Güvenlik tehditlerinin , artmasıyla birlikte saldırı türleri de çeşitlenmeye başlamıştır. Daha önceleri saldırılar sadece ağ katmanındaki güvenlik duvarlarıyla yakalanabiliyordu. Günümüzde uygulama katmanına kadar inebilen bu tehditlerin engellenmesi için farklı güvenlik kalkanları zorunluluk haline gelmiştir. 

Tıpkı güvenlik duvarları ya da antivirüs yazılımları gibi “Saldırı Önleme Sistemleri” de, ağı ve ağdaki trafiği tehlikeli durumlara karşı korumak ve saldırıların ağa erişimini ve zarar vermesini engellemek üzere kurgulanmaktadır.

Güvenlik sistemlerini iki başlık altında toplayabiliriz. Tanımlamak gerekirse. IDS ve IPS,  saldırı tespit sistemleri (IDS); ağı bir pencereden izleme imkanı sağlarken, saldırı önleme sistemleri (IPS) müdahale ve kontrol özelliği de barındırır. Temel fonksiyonları; anormal trafik, zararlı kod , politika ihlali, ya da sisteme girmeye çalışan bir saldırganın varlığı gibi durumları analiz etmek, bu aktivitelerle ilgili kayıt tutmak ve bu aktiviteleri raporlayıp durdurmaya/engellemeye çalışmak olan saldırı önleme sistemlerinin, saldırı tespit sistemlerinden (Intrusion Detection System – IDS)’den en önemli farkı; herhangi bir zararlı aktiviteyi tespit ettikten sonra engelleyip bloklamasıdır.

Saldırı Tespit ve Engelleme Sistemlerinde önemli olan yapılan saldırıyı analiz ederek gerekli koruma özelliklerini kullanmaktır.

IPS’ler, üzerinden geçmekte olan tüm ağ aktivitelerini aktif bir şekilde analiz ederken, gerektiği zamanlarda bu aktivitelere otomatik tepkiler de verebilir. Bu otomatik tepkiler; sistem yöneticisine alarm gönderilmesinden, zararlı paketlerin düşürülmesine, zararlı paketin geldiği kaynak adresin ve portun, ya da bağlantının engellenmesine kadar çeşitlilik gösterebilir.

Bir IPS'in ‘inline’ durumda olması; yani kaynak ve hedef arasındaki iletişim yolu üzerinde konumlandırılması ve ağ trafiğinin üzerinden geçmesi, saldırıları önlemede en önemli ön koşuldur.

IPS’ler ağ güvenlik duvarlarıyla (WAF) benzerlik gösterse de, saldırı tespit sistemlerinin ağ güvenlik duvarlarından en büyük farkı; güvenlik duvarlarının önceden belirlenmiş olan bazı kurallara göre trafiği engellemesi ve izin verilen trafik dışındaki herşeyi engellemesiyken, IPS’lerin önceden belirlenmiş kurallar dışındaki tüm trafiği geçirmesidir. Diğer bir deyişle, ağ güvenlik duvarları ‘neye izin verildiği’, saldırı önleme sistemleri ise ‘neye izin verilmediği’ ile tanımlanır.

IDS ve IPS’lerin en çok denetleme/koruma sağladığı saldırı çeşitleri arasında; müdahale edilmiş kurallar, protokoller ve paket yapıları gibi konuları kapsayan kural ihlalleri, bellek taşırma saldırıları (buffer overflow), saldırganların bilgi toplamak ve sistemde hangi portların açık olduğunu görmek üzere yaptığı port taramaları ve sisteminizi hizmet dışı bırakmak için saldırganın birçok sahte adresten veya tek adresten ardarda istek gönderip TCP protokolündeki üçlü el sıkışma (3 way hand shake) son adımını eksik bırakarak sunucunun kaynaklarını tükettiği SYN flood gibi saldırıları içeren DoS/DDoS saldırıları da mevcuttur.

Sunucu Yönetimi kapsamında, IDS ve IPS’ler; önceden tanımlanmış saldırılar ve diğer kötü niyetli saldırıların, Bilgi Teknolojileri (BT) kaynaklarına ulaşmadan engellenmesi ve olayların raporlanması için kullanılmaktadır.


<< Geri