IDS Kavramı ve Anomali Tespiti

IDS sistemleri ağ trafiğiniz içerisindeki zararlı hareketlerin tespiti için kullanılan güvenlik uygulamalarıdır. Intrusion Detection Systems kelimelerinin kısaltması olarak IDS kullanılmaktadır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlamak ve bu hareketleri loglamak ve incelenmesini sağlamaktır.

IDS sistemlerinde izinsiz giriş tespiti ve önlenmesine yönelik altı temel yaklaşım vardır. Bu yöntemlerden bazıları çeşitli yazılım paketlerinde uygulanırken, diğerleri bir kurumun başarılı bir saldırı olasılığını azaltmak için kullanabileceği stratejilerdir.

IDS sistemlerinin tarihine baktığımızda, HUB adını verdiğimiz ağ cihazlarını görüyoruz. Birkaç yıl öncesine kadar HUB adını verdiğimiz ağ cihazları sıklıkla kullanılmaktaydı. En büyük soru ise, bir porta gelen isteği tüm portlara basmasından kaynaklanıyordu. Günümüzde, hub yerine artık anahtar adını verdiğimiz cihazlar kullanılmaktadır. Bir hub ile, bir paket kaynak ağından hedef ağa iletililirken son segmente ulaştığında hedefi bulmak için MAC adresi kullanırdı. Bu segmentteki tüm bilgisayarlar da gönderilen paketi görebilirdi. Ancak hedef MAC adresiyle eşleşmediği için diğer bilgisayarlar paketi yok sayarlar ve sadece doğru MAC adresine sahip olan bilgisayar paketi kabul ederdi.

Bir noktada, ağ cihazları paketleri göz ardı etmemeyi seçerlerse, ağ segmentindeki tüm trafiği görebilecekleri ortaya çıkmıştı. Başka bir deyişle, bir ağ içerisinde HUB kullanılıyorsa, gelen giden tüm paketlere bakılabilir. Böylece paket dinleyicisi adını verdiğimiz ilk sistemler ortaya çıktı. Sonrasıdna bu paketleri bir saldırı belirtisi için analiz etme ihtiyacı doğdu ve saldırı tespit sistemleri ortaya çıktı. Ağ üzerindeki tüm paketler dinlenerek izinsiz girişleri tespit etme fikri ortaya çıkmıştı.

Saldırı Tespit ve Engelleme Sistemleri

Önleyici engelleme, izinsiz girişleri gerçekleşmeden önce önlemeye çalışan sistemlerdir. Prensiplerinde ise olası tehditleri veya tehlike işaretini gözlemlemek ve bu işaretlerin kaynaklandığı kullanıcıyı veya IP adresini engelleyerek çalışmaktadır. Şöyle bir örnekle açıklayabiliriz. Belirli bir IP adresinin sıkça bağlantı noktası taramaları geliyorsa ve sisteminizin tarandığını fark ederseniz, bu durum olası bir saldırıdır ve IP adresini güvenlik duvarında engellersiniz.

Günümüz teknoloji dünyasıdna bu veya benzeri türdeki izinsiz giriş tespiti ve kaçınma oldukça karmaşık bir hale gelmiştir. Yanlışlıkla meşru bir kullanıcıyı engelleme potansiyeli vardır. Karmaşıklık, meşru trafiği bir saldırının göstergesinden ayırt edememekten kaynaklanır. Bu durum sistemin meşru trafiği yanlışlıkla bir saldırı türü olarak tanımlamasıyla ortaya çıkara ve false-possitive adını verdiğimiz sorunlara yol açabilir. 

Genellikle, bir yazılım sistemiyle şüpheli etkinliklerin gerçekleştiği konusunda uyarı verebilir. Ardından bir ağ yöneticisi trafiği engelleyip engellemeyeceğine karar verir. Yazılım şüpheli olduğunu düşündüğü adresleri otomatik olarak engellerse, meşru kullanıcıları engelleme riskiyle karşı karşıya kalırsınız. Bu noktada IDS sistemleri ortaya çıkar.  Eğer saldırıyı yazılım otomatik olarak engelliyorsa IPS adını verdiğimiz saldırı tespit ve engelleme sistemleri kullanılmaktadır.

Temel bileşenlerin ötesinde, IDS’ler tespit edilen anormalliklere nasıl tepki verdiklerine veya nasıl konuşlandıklarına göre sınıflandırılabilir. Pasif bir IDS sadece etkinliği günlüğe kaydeder ve yöneticiyi uyarır. IPS / Aktif IDS ise ilgili anormaliyi durdurur. Ayrıca IDS / IPS’yi tek bir makinenin veya tüm ağ bölümünün izlenip izlenmediğine göre tanımlayabilirsiniz. Tek bir makineyse, buna HIDS (ana bilgisayar tabanlı saldırı tespit sistemi) veya HIPS (ana bilgisayar tabanlı saldırı önleme sistemi) denir.

Anomali Tespiti

Anomali tespiti, izinsiz giriş denemelerini tespit etmek ve yöneticiyi bilgilendirmek için çalışan güvenlik yazılımlarıdır. Genel işlem basittir. Sistem yani saldırı tespit güvenlik uygulaması herhangi bir anormal davranış arar. Normal kullanıcı erişim düzeniyle eşleşmeyen tüm etkinlikler not edilir ve günlüğe kaydedilir. Yazılım, gözlemlenen etkinliği beklenen normal kullanım profilleri ile karşılaştırır. Profiller genellikle belirli kullanıcılar, kullanıcı grupları veya uygulamalar için geliştirilir. Normal davranış tanımıyla eşleşmeyen herhangi bir etkinlik bir anormallik olarak kabul edilir ve günlüğe kaydedilir. Bazen “geri izleme” tespiti veya süreci şeklinde isimlendirilir. 

Bir anormalliğin tespit edilmesinin belirli yolları şunlardır:

  • Eşik izleme
  • Kaynak profili oluşturma
  • Kullanıcı / grup çalışması profili
  • Yürütülebilir profil oluşturma

Eşik İzleme

Eşik izleme, kabul edilebilir davranış seviyelerini önceden ayarlar ve bu seviyelerin aşılıp aşılmadığını gözlemler. Sınırlı sayıda başarısız oturum açma denemesi gibi basit veya kullanıcının bağlandığı zamanı ve kullanıcının indirdiği veri miktarını izlemek kadar karmaşık bir kurallar dizisini içerebilir. Eşikler kabul edilebilir davranış tanımı sağlar. Ne yazık ki, müdahaleci davranışı sadece eşik sınırlarıyla karakterize etmek biraz zor olabilir. Uygun eşik değerlerinin veya bu eşik değerlerinin kontrol edileceği uygun zaman çerçevelerinin oluşturulması genellikle zor olacaktır. Bu durum yüksek oranda yanlışlara yani false-possitive durumlarına yol açabilir.

Kaynak Profili

Sistem genelinde kaynak kullanımını ölçer ve bir kullanım profili geliştirir. Bir kullanıcının normalde sistem kaynaklarını nasıl kullandığına bakmak, sistemin normal parametrelerin dışındaki kullanım düzeylerini tanımlamasını sağlar. Bu tür anormal okumalar, devam etmekte olan illegal faaliyetin göstergesi olabilir. Kullanımdaki bir artış, güvenliği ihlal etme girişimi yerine, artan iş yükü gibi iyi huylu bir şeyi de gösterebilir.

Kullanıcı / Grup Çalışması Profili

Kullanıcı / grup çalışması profillemesinde IDS, kullanıcılar ve gruplar hakkında bireysel çalışma profillerini korur. Bu kullanıcıların ve grupların tanımlı olan profillere uymaları beklenmektedir. Kullanıcı faaliyetlerini değiştirdikçe, beklenen iş profili bu değişiklikleri yansıtacak şekilde güncellenir. Bazı sistemler, kısa vadeli ve uzun vadeli profillerin etkileşimini izlemeye çalışır. Kısa vadeli profiller son zamanlarda değişen çalışma düzenlerini yakalarken, uzun vadeli profiller uzun bir süre boyunca kullanımı ortaya çıkartır. Ancak düzensiz veya dinamik bir kullanıcı tabanının profilini oluşturmak zor olacaktır. Çok geniş bir şekilde tanımlanan profiller herhangi bir etkinliğin gözden geçirilmesini sağlarken, çok dar olarak tanımlanan profiller kullanıcı çalışmasını zorlayabilir.

Yürütülebilir Profil Oluşturma

Yürütülebilir profilleme, programların etkinliği belirli bir kaynak kullanıcı tarafından istem kaynaklarını nasıl kullandığını ölçmeyi ve izlemeyi amaçlar. Örneğin, sistem hizmetleri genellikle bunları başlatan belirli bir kullanıcı tarafından izlenemez. Virüsler, Truva atları, solucanlar, trapdoors ve diğer yazılım saldırıları, dosyalar ve yazıcılar gibi sistem nesnelerinin normalde yalnızca kullanıcılar tarafından değil aynı zamanda kullanıcıların diğer sistem özneleri tarafından nasıl kullanıldığını belirleyerek de ele alınır. Çoğu geleneksel sistemde, bir virüs de dahil olmak üzere herhangi bir program, yazılımı çalıştıran kullanıcının tüm ayrıcalıklarını devralır. Yazılım, yalnızca düzgün bir şekilde yürütmek için gerekli olan ayrıcalıklara en az ayrıcalık ilkesi ile sınırlı değildir.

Yürütülebilir profil oluşturma, IDS’nin bir saldırıyı gösterebilecek etkinliği tanımlamasını sağlar. Olası bir tehlike belirlendiğinde, ağ mesajı veya e-posta gibi yöneticiyi bilgilendirme yöntemini benimser.

IDS Uygulamaları

Piyasadaki IDS sistemlerin her birinin güçlü ve zayıf yönleri vardır. Belirli bir ortam için hangi sistemin en iyi olduğuna karar vermek, ağ ortamı, gerekli güvenlik seviyesi, bütçe kısıtlamaları ve doğrudan IDS ile çalışacak kişinin beceri seviyesi gibi birçok faktöre bağlıdır.

Snort

Snort, bilinen en iyi açık kaynak saldırı tespit ve engelleme sistemidir. Gelen trafiği izlemek için bir sunucuya kurulan bir yazılım uygulaması olarak karşımıza çıkar. Genellikle hem güvenlik duvarı yazılımının hem de Snort’un aynı makinede çalıştığı bir sistemde ana bilgisayar tabanlı bir güvenlik duvarı yöntemi uygulanır. Snort UNIX, Linux, Free BSD ve Windows için kullanılabilir. Yazılımı indirmek ücretsizdir ve dokümanlarına www.snort.org adresinden ulaşabilirsiniz. Snort üç moddan birinde çalışır. Bu modlar sniffer, paket kaydedici ve ağ saldırı tespit şeklindedir.

Sniffer

Paket dinleyicisi modunda, konsol (kabuk veya komut istemi) makineye gelen tüm paketlerin içeriğinin sürekli olarak akışını görüntüler. Bu uygulamalar bir ağ yöneticisi için çok yararlıdır. Bir ağda hangi trafiğin geçtiğini bulmak potansiyel sorunların nerede olduğunu belirlemenin en iyi yoludur. İletimlerin şifrelenip şifrelenmediğini kontrol etmenin de iyi bir yolu olduğunu söyleyebiliriz. Birçok siniffer vardır ve ağ yöneticilerinin olmazsa olmazları arasındadır.

Paket Kaydedici

Paket kaydedici modu dinleyici moduna benzer. Fark ise paket içeriğinin konsolda görüntülenmek yerine bir metin dosyası günlüğüne yazılmasıdır. Veriler bir metin dosyasına kayıt edildikten sonra, kullanıcılar bir kelime işlemcinin arama özelliğini kullanarak belirli bilgileri tarayabilir.

Ağa İzinsiz Giriş Tespiti

Ağ saldırı tespit modunda, Snort anormal trafiği tespit etmek için sezgisel bir yaklaşım kullanır. Bu kural tabanlı olduğu ve deneyimden öğrendiği anlamına gelir. Bir kurallar dizisi başlangıçta bir süreci yönetir. Snort, zamanla performansı optimize etmek için öğrenmeye başlar. Daha sonra bu trafiği kaydeder ve ağ yöneticisini uyarabilir. Kullanıcı, paketlerin taranması için uygulamak isteyen kuralları belirleyebildiğinden, bu mod en fazla yapılandırmayı gerektirir. 

Snort’u yapılandırmak çoğunlukla, doğru komutları bilmek ve çıktılarını anlamakla ilgilidir. Linux kabuk komutları veya DOS komutları ile orta düzeyde deneyimi olan herkes, Snort yapılandırma komutlarında hızlı bir şekilde ustalaşabilir. Snort, ana bilgisayar tabanlı güvenlik duvarlarıyla birlikte kullanıldığında veya her sunucuda ek güvenlik sağlamak için IDS olarak kullanıldığında iyi bir araçtır.

Cisco Saldırı Tespit ve Önlenme Sistemi

Cisco markası, ağ oluşturma konusundaki uzmanlığı bu noktada da avantaj olarak kullanmaktadır. Güvenlik duvarları ve yönlendiricileri ile birlikte Cisco, her biri farklı bir odak / amaca sahip çeşitli izinsiz giriş algılama modellerine sahiptir. Geçmişte Cisco’nun iki özel, yaygın olarak kullanılan IDS ürünü vardı; Cisco IDS 4200 Serisi Sensörler ve Cisco Catalyst 6500 Serisi Saldırı Tespit Sistemi (IDSM-2).

Bu grupta, özellikle Firepower 4100 serisi, Firepower 8000 serisi ve Firepower 9000 serisi olmak üzere bir dizi ürün bulunmaktadır. Tüm ürünler kum korumasının yanı sıra kötü amaçlı yazılımlara karşı koruma da içerir. Bu Cisco ürünleri ayrıca siber tehdit istihbarat özellikleri de sağlamaktadır.

4100 serisi küçük ağlar içindir ve 9000 serisi büyük ölçekli ağlar için tasarlanmıştır. Cisco güvenlik ürünlerini kullanmanın başlıca faydalarından biri, sektörde yaygın kullanımları ve eğitim sistemlerinin yaygın olmasıdır. Cisco ayrıca, ürünleri hakkında bir dizi sertifikayı da destekleyerek belirli bir Cisco ürününde kalifiye olup olmadığını da gösterir.