IDS ve IPS Sistemleri Arasındaki Temel Farklılıklar Nelerdir?
IDS ve IPS, ağ güvenliği sağlamak amacıyla kullanılır. IDS ve IPS birleştirildiğinde, bilgisayar korsanlarını ağımızdaki hassas verilere erişmeden önce tespit edip durdurabiliriz. IPS, Saldırı Tespiti ve Önleme Sistemi (IDPR) olarak adlandırılan hem IDS hem de IPS olarak işlev görecek olan satır içi modunda kalabilir. IDS/IPS, ağımızın korunmasında hayati öneme sahiptir. Trafiği izlemek ve saldırıları bildirmek için birlikte çalışırlar. İyi bir güvenlik stratejisi, bunların aynı anda birlikte çalışmasını sağlamaktır.
IDS nedir?
Bir Saldırı Tespit Sistemi (IDS), saldırı girişimlerini erken aşamalarında algılar ve raporlar. Tehlikeli görünen herhangi bir eylem, sıklıkla bir yöneticiye bildirilir.
IPS nedir?
İzinsiz giriş önleme sistemi (IPS) (genellikle “izinsiz giriş tespit ve önleme sistemleri” veya IPDS olarak da adlandırılır), şüpheli kötü amaçlı yazılımları tespit etmeye, raporlamaya ve hatta önlemeye yönelik bir teknolojidir.
IDS/IPS Tespit Teknikleri:
Şüpheli izinsiz girişleri tespit etmek için farklı yaklaşımlar şunlardır:
1-Pattern matching
2-Statistical anomaly detection
3-Policy-Based Detection
4-Stateful Protocol Analysis Detection
1-Pattern Matching (signature-based Detection):
İmza tabanlı bir IDS veya IPS sensörü, ağ trafiğinde belirli, önceden tanımlanmış kalıpları (imzaları) arar. Ağ trafiğini bilinen saldırıların bir veritabanıyla karşılaştırır ve bir eşleşme bulunursa bir alarmı tetikler veya iletişimi engeller. İmza, tek bir pakete veya bir dizi pakete dayalı olabilir. Model eşleştirmenin en büyük kusuru, yazılımın veritabanında belirli bir imzaya sahip olmadığı yeni saldırıları kaçırmasıdır. Etkililik, güncel tutulması gereken imza veritabanına bağlıdır.
2-Statistical anomaly detection
Anormallik tabanlı veya profil tabanlı imzalar genellikle “normal” olarak görülenden sapan ağ trafiğini arar. Normal kullanım modellerinden sapmaları izler. Bu, önce normun ne olduğunu belirlemek için bir temel profil oluşturulmasını, ardından bu normal parametrelerin dışındaki eylemlerin izlenmesini gerektirir. Bununla birlikte, bu sistemlerdeki zorluk, anormal davranışı normal olarak uygunsuz bir şekilde sınıflandırma olasılığını ortadan kaldırmaktır.
3-Policy-Based Detection:
İlke tabanlı sistemlerdeki IDS veya IPS sensörü, ağ güvenlik ilkesine göre önceden ayarlanmıştır. İlke tabanlı bir IDS veya IPS’de ilkeleri oluşturmanız gerekir. Poliçe dışında trafik tespit edilirse alarm tetiklenir veya trafik kesilir.
4.Stateful Protocol Analysis Detection:
Protokol analizi tabanlı izinsiz giriş tespiti, imza tabanlı izinsiz giriş tespitine benzer, ancak paketlerde belirtilen protokollerin daha derinlemesine analizini gerçekleştirir. Daha derin bir analiz, diğer protokolleri içeren TCP ve UDP paketleri içindeki yükleri inceler. Örneğin, DNS gibi bir protokol TCP veya UDP içinde bulunur ve kendisi de IP içinde bulunur.
Protokol analizinin ilk adımı, paket IP başlık bilgisinin kodunu çözmek ve yükün TCP, UDP veya başka bir protokol içerip içermediğini belirlemektir. Örneğin, veri yükü TCP ise, IP yükü içindeki bazı TCP başlık bilgileri, TCP yüküne erişilmeden önce işlenir (örneğin, DNS verileri). Benzer eylemler diğer protokoller için eşlenir.
Protokol analizi, şüpheli veya anormal aktivite aramak için bu protokollerin trafiğini daha yakından analiz edebilmesi için IPS sensörünün çeşitli protokollerin nasıl çalıştığını bilmesini gerektirir. Her protokol için, analiz yalnızca protokol standartlarına, özellikle RFC’lere değil, aynı zamanda gerçek dünyada işlerin nasıl uygulandığına da dayanır.
IPS ve IDS Türleri Nelerdir?
İki tür Saldırı Tespit Sistemi vardır:
1-Network Intrusion Detection Systems (NIDS): Sistem, ağ altyapısının bir parçasıdır ve paketleri ağ üzerinden akarken izler. NIDS genellikle anahtarlar gibi yayılma, dokunma veya yansıtma özelliğine sahip aygıtlarla birlikte bulunur.
2-Ana Bilgisayar Tabanlı Saldırı Tespit Sistemleri (HIDS): Bu yazılım, istemci, bilgisayar veya sunucu cihazlarında bulunur ve cihazdaki olayları ve dosyaları izler. Birden fazla Saldırı Koruma Sistemi türü vardır:
2.1 – Network-based Intrusion Prevention System (NIPS): Bu sistem, ağ altyapısında inline olarak konuşlandırılır ve tüm ağdaki tüm trafiği inceler.
2.2 – Wireless Intrusion Prevention System (WIPS): Bu sistem kablosuz ağ altyapısının bir parçasıdır ve tüm kablosuz trafiği inceler.
2.3 – Host-based Intrusion Prevention System (HIPS): Bu yazılım istemci, bilgisayar veya sunucu aygıtlarında bulunur ve aygıttaki olayları ve dosyaları izler.
2.4 – Behavior IPS:Bu sistem, ağ altyapısının bir parçasıdır ve tüm ağdaki olağandışı kalıplar ve davranışlar için tüm trafiği inceler.