|
|
 |
| Ağ Saldırı ve Tespit Sistemleri |
<
| Bilgisayar Dersleri » Network Dersleri |
| Ders adı : | Ağ Saldırı ve Tespit Sistemleri |
| Boyut : | 237 KB |
| Dil : | Türkçe |
| Eklenme tarihi : | 17/06/2009 13:26:57 |
| Hit : | 744 |
| Puan : |  |
| Açıklama : | Saldırı Tespit Sistemi
Saldırı tespit sistemleri, internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek, çeşitli paket ve
verilerden oluşabilen saldırıları farketmek üzere tasarlanmış sistemlerdir. Temel amaçları belirlenilen kurallar çerçevesinde
bu saldırıları tespit ederek mail , sms , snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir.
Ticari yada ticari olmayan çeşitli yazılımlarla bu saldırı tespit sistemleri kurulmaktadır. Teknolojilerinin yeni olmasından
dolayı , henüz tam olarak güvenilir sonuçlar üretememektedirler.
Saldırı Tespit Sisteminin Önemi
Günümüzde hergün binlerce sistem saldırıya uğramaktadır, bu saldırılardan bazıları ise maddi ve manevi kayıplara neden
olmaktadır. Genel olarak bu saldırıların yapısı ve karakteristiği konusunda bir fikir ortaya atılamamaktadır. Bu durum
saldırıların engellenmesi olasılığını da güçleştirmektedir.
Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir. İlk yol , bilgisi kısıtlı olan saldırganların
tercih ettiği otomatize edilmiş araçlarla saldırıdır. İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre
değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır.
İlk tip saldırıları önlemek ikinci tip saldırılara göre daya kolaydır. Otomatize edilerek bu işleri yapan araçların çalışma
mantıkları incelenir ve önlemler alınır ; ancak ikinci tip saldırılarda daha savunmasız kalınır. Çünkü belirgin bir hareket veya
tarz yoktur, su gibi bardağın şeklini alabilen saldırganlar engellenebilirliği minimum seviyeye çekmektedirler.
Bu durumda saldırı önleme yöntemleride çeşitlilik ve heterojen bir görünüm kazanmıştır. Böylece yerel ağ ne kadar
karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur,
büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.
Yerel ağı korumak amaçlı olan Firewall ve Anti-virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı
sunmaktadırlar. Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar, ayarlarından kaynaklanan hatalar ,
Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler , Anti Virüsleri güncellemeyerek
yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır. Böylece güven
hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedirler.
Korunmak için kurulan bu sistemlerin aslında saldırganları yavaşlattığını ve bu yavaşlama aşaması sırasında onları tespit
edip yakalama imkanı sunduğu kabul edilerek güvenli olma yolunda ilk adımlar atılmış olabilir.
Eğer bu sistemler saldırganları yavaşlatma amaçlı olarak kurulduysa düzenli olarak saldırı kayıtlarının incelenmesi de
gerekmektedir. Bu durumda pasif olan Firewall ve Anti-Virüs sistemlerine ek olarak Saldırı Tespit Sistemleri de kurmak
gereklidir. Böylece gerektiğinde aktif olabilecek bir savunma aracı da kazanılmış olur.
Saldırı Tespit Sistemleri ile ağa yapılabilecek tüm saldırıları belirleme ve gerektiği durumda engelleme imkanı kazanılır.
Düzenli olarak tuttukları kayıtlar incelenerek saldırganların neler yaptıkları ve hangi gruba dahil oldukları anlaşılabilir.
Gerektiğinde kötü niyetli görülen isteklerin ağa girmesine izin verilmeyebilir.
Bugün basitçe bir modem aracılığıyla internete bağlanan kullanıcıların sistemlerine bile girmek isteyenler varsa ve bu
şekilde ki saldırılar yoğun olarak yaşanıyorsa kurumsal yapılara saldırmadığını düşünmek yanıltıcı olacaktır. En azından
ücretsiz ve çok uğraştırmayan bir saldırı tespit sistemi kurularak şaşırtacak kadar fazla sayıda saldırı yakalanabilir.
Saldırı Tespit Sistemlerinin İçerik Olarak Çalışma Şekilleri
Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar. İlk yapıda Anti-Virüs sistemlerinde olduğu gibi
oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları saptamak hedeflenmektedir. İkinci yapıda ise sistemlerin ve
ağın işleyişi belirli bir düzenle özdeşleştirilmiştir , bu düzende olabilecek herhangi bir normal dışı hareket saldırının
tanımlanmasını sağlamaktadır.
İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadırlar. Belirlenen çeşitli kurallar çerçevesinde ağ
üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir. Genelde
bu tür sistemlerde saldırıların çokluğu , her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır. Ancak
ticari yazılımlarda otomatik olarak internetten hergün yeni saldırı imzaları indirilebilmektedir. Ticari olmayan yazılımlarda
da benzeri bir durum geçerlidir ; örneğin snort için hergün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.
İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır. Ağda yada çeşitli sunucularda düzenli olarak
yapılmakta olan işlemleri takip ederler ve farklı yada olağandışı hareketler gördüklerinde ise rapor ederler. Örneğin , IIS web
sunucusuna gelen ziyaretçiler %99 index.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen farkedilebilir.
Ancak gerçek durum örnekte anlatıldığı kadar da parlak değildir. Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek
hareketleri öğrenmeleri oldukça fazla zaman almaktadır. Ayrıca bu hareketlerin zaman içerisinde değişebilirliği , kurulduğu
sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaştırmaktadır.
Saldırı Tespit Sistemlerinin Yerleşim Olarak Çalışma Şekilleri
Saldırı tespit sistemleri yerel ağda çalıştıkları yere göre yine 2'ye ayrılmaktadırlar. Birinci grup Ağ Tabanlı sistemler olarak
tanımlanır, yerel ağdaki tüm bilgileri yakalayabilen bir sisteme kurulurlar ve ethernet kartını promiscuous moda geçirerek
ağdaki tüm trafiği dinlerler , saldırıları rapor ederler ve gerektiğinde bir sunucuya açılmakta olan oturumu engellerler. İkinci
grup ise Sunucu Tabanlı sistemler olarak anılmaktadır, Ağ Tabanlı sistemler gibi tüm ağı değilde sadece üzerinde kurulduğu
sunucuya gelip gitmekte olan verileri ve o sunucunun kayıt dosyalarını , işlemlerini incelerler.
Ağ Tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır. Ağdaki
yakalayabildiği tüm paketleri incelerler ve ağa giriş izni olup olmadığına karar vererek haber verirler. Kuruldukları sistemde
dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır. Genel olarak posix tabanlı sistemlerde yada kendi özel
işletim sistemlerinde çalışmaktadırlar. Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih
edilmemektedir. Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar, bazı sistemler
ise her ağ parçasını kendisinden farklı her biri agent (yardımcı) olarak adlandırılan sistemler ile dinlemektedir. Böyle
durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler. Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir.
Sunucu Tabanlı saldırı tespit sistemleri ise çeşitli özel sunuculara yüklenerek , o sunucuya yönelik saldırıları tespit etmek
veya önlemek şeklinde çalışırlar. Bulundukları sistemlerin konfigurasyon dosyalarını izlemeye almak , sistem ile ilgili
kayıtların tutulduğu dosyaları izlemeye almak , o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve
sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır. Kuruldukları sistemlere tam olarak uyum
sağlayabilmeleri konusunda zorlukları vardır. İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri
nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması , o sistemin zayıflıklarına uygun
yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır. Özel bir sunucu yazılımı için üretilmiş olanlarıda vardır.
Örneğin : Snort for IIS
Saldırı Tespit Sistemlerinin Yararları
• Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır.
• Saldırganları yavaşlatan Firewall ve diğer önlemlerin kazandırdığı önemli zamanı bu sistemlerin tuttukları kayıtları
incelemek ve düzenli saldırıları saptamak için harcaya yardımcı olurlar.
• Yerleştikleri sistem gereği gerek sunuculara özel gerek tüm ağa özel koruma sağlamaktadırlar.
• Firewall ve Router gibi pasif güvenlik araçları değildirler, aktif olarak raporlama, engelleme ve öğrenme gibi artıları
sunmaktadırlar.
• Ürettikleri sonuçlar ile potansiyel olarak tehlike arzeden güvenlik zaafları saldıranların tepkilerinden belirlenebilir.
Gerekiyorsa bu sonuçları değerlendirerek çeşitli önlemler alınabilir.
• Gelen saldırıların karakteristiğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı
sunarlar.
Saldırı Tespit Sistemlerinin Zayıflıkları
|
 |
|
|
|
|
