Forum
Merhaba arkadaşlar, IPS ve IDS tam olarak nedir, kavramları bilsemde işleyişleri hakkında bir bilgim yok, bu konuda beni biraz bilgilendirirseniz çok sevinirim, acaba bunları VMWare ortamında test etme imkanım varmıdır? (varsa hangilerini tavsiye edersiniz)
Teşekkür ederim.
Merhaba arkadaşlar, IPS ve IDS tam olarak nedir, kavramları bilsemde işleyişleri hakkında bir bilgim yok, bu konuda beni biraz bilgilendirirseniz çok sevinirim, acaba bunları VMWare ortamında test etme imkanım varmıdır? (varsa hangilerini tavsiye edersiniz)
Teşekkür ederim.
IDS : Intrusion Detection Systems : Kötü niyetli ağ hareket ve bağlantılarının testipi için kullanılan sistem. Amacı tanımlama ve loglamadır.
IPS : Intrusion Prevention Systems : Kötü niyetli ağ hareket ve bağlantılarının önlenmesi için kullanılan sistem. Amacı kötü niyetli ağ hareketlerinin önlenmesidir.
IDPS : Intrusion Detection and Prevention Systems : Kötü niyetli ağ hareket ve bağlantılarının önlenmesi ve tanımlanması için kullanılan sistem. Amacı tanımlama, loglama, limitleme ( bazı sistemler belli bir limitin üstüne çıktığında saldırı kabul edilir. ) ve durudrmadı.
Normalde IDS ve IPS pek tek başına kullanılmaz bütünleşik kullanılır onda IDPS denilebilir. Snort bunun en güzel örneklerindedir bu durumda snort entegre herhangi bir yazılımsal firewall vmware üzerinde deneyebilirsin. Endian Pfense gibi sistemler bu işi görecektir. Donanımsal bir istersen DrayTek 5300 ya da DrayTek 5510 kullanabilirsin.
Sonradan fark ettim 🙂 başlık sonicwall altında açılmış. Sonicwall hali hazırda bu sistemleri oldukça başarılı bir sekilde desteklemektedir. Ayrıca Aplication firewall sistemi sayesinde kendi imzalarınızıda üretebilirsiniz.
Verdiğiniz faydalı bilgiler için teşekkür eder, başarılı çalışmalarınızın devamını dilerim...
Benimde bu konu hakkında bazı sorularım olacaktı . IPS / IDS cihazlarının yapısı hakkında ayrıntılı olarak fikirlerinizi ve hangi ürünü seçebileceğimiz konusunda önerilerini almak istiyorum.
Ertan BeyBenimde bu konu hakkında bazı sorularım olacaktı . IPS / IDS cihazlarının yapısı hakkında ayrıntılı olarak fikirlerinizi ve hangi ürünü seçebileceğimiz konusunda önerilerini almak istiyorum.
1. Appliance çözüme mi yoksa yazılımsal çözüme mi gitmeliyiz? Farkları nelerdir?2. Bu ürünlerin çalışma mantığı appliance'de nasıldır? Yazılımda nasıldır?3. Öğrenim, kullanım kolaylığı ve dökümantasyon bolluğu bakımından hangisini önerirsiniz?4. Bu ürünlerin Free'leri (Snort gibi) ve ücretli ürünler arasında ne gibi farklar mevcuttur? (Support hariç ve Appliance olarak Draytek'i tavsiye etmişsiniz)5. Appliance bir ürün kullanıyoruz. Oldukça pahalı ve akıllı zekası üst düzey bir ürün, Prevention olarak oldukça başarılı ama support olarak ve kullanım açısından çok zayıfŞimdiden Teşekkürler
Donanım cihazlarla yazılım olanlar arasında birfark yok. Tek fark birisinin herhangi bir donanıma yüklenebilmesi diğerinin ise işe özel bir donanımla gelmesi. Yani alıp pfsensi işe özel bir donanıma yüklerseniz o da bir apliance olur :). Sonuçta piyasada ki bir çok utm aslında başka sistemle üzerine de yüklenebiliyor.
Dokümantasyon ve öğrenim kolaylığı açısından illaki UTM alıcam derseniz Sonicwall yada Forti diyebilirim. Çok büyük bir yapıya girmiyorsa şirketiniz APP filter gibi istemlere ihtiyacım yok derseniz DrayTek 5*** serisi olabilir.
Ürünlerin free olanlarla ne farkı var, aslında bir farkı yok açıkça söylemek gerekirse kimsede amerikayı baştan keşfetmiyor genelde open source db ler alınıp eklemeler yapılıyor. Şöyle diyelim olay birdaha geliştiriliyor.
İşe özel donanımı aslında tanımlayalım biraz. İşe özel donanımlar 7/24 %100 güç ile çalışmaya uygun donanımlardır mesala intel xara yada diğer risk işlemciler gibi. Olay aslında tam burada kopuyor hem bakım gerektirmiyorlar hem de intelin desktop sürümleri gibi dinlenme ve ağır yük altında sorun çıkartma gibi durumlar yok.
İmzalarınızıda üretebilirsiniz demişim zaten :). Bende yanlışmı yazdım deyip okudum baştan sona. Evet paketleri alıp hexedesimal kodlarını cihaza verip bu kodları görürsen kes diyebilirsiniz. Hatta bir resm dosyası verip bunu kodla ve ağda transfer edilmesinde diyebilirsiniz etc....
Yani cihaz hexdecimal kodları gorse bile otomatik olarak imzayı content bilgisinden okuyup dusruyor ? Her hangi regular exp. biz yazmadan.
Vay be ! 🙂 Cok pratik olmus.
Neden ki ? IPTABLES hali hazırda bunu yapıyor 😀 ama bu işlem için çok güçlü işlemci lazım. Sonicwall da bu konuda oldukça iyi.
Üstad IPTABLES core destekliyor 🙂 bir şey yazmana gerek yok hex kodu veriyorsun bunu görürsen yasakla diyorsun.
Hocam bu arada firewall filan yazmaya çalışıyorsan amerikayı baştan keşvetme. Herkez Linux BSD kullanıyor. Hali hazırda üzerinde olan sistemler doüğru çalışsın düzğün bir yönetim ve loglama kısmı olsun yeterli olur ::D