PяøŁøqџ£

Forum için hazırladığım bu 2. dökümanda,güvenliğimiz için almamız gereken önlemlerden birisi olan "Saldırı Tespit Sistemi" üzerinde durmaya çalıştım. Saldırı tespit sistemlerinin ne anlama geldiği, hangi yöntemlerle kullanıldığı, yararları ve eksi tarafları,piyasadaki en çok tutulan ürünlerin tanıtımları ve özellikleri konusunda önemli bir döküman olduğunu düşünüyorum.
Tüm dökümanı okumanız,güvenliğiniz için sizlere artı puan kazandıracaktır.Bu yüzden okumaktan kaçınmayın.
Umarım faydalı bir döküman hazırlayabilmişimdir.

Saldırı Tespit Sistemleri

Saldırı tespit sistemleri,Internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek,çeşitli paket ve verilerden oluşabilecek saldırıları fark etmek üzere tasarlanmış sistemlerdir.

Amacı:

Temel amaçları belirlenen kurallar çerçevesinde,saldırıları tespit ederek mail,sms,snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir.

Önemi:

Her gün binlerce sistem saldırıya uğramaktadır.Bu saldırılardan bazıları ise maddi ve manevi boyutta kayıplara neden olmaktadır.Genel olarak bu saldırıların yapısı ve karakteristliği konusunda bir fikir ortaya atılamamktadır.Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir.Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir.İlk yol,bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır.İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır.
İlk tip saldırıları önlemek ikinci tip saldırılara göre daha kolaydır.Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ancak ikinci tip saldırılarda daha savunmasız kalınır.Çünkü belirgin bir hareket veya tarz yoktur.Bu durumda saldırı önleme yöntemleri de çeşitlilik kazanmıştır.Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur.Büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.
Yerel ağı korumak amaçlı olan Firewall ve Anti-Virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadır.Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar,ayarlarından kaynaklanan hatalar,Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler,Anti-virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır.Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedir.

İçerik Olarak Çalışma Şekilleri

Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar.İlk yapıda Anti-virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları tespit etmek hedeflenmektedir.İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir.Bu düzende olabilecek herhangi bir normal dışı hareket saldırının tanımlanmasını sağlamaktadır.İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadır.Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir.Genelde bu tür sistemlerde saldırıların çokluğu,her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır.Ancak ticari yazılımlarda otomatik olarak Internet'ten her gün yeni saldırı imzaları indirilebilmektedir.Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir; örneğin snort için her gün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.
İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır.Ağda ya da çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı ya da olağandışı hareketler gördüklerinde ise rapor ederler.Örneğin, IIS web sunucusuna gelen ziyaretçiler %99 indeks.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen fark edilebilir.Ancak gerçek durum örnekte anlattığım kadar da parlak değildir.Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır.Ayrıca bu hareketlerin zaman içerisinde değişebilirliği,kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaşmaktadır.

Yerleşim Olarak Çalışma Şekilleri

Yerel ağda çalıştıkları yere göre ikiye ayrılmaktadırlar.
Ağ tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır.Ağdaki yakalayabildiği tüm paketleri inceler ve ağa giriş izni olup olmadığına karar vererek haber verirler.Kuruldukları sistemde dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır.Genel olarak posix tabanlı sistemlerde ya da kendi özel işletim sistemlerinde çalışmaktadırlar.Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih edilmemektedir.Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar.Bazı sistemler ise her ağ parçasını kendisinden farklı her biri agent(yardımcı) olark adlandırılan sistemler ile dinlemektedir.Böyle durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler.Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir.
Sunucu tabanlı saldırı tespit sisemleri ; çeşitli özel sunuculara yüklenerek,o sunucuya yönelik saldırıları tespit etmek veya önlemek şeklinde çalışırlar.Bulundukları sistemlerin konfigürasyon dosyalarını izlemeye almak,sistem ile ilgili kayıtların tutulduğu dosyaları izlemeye almak,o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır.
Kuruldukları sistemlere tam olarak uyum sağlayabilmeleri konusunda zaorlukları vardır.İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması,o sistemin zayıflıklarına uygun yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır.Özel bir sunucu yazılımı için üretilmiş olanları da vardır,Snort for ISS gibi.

Yararları :

1. Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır.

2. Yerleştikleri sistem gereği gerek sunuculara özel,gerekse tüm ağa özel koruma sağlamaktadırlar.

3. Firewall ve Router gibi pasif güvenlik araçları değildirler,aktif olarak raporlama,engelleme ve öğrenme gibi artıları sunmaktadırlar.

4. Ürettikleri sonuçlar ile potansiyel olarak tehlike gösteren güvenlik zaafları saldıranların tepkilerinden belirlenebilir.Gerekiyorsa çeşitli önlemler alınabilir.

5. Gelen saldırıların karakteristliğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı sunarlar.

Zayıflıkları :

Her saldırı tespit sisteminin yerleşim yönteminden ya da çalışma yönteminden kaynaklanan çeşitli zayıflıkları ve engelleri vardır.Bunlara ek olarak tüm saldırı tespit sistemlerinin ortak problemleri de vardır.
Öncelikle ortak problemlerine bakılırsa,çok fazla hatalı kayıt ürettikleri görülmektedir.Henüz tam gerçek ve güvenilir kayıtlar üretememektedirler.Üretilen kayıtlardan büyük bölümü bir saldırıya ait değildir.Bu durum tepki verme imkanını da kısıtlamaktadır.Alınan bir yanlış alarm sonucu gerekli gereksiz bağlantılar kesilebilir,çeşitli adresleri reddetmek için kurallar koyulabilir.Bu durum kötüye de kullanılabilir.Bir saldırgan,gönderdiği sahte adresli paketler ile hizmet alınan bir ağın bağlantısını koparabilir.Üretilen kayıtlar henüz yasal delil olarak kullanılmamaktadır.Halen geliştirilmeye çalışılan bu yönü ciddi zaaflarındandır.Ayrıca kurulan saldırı tespit sistemlerinin birbirleriyle haberleşememesi ya da sadece aynı firmaya ait sistemlerin haberleşebilmesi de bir diğer ciddi zaafıdır.
Bir diğer zayıf yönleri ise şifrelenmiş veri trafiği konusunda çözümsüz olmaları,örneğin SSl ile kurulmuş bir oturum içerisindeki paketleri fark edememesi ciddi engellerindendir.Genel olarak saldırganlar ele geçirdikleri sistemlere basitçe bir şifreleme (örn. blowfish) yöntemiyle verileri şifreleyen trojanlar yerleştirilerek saldırı tespit sistemlerini etkisiz hale getirebilmektedirler.
Anormallikleri saptama yöntemiyle çalışan sistemlerde ise öğrenme(yani ağdaki sistemlerin ve olayların hangi aralıklarla,hangi şekillerde olduğunu saptama) aşaması uzun sürmektedir.Bu durum öğrenme sürecinde saldırı tespit sisteminin işe yaramayacağı anlamına gelmektedir.Ağa eklenecek yeni bir sunucu,sunulacak ya da alınacak yeni bir hizmet sistemi tekrar öğrenme sürecine sokacaktır.Bu öğrenme süreci içerisinde sürekli olarak yanlış kayıtlar üretilecektir.
Yine bir başka zayıflık ise saldırganların bu öğrenme sürecinde sistemi düzenli olarak incelemesi ve olağan sayılabilecek hareketler ile hareket edebilmesi veya baştan olağan olan ancak daha sonra yavaş yavaş arttırılan haklarla sisteme müdahale edebilmesidir.Henüz çok yeni olan bu yöntem bugün itibariyle kullanışlı değildir ancak ileride sistemlerin bu şekle döneceği de düşünülmektedir bence.
Kural tabanlı yöntemle çalışan sistemlerde ise anti-virüs sistemlerine benzer zaaflar mevcuttur.Tanımlanamayan bir saldırı başarılı olabilmekte ya da kayıt edilememektedir.Tüm kuralların sürekli olarak güncellenmesi gerekmektedir,haliyle bu işlem ya otomatize olarak yapılmalı ya da düzenli olarak bir yönetici tarafından yapılandırılmalıdır.Anti-Virüs sistemleri kadar gelişmiş olmayan imza veritabanları ancak çeşitli kurallar tanımlanmasıyla anlam kazanabilmektedir.Ayrıca belirlenen kurallar içerisinde dikkat edilmesi gereken birkaç ayrıntı da bulunmaktadır.Bir kural yazılırken saldırı olarak tespit edilecek paketin tüm özellikleri,yani paket boyu,hedefi,içeriği,kaynağı,protokolü,hedef ve kaynak portu tam olarak tanımlanmalıdır.Böylece aynı imzayı taşıyan fakat bir saldırı olmayan paketlerin yanlış alarm olarak gelmemesi sağlanmış olur.
Ağ tabanlı sistemlerde genel sorunlar ağın yapısı ve donanımlarıyla ilgilidir.Ağdaki tüm trafiği izlemesi istenilen saldırı tespit sistemi üzerinde 100 Mbit bir Ethernet kartı bulunuyorsa ve izlenilecek veri trafiğinin aktığı switch üzerinde ise 12 port bulunuyorsa,11 portun 1 porta kopyalanması şeklindeki ayar değişikliği switch'in 11 x 100 Mbit trafiği saldırı tespit sisteminin 100 Mbit Ethernet'inin olduğu porta kopyalanması sonucunu doğuracaktır.
Dolayısıyla da ciddi oranda kaçan veri trafiği olacaktır.Böyle bir durumda yapabileceğiniz çok fazla önlem de bulunmamaktadır.Ancak son günlerdeki projeler ile bu sorunu aşmak için saldırı tespit sistemlerinin switch içerisine gömülmesi planlanmaktadır.Böylece trafiğin büyük bölümü yakalanabilecektir.Tabi bu durumda ikinci bir engel daha oluşacaktır tahminimce çünkü bugün kullanılan saldırı tespit sistemlerinden en iyisi bile 60 Mbit üzerindeki trafiği bırakıyor.Bu da zaten bir kısmı kaçan incelenecek veri miktarını iyice düşürüyor.Ayrıca tek engel veri miktarı da değil,açılan oturumların sayısı da saldırı tespit sistemini bir o kadar zorlamaktadır. Örneğin bolca ICQ mesajının aktığı ağda topu topu 30 Mbit veri akmakta iken saldırı tespit sistemi ciddi sorunlar yaşayacaktır.
Bu sorunları iyi kullanan saldırganların geliştirdikleri yöntemler içerisinde parçalanmış paketler ile saldırı gerçekleştirmek en önemlilerindendir.Ağ yoğun çalışan bir ağ ise saldırganın parçalayarak gönderdiği paketlerden bir kısmı saldırı tespit sistemi tarafından yakalanabilmekte iken bir kısmı da hiç yakalanamayacaktır.Birleştirilemeyen paket içindeki imzalar doğrulanamayacağından saldırı tanımlanmayacaktır ; ancak hedefin paketleri birleştirip içerisine bakması durumunda saldırı gerçekleşecek ve kayıtlarda gözükmeyecektir.
Sunucu tabanlı sistemlerin ise daha çok çalıştığı platform ve taşınabilirlik problemleri vardır.Genel olarak girdileri işletim sisteminin oluşturduğu kayıtlar olmasına rağmen bazı sunucu tabanlı sistemler Ethernet kartını promiscupus moda geçirerek paketlerden sisteme veya özel bir servise ulaşılması istenmeyenleri engellemeye çalışırlar.Girdilerin sunucunun kendi kayıtlarından alınması her işletim sisteminin kendine ait bir kayıt tutma özelliği ve bazı işletim sistemlerinde aynı önemi taşımaması ya da bulunmaması taşınabilirliklerini ve kurulduğu işletim sistemi platformlarında güvenlik oranının sürekli aynı olmasını engeller.Dolayısıyla tercih edilecek ticari bir ürün ise o firmanın tüm sunuculara özel çözümlerinin bulunması ve sağladığı güvenlik boyutunun yaklaşık olarak aynı olması tercih edilmelidir.

Saldırı Tespit Ürünleri & Özellikleri

Piyasada en çok öne çıkan ticari ürünlerden bazıları :

Real Secure Host :[ISS]

Internet Security Systems ' RealSecure tek bilgisayarlar ve networkler için güçlü,otomatikleştirilmiş,gerçek zamanlı atak koruması sağlayan bir yazılımdır.RealSecure dikkat çekmeyen,sürekli bir gözetim sağlar.Güvenlik açıklarına ve Network'un suistimal edilmesine sistemin tehlikeye düşmesinden önce cevap verir ve bu tip işlemlerin yolunu keser.RealSecure çeşitli sensor seçenekleri ve merkezi bir yönetim konsolu ile her türlü network'e kolaylıkla uyum sağlayabilmektedir ve artı olarak yönetim işlemlerini network trafiğini paketleri kablolardan kopyalayarak izlediklerinden kesinlikle dikkat çekmezler. RealSecure Server sensorleri de kendi CPU'larını ve hafıza kullanımlarını iç limitler dahilinde izleyerek minimize ederler. RealSecure Network Sensor network trafiğini ataklara ve diğer güvenlikle alakalı olaylara karşı izleyen ayrı bir sistem üzerinde çalışır.Atak tespiti,karşı cevap ve bu sayede korunma,zengin imza ve cevap alternatiflerinin doğru tanımlanması ile anında gerçekleşir.RealSecure Server Sensor,kernel seviyesinde hareketleri,host loglarını ve network aktivitelerini analiz ederek kritik serverlarda gerçek zamanlı izleme ve zararlı aktivite etkilerinden korunma sağlayabilmektedir.Tüm bu özellikleri ile bence piyasadaki en güvenilir yazılımların başını çekmektedir.

NetProwler [Axent]

NetProwler,mevcut güvenlik önlemlerini tamamlamakla birlikte Network trafiğini,performansı etkilemeden denetleyen ve bilgisayar sistemlerinin kötü niyetli kişilerce yetkisiz kullanımını anında tespit etmeye yarayan,kurumsal bazda kullanıma hazır,dinamik Network saldırı tespit sağlayarak şirketlerin e-business girişimlerini destekler.NetProwler,yüzlerce bilinen veya yeni güvenlik açıklarına yönelik tehditlerin yanı sıra kurumsal mekanizmaları hedefleyen saldırılara karşı da korunma imkanı verir.En gelişmiş saldırı yöntemleri bile Netprowler'a özel etkili SDSI işlemcisi ile etkisiz hale getirilir.

Intruder Alert [Axent]

Symantec Intruder Alert, izinsiz girişimleri tespit ederek sistemleri ve verileri kötü niyetli kullanıma karşı korur.Belirtilen sistemlere yönelik bir tehdit söz konusu olduğunda bilgi hırsızlığını veya kaybını önlemek amacıyla otomatik olarak acil tedbir alır.Rekabete dönük en önemli avantajları şunlardır :

* Çok yönlü platform desteği.

* Çeşitli saldırı tespit durumlarında kullanıcılar için basit kural geliştirme imkanı.

* Hızlı ve kolay kural belirleme ve yönetim olanağı.

* Etkili ve basit yönetilebilirlik özellikleri.

Kilit Noktaları :

* İzinsiz prosesleri tespit etmek ve haber vermek amacıyla sistemi gerçek zamanlı olarak izler.

* Etkili ve istenen kriterlere göre belirlenebilen saldırı tespit politikaları ve karşılıkları yaratılmasını sağlar.

* Güvenlik politikalarını kolaylıkla uygulamanızı mümkün kılan etkili yönetim araçlarına sahiptir.

* Symantec Intruder Alert, "actions" üzerinden tek bir merkezi yönetim konsolu ile tüm network'te karşı önlemler almanıza ve bunları uygulamanıza olanak sağlar.

* Problem tesbiti ve inceleme analizlerine yönelik denetleme bilgisi sağlamakla birlikte sunucu ve network saldırı tespit sistemi için grafik raporlar oluşturur.

* Firewall ve diğer erişim kontrol sistemlerini network performansında çok az değişimle veya hiç etkilemeden tamamlar.


Bir sonraki dökümanda görüşmek üzere..

Pasco

Arkadaşım saolasın ama bu dökümanları aynı topic de toplasan daha düzenli bir çalışma olmaz mı tabi senin görüşüne de saygım sonsuz...

PяøŁøqџ£

Haklısın evet,daha düzenli olur ve herkes tek bir başlık altından inceleyebilir dökümanları.Düzeltiyorum,uyarın için ve yorumun için teşekkürler.. +rep yorumun için

ziigii

Arkadaşım bunun içinde eline sağlık..

Lord

Teşekkurler güzel çalışma.