IPS ve IDS NEDİR? BU SİSTEMLER NASIL ATLATILIR?

IPS ve IDS NEDİR? BU SİSTEMLER NASIL ATLATILIR?

Herkese merhaba. Bu yazımda saldırı tespit ve önleme sistemlerinden yani IPS ve IDS ten bahsedeceğim. Bu sistemlerin nasıl çalıştığından, ağdaki konumundan ve atlatma yöntemlerini de öğreneceğiz.

Ağ Güvenliği Nedir?

Ağ güvenliğini bir örnekle açıklamak gerekirse; bir iş yeriniz olduğunu düşünün ve bu iş yerinizin güvenliğini sağlamak için bir kamera sistemi, önemli dosya ve verileri korumak için bir anahtarlı kasa bulundurduğunuzu düşünelim. Akşam iş yerinizi kapatıp evinize gittiğinizde iş yerinizi izleyecek bir kamera sistemi ve verilerinizi koruyacak bir kasanız var. Ağ güvenliğinin amacı da tam olarak bunu yapmaktır. Bir kuruluşun stratejisini ve verilerini korumasını amaçlayan, ağ trafiğinin güvenilir bir şekilde sağlanmasına olanak tanıyan sistemlerin tamamı ağ güvenliği için önemli unsurlardır.

IDS (Saldırı Önleme Sistemi)

IDS (Intrusion Detection System), ağlara,sistemlere veya uygulamalara yapılan kötü niyetli saldırıları, ihlalleri ve bu sistemlerin güvenlik açıklarını tespit etmek için geliştirilmiş bir ağ güvenlik teknolojisidir. Bir ağ cihazınıza gelebilecek yetkisiz girişleri ve atak vektörlerini tespit etmeyi sağlayan sistemlerdir. Aynı zamanda tespit ve loglama gerçekleştirilir.

IDS yalnızca tehditleri tespit etmek için çalışır. IDS in amacı tanımlama ve loglamadır. Dünya üzerinde bilinen ve daha önceden kaydedilmiş saldırı tipleri, saldırı veritabanlarında toplanır. Kullandığımız IDS ve IPS sistemleri bu veritabanlarını sürekli olarak güncel tutar ve sunucularınıza gelecek saldırıları sürekli izleyebilmemizi sağlar.

IDS lerin herhangi bir engelleme özellikleri bulunmamaktadır. IDS aynı zamanda saldırı yapıldığında, firewall veya router gibi iletişim ağı cihazlarını yeniden konfigüre ederek tekrar aynı yolla saldırı yapılmasını engeller. IDS ler span aracılığıyla loglama işlemi yapmaktadır. IDS’ler dinledikleri trafiğin kaydını tutarak IDS in sensör ve yönetim konsolu olmak üzere iki temel bileşeni vardır.

IDS Nasıl Çalışır?

Network Sensör; ağımızı dinleyen sensör, tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, synflood, port scan) tespit ettiği an bu paketleri bloklar.

Server Sensör: Server sensörler sadece yüklü olduklarını makine üzerindeki trafiği dinlerler. Üzerinde çalıştıkları makinelerin işletim sisteminden aldıkları sistem loglarını incelerler. Bu sayede makineye erişim bilgilerini (yetkili/yetkisiz), kaynak kullanımı, dosya silinmesi vs. gibi tüm işlemler hakkında bilgi sahibi olurlar.

IPS (Saldırı Önleme Sistemi)

IPS (Intrusion Prevention System), dışarıdan gelecek herhangi bir tehdit veya ihlali tespit ederek buna cevap verir. Saldırıya yanıt verme özellikli bir önleme sistemidir. IPS, genellikle güvenlik duvarının arkasına yerleştirilir ve tehlikeli içerik için bir analiz katmanı sağlar.

IDS in aksine IPS kaynak ve hedef arasında bir sıraya yerleştirilir. Burada bütün paketlerin analizini yapar ve otomatik eylemler gerçekleştirir. Bu eylemlerden bazıları şunlardır:

  • IDS te olduğu gibi yöneticiye alarm gönderir.
  • Kaynak ve hedef arasındaki ağ trafiğinde tespit edilen kötü paketleri bırakır.
  • Kaynak adresin trafiğini engeller.
  • Bağlantıyı sıfırlar.

IPS, saldırıları tespit etmek için bir takım algılama yöntemlerine sahiptir. Bunlar imza tabanlı algılama ve istatistiksel anomali temelli algılama mekanizmalarıdır. IPS, ağ performansını düşüren saldırılardan kaçınmak için verimli bir şekilde çalışmalıdır. Aynı zamanda hızlı çalışmalıdır çünkü istismarlar gerçek zamanlı olarak gerçekleşebilir.

IPS ve IDS saldırıları tespit ederken imza tabanlı mekanizmaları kullandığını belirtmiştik. Peki buradaki imza(signature) nedir?

İmza (Signature) Nedir?

IDS ve IPS bilinen saldırıları tespit etmek ve önceden tanımlanmış eylemlerle yanıt vermek için kullandığı bir dizi kuraldır. Bu imzaları sensörler aracılığı ile değiştirebilir ve yenilerini tanımlayabiliriz.

İmza Alarmları (Signature Alarms)

Sisteme gelen saldırılara karşı, IPS ve IDS in ne yanıt vereceği imza türlerini oluşturur. Yanıtlar şu şekilde olabilir:

  • False-Positive, normal trafik veya olumlu bir hareket tarafından tetiklenen bir alarmdır.
  • False-Negative, yanlış bir trafik vb. durum algılandığında ve buna karşı bir imza tetiklenmediğinde oluşan alarmdır.
  • True-positive, saldırıya karşı imza doğru bir şekilde tetiklendiğinde ve rahatsız edici trafik tespit edildiğinde oluşan alarmdır.
  • True-negative, gerçek olmayan bir saldırı yakalandığında ve analiz edildiğinde bir imza atılmadığında oluşan alarmdır.

IPS ve IDS in Farkları Nelerdir?

  • Sistem tipi olarak IPS, aktif (izleme ve otomatik savunma) yapabilirken, IDS pasiftir. IDS sadece izleme ve bildirim sağlar. (IDS sadece atağı görüntüler, IPS, atağı görüntüler ve engeller.)
  • Algılama mekanizmaları olarak IPS, istatistiksel anormalliğe dayalı algılama, imza tabanlı algılama, exploit’e bakan imza ve güvenlik açığıyla yüzleşen imza olarak algılarken, IDS imza tabanlı algılama ve exploit’e bakan imza tabanlı algılama gerçekleştirir.

IDS ve IPS firewallar ile kullanılmak zorundadırlar. Bu sayede firewall üzerinden yük alınarak performans konusunda daha verimli sonuçlar elde edilir.

IDS ve IPS Nasıl Atlatılır?

IPS ve IDS sistemlerini atlatmanın birçok yolu bulunmaktadır. Bunlardan biri Packet Fragmentation yoludur. Bu yolu kullanırken MTU(Maximum Transfer Unit) işleminden yararlanırız.

MTU kısaca ağa girecek maksimum kapasitedir. Ethernet ağlarında bu değer 1500 byte’dır. Örneğin gönderilen paketin boyutu 1800 byte olduğunda paket 1500+300 şeklinde parçalanarak gönderilir ve firewall da tekrar birleştirilir. Parçalanarak gönderilen paketler firewall ve ips/ids sistemleri için tehlikelidir. Bunun sebebi ise örneğin 1500+300 byte’lık paketin gönderilen ilk paketi güvenlik duvarından geçtiği taktirde diğer paketin içeriğine bakılmaz, paket süzülerek geçecektir.

Paket Parçalama atağında da 1500 byte üzerinde bir paket göndererek IPS i atlatmayı deneyeceğiz. Paketlerin nasıl parçalandığını wireshark üzerinde de görmüş olacağız. Kendi blog sitem üzerinde bu atağı deneyeceğim.

Packet Fragmentation(Paket Parçalama)

Öncelikle Kali Linux içerisinde bulunan fragroute komutunu kullanarak bu atağı gerçekleştireceğiz.

Öncelikle herhangi bir web sitesine telnet isteği göndererek firewall kontrolü yapabiliriz. Eğer sunucudan gelen yanıt görseldeki gibi “connection closed by foreign host” bir hata alıyorsak sunucuya ulaşmadan istek engelleniyor demektir. İsteğe sunucudan 404 not found, response gibi yanıtlar alıyorsak, isteğin sunucuya kadar ulaştığını bir cihaz tarafından engellenmediğini gösterir. Burada blog siteme telnet isteği gönderdiğimde bu isteğin sunucuya ulaşmadığını firewall tarafından kesildiğini görüyorum.

Terminal üzerinden “fragroute” yazıp ulaşabileceğimiz gibi “Information Gathering > IDS/IPS Identification > fragroute” yolu üzerinden de ulaşabiliriz. Fragroute ayarlarını yapmaya başlayalım.

Icmp protokolünü kullanıp ping atarak paket göndereceğimiz için ip fragmentation yapacağız. IP fragmentation yaparken “rp_filter” ı disable etmemiz gerekiyor. Bunun için “echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter” yazıp enter deyip devam ediyoruz.

“fragroute -f /etc/fragroute.conf “hedefip”” komutunu yazarak fragmentation’ı başlatıyoruz. Şimdi yeni bir terminal açıp, hedef ip’ye ping atarak fragmentation’ın nasıl yapıldığına bir bakalım.

“ping -s 3000 hedefip” komutunu yazarak paket gönderme işlemini başlatıyoruz. Burada “-s 3000” ifadesi boyutu 3000 byte olan paket gönderdiğimiz anlamına geliyor. MTU(Maksimum Transfer) de hatırlayacağımız üzere 1500 byte üzerinde gelen verilerin parçalandığını öğrenmiştik.

Tekrar fragmentation yaptığımız terminale döndüğümüzde giden paketlerin parçalanıp gönderildiğini görmekteyiz. MTU’da normalde 1500 byte olduğunu söylemiştim fakat burada 1480 byte görünüyor. Bunun sebebi ise ip başlıklarının 20 byte boyutunda olmasıdır.

Paket parçalama işlemimizi bu şekilde gerçekleştirdik.

Diğer Atlatma Teknikleri

IPS ve IDS i atlatmak için birçok işlem gerçekleştirilebilir. Bunlardan biri paket parçalama işlemini gerçekleştirerek paketleri sunucuya ulaştırmaktı. Diğer yöntemler ise şunlardır:

  • SSH Tünelleme
  • DNS Tünelleme
  • VPN
  • Encoding

yöntemleri de kullanılarak IPS ve IDS atlatılabilmektedir.

Bu yazımda IPS ve IDS in neler olduğundan, güvenli internet modelinde ağın neresinde bulunduklarından ve nasıl atlatabileceğimizden bahsetmeye çalıştım. Bir sonraki yazımda görüşmek üzere.

Related Posts

Leave a Reply