı Tipleri:
Birçok bilgisayar saldırıları bir sistemin güvenliğini sadece belirli özel yöntemlerle bozarlar. Örneğin; bazı saldırılar saldırganın özel dosyaları okumasına olanak sağlar ancak sistem elemanlarını değiştirmesine müsaade etmez. Diğer bir saldırı saldırgana sistem elemanlarını kapatma imkanı sağlayabilir ancak herhangi bir dosyaya erişmesine müsaade etmez. Bilgisayar saldırılarının çok çeşitli imkan ve yeteneklerinin olmasına rağmen genellikle dört güvenlik özelliğini ihlal ederek sonuç veririler: gizlilik, bütünlük, kullanılırlık ve kontrol.
6.1. Gizlilik:
Eğer bir saldırı saldırgana bilginin sahibinin yetkilendirmesi olmadan verilere erişmesine müsaade ediyorsa gizlilik ihlaline neden oluyordur.
6.2. Bütünlük:
Eğer bir saldırı saldırgana sistem durumunu veya sistemden geçen verileri veya sistemde bulunan verileri değiştirme imkanı veriyorsa bütünlük ihlaline neden oluyordur.
6.3. Kullanılırlık:
Eğer bir saldırı yetkili kullanıcıların ihtiyaçları olduğu yer, zaman ve formda sistem kaynaklarına erişimini engelliyorsa kullanılırlık ihlaline neden oluyordur.
6.4. Kontrol:
Eğer bir saldırı saldırgana sistem kontrol ilkesine erişimde ayrıcalık sağlıyorsa kontrol ihlaline neden oluyordur. Bu ayrıcalık müteakip gizlilik, bütünlük, kullanılırlık ihlallerine olanak sağlar.
7. Nüfuz Tespit Sistemlerinin Geleceği:
Asıl vizyonu sistem denetleme işlevi olan nüfuz tespit sistemleri yaklaşık olarak 50 yıllık formel bir disiplindir. Geniş yelpazeli ticari nüfuz tespit sistemlerinin kullanımı 90’lı yılların ortasından itibaren başlar. Nüfuz tespit ve değerlendirme marketi önemli bir ticari gelişmişlik göstermiştir. Teknoloji marketi analizcileri nüfuz tespit sistemi ve diğer ağ güvenlik ürünleri için bu gelişmenin devam edeceğini öngörmektedirler. (2003 yılı itibariyle nüfuz tespit sistem ürünlerinin satışı 978 milyon $’ı bulmuştur.)
Nüfuz tespit sistem alanları gelişmesine rağmen ticari nüfuz tespit sistemleri hala ilk yıllarındadır. Bazı ticari nüfuz tespit sistemleri verdikleri çok sayıdaki yanlış alarm, yetersiz kontrol ve raporlama sistemi, çok fazla sayıda saldırı raporları, eksik ölçeklendirme, ağ yönetim sistemi ile uyum eksikliği nedeniyle olumsuz tanıtım yapmıştır.
Zaman içerisinde anti-virüs yazılımlarındaki gelişmelere paralel olarak nüfuz tespit sistemi ürünlerinin de kalitesinde gelişme beklenmektedir. İlk anti-virüs yazılımları normal kullanıcıların birçok faaliyetlerine yanlış alarm vermişler ve bilinen tüm virüsleri tespit edememişlerdir. Anti-virüs yazılımları son on yıl içerisinde oldukça gelişmesine rağmen hala etkinliğini engelleyen birkaç problem vardır.
Çok büyük ihtimalledir ki nüfuz tespit sistemlerinin yetenekleri yönlendiriciler, anahtarlama cihazları, köprüler gibi ağ altyapısının ve işletim sisteminin çekirdek özellikleri olacaktır. Bu kapsamda nüfuz tespit sistem ürünleri marketinin bu ürünlerin yönetimi ve ölçeklendirilmesi konularına yoğunlaşacağı değerlendirilmektedir.
Bilişim teknolojisindeki gelişmelerin nüfuz tespit sistemlerinin şeklini ve fonksiyonunu uygulama tabanlı nüfuz tespit sistemlerine doğru etkileyeceği düşünülmektedir. Ayrıca nüfuz tespit sistemlerinin yol karşılaştırma yeteneklerinin band genişliğini arttırmak yerine donanımla yapılacağı değerlendirilmektedir. Sonuç olarak; ağ güvenliği alanı, kaynak ve özelliklerini araştırmak için geliştirilmiş nüfuz tespit sistemlerine doğru ilerlemektedir.
Hali hazırda kullanılmakta olan ücretsiz nüfuz tespit sistemleri:
* BroNIDS,
* OSSEC HIDS,
* Prelude Hybrid IDS,
* Snort,
* Suricata.
8. Kaynakça:
Bace, R. Mell, P. Intrusion Detection Systems. NIST’in Nüfuz Tespit Sistemleri Üzerine Özel Yayımı.
Scarfone, K. Guide to Intrusion Detection and Prevention Systems (IDPS). 2007. NIST Yayınları.
Hiç yorum yok:
Yorum Gönder