« OpenVPN & OpenBSD’i sistem hesaplarini kullanacak sekilde yapilandirmak | Home | Hafta sonu macerasi »
IDS, IPS, Active Response, Inline tanimlari
By Huzeyfe ONAL | May 8, 2008
IDS/IPS/IDP dunyasinda sIk kullanilan fakat genellikle eksik/yanlis kullanilan bazi terimler var. Bunlardan en sIk rastladiklarim, IDS, Active response(aktif yanit sistemi), Inline vs.. Kisa kisa bu tanimlarin ne olduklarina deginmeye calisacagim.
IDS: Genel mana itibari ile atak/saldiri tespiti yapmak ve kurulan uyari mekanizmasi ile guvenlik yoneticilerini uyarmak gorevindedir. IDS’ler dogal hali ile pasif sistemlerdir ve saldirgana herhangi bir cevap donmezler, hatta saldirgan agda bir IDS oldugunu bile cogu zaman farketmez. IDS’lere ataklari kismi engelleme ozelligi eklemek icin Aktif yanit destegi(active response) eklenmistir.
Active response(Aktif yanıt)’dan kasıt IDS sistemlerinin saldırı anında TCP RST(TCP icin) ve ICMP hata mesajları(UDP icin) paketleri göndermesidir. Eski bir yontemdir ve gunumuzde kompleks saldirilara karsi saglam bir cozum onermemektedir. Burada IDS sistemi ile sunucu ve saldirdan arasinda bir yaris soz konusudur ve ortamdaki bilesenler saldirinin basarili olup olmamasinda onem kazanir(IDS’in cpu gucu, switch kalitesi vs)
Aktif yanıt sistemlerinin diger onemli bir eksigi de tek paketle yapilan(one shot) saldırıları engelleyememeleri. Tıpkı Slammer wormunda olduğu gibi.(UDP portuna tekbir paket ile gerceklestiriliyor) Zira paket hedefe ulaşmış ve saldırı başarılı olmuştur, bu andan itibaren hedefe ya da sunucuya RST, Icmp hata mesaklari gondermek işe yaramayacaktır.
Inline sistem: paketlerin geçiş yolu üzerinde bulunan sistem demektir. Router, Güvenlik duvari, bridge modda çalışan yapılar Inline sistemlerdir. Inline, kesinlikle bridge modda çalışan system demek değildir, Layer2 ya da Layer3 e calisabilir. Önemli olan paketin cihaz/sistem üzerinden geçmesidir.
IDS(Aktif yanıtlama sistemleri) ile IPSler aradındaki en önemli fark IPS sistemlerin inline modda çalışmasıdır.
Inline sistemlerin diğer bir yararı da trafik üzerlerinden geçtiği için uygulama seviyesinde paket içeriğinde değişiklik yapabilmeleridir. Mesela saldırganın paketi içerisinde /bin/sh şeklinde bir ibare varsa bunu /ben/sh olarak değiştirerek saldırının başarılı olmasını engelleyebilir. Burada dikkat edilmesi gereken husus Inline sistemin içeriği değiştirdikten sonra transport katmanında checksum değerinin yeniden hesaplaması gerektiğidir.
Topics: IDS/IPS/IDP |
May 8th, 2008 at 11:28 pm
teşekkürler hocam (: