Forum

Bildirimler
Hepsini Temizle

IPS ve IDS

10 Yazılar
3 Üyeler
0 Reactions
1,743 Görüntüleme
(@arifkayaca)
Gönderiler: 62
Estimable Member
Konu başlatıcı
 

Merhaba arkadaşlar, IPS ve IDS tam olarak nedir, kavramları bilsemde işleyişleri hakkında bir bilgim yok, bu konuda beni biraz bilgilendirirseniz çok sevinirim, acaba bunları VMWare ortamında test etme imkanım varmıdır? (varsa hangilerini tavsiye edersiniz)

Teşekkür ederim.

 
Gönderildi : 01/09/2011 15:49

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Merhaba arkadaşlar, IPS ve IDS tam olarak nedir, kavramları bilsemde işleyişleri hakkında bir bilgim yok, bu konuda beni biraz bilgilendirirseniz çok sevinirim, acaba bunları VMWare ortamında test etme imkanım varmıdır? (varsa hangilerini tavsiye edersiniz)

Teşekkür ederim.

 

IDS : Intrusion Detection Systems : Kötü niyetli ağ hareket ve bağlantılarının testipi için kullanılan sistem. Amacı tanımlama ve loglamadır.

IPS : Intrusion Prevention Systems : Kötü niyetli ağ hareket ve bağlantılarının önlenmesi için kullanılan sistem. Amacı kötü niyetli ağ hareketlerinin önlenmesidir.

IDPS : Intrusion Detection and Prevention Systems : Kötü niyetli ağ hareket ve bağlantılarının önlenmesi ve tanımlanması için kullanılan sistem. Amacı tanımlama, loglama, limitleme ( bazı sistemler belli bir limitin üstüne çıktığında saldırı kabul edilir. ) ve durudrmadı.

 

Normalde IDS ve IPS pek tek başına kullanılmaz bütünleşik kullanılır onda IDPS denilebilir. Snort bunun en güzel örneklerindedir bu durumda snort entegre herhangi bir yazılımsal firewall vmware üzerinde deneyebilirsin. Endian Pfense gibi sistemler bu işi görecektir. Donanımsal bir istersen DrayTek 5300 ya da DrayTek 5510 kullanabilirsin.

 
Gönderildi : 01/09/2011 23:22

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Sonradan fark ettim 🙂 başlık sonicwall altında açılmış. Sonicwall hali hazırda bu sistemleri oldukça başarılı bir sekilde desteklemektedir. Ayrıca Aplication firewall sistemi sayesinde kendi imzalarınızıda üretebilirsiniz.

 
Gönderildi : 01/09/2011 23:24

(@arifkayaca)
Gönderiler: 62
Estimable Member
Konu başlatıcı
 

Verdiğiniz faydalı bilgiler için teşekkür eder, başarılı çalışmalarınızın devamını dilerim...

 
Gönderildi : 02/09/2011 00:10

(@YasinCeliloglu)
Gönderiler: 123
Estimable Member
 
Ertan Bey
 

Benimde bu konu hakkında bazı sorularım olacaktı IPS / IDS cihazlarının yapısı hakkında ayrıntılı olarak fikirlerinizi ve hangi ürünü seçebileceğimiz konusunda önerilerini almak istiyorum.  

1. Appliance çözüme mi yoksa yazılımsal çözüme mi gitmeliyiz? Farkları nelerdir? 
2. Bu ürünlerin çalışma mantığı appliance'de nasıldır? Yazılımda nasıldır?
3. Öğrenim, kullanım kolaylığı ve dökümantasyon bolluğu bakımından hangisini önerirsiniz?
4. Bu ürünlerin Free'leri (Snort gibi) ve ücretli ürünler arasında ne gibi farklar mevcuttur? (Support hariç ve Appliance olarak Draytek'i tavsiye etmişsiniz)
5. Appliance bir ürün kullanıyoruz. Oldukça pahalı ve akıllı zekası üst düzey bir ürün, Prevention olarak oldukça başarılı ama support olarak ve kullanım açısından çok zayıf
 
Şimdiden Teşekkürler
 


 

 
Gönderildi : 09/06/2012 00:28

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Ertan Bey
 

Benimde bu konu hakkında bazı sorularım olacaktı IPS / IDS cihazlarının yapısı hakkında ayrıntılı olarak fikirlerinizi ve hangi ürünü seçebileceğimiz konusunda önerilerini almak istiyorum.  

1. Appliance çözüme mi yoksa yazılımsal çözüme mi gitmeliyiz? Farkları nelerdir? 
2. Bu ürünlerin çalışma mantığı appliance'de nasıldır? Yazılımda nasıldır?
3. Öğrenim, kullanım kolaylığı ve dökümantasyon bolluğu bakımından hangisini önerirsiniz?
4. Bu ürünlerin Free'leri (Snort gibi) ve ücretli ürünler arasında ne gibi farklar mevcuttur? (Support hariç ve Appliance olarak Draytek'i tavsiye etmişsiniz)
5. Appliance bir ürün kullanıyoruz. Oldukça pahalı ve akıllı zekası üst düzey bir ürün, Prevention olarak oldukça başarılı ama support olarak ve kullanım açısından çok zayıf
 
Şimdiden Teşekkürler
 

 

 

Donanım cihazlarla yazılım olanlar arasında birfark yok. Tek fark birisinin herhangi bir donanıma yüklenebilmesi diğerinin ise işe özel bir donanımla gelmesi. Yani alıp pfsensi işe özel bir donanıma yüklerseniz o da bir apliance olur :). Sonuçta piyasada ki bir çok utm aslında  başka sistemle üzerine de yüklenebiliyor.

 

Dokümantasyon ve öğrenim kolaylığı açısından illaki UTM alıcam derseniz Sonicwall yada Forti diyebilirim. Çok büyük bir yapıya girmiyorsa şirketiniz APP filter gibi istemlere ihtiyacım yok derseniz  DrayTek 5*** serisi olabilir.

 

Ürünlerin free olanlarla ne farkı var, aslında bir farkı yok açıkça söylemek gerekirse kimsede amerikayı baştan keşfetmiyor genelde open source db ler alınıp eklemeler yapılıyor. Şöyle diyelim olay birdaha geliştiriliyor.

 

İşe özel donanımı aslında tanımlayalım biraz. İşe özel donanımlar  7/24 %100 güç ile çalışmaya uygun donanımlardır mesala intel xara yada diğer risk işlemciler gibi. Olay aslında tam burada kopuyor hem bakım gerektirmiyorlar hem de intelin desktop sürümleri gibi dinlenme ve ağır yük altında sorun çıkartma gibi durumlar yok.

 
Gönderildi : 09/06/2012 02:46

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

İmzalarınızıda üretebilirsiniz demişim zaten :). Bende yanlışmı yazdım deyip okudum baştan sona. Evet paketleri alıp hexedesimal kodlarını cihaza verip bu kodları görürsen kes diyebilirsiniz. Hatta bir resm dosyası verip bunu kodla ve ağda transfer edilmesinde diyebilirsiniz etc....

 
Gönderildi : 15/06/2012 12:57

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Yani cihaz hexdecimal kodları gorse bile otomatik olarak imzayı content bilgisinden okuyup dusruyor ? Her hangi regular exp. biz yazmadan.

Vay be ! 🙂 Cok pratik olmus.

 

 

 

Neden ki ? IPTABLES hali hazırda bunu yapıyor 😀 ama bu işlem için çok güçlü işlemci lazım. Sonicwall da bu konuda oldukça iyi.

 
Gönderildi : 15/06/2012 17:26

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Üstad IPTABLES core destekliyor 🙂 bir şey yazmana gerek yok hex kodu veriyorsun bunu görürsen yasakla diyorsun.

 
Gönderildi : 16/06/2012 13:05

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Hocam bu arada firewall filan yazmaya çalışıyorsan amerikayı baştan keşvetme. Herkez Linux BSD kullanıyor. Hali hazırda üzerinde olan sistemler doüğru çalışsın düzğün bir yönetim ve loglama kısmı olsun yeterli olur ::D

 
Gönderildi : 16/06/2012 13:12

Paylaş: