IDS, IPS, Active Response, Inline tanimlari
IDS/IPS/IDP dunyasinda sIk kullanilan fakat genellikle eksik/yanlis kullanilan bazi terimler var. Bunlardan en sIk rastladiklarim, IDS, Active response(aktif yanit sistemi), Inline vs.. Kisa kisa bu tanimlarin ne olduklarina deginmeye calisacagim.
IDS: Genel mana itibari ile atak/saldiri tespiti yapmak ve kurulan uyari mekanizmasi ile guvenlik yoneticilerini uyarmak gorevindedir. IDS’ler dogal hali ile pasif sistemlerdir ve saldirgana herhangi bir cevap donmezler, hatta saldirgan agda bir IDS oldugunu bile cogu zaman farketmez. IDS’lere ataklari kismi engelleme ozelligi eklemek icin Aktif yanit destegi(active response) eklenmistir.
Active response(Aktif yanıt)’dan kasıt IDS sistemlerinin saldırı anında TCP RST(TCP icin) ve ICMP hata mesajları(UDP icin) paketleri göndermesidir. Eski bir yontemdir ve gunumuzde kompleks saldirilara karsi saglam bir cozum onermemektedir. Burada IDS sistemi ile sunucu ve saldirdan arasinda bir yaris soz konusudur ve ortamdaki bilesenler saldirinin basarili olup olmamasinda onem kazanir(IDS’in cpu gucu, switch kalitesi vs)
Aktif yanıt sistemlerinin diger onemli bir eksigi de tek paketle yapilan(one shot) saldırıları engelleyememeleri. Tıpkı Slammer wormunda olduğu gibi.(UDP portuna tekbir paket ile gerceklestiriliyor) Zira paket hedefe ulaşmış ve saldırı başarılı olmuştur, bu andan itibaren hedefe ya da sunucuya RST, Icmp hata mesaklari gondermek işe yaramayacaktır.
Inline sistem: paketlerin geçiş yolu üzerinde bulunan sistem demektir. Router, Güvenlik duvari, bridge modda çalışan yapılar Inline sistemlerdir. Inline, kesinlikle bridge modda çalışan system demek değildir, Layer2 ya da Layer3 e calisabilir. Önemli olan paketin cihaz/sistem üzerinden geçmesidir.
IDS(Aktif yanıtlama sistemleri) ile IPSler aradındaki en önemli fark IPS sistemlerin inline modda çalışmasıdır.
Inline sistemlerin diğer bir yararı da trafik üzerlerinden geçtiği için uygulama seviyesinde paket içeriğinde değişiklik yapabilmeleridir. Mesela saldırganın paketi içerisinde /bin/sh şeklinde bir ibare varsa bunu /ben/sh olarak değiştirerek saldırının başarılı olmasını engelleyebilir. Burada dikkat edilmesi gereken husus Inline sistemin içeriği değiştirdikten sonra transport katmanında checksum değerinin yeniden hesaplaması gerektiğidir.
Related posts:
Loading ...
This post has 8 comments
May 8th, 2008
teşekkürler hocam (:
May 27th, 2009
merhaba hocam hazır ids ips demişken bu konuda sizce en iyi hangisi belki bunun tam bir cevabı yok ama bana söylenilenlere göre, tipping point ips konusunda en iyi olduğu söyleniyor, bu konudaki görüşürz nedir.sizce ene iyi ipsleri sıralamak gerekirse ilk sıralarda hangileri yer alır, tippingpoint , juniper , check point….
May 27th, 2009
En iyi IPS yoktur, IPS’i en iyi kullanan admin vardir desek daha dogru olur.
Gartner raporlari ve NSS’in teknik raporlarina gore: Mcafee, TippingPoint, Source ve ISS gozukuyor.
Bana gore uc asagi bes yukari hepsi ayni. Iyi yonetebiliyorsaniz yukaridaki dort urunden biri isinizi gorebilir, hatta 50 Mb civari hattiniz varsa Snort en iyisidir, ucretsizdir:)
July 8th, 2009
peki hocam, IPS IDS konusunda hangi eğitimleri önerirsiniz. ceh eğitimleri bu konuda ne derece faydalıdır tşkler..
July 9th, 2009
CEH egitimleri IDS konusunda cok faydali olmaz. Bu konuda Snort’u kurcalamanizi oneririm. Egitim olarak http://www.guvenlikegitimleri.com/egitimler/entpsec/snort__ag__tabanli_saldiri_tespit_ve_engelleme_sistemi adresindeki egitim bu konudaki tek Türkçe eğitim.
July 30th, 2009
tşkler. hocam zaten bu eğime katılacam sitedekie ğimlerin hepsi cok güzel.
July 30th, 2009
Aman acele edin, egitimlerin masallahi var. Ilk haftadan doluyor siniflar.
July 30th, 2009
hocam sizden bir cok eğitim almayı düşünüyorum. belkide 4-5 eğitim olacak ama biliyorsunuz kriz ortamından geciyoruz bu ortamda en iyi yatırım eğitim olacak . mümkün olduğunda imkanları zorlayıp bu eğimleri kaçırmak istemiyorum . fiyat konusunda uygun şartlar oluşursa bir cok eğitime kaytılma konusunda kararlıyım. tabiri caizse daimi öüğrencilerinizden biri olmak istiyorum.
iyi çalışmalar.