IDS/IPS/IDP dunyasinda sIk kullanilan fakat genellikle eksik/yanlis kullanilan bazi terimler var. Bunlardan en sIk rastladiklarim, IDS, Active response(aktif yanit sistemi), Inline vs.. Kisa kisa bu tanimlarin ne olduklarina deginmeye calisacagim.
IDS: Genel mana itibari ile atak/saldiri tespiti yapmak ve kurulan uyari mekanizmasi ile guvenlik yoneticilerini uyarmak gorevindedir. IDS’ler dogal hali ile pasif sistemlerdir ve saldirgana herhangi bir cevap donmezler, hatta saldirgan agda bir IDS oldugunu bile cogu zaman farketmez. IDS’lere ataklari kismi engelleme ozelligi eklemek icin Aktif yanit destegi(active response) eklenmistir.
Active response(Aktif yanıt)’dan kasıt IDS sistemlerinin saldırı anında TCP RST(TCP icin) ve ICMP hata mesajları(UDP icin) paketleri göndermesidir. Eski bir yontemdir ve gunumuzde kompleks saldirilara karsi saglam bir cozum onermemektedir. Burada IDS sistemi ile sunucu ve saldirdan arasinda bir yaris soz konusudur ve ortamdaki bilesenler saldirinin basarili olup olmamasinda onem kazanir(IDS’in cpu gucu, switch kalitesi vs)
Aktif yanıt sistemlerinin diger onemli bir eksigi de tek paketle yapilan(one shot) saldırıları engelleyememeleri. Tıpkı Slammer wormunda olduğu gibi.(UDP portuna tekbir paket ile gerceklestiriliyor) Zira paket hedefe ulaşmış ve saldırı başarılı olmuştur, bu andan itibaren hedefe ya da sunucuya RST, Icmp hata mesaklari gondermek işe yaramayacaktır.
Inline sistem: paketlerin geçiş yolu üzerinde bulunan sistem demektir. Router, Güvenlik duvari, bridge modda çalışan yapılar Inline sistemlerdir. Inline, kesinlikle bridge modda çalışan system demek değildir, Layer2 ya da Layer3 e calisabilir. Önemli olan paketin cihaz/sistem üzerinden geçmesidir.
IDS(Aktif yanıtlama sistemleri) ile IPSler aradındaki en önemli fark IPS sistemlerin inline modda çalışmasıdır.
Inline sistemlerin diğer bir yararı da trafik üzerlerinden geçtiği için uygulama seviyesinde paket içeriğinde değişiklik yapabilmeleridir. Mesela saldırganın paketi içerisinde /bin/sh şeklinde bir ibare varsa bunu /ben/sh olarak değiştirerek saldırının başarılı olmasını engelleyebilir. Burada dikkat edilmesi gereken husus Inline sistemin içeriği değiştirdikten sonra transport katmanında checksum değerinin yeniden hesaplaması gerektiğidir.
teşekkürler hocam (:
merhaba hocam hazır ids ips demişken bu konuda sizce en iyi hangisi belki bunun tam bir cevabı yok ama bana söylenilenlere göre, tipping point ips konusunda en iyi olduğu söyleniyor, bu konudaki görüşürz nedir.sizce ene iyi ipsleri sıralamak gerekirse ilk sıralarda hangileri yer alır, tippingpoint , juniper , check point….
En iyi IPS yoktur, IPS’i en iyi kullanan admin vardir desek daha dogru olur.
Gartner raporlari ve NSS’in teknik raporlarina gore: Mcafee, TippingPoint, Source ve ISS gozukuyor.
Bana gore uc asagi bes yukari hepsi ayni. Iyi yonetebiliyorsaniz yukaridaki dort urunden biri isinizi gorebilir, hatta 50 Mb civari hattiniz varsa Snort en iyisidir, ucretsizdir:)
peki hocam, IPS IDS konusunda hangi eğitimleri önerirsiniz. ceh eğitimleri bu konuda ne derece faydalıdır tşkler..
CEH egitimleri IDS konusunda cok faydali olmaz. Bu konuda Snort’u kurcalamanizi oneririm. Egitim olarak http://www.guvenlikegitimleri.com/egitimler/entpsec/snort__ag__tabanli_saldiri_tespit_ve_engelleme_sistemi adresindeki egitim bu konudaki tek Türkçe eğitim.
tşkler. hocam zaten bu eğime katılacam sitedekie ğimlerin hepsi cok güzel.
Aman acele edin, egitimlerin masallahi var. Ilk haftadan doluyor siniflar.
hocam sizden bir cok eğitim almayı düşünüyorum. belkide 4-5 eğitim olacak ama biliyorsunuz kriz ortamından geciyoruz bu ortamda en iyi yatırım eğitim olacak . mümkün olduğunda imkanları zorlayıp bu eğimleri kaçırmak istemiyorum . fiyat konusunda uygun şartlar oluşursa bir cok eğitime kaytılma konusunda kararlıyım. tabiri caizse daimi öüğrencilerinizden biri olmak istiyorum.
iyi çalışmalar.