Zaman zaman cesitli projelerde kullanilmak uzere IPS urunlerini inceliyorum, test ediyorum. Konu guvenlik, guvenlik icerisinde de en dinamik konulardan biri olan IPSler olunca daha once yaptiginiz degerlendirme bugun gecerli olmayabiliyor, otesinde saglikli olmuyor.
Secimdeki temel kriterlerim: Basta kendi yaptigim canli testler, urunun teknik yetenekleri(+raporlama) , urunu Turkiye’de satan, destegini veren firmanin yeterliligi, musteriye bakis acisi ve o urun hakkinda yapilmis bagimsiz degerlendirmeler . Bu degerlendirmeleri guvenlik listelerinde urun hakkinda donen tartismalar, internette yazilmis makaleler, Gartner, Icsa Lab ve NSS gibi bagimsiz(?) kuruluslarin raporlari olusturuyor.
Temel kriterlerimi etkilemeyen maddelerden birisi urunu satmaya calisan firmanin/yetkilinin urun hakkinda soyledikleri. Zira nasil ki her ana icin cocugu kusursuzsa her satici icin de urunu kusursuzdur ve kusurlar hep satildiktan sonra ortaya cikar.
Ben de bu baglamda gecmis yillarin Gartner raporlarini arastirirken onume Gartner’in IPS urunleri hakkidaki 2008 yili ilk ceyrek raporu(Magic Quadrant for Network Intrusion Prevention System Appliances, 1H08) dustu. (http://mediaproducts.gartner.com/reprints/sourcefire/154849.html) Sonuclar eski raporlarla cok farkliliklar gostermiyor.
Bu tip raporlari sık incelemeyenlere: muhtemelen hic ismini duymadiginiz, kullanmadiginiz urunleri listenin basinda gormek sizi sasirtabilir ya da kullandiginiz urunun alt siralarda olmasi sizi uzebilir. Zira Gartner urunun teknik ozelliklerinden ziyade urunu, firmayi, musterileri ve piyasa dengelerini bir butun olarak ele alip degerlendirme yapiyor.Degerlendirme kriterleri icin ustteki link incelenebilir.
Dolayisi ile alacaginiz urun sayisi bir, ikiyi gecmiyorsa gelecekte de sayi artmayacaksa Gartner’in raporu cok degerlendirmeye alinmayabilir.
Ama alacaginiz urunun sayisi 5-10 ve uzeri ise urunun teknik ozellikleri yaninda firmanin durumu da onemli olmaya basliyor. Mesela X urununun Y firmasi tarafindan satin alinmasi, Y’nin de bir china firmasi tarafindan alinmasi sizin sirketinizin yasal sartlarina uymayabilir ve uzun vadede sorunlar cikarabilir. Dolayisi ile bu tip durumlarda Gartner raporlari karar verme acisindan yararli oluyor, otesinde ust yonetime vs konuyu aciklarken refere olarak Gartner’in kullanilmasi sizi bircok aciklama yapmaktan kurtariyor.
Ips ve ids arasında çok fark warmıdır? Çalışma mantıkları AV ve Firewall gibi port kontrolü ve virüs, trojan, worm gibi zararlı yazılımların imzalarını belleklerinde tutarak mı engellerler? Birde otomatiği alınmış saldırılar dışında yani ip araklıklarını tarayarak yapılan saldırılar dışında kasti ve bilinçli bi saldırıyla karşılaştınız mı? Merak ettim..Saçma sorular mı soruyorum yoksa (: