Saldırı Tespit Sistemi (Giriş)

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    WarHead
    WarHead's avatar
    Kayıt Tarihi: 15/Mart/2003
    Erkek

    Saldırı Tespit Sistemi
    Saldırı tespit sistemleri, internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşabilen saldırıları farketmek üzere tasarlanmış sistemlerdir. Temel amaçları belirlenilen kurallar çerçevesinde bu saldırıları tespit ederek mail , sms , snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir. Ticari yada ticari olmayan çeşitli yazılımlarla bu saldırı tespit sistemleri kurulmaktadır. Teknolojilerinin yeni olmasından dolayı , henüz tam olarak güvenilir sonuçlar üretememektedirler.

    Saldırı Tespit Sisteminin Önemi
    Günümüzde hergün binlerce sistem saldırıya uğramaktadır, bu saldırılardan bazıları ise maddi ve manevi kayıplara neden olmaktadır. Genel olarak bu saldırıların yapısı ve karakteristiği konusunda bir fikir ortaya atılamamaktadır. Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir. Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir. İlk yol , bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır. İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır. İlk tip saldırıları önlemek ikinci tip saldırılara göre daya kolaydır. Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ; ancak ikinci tip saldırılarda daha savunmasız kalınır. Çünkü belirgin bir hareket veya tarz yoktur, su gibi bardağın şeklini alabilen saldırganlar engellenebilirliği minimum seviyeye çekmektedirler. Bu durumda saldırı önleme yöntemleride çeşitlilik ve heterojen bir görünüm kazanmıştır. Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur, büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.

    Yerel ağı korumak amaçlı olan Firewall ve Anti-virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadırlar. Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar, ayarlarından kaynaklanan hatalar , Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler , Anti Virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır. Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedirler. Korunmak için kurulan bu sistemlerin aslında saldırganları yavaşlattığını ve bu yavaşlama aşaması sırasında onları tespit edip yakalama imkanı sunduğu kabul edilerek güvenli olma yolunda ilk adımlar atılmış olabilir. Eğer bu sistemler saldırganları yavaşlatma amaçlı olarak kurulduysa düzenli olarak saldırı kayıtlarının incelenmesi de gerekmektedir. Bu durumda pasif olan Firewall ve Anti-Virüs sistemlerine ek olarak Saldırı Tespit Sistemleri de kurmak gereklidir. Böylece gerektiğinde aktif olabilecek bir savunma aracı da kazanılmış olur. Saldırı Tespit Sistemleri ile ağa yapılabilecek tüm saldırıları belirleme ve gerektiği durumda engelleme imkanı kazanılır. Düzenli olarak tuttukları kayıtlar incelenerek saldırganların neler yaptıkları ve hangi gruba dahil oldukları anlaşılabilir. Gerektiğinde kötü niyetli görülen isteklerin ağa girmesine izin verilmeyebilir. Bugün basitçe bir modem aracılığıyla internete bağlanan kullanıcıların sistemlerine bile girmek isteyenler varsa ve bu şekilde ki saldırılar yoğun olarak yaşanıyorsa kurumsal yapılara saldırmadığını düşünmek yanıltıcı olacaktır. En azından ücretsiz ve çok uğraştırmayan bir saldırı tespit sistemi kurularak şaşırtacak kadar fazla sayıda saldırı yakalanabilir.

    Saldırı Tespit Sistemlerinin İçerik Olarak Çalışma Şekilleri
    Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar. İlk yapıda Anti-Virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları saptamak hedeflenmektedir. İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir , bu düzende olabilecek herhangi bir normal dışı hareket saldırının tanımlanmasını sağlamaktadır. İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadırlar. Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir. Genelde bu tür sistemlerde saldırıların çokluğu , her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır. Ancak ticari yazılımlarda otomatik olarak internetten hergün yeni saldırı imzaları indirilebilmektedir. Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir ; örneğin snort için hergün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır. İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır. Ağda yada çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı yada olağandışı hareketler gördüklerinde ise rapor ederler. Örneğin , IIS web sunucusuna gelen ziyaretçiler %99 index.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen farkedilebilir. Ancak gerçek durum örnekte anlatıldığı kadar da parlak değildir. Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır. Ayrıca bu hareketlerin zaman içerisinde değişebilirliği , kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaştırmaktadır.

    Saldırı Tespit Sistemlerinin Yerleşim Olarak Çalışma Şekilleri
    Saldırı tespit sistemleri yerel ağda çalıştıkları yere göre yine 2'ye ayrılmaktadırlar. Birinci grup Ağ Tabanlı sistemler olarak tanımlanır, yerel ağdaki tüm bilgileri yakalayabilen bir sisteme kurulurlar ve ethernet kartını promiscuous moda geçirerek ağdaki tüm trafiği dinlerler , saldırıları rapor ederler ve gerektiğinde bir sunucuya açılmakta olan oturumu engellerler. İkinci grup ise Sunucu Tabanlı sistemler olarak anılmaktadır, Ağ Tabanlı sistemler gibi tüm ağı değilde sadece üzerinde kurulduğu sunucuya gelip gitmekte olan verileri ve o sunucunun kayıt dosyalarını , işlemlerini incelerler. Ağ Tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır. Ağdaki yakalayabildiği tüm paketleri incelerler ve ağa giriş izni olup olmadığına karar vererek haber verirler. Kuruldukları sistemde dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır. Genel olarak posix tabanlı sistemlerde yada kendi özel işletim sistemlerinde çalışmaktadırlar. Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih edilmemektedir. Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar, bazı sistemler ise her ağ parçasını kendisinden farklı her biri agent (yardımcı) olarak adlandırılan sistemler ile dinlemektedir. Böyle durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler. Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir. Sunucu Tabanlı saldırı tespit sistemleri ise çeşitli özel sunuculara yüklenerek , o sunucuya yönelik saldırıları tespit etmek veya önlemek şeklinde çalışırlar. Bulundukları sistemlerin konfigurasyon dosyalarını izlemeye almak , sistem ile ilgili kayıtların tutulduğu dosyaları izlemeye almak , o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır. Kuruldukları sistemlere tam olarak uyum sağlayabilmeleri konusunda zorlukları vardır. İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması , o sistemin zayıflıklarına uygun yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır. Özel bir sunucu yazılımı için üretilmiş olanlarıda vardır. Örneğin : Snort for IIS

    Saldırı Tespit Sistemlerinin Yararları
    • •

    • • • •

    Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır. Saldırganları yavaşlatan Firewall ve diğer önlemlerin kazandırdığı önemli zamanı bu sistemlerin tuttukları kayıtları incelemek ve düzenli saldırıları saptamak için harcaya yardımcı olurlar. Yerleştikleri sistem gereği gerek sunuculara özel gerek tüm ağa özel koruma sağlamaktadırlar. Firewall ve Router gibi pasif güvenlik araçları değildirler, aktif olarak raporlama, engelleme ve öğrenme gibi artıları sunmaktadırlar. Ürettikleri sonuçlar ile potansiyel olarak tehlike arzeden güvenlik zaafları saldıranların tepkilerinden belirlenebilir. Gerekiyorsa bu sonuçları değerlendirerek çeşitli önlemler alınabilir. Gelen saldırıların karakteristiğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı sunarlar.

    Saldırı Tespit Sistemlerinin Zayıflıkları
    Her saldırı tespit sisteminin yerleşim yönteminden yada çalışma yönteminden kaynaklanan çeşitli zayıflıkları ve engelleri vardır. Bunlara ek olarak tüm saldırı tespit sistemlerinin ortak problemleride vardır. Öncelikle ortak problemlerine bakılırsa, çok fazla hatalı kayıt ürettikleri görülmektedir. Henüz tam gerçel ve güvenilir kayıtlar üretememektedirler, üretilen kayıtlardan büyük bölümü bir saldırıya ait değildir. Bu durum tepki verme imkanını da kısıtlamaktadır. Alınan bir yanlış alarm sonucu gerekli gereksiz bağlantılar kesilebilir, çeşitli adresleri reddetmek için kurallar koyulabilir. Bu durum kötüyede kullanılabilir, bir saldırgan gönderdiği sahte adresli paketler ile hizmet alınan bir ağın bağlantısını koparabilir. Üretilen kayıtlar henüz yasal delil olarak kullanılamamaktadır, halen geliştirilmeye çalışılan bu yönü ciddi zaaflarındandır. Ayrıca kurulan saldırı tespit sistemlerinin (Gerek farklı ağ parçalarını gerek çok sayıda sunucuyu dinleyen sistemler) birbirleriyle haberleşememesi yada sadece aynı firmaya ait sistemlerin haberleşebilmesi de bir diğer ciddi zaafıdır. Bu konuda ortak bir dil oluşturmak için halen çalışmalar devam etmektedir. Bir diğer zayıf yönleri ise şifrelenmiş veri trafiği konusunda çözümsüz olmaları, örneğin ssl ile kurulmuş bir oturum içerisindeki paketleri farkedememesi ciddi engellerindendir. Genel olarak saldırganlar ele geçirdikleri sistemlere basitçe bir şifreleme (mesela blowfish) yöntemiyle verileri şifreleyen trojanlar yerleştirerek saldırı tespit sistemlerini etkisiz hale getirebilmektedirler. Anormallikleri saptama yöntemiyle çalışan sistemlerde ise öğrenme (yani ağdaki sistemlerin ve olayların hangi aralıklarla , hangi şekillerde olduğunu saptama) aşaması uzun sürmektedir. Bu durum öğrenme sürecinde saldırı tespit sisteminin işe yaramayacağı anlamına gelmektedir. Ağa eklenecek yeni bir sunucu , sunulacak yada alınacak yeni bir hizmet sistemi tekrar öğrenme sürecine sokacaktır. Bu öğrenme süreci içerisinde sürekli olarak yanlış kayıtlar üretilecektir. Yine bir başka zayıflık ise saldırganların bu öğrenme sürecinde sistemi düzenli olarak incelemesi ve olağan sayılabilecek hareketler ile hareket edebilmesi veya baştan olağan olan ancak daha sonra yavaş yavaş arttırılan haklarla sisteme müdahale edebilmesidir. Henüz çok yeni olan bu yöntem bugün itibariyle kulanışlı değildir ; ancak ileride sistemlerin bu şekle döneceğide düşünülmektedir. Kural tabanlı yöntemle çalışan sistemlerde ise anti-virüs sistemlerine benzer zaaflar mevcuttur. Tanımlanamayan bir saldırı başarılı olabilmekte yada kayıt edilememektedir. Tüm kuralların sürekli olarak güncellenmesi gerekmektedir, haliyle bu işlem ya otomatize olarak yapılmalı yada düzenli olarak bir yönetici tarafından yapılandırılmalıdır. Anti-Virüs sistemleri kadar gelişmiş olmayan imza veritabanları ancak çeşitli kurallar tanımlanmasıyla anlam kazanabilmektedir. Ayrıca belirlenen kurallar içerisinde dikkat edilmesi gereken birkaç ayrıntı da bulunmaktadır. Bir kural yazılırken saldırı olarak tespit edilecek paketin tüm özellikleri , yani paket boyu , hedefi , içeriği , kaynağı , protokolü , hedef ve kaynak portu tam olarak tanımlanmalıdır, böylece aynı imzayı taşıyan fakat bir saldırı olmayan paketlerin yanlış alarm olarak gelmemesi sağlanmış olur. Bu konuyla ilgili bir diğer dikkat edilmesi gereken ayrıntı da kuralları küçük varyasyonları dikkate alarak yazmaktır. Örneğin "
    http://www.kurban.com/deneme.idq" diye bir bilgi saldırı olarak tanımlanıyorsa ve gelen giden paketlerin veri kısmında bu bilgi aranıyorsa "http://www.kurban.com/./deneme.idq" şeklindeki bir bilgi aynı sonucu vermesine karşın saldırı tespit sisteminden kaçmış olacaktır. Görüldüğü gibi bu saldırı imzalarını oluşturmak pekte kolay olmamaktadır. Bu imzalarda çeşitli oynamalar yaparak amaca ulaşmaya çalışan çok fazla program bulunmaktadır , bu sebeple kurallar ciddi şekilde üzerinden gidilerek hazırlanmalıdır.

    Ağ Tabanlı sistemlerde genel sorunlar ağın yapısı ve donanımlarla ilgilidir. Ağdaki tüm trafiği izlemesi istenilen saldırı tespit sistemi üzerinde 100 Mbit bir ethernet kartı bulunuyorsa ve izlenilecek veri trafiğinin aktığı switch üzerinde ise 12 port bulunuyorsa, 11 portun 1 porta kopyalanması şeklindeki ayar değişikliği switch'in 11 x 100 Mbit trafiği saldırı tespit sisteminin 100 Mbit ethernetinin olduğu porta kopyalanması sonucunu doğuracaktır. Haliyle ciddi oranda kaçan veri trafiği olacaktır. Böyle bir durumda yapabileceğiniz çok fazla önlemde bulunmamaktadır. Ancak son günlerdeki projeler ile bu sorunu aşmak için saldırı tespit sistemlerinin switch içerisine gömülmesi düşünülmektedir, böylece trafiğin büyük bölümü yakalanabilecektir. Tabi bu durumda ikinci bir engel daha çıkıyor, bugün kullanılan saldırı tespit sistemlerinden en iyisi bile 60 Mbit üzerindeki trafiği maalesef bırakıyor. Bu da zaten bir kısmı kaçan incelenecek veri miktarını iyice düşürüyor. Ayrıca tek engel veri miktarı da değil, açılan oturumların sayısıda saldırı tespit sistemini bir o kadar zorlamaktadır. Örneğin bolca ICQ mesajının aktığı ağda topu topu 30 Mbit veri akmakta iken saldırı tespit sistemi ciddi sorunlar yaşayacaktır. Bu sorunları iyi kullanan saldırganların geliştirdikleri yöntemler içerisinde parçalanmış paketler ile saldırı gerçekleştirmek en önemlilerindendir. Ağ yoğun çalışan bir ağ ise saldırganın parçalayarak gönderdiği paketlerden bir kısmı saldırı tespit sistemi tarafından yakalanabilmekte iken bir kısmıda hiç yakalanamayacaktır. Birleştirilemeyen paket içindeki imzalar doğrulanamayacağından saldırı tanımlanmayacaktır ; ancak hedefin paketleri birleştirip içerisine bakması durumunda saldırı gerçekleşecek ve kayıtlarda gözükmeyecektir. Sunucu tabanlı sistemlerin ise daha çok çalıştığı platform ve taşınabilirlik problemleri vardır. Genel olarak girdileri işletim sisteminin oluşturduğu kayıtlar olmasına rağmen bazı sunucu tabanlı sistemler ethernet kartını promiscuous moda geçirerek paketlerden sisteme veya özel bir servise ulaşılması istenmeyenleri engellemeye çalışırlar. Girdilerin sunucunun kendi kayıtlarından alınması her işletim sisteminin kendine ait bir kayıt tutma özelliği ve bazı işletim sistemlerinde önemli olan dosyaların diğer işletim sistemlerinde aynı önemi arzetmemesi yada bulunmaması taşınabilirliklerini ve kurulduğu işletim sistemi platformlarında güvenlik oranın sürekli aynı olmasını engeller. Dolayısıyla tercih edilecek ticari bir ürün ise o firmanın tüm sunuculara özel çözümlerinin bulunması ve sağladığı güvenlik boyutunun yaklaşık olarak aynı olması tercih edilmelidir. Eğer güvenliği öne çıkararak, hangi firmanın ürünü sunucularda güvenliği tam olarak sağlayabilir sorusunun cevabı sunucuların işletim sistemlerine göre değişmekteyse ve kararlar bu yolla alınıyorsa tüm saldırı tespit sistemlerinin ortak problemi olan karşılıklı anlaşabilirlik ve merkezi yönetim imkanı azalır.

    Saldırı Tespit Sistemlerinin Yerleşimine Örnekler
    Saldırı tespit sistemleri tek bir şekilde yerleştirilmezler, ağ tabanlı ve sunucu tabanlı sistemler kullanılan yazılım yada donanım üreticisinin talimatlarına uygun olarakta kullanılmalıdır. Şekil 1' de normalde saldırı tespit sistemlerinin hangi noktaları dinlemesi gerektiği ve nasıl yerleştirilmesi gerektiği basit bir örnekle anlatılmaya çalışılmıştır. Bu şekilde basitçe bir ağ tasvir edilmiştir. Bu ağda DMZ bölgesinde Web sunucusu ve Mail sunucusu olan 2 adet sunucu var. Firewall ile Router arasındaki hub (yada switch)'a ve yerel ağ ile Firewall arasındaki hub'a ağ tabanlı saldırı tespit sisteminin iki ethernet kartı da bağlı olmalıdır. Böylece sniffer gibi çalışarak bu trafiği dinleyecektir ; ancak hub yerine switch kullanılıyorsa (muhtemelen kullanılıyor) portları ağ tabanlı saldırı tespit sisteminin portuna aynalamak gerekmektedir.

    Şekil 1 Şekilde Ağ Tabanlı Saldırı Tespit sistemi raporları tutmak ve yönetimi greçekleştirmek amacıyla Yönetim Konsoluna çeşitli bilgiler göndermekte ve almaktadır. Firewall ile Router arasını dinleyen ilk ethernet kartında genelde bir IP bulunmaz (çünkü saldırıya açık hale gelmesi böylece mümkün olabilir), diğer ethernet kartında ise yerel bir IP bulunur. Bu IP üzerinden yönetim gerçekleştirilir. Gerektiği durumda iki ethernet kartından da sunuculara yada diğer kullanıcılara bir TCP bağlantısını sonlandırmak için istek gönderebilir. Sunucu Tabanlı Saldırı Tespit Sistemi ise yüklü bulunduğu Mail ve Web sunucularından ürettiği raporları yine yönetim konsoluna göndermektedir. Yönetim konsolu aracılığıyla yönetilmesi için sunucuların IP'leri kullanılır. Bu yönetim işleminin gerçekleşeceği portlara Firewall üzerinde yerel ağ için izinler tanımlanmış olmalıdır. İnternetten gelen istekler için ise bu portlar Firewall üzerinden kapalı olarak düzenlenmelidir. Bir diğer örnekte ise durum bir miktar daha karışıktır. Şekil 2'de bu örneğe ait bazı çizimler aktarılmıştır. Görüldüğü gibi Şekil 1 ile Şekil 2 arasındaki tek fark eklenen yeni bir ağ tabanlı saldırı tespit sistemi yardımcısıdır. 2 adet yardımcı aracılığıyla daha önce anlatılan işlemler yine tam olarak yapılmaktadır. Aradaki tek fark ilk yardımcının Firewall ve Router arasında transparan (bridgeköprü) modunda çalışmasıdır. Böyle bir durumda traceroute istekleriyle saptanması mümkün değildir. Bir adet yönetim IP'si dışında üzerinden IP tanımlı değildir. Genellikle tespiti güç olsun denilerek tasarlanan bir sistemdir.

    Şekil 2 Ancak bu durumda bazı zararlarda vardır, örneğin dışarıdan gelen tüm trafik saldırı tespit sistemi üzerinden geçmektedir, böyle bir durumda saldırı tespit sistemi limitlerinin aşılması (60 Mbit gibi yada oturum sayısının çok fazla olması gibi) geçmekte olan trafiğin sorunlu olmasını sağlar doğal olarak internet bağlantısında bazı problemler oluşabilir , sunucular internette hizmet veriyorsa hizmetlerinde aksamalar olabilir. Bu durumun bir dğer sakıncası da saldırı tespit sisteminin ele geçirilebilme ihtimalidir. Çünkü üzerinden bir trafik geçmektedir ve bu trafik içerisinde saldırı tespit sisteminin bazı zaaflarını kullanan paketler mevcut ise saldırı tespit sistemini kilitleyebilir, böylece internet bağlantısı kesilmiş olur yada bu sistemin kontrolü ele geçirilerek direk olarak bu sistemin haklarıyla ağa ulaşma imkanı doğabilir (ki böyle bir durumda Firewall üzerinden trafiğin akmaması ihtimali de vardır , muhtemelen yönetim konsolu için ayrı bir ethernet kartıda sistem üzerinde bulunur ve saldırgan bu kartı kullanabilir.)

    Saldırı Tespit Ürünleri
    Şu anda piyasada öne çıkan ticari ürünler arasında ISS firmasının Real Secure Host ve Network , Axent firmasının NetProwler ve Intruder Alert , Cisco firmasının Cisco Net Ranger ve NAI firmasının CyberCOP Monitör ürünleri sayılabilir. Bu ürünler arasında Real Secure sunucu ve ağ tabanlı ürünler için ayrı ayrı çözümler üretmektedir. Net Prowler ağ tabanlı Intruder Alert ise sunucu tabanlı bir sistemdir. Cisco ağırlığını ağ tabanlı sistemlere vermiş olduğu için Net

    Ranger ağ tabanlıdır. NAI'nin ürettiği CyberCOP monitör ise sunucu tabanlı bir saldırı tespit sistemidir. Eeye Digital firmasının IIS için ürettiği SecureIIS ürünüde bir tür saldırı tespit sistemidir. Daha çok saldırı önleme amaçlı kullanılmaktadır. Ancak çıkarıldığı ilk günlerde arka arkaya gelen 3 açık bu ürünün yarattığı sansasyonu bir anda düşürmüştür. Açık kodlu yada serbest kullanımlı ürünlerde ise başı Snort çekmektedir. Güçlü bir üründür ve ticari ürünlerle yarışabilecek olgunluğa gelmesinin kısa bir zaman süreceği öngörülmektedir. Açık kodlu olması, plug-in (eklenti) yazılabilmesine olanak tanıması ve desteklediği işletim sistemi platformunun fazla olması onun ağ tabanlı saldırı tespit sistemleri içerisinde öne çıkaran sebeplerdir. Kendi kural yazma dili ve günlük olarak güncellenen www.whitehats.com ve www.snort.org adreslerindeki kurallar yardımıyla kolayca düzenlenebilir. Ancak hala fazla sayıda yanlış alarm üretebilmektedir. IIS sunucusu içinde Snort for IIS gibi özel bir sürümüde mevcuttur. Firestorm ve Pakemon ise diğer ücretsiz alternatiflerdir.

    Sonuç
    Sistemleri sürekli olarak izleyebilmeyi ve saldırıları kısa süre içinde farketmeyi sağlayan saldırı tespit sistemleri güvenlik politikalarının vazgeçilmez ürünleri arasındadır. Henüz olgunlaşamamış olsalar bile yapılan saldırıları farkedebilmek açısından ciddi alternatiflerdir. Ağa gelmesi muhtemel davetsiz misafirleri farkedebilmek için maddi imkanlar ölçeğinde saldırı tespit sistemleri oluşturulmalıdır. Ticari ürünler için yeterli bütçe oluşturulamamış ise ücretsiz ürünleri kullanarakta yeterli güvenliği sağlamak olasıdır. Sunucu tabanlı sistemlerde kurulacak port tarama saptayıcıları , dosya bütünlüğü kontrol eden yazılımlar yada snort, firestorm, pakemon gibi ağ tabanlı saldırı tespit sistemleri kurmak düşük maliyet ile belirli bir güvenlik seviyesi kazandıracaktır.

    Fatih Özavcı IT Security Consultant

     


    Emekli
Toplam Hit: 4085 Toplam Mesaj: 1