Herkese Selam Bugün IDS (Saldırı Tespit Sistemleri)'i Hakkında Bilgi Vereceğim İsterseniz Çok Uzatmadan Konumuza Geçelim.
IDS ?
IDS (Saldırı Tespit Sistemi) ; IDS Ağ Üzerinden Gelebilecek Saldırı Ve Zararlı Eylemleri Tespit Etmek Amacıyla Tasarlanmış Bir Sistemdir IDS İle Ağ Trafiği İncelenip Devamında Analizi Yapılabilir Daha Çok Adli Analiz Konularında Kullanılmaktadır Firewall Dediğimiz (Güvenlik Duvarı)'nın Arka Kısmına Konumlandırılır.
IDS Kendi İçerisinde 4 Farklı Türe Ayrılmaktadır
1 - NIDS (AĞ Saldırı Tespit Sistemi) = NIDS Ağ Üzerinde Belirlenen Ve Tehlike Seviyesi Yüksek - Saldırı Gelebilecek Bölüm-Katmana Konumlandırılır / Yerleştirilen Katman Ve Alt Ağ Geçicidindeki Tüm Ağ Trafiğini Analiz Eder NIDS Olası Eylemlere Karşı Ağ Trafiğini İncelemek Amacıyla NIC (Ağ Arabirim Kartı) Ve İçerisinde Sensörler Barındırır Bu Sensörler Gelen Her Paket Ve İletileri İnceler / Olası Bir Zararlı Aktivite Veya Saldırıyı Ağ Yöneticisine Bildirebilir.
2 - HIDS (Ana Bilgisayar Saldırı Tespit Sistemi) = HIDS - NIDS'ın Gerçekleştirdiği Tüm İşlemlerin Aynısını Yapmaktadır (Ağ Trafiği İnceleme Ve Analiz Etme) - Fakat Bunu Tek Sistem-Host Üzerinden Gerçekleştirir / Tüm Ağ Trafiğini İnceleyemez Bu Yüzden Çok Fazla Kullanılmaz NIDS Gibi İçerisinde Agent Dediğimiz Aracıları Barındırır Ve Agent'lar Sayesinde Log Tutma - Paket İnceleme Gibi İşlemleri Yapabilir.
3 - PIDS (Protokol Tabanlı Saldırı Tespit Sistemi) = PIDS - Sunucunun Ön Bölümüne Kurulur / Kullanıcı Ve Sunucu Arasındaki Protokolu İnceler HTTPS Serverını Gözlemleyerek Web Sunucusunu Güven Altında Tutmaya Çalışır.
4 - VM IDS (Sanal Makina Tabanlı Saldırı Tespit Sistemi) = VMIDS ; Adından'da Anlaşılacağı Üzere Sanal Makina Ortamlarında Çalışan Bir IDS Türüdür Bir Çok İşlemi Yapabilmektedir Diğer IDS Türlerinin Yaptığı İşlemlerin Tümünü Yapar Bu Yüzden Birden Fazla IDS Sistemi Kullanılmasına Gerek Yoktur Tek Sistem Olarak Yeterli Olacaktır.
IDS 5 Farklı Mantık-Prensip Üzerine Çalışmaktadır.
1 - NIDS (AĞ Saldırı Tespit Sistemi) = NIDS Ağ Üzerinde Belirlenen Ve Tehlike Seviyesi Yüksek - Saldırı Gelebilecek Bölüm-Katmana Konumlandırılır / Yerleştirilen Katman Ve Alt Ağ Geçicidindeki Tüm Ağ Trafiğini Analiz Eder NIDS Olası Eylemlere Karşı Ağ Trafiğini İncelemek Amacıyla NIC (Ağ Arabirim Kartı) Ve İçerisinde Sensörler Barındırır Bu Sensörler Gelen Her Paket Ve İletileri İnceler / Olası Bir Zararlı Aktivite Veya Saldırıyı Ağ Yöneticisine Bildirebilir.
2 - HIDS (Ana Bilgisayar Saldırı Tespit Sistemi) = HIDS - NIDS'ın Gerçekleştirdiği Tüm İşlemlerin Aynısını Yapmaktadır (Ağ Trafiği İnceleme Ve Analiz Etme) - Fakat Bunu Tek Sistem-Host Üzerinden Gerçekleştirir / Tüm Ağ Trafiğini İnceleyemez Bu Yüzden Çok Fazla Kullanılmaz NIDS Gibi İçerisinde Agent Dediğimiz Aracıları Barındırır Ve Agent'lar Sayesinde Log Tutma - Paket İnceleme Gibi İşlemleri Yapabilir.
3 - PIDS (Protokol Tabanlı Saldırı Tespit Sistemi) = PIDS - Sunucunun Ön Bölümüne Kurulur / Kullanıcı Ve Sunucu Arasındaki Protokolu İnceler HTTPS Serverını Gözlemleyerek Web Sunucusunu Güven Altında Tutmaya Çalışır.
4 - VM IDS (Sanal Makina Tabanlı Saldırı Tespit Sistemi) = VMIDS ; Adından'da Anlaşılacağı Üzere Sanal Makina Ortamlarında Çalışan Bir IDS Türüdür Bir Çok İşlemi Yapabilmektedir Diğer IDS Türlerinin Yaptığı İşlemlerin Tümünü Yapar Bu Yüzden Birden Fazla IDS Sistemi Kullanılmasına Gerek Yoktur Tek Sistem Olarak Yeterli Olacaktır.
IDS 5 Farklı Mantık-Prensip Üzerine Çalışmaktadır.
1 - Signature-Based (İmza Tabanlı) = Bu Mantık Şu Şekilde Çalışır ; Önceden Sembollenmiş Saldırıların İmzalarını Kapsar Ve Olası Durumlarda Benzer Bayt Dizileri-Değerler Gibi Unsurlar Sayesinde Tespiti Yapılır Yeni Nesil Saldırılarda Maalesef'ki İmza Tabanlı Sistem Koruma Sağlamamaktadır Bu Yüzden İmza Tabanlı Koruma Tek Önlem Olarak Tutulmamalıdır.
2 - Anomaly-Based (Anormal'e Dayalı) = Ağ Üzerinde Gerçekleşen Normalin Dışındaki Eylemlerin Tespit Edilmesini Sağlar Daha Önce Karşılaşılmamış Saldırılara Karşı Önlem Alınmasını Ve Korunmayı Sağlamaktadır.
3 - Protocol Decode Based (Protokol Tabanlı) = RFC'ler Tarafından Betimlenen Protokol Bozulmalarını Tespit Etmektedir.
4 - Pattern Matching (Model Eşleşmesi) = Bağlantı Kanalları Üzerindeki Trafiği İncelemektedir Normalin Dışında'ki Bağlantı Kanalları Veya Oluşturulma-Akışı Değiştirme Aktiviteleri Tespit Edebilir MİTM-Evil Twin Gibi Saldırılara Karşı Oldukça Koruma Sağlar.
5 - Heuristic Based (Sezgisel Tabanlı) = Sezgisel Tabanlı Tespit Hem İmza Tabanlı Hemde Anormal'e Dayalı Koruma İle Eş Zamanlı Kullanılabilir / Sezgisel Tabanlı Sistem Davranış Ve İstenmeyen-Zararlı Etkenler Üzerine Çalışır - Bu Şekilde Tespit Yapmaktadır.
---------------------------------------------------------------------
Başka Konuda Görüşmek Üzere İyi Akşamlar
. bu 5 mantık prensibinden hangisinde tecrübe sahibi oldunuz? metodları kullandıysanız düşünceleriniz nedir?
