Blog

IPS ve IDS’in Ortak Yönleri, Birbirleriyle İlişkileri – IPS ve IDS Nedir?

IPS ve IDS kavramlarıyla birbirleriyle ilişkili kavramlardır. Adeta her ikisi de birbirini tamamlar niteliktedir. IPS, Intrusion Prevention Systems olarak adlandırılrken IDS; Intrusion Detection Systems olarak adlandırılmaktadır.

IPS Nedir

Dilimize “Saldırı Engelleme Sistemleri” olarak çevirebileceğimiz Intrusion Prevention Systems, mevcut sisteme karşı her türlü saldırı girişiminin engellenmesini sağlayan sistemlerdir. IPS, tüm ağ trafiğini analiz ederek zararlı aktiviteleri tespit edip engellemeyi hedeflemektedir.

IDS Nedir?

Saldırı Tespit Sistemleri olarak çevirebileceğimiz Intrusion Detection Systems, mevcut sisteme karşı gerçekleştirilen her türlü saldırıyı tespit etmeyi hedeflemektedir. IDS, ağa karşı dışarıdan veya ağ içerisinde bulunan bir cihaza yine ağ içerisindeki bir saldırgan tarafından gerçekleştirilen saldırıları tespit etmeyi amaçlamaktadır.

IPS ve IDS’in Entegre Kullanımı

Bilişim dünyasının geldiği nokta ağ trafiğinin son derece karmaşık olmasına neden olmaktadır. Dolayısıyla ağ trafiğini analiz edip saldırılara karşı önlem almak isteyen kurum ve kuruluşlarda basit güvenlik duvarı önlemleri yerine IPS ve IDS sistemlerini entegre bir şekilde kullanan güvenlik ürünlerine yönelmişlerdir. IPS ve IDS’in birlikte kullanılmasıyla Intrusion Detection and Prevention Systems (IDPS) kavramı ortaya çıkmıştır. IDPS, hem saldırıyı tespit etmeyi hem de ileride yaşanabilecek benzer saldırılara karşı önlem almayı hedeflemektedir. Saldırının önlenmesi için imza veya kural sistemi kullanılmaktadır.

Güvenlik analistleri IPS ve IDS sayesinde güvenlik duvarlarını sürekli programlayarak benzer kategorideki saldırılara karşı saldırı gerçekleşmeden önlem almayı hedeflemektedir.

IPS, IDS ve Makine Öğrenmesinin Birlikte Kullanımı

Bilindiği üzere makine öğrenmesi çok farklı alanlara uyarlanmaktadır. IPS ve IDS’de bu alanlardan bir tanesidir. IPS ve IDS’in entegrasyonu olan IDPS sistemlerine makine öğrenmesi de eklendiği takdirde sistemin kendi kendini programlayabilmesi sağlanmaktadır. IDS özelliği ile saldırıyı tespit eden sistem, makine öğrenmesi fonksiyonu sayesinde saldırı vektörlerine göre algoritmasını geliştirerek gelecekte benzer kategoride bir saldırının daha hızl bir şekilde tespit edilebilmesini sağlamaktadır. Ardından sistemin IPS özelliği ile saldırı engellenebilmektedir.

IPS Kaça Ayrılır?

Saldırı Engelleme Sistemleri bulundukları bağlama göre farklı şekillere ayrılmaktadırl:

  • Network Based Intrusion Prevention Systems (NIPS): Ağ üzerinde çalışarak anomali trafiği protokol analizi yaparak inceleyen sistemlerdir.
  • Host Based Intrusion Prevention Systems (HIPS): Sadece ana bilgisayara karşı gerçekleştirilen saldırıları engellemeyi hedefleyen sistemlerdir.
  • Wireless Intrusion Prevention Systems (WIPS):  Kablosuz ağ trafiğini analiz ederek anomaliyi tespit edip saldırı girişimini engellemeyi hedefler.

IDS Kaça Ayrılır?

Saldırı Tespit Sistemleri de IPS gibi bulundukları bağlama göre farklı başlıklar altında incelenmektedir:ü

  • Network Based Intrusion Detection Systems (NIDS): NIPS gibi ağ üzerinde çalışarak saldırıları tespit etmeyi hedefler.
  • Host Based Intrusion Detection Systems (HIDS): HIPS gibi ana makineye karşı gerçekleştirilen saldırıları tespit etmeyi hedefler.

Saldırı Tespit Sistemleri (IDS) Hangi Yöntemleri Kullanır?

IDS, saldırıyı tespit ederken birkaç farklı yöntem kullanmaktadır. Genel olarak bu yöntemler imza tabanlı olanlar ve anomali tabanlı olarak sınıflandırılmaktadır.

  • Anomali Tabanlı IDS: Anomali tabanlı olarak çalışan IDS’ler, çalıştıkları bağlamdaki trafiği analiz ederek yeni gelen trafikle karşılaştırma yapar. Eğer yeni trafik eski trafiğe benzemiyorsa bunu bir anomali olarak kabul eder ve potansiyel tehdit olarak sınıflandırır.
  • İmza Tabanlı IDS:  İmza tabanlı çalışan IDS’ler, trafiği bilinen saldırı imzalarıyla karşılaştırır. Bir eşleşme bulduğu vakit saldırıyı tespit eder.

Genel hatlarıyla IPS ve IDS güvenlik dünyasının vazgeçilmez sistemleri haline gelen araçlar haline gelmektedir. Güvenliğine önem veren her firmanın hem IPS hem de IDS kullanması zorunluluk haline gelmiştir.

Saldırı Tespit ve Engelleme  Sistemleri (IPS ve IDS) Nasıl Çalışır?

IDS, tüm ağı analiz ederek anomali bir davranış olması durumunda sizin için alarm üretir. Tespit işlemini gerçekleştirirken ise halihazırda yazılmış kuralları kullanır. Bu kurallara uymayan veya tam zıttı şeklinde kolere edilmiş bir sistemde bu kurallara uyan bir davranış tespit ettiğinde bu davranışın bir saldırı girişimi olabilme ihtimaline karşı alarm üretir.

Son dönemlerde ise IDS kendi kendine öğrenen bir yapıya kavuşmuştur. Bugün saldırı olarak işaretlenmeyen bir olay yarın IDS’in yeni öğrendikleriyle birleştirilmesiyle saldırı olarak işaretlenebilir.  IDS çalışırken ağ tabanlı ve sunucu tabanlı olarak 2 farklı araçtan yararlanır. Saldırı girişiminin tespit edilmesi için sunucu ortamında sunucu sensörleri, ağ genelinde is ağ sensörleri kullanılır. Bu sensörler kendilerinde yazılı olan kurallar dahilinde hareket ederek gelen ve giden paketleri analiz eder bu kurallara uymayan bir durum olması durumunda saldırı tespitini gerçekleştirirler.

IPS ve IDS Siber Güvenlik için Neden Önemlidir?

IPS ve IDS güvenliğinin birbirinden ayrılmaması gereken iki parçasıdır. Siber güvenlik için IPS ve IDS’in entegre kullanımı SOC (Güvenlik Operasyon Merkezi) çalışanlarının işini kolayaştırdığı ve çalışan personel sayısını azalttığı için önemlidir. Ancak burada dikkat edilmesi gereken bir konu kullanıcı dostu bir yapıyı bozabilme potansiyelleri barındırmasıdır. IPS ve IDS, otomatize sistemler oldukları için ne kadar iyi konfigüre edilseler bile zaman zaman false-postive durumlar üretebilmektedirler. Böyle bir durumda kullanıcı deneyimini olumsuz etkilemektedirler. Bu durumu en aza indirmek ve en yüksek kapasitede güvenliğin sağlanmasını başarabilmek için sistemlerin her ikisinin de en iyi ayarlarla konfigüre edilmesi ve uzun bir test sürecine dahil edilmesi gerekmektedir.

IPS ve IDS Arasındaki Farklar Nelerdir?

IPS ve IDS arasındaki en temel farkı IPS’in saldırıyı engelleyen; IDS’in ise saldırıyı tespit eden sistemler olmasıdır. İki sistem arasındaki diğer temel farkları ise şu şekilde açıklamak mümkündür:

  • IDS tespit ve izleme aracıdır, IPS ise bir kontrol mekanizmasıdır.
  • IDS tespit ettiği olaya karşı kendi başına aksiyon almazken IPS korelasyon dahilindeki kuralları baz alarak ağ trafiğinde gelen/giden paketlere müdahale edip onları durdurabilir.
  • IDS sonuçların incelenmesi için bir insana veya 3. bir yazılıma ihtiyaç duyar. IPS ise sürekli günel tutulması gereken bir tehdit veritabanına ihtiyaç duyar.

İlgili Makaleler

5 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu