Atak Tesbit Sistemleri, diğer adı ile IDS'ler, güvenlik uzmanının
araçları içindeki en önemli bileşen haline gelmektedir. Buna
rağmen, bir çok güvenlik uzmanı hala IDS'lerin ne olduğu, ne iş
yaptıkları, nasıl kullanıldıkları ya da neden ihtiyacımız olduğu
hakkında bilgi sahibi değildir. Bu makalede, IDS'lerin ne olduğu,
fonksiyonlarının neler olduğu ve farklı IDS çalıştırma
metotlarını da içerecek şekilde, IDS'lerin tipleri ve IDS'ler ile
ilgili bir ön bilgi bulabileceksiniz.



IDS Genel

Özetlemek gerekirse, IDS'ler, isimlerinden de anlaşılacağı gibi;
muhtemel atakları tesbit eden araçlardır. Daha da açmak
gerekirse, IDS araçları, bilgisayar saldırılarını ve/veya
suiistimallerini tesbit etmek ve tesbit üzerine doğru kişiyi ikaz
etmek amaçlı sistemlerdir. IDS yüklü bir network, bir evdeki
hırsız alarmı sistemi ile aynı amaca sahiptir. Birçok değişik
metot ile, her denetleme sonucunda saldırgan/hırsız tesbit
edilirse durumu bildiren değişik tipte ikazlar yapılır. Bununla
birlikte IDS sistemleri, network'den giden ve network'e gelen
bilgilerin regule edilmesi amacıyla firewall sistemleri ile
birlikte kurulmuş olabilir, iki sistemin görevi aynı olarak
algılanmamalıdır. Bir önceki örnekten yola çıkılırsa, firewall,
evin önünde durmakta olan güvenlik görevlisine benzetilebilir.
IDS araçları network'ün saldırı altında ya da network'e sızma
olduğunu tesbit edip etmediğine bakmadan Firewall araçları
atakları engellemeye teşebbüs edecektir. IDS araçları bu sebeple
güvenlik sistemini tamamlayan önemli parçalardan biridir.
Güvenliği tamamen garanti etmezler, ancak güvenlik politikaları,
zayıflık tesbitleri, veri şifreleme, kullanıcı yetkilendirmeleri
ve firewall'lar ile birlikte kullanıldıklarında, yüksek network
emniyetini sağlayabilirler.

IDS'ler 3 ilgili güvenlik fonksiyonu sunmaktadır: izleme, tesbit
ve kurum içi ya da dışı yetkisiz ataklara cevap. Eğer bir durum,
alarm olarak tesbit edilmiş ise, IDS'ler kati olarak tanımlanmış
durumlar için politikalar kullanırlar. Başka bir ifade ile, eğer
olağandışı bir durumun güvenlik hadisesi oluşturduğu
düşünülüyorsa ve bu olay tesbit edilmişse ikaz verilecektir. Bazı
IDS sistemleri dışa alarm gönderim özelliğine de sahiptir, bundan
dolayı IDS'in yöneticisi bir form, email ya da SNMP trap
aracılığı ile bir muhtemel güvenlik hadisesinin raporunu/ikazını
alacaktır. Bir çok IDS sistemi sadece ilgili ikaz vermek üzere o
olağan dışı güvenlik hadisesini tanımakla kalmaz, ayrıca duruma
otomatik olarak cevap verir. Bazı cevaplar kullanıcıyı log-off
yapmayı, kullanıcı hesabını kapatmayı ve script'leri kullanım
dışı bırakmayı içerebilir.

Neden IDS'e İhtiyaç Duyarız?

Networkler üzerinde gerçekleşen güvenlik hadiselerinin çoğu (Bir
çok tahmine göre %85 e kadar) network'ün içinden gelmektedir. Bu
tip ataklar yetkili kullanıcılardan kaynaklanıyor olabilir ki bu
kullanıcılarda hayal kırıklığına uğramış şirket personeli
olabilmektedir. Dışarıdan gelen notlarda genelde bir DoS
saldırısı ya da network altyapısını zorlama raporları
görünmektedir. IDS sistemleri sadece proaktif anlamda tesbit ve
içerden ya da dışarıdan gelen tehlikelere karşı verilen cevapları
barındırır. IDS'ler, “ bir network firewall sisteminin mantıksal
tamamlayıcısı” anlamında güvenlik altyapısının önemli ve gerekli
elemanlarıdır. Basit bir ifade ile, IDS araçları networklerin
tamamen denetimine ve, durumlar karşısında güvenlik hadisesinin
kendisi ile durumun kaynağına kadar uzanan bir açıklama getirecek
şekilde bilgilendirme sağlayan hareketlerin yapılmasına olanak
tanıyan araçlardır.

Araştırmalar göstermektedir ki neredeyse tüm büyük firmalar ve
orta ölçekli kuruluşlar IDS sistemlerinden herhangi birini
sistemlerine kurmaktadır. Şubat 2000'de Amazon.com ve E-bay gibi
on-line satış ve e-ticaret sitelerine ( ve diğerlerine de) karşı
yapılan DoS saldırıları etkili bir IDS sitemi gereksinimi için
örnek teşkil etmiştir. Bununla birlikte, çok açıktır ki güvenlik
hadiselerinin yoğunlaşması Internet üzerinde bağımsız bir
oluşumun, savunma hattı anlamında herhangi bir çeşit IDS
sistemine sahip olmasını gerektirmektedir. Network saldırı ve
sızmaları finansal, politik, askeri ya da kişisel sebepler
tarafından motive edilebilir, bu sebeple hiçbir kurum dokunulmaz
değildir. Gerçekçi olmak gerekirse, bir network'e sahip iseniz,
potansiyel olarak hedefsiniz ve herhangi çeşit bir IDS sistemini
kurmanız gerekmektedir.

Atak Tesbiti Nedir?

Daha önceden ifade edildiği gibi, atak tesbiti, network ya da
bilgisayarların, giriş, aktivite veya dosya modifikasyonu gibi
yetkisiz işlemler için izlenmesi sürecidir. IDS ayrıca, eğer
sistem DoS gibi saldırılar tarafından hedef haline gelmiş ise,
tesbit işlemi vasıtası ile network trafiğini izlemek içinde
kullanılabilir. Atak tesbitinin 2 temel tipi bulunmaktadır:
host-tabanlı ve network-tabanlı. Her biri verilerin güvenliği ve
izlenmesi ile ilgili farklı yaklaşımlar sunar ve her ikisinin de
avantaj ve dezavantajları mevcuttur. Kısaca, network tabanlı
IDS'ler incelenmiş dataları bilgisayarlar arasında değiştirirken,
host-tabanlı IDS'ler verileri ayrı bir bilgisayarda inceler,
tutar ve host şeklinde sunar.

Host-Tabanlı IDS (HIDS)

Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS
tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi
orijinal olarak veri taşıyan hostlardan verileri toplar ve analiz
ederler. Bu veriler gönderilecek bilgisayar için toplandığında,
lokal olarak ve/veya ayrı bir analiz bilgisayarında analiz
edilirler. Host-tabanlı programlara örnek olarak sistem üzerinde
çalışan ve işletim sistemi ya da uygulamaların denetleme
raporlarını toplayan yazılımlar verilebilir. Bu programlar
sistemlere sızan ve suiistimal edenlerin tesbiti için oldukça
kullanışlıdır.Kendi güvenli network sistemleri tarafında
bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça
yakın durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir
aktivite girişiminde bulunursa, host-tabanlı sistemler genellikle
en uygun olan veri en uygun yol ile tesbit eder ve toplarlar.
Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak,
host-tabanlı sistemler yetkisiz dosya modifikasyonu tesbitinde de
oldukça etkilidir. Arka planda ise host-tabanlı sistemler oldukça
hantaldır.Büyük networkler deki binlerce çeşit muhtemel bitiş
noktasından, her ayrı makineden her ayrı bilgisayar için bilgiler
toplamak ve tamamlamak yetersiz ve etkisiz olabilir. Buna
ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri
toplamayı pasif ederse, bu makine üstündeki IDS sistemi yedekleme
olmadığı için kullanılmaz hale gelecektir. Uygun host-tabanlı IDS
sistem uygulamaları, Windows NT/2000 Güvenlik Durum Loglarını,
RDMS denetleme kaynaklarını, Enterprise Yönetim Sistemleri
denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarını kendi
ham formlarında ya da Solaris'in BSM'lerinde olduğu gibi kendi
güvenli formlarında tutarlar; RealSecure, ITA, Squire, ve
Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde
az bulunmaktadır.

Network-Tabanlı IDS (NIDS)

Özel networkler üzerinde gerçekleşen aktiviteleri izleme işlemine
karşı, Network-tabanlı IDS sistemleri gerçek network dışına gidip
gelen veri paketlerini analiz etmektedir. Bu paketler incelenir
ve bazı zamanlarda, iyi ya da kötü niyetli olarak tiplerinin
belirlenmesi amacı ile karşılaştırılırlar.

Çünkü IDS'ler bir tek host'tan ziyade tüm network'ü izlemekle
sorumludur, Network-tabanlı IDS sistemleri, host-tabanlı IDS'lere
göre daha fazla paylaştırılmıştır. Yazılım, ya da bazı durumlarda
cihaz olarak, network'e bağı bir yada birkaç sistem içinde
konumlanır ve, network paketleri gibi verileri analiz etmek için
kullanılır.Bilgisayar tarafında bulunan orijinal bilgileri analiz
etmek yerine, network-tabanlı IDS sistemleri, network dışına
gidip gelen verileri TCP/IP ya da diğer protokollerden çekmek
için paket dinleme ( sniffing) benzeri bir teknik kullanırlar.
Bilgisayarlar arası bu tip bir gözetim bağlantısı, network
tabanlı IDS sistemlerinin güvenilir dış networklerden gelebilecek
giriş isteklerinin denetlenmesinde başarılı olmasını
sağlamaktadır. Genel anlamda network-tabanlı sistemler aşağıda
belirtilen aktiviteleri tesbit etmekte en iyi yöntemdir:

Yetkilendirilmemiş Yabancı Girişler: Yetkilendirilmemiş bir
kullanıcı başarılı olarak log-in olur ya da buna teşebbüs ederse,
bunları izlemenin en iyi yöntemi host_tabanlı IDS'lerdir. Ancak,
yetkilendirilmemiş kullanıcıyı log-in olmadan önce tesbit etmek
için network-tabanlı IDS'ler en iyi yoldur.

Bandwidth çalınması/servisin engellenmesi: Bu ataklar network
dışından gelen ve network kaynaklarını suiistimal etmek ya da
aşırı yüklemek amacı ile yapılır. Bu ataklar paketler vasıtası
ile taşındığı/başlatıldığı için, ataklar hakkında haberdar
olmanın en iyi yolu network-tabanlı IDS'lerdir.

HIDS ve NIDS Kombine Kullanımı

Belirli olarak birbirinden ayrılmış 2 tip IDS sistemi bulunmakla
birlikte, biri diğerini tamamlamaktadır.Host-tabanlı network
mimarilerine temsilci ( ajan)-tabanlı IDS'ler denir ve bunun
anlamı ise; yazılımın temsilcisi her hostta konumlanır ve sistem
tarafından yönetilir demektir. Buna ilaveten, çok etkili
host-tabanlı IDS sistemleri, güvenlik yönetiminin esnekliğini
sağlamak ve için gerçek zamanlı ve planlı olarak sistem denetleme
izlerini toplamak ve izlemek yolu ile CPU yararlandırılmasını ve
network yoğunluğunu dağıtma kapasitesine sahiptirler. Tam ve
doğru IDS sistemlerinde bu, tek bir merkezden yönetim,
sistemlerin host-tabanlı kısımlarında benzer davranışlı alarm ve
bilgilendirmelerin filtrelenmesi gibi avantajlar sağlamaktadır.
Bunun yapılması, her iki tipte IDS kullanarak kötüye
kullanımların idaresi ve karşılık verilmesini sağlamaktadır. Bu
demektir ki, hali hazırda network sistemlerinde bulunan güvenlik
stratejilerini arttırmak amacıyla IDS sistemleri geliştiren
organizasyonlar, asıl olarak IDS'lerin host-tabanlı olması
gerekliliğine odaklanmışlardır. Buna rağmen, network IDS'ler
kendilerine has meziyetlere sahiptir ve kesinlikle gerçek anlamda
bir IDS çözümü ile birlikte kullanılmalıdırlar. Tarihsel olarak
veri haberleşmesi teknolojisi ile birlikte uygulama yapmak için
gelişim yetenekleri yoktur. Genellikle NIDS'lerin çoğu, switch
networklerde, 100 Mbps üstünde hıza sahip hızlı networklerde ve
şifrelenmiş networklerde kötü performans göstermektedir. Ayrıca,
bazı yerlerde güvenlik hadiselerinin % 80-85'i organizasyon
içinden kaynaklanmaktadır. Bu nedenle, IDS sistemleri baskın
olarak host-tabanlı bileşenlere itimat etmelidir, fakat savunmayı
sağlamak için daima NIDS kullanılmalıdır.

Kısaca bilgisayarların kötü niyetli kullanımının tamamının
izlenmesi, cevaplanması ve tesbitinin temeli olacak sağlam ve
güvenilir bir güvenlik ortamı yaratmak için, hem network-tabanlı
hem de host-tabalı IDS sistemlerinin ikisine birden ihtiyaç
vardır.

IDS Teknikleri

Şu ana kadar temel 2 tip IDS sistemini ve neden birlikte
kullanılmaları gerektiğini inceledik, işlerini yaparken nasıl
çalıştıklarını da araştırabiliriz. Saldırganların tesbiti için,
her 2 tip IDS' de de 4 temel tesbit tekniği mevcuttur: anormallik
tesbiti, kötüye kullanım tesbiti (imza tesbiti), hedef izlenmesi
ve gizlilik araştırması.

Anormallik Tesbiti

Anormal davranış paternlerinin ortaya çıkarılması için dizayn
edilmiş IDS sistemleri, normal kullanım paternlerinin ana hatları
ve normaline göre çok geniş sapmalar yapan ve muhtemel saldırı
olan her şeyi tanımlamaktadır. Anormalliklerin çok çeşitlilik
gösterebileceği hesaba katılmalıdır, fakat normal olarak,
herhangi bir hadise, frekansın istatistik normları aşacak
şekillerden elde edilen 2 standart sapmadan büyük ya da küçük
olması durumunda oluşur. Buna ören vermek gerekirse, eğer
kullanıcı, normal olarak günde 1 2 kez yapması gerekirken günde
20 kez makineye log on/log off oluyorsa. Ayrıca, eğer bilgisayar
gece saat 02:00 da kullanılmışsa normal olarak iş saatleri
dışında kimseye giriş izni verilmemişse bu durum kuşkulu bir
durumun artışı anlamına gelmektedir. Başka bir seviyede,
anormallik tesbiti, günlük program uygulamaları profilleri gibi
kullanıcı paternlerini araştırabilir. Eğer grafik bölümündeki
kullanıcı aniden muhasebe programına giriş yapar ya da kod
derlerse, sistem, yöneticisini anında ikaz edebilir.

Kötüye Kullanım Yada İmza Tesbiti

Çoğunlukla imza tesbiti olarak isimlendirilen bu metot, sonradan
oluşabilecek benzer atakları önlemek ve daha önceden bildirmek
için özel olarak bilinen yetkisiz davranışlara ait paternleri
kullanır. Bu özel paternlere imza adı verilmektedir. Host-tabanlı
IDS'ler için imza örneği olarak "3 yanlış login" verilebilir.
Network-tabanlı IDS'ler için imza ise network paketlerinin bir
kısmı ile eşleşen basit bir patern olabilir. Örnek olarak, paket
içerik imzaları ve/veya header içerik imzaları, uygunsuz FTP
girişimleri gibi yetkisiz aksiyonları bildirebilir. İmza olayı
gerçek yetkisiz erişim isteklerini belirtmez (örneğin, bu
zararsız bir hata olabilir) fakat her ikazı ciddiye almak iyi bir
fikirdir.İmzanın sağlamlığı ve ciddiliğine bağlı olarak,
tetiklemeler, bazı alarmlar, cevaplar ya da bilgilendirmeler
doğru otoriteye gönderilmelidir.

Hedef İzleme

Bu sistemler aktif olarak anormallik ya da kötüye kullanımları
aramaz, bunun yerine açıkça belirtilmiş ya da modifiye edilmiş
dosyalara bakar. Bu, düzeltici işlemleri yapabilmek bakımından
yetkisiz bir girişim sonrasında durumu ortaya çıkarmak için
dizayn edilmiş oldukça düzeltici bir kontroldür. Dosyaların
gizlice editlenmesini kontrol için tek yol otomatik bir
kriptografi hash sistemi programlamak ve bunu belirli aralıklarla
yenisi ile karşılaştırmaktır. Bu tip bir sistemin uygulanması
kolaydır çünkü yönetici tarafından sabit izleme gerektirmez.
Güvenilirlik Hash Kontrolü dilediğiniz aralıklarla tüm dosyalara
yada belirteceğiniz görevler/kritik sistem dosyaları üzerinde
yapılmak için programlanabilir.

Gizlilik Araştırması

Bu teknik, görevini uzun bir periyoda yayan saldırganları tesbit
etmek için geliştirilmiştir. Örneğin saldırgan sistem açıklarını
ve açık portları 2 aylık bir periyotta tarayacaktır ve 2 ay daha
bekledikten sonra gerçek saldırısını yapacaktır. Gizlilik
Araştırması tüm sistemden geniş çapta veri toplar ve uzun
periyotlarla gerçekleştirilecek saldırı metotları için kontrol
eder. Geniş alan örnekleri alır ve ilişkili herhangi bir atak
keşfetmeye çalışır.Sonucunda bu metot, şüpheli aktiviteleri
ortaya çıkarmak için anormallik tesbiti ve imza tesbiti ile
birlikte kombine çalışır.

Sonuç

Güvenlik hadiseleri gün geçtikçe artmaktadır. IDS araçları her
geçen gün daha önemli hale gelmektedir. Cephanelik etrafında
dolaşırlar, firewalllar gibi diğer güvenlik araçları ile birlikte
çalışırlar ve tüm network aktivitelerinin tam anlamı ile
yönetimine olanak tanırlar. Bu bilgi akışı, doğası ve
kaynaklarından ötürü network suiistimallerinin tesbitine yardımcı
olabilir. Beklendiği gibi, IDS araçlarının satışı artarak devam
etmekte ve elde edilen gelirler 1 milyar Euro'ya ulaşmıştır. Bu
IDS araçları, normal akış karşısındaki sızmaların tesbitine
yardımcı olmak için bir çok farklı teknikte kullanılmaktadır.
Sistem anormallik tesbitlerini, suiistimal tesbitlerini, hedef
izlemesini yada gizlilik araştırmasını kullanır, genellikle 1
yada 2 kategoride değerlendirilir: network-tabanlı ve
host-tabanlı. Her kategori, her bağımsız hedef ortamına karşı
ölçülmüş dayanıklılık ve zayıflıklara sahiptir. İdeal olarak, en
iyi IDS aracı, bir yönetim paneli altında her iki kategorinin
kombine kullanılması yaklaşımıdır. Bu yolla, kullanıcı ayrıntılı
bir alan kullanır ve tehlikelere karşı mümkün olduğunca güvenli
olduğuna emin olur. Seçim ne olursa olsun, host-tabanlı ya da
network-tabanlı olsun, veyahut da ikisinin birlikte kullanımı
olsun, çok açıktır ki güvenlik yönetiminde IDS araçları kullanmak
çok önemli ve gereklidir.

Kaynak:SecurityFOCUS Türkçeleştirme:SecurityTURK