IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) bilgisayar ağlarında bulunan zafiyetlerini tespit etmek ve engellemek etmek için kullanılan iki farklı yazılım veya donanım cihazlarıdır. Her ikisi de ağ güvenli hale getirmek için kullanılır ancak farklı işlevlere sahiptirler.
IDS Nedir?
IDS, ağda bulunan ve ağa zararı olabilecek potansiyel tehditleri tespit eder ve bunları raporlarını bize sunar. Bu tehditler, hackerların saldırı atakları, virüsler, truva atları, solucanlar ve diğer kötü amaçlı zararlı yazılımlar olabilir. IDS, ağda bulunan trafiği inceleyerek, belirli kurallara göre tespit ettiği tehidit olabilecek davranışları bir günlük dosyasına kaydeder ve sistem yöneticisine uygun uyarıları gönderir. IDS, ağ güvenliği açısından oldukça önem arz eder, çünkü IDS sayesinde sistem yöneticileri ağdaki zafiyetleri ve potansiyel tehditleri belirleyebilirler.
IDS'nin Çalışma Mantığı
IDS, ağda bulunan trafiği izleyerek, belirli ölçütlere göre tehlikeli davranışları tespit eder. IDS, birkaç farklı şekilde çalışabilir. Birincisi, imza tabanlı tespit yöntemidir. Bu yöntem, belirli bir saldırı ya da kötü amaçlı yazılımın benzersiz bir karakteristiği olan imzaları arar. IDS, saldırı ya da zarar amaçlı yazılımın belirli bir imzasını tespit ettiğinde, bu tehdidi bir günlük dosyasına kaydeder ve sistem yöneticisine bir uyarı gönderir.
IDS'nin diğer tespit yöntemi, davranış tabanlı tespittir. Bu yöntemde ise, IDS, normal ağ davranışlarını öğrenir ve daha sonra bu davranışlara benzemeyen herhangi bir davranışı tespit eder.
IDS'nin Avantajları
IDS'nin en önemli avantajı, ağdaki potansiyel tehditleri tespit etmesidir. IDS, ağda bulunan trafiği izleyerek, belirli kurallara göre tehlikeli davranışları tespit eder ve ağ yöneticilerine bu tehditleri raporlar. Bu sayede ağ yöneticileri, ağdaki zafiyetli noktaları tespit edebilir ve bu zayıf noktaları güçlendirebilirler.
Ayrıca diğer bir avantajı düşük maliyetili olmasıdır. IDS, donanım ve yazılım olarak ayrı olarak satın alınabilen bir sistemdir. Bu sayede, ağ yöneticileri sadece ihtiyaçları olan özelliklere sahip bir IDS satın alabilirler ve bu sayede maliyetleri azaltabilirler.
IDS'nin Dezavantajları
IDS'nin en büyük dezavantajı, yanlış pozitiflerin tespit edilme olasılığıdır. IDS, normal ağ davranışlarını öğrenir ve daha sonra bu davranışlara uymayan herhangi bir davranışı tespit eder. Ancak, bu yaklaşım, normal davranışlardan farklı ancak zararsız davranışları da tespit edebilir. Bu, ağ yöneticilerinin yanlış alarmlar almasına ve potansiyel tehditleri yanlışlıkla kaçırmasına neden olabilir.
IDS, ağda bulunan tehditleri sadece tespit eder ve raporlar. IDS, tehditleri engellemez veya müdahale etmez. Bu nedenle, ağ yöneticileri, IDS tarafından tespit edilen tehditleri manuel olarak ele almak zorunda kalabilirler.
IDS türleri nelerdir?
Anomaly Based IDS
Ağın normal işletim sistemi dışındaki anormal koşulların izlenmesine dayanır.
Önceden belirlenmiş bir davranış modelinin yokluğunda, sistemde normal kabul edilen hareketler dışında, korozyon anormal olaylar olarak sınıflandırılır.
Yaygın olmasına rağmen yanlış negatif uyarılar, tespit edilemeyen saldırıları yakalamanın önemli bir yoludur.
Signature Based IDS
Bu, önceden bilinen ve tanımlanmış kurallara ve davranışlara dayalı olarak çalışan, imza tabanlı bir saldırı önleme sistemidir.
Dezavantajı, önceden tanımlanmamış saldırı modellerini tespit edememesidir.
Protokol kod çözmeye dayalı IDS RFC'ler, telefonda tespit edilen protokol ihlallerini aramak için tasarlanmış bir sistemdir.
Protokoller iyi tanımlandığında, güvenli bir çalışma ortamı sağlarlar.
Pattern Matching Analysis
internet erişim noktalarındaki veri akışlarını ve paketleri inceleyen bir analiz sistemidir.
Hedef ile kaynak arasındaki bağlantı noktalarını kontrol eder.
Klasik kapılar dışındaki saldırıları tespit etmekte sorun yaşayabilir.
Heuristic Based Analysis
Bu, sistem kaynaklarını yoğun bir şekilde tüketen bir analiz modeli olması dışında sezgisel olarak çalışan bir izinsiz giriş önleme sistemidir.
İmzanın tetiklenip tetiklenmeyeceğini sezgisel olarak belirler.
IPS Nedir?
IPS, IDS ile benzer şekilde çalışır ancak bir adım daha ileri gider. IPS, potansiyel tehditleri tespit etmenin yanı sıra, bu tehditleri engeller veya müdahale eder. Bu müdahaleler, trafiği durdurmak, trafik akışını değiştirmek veya zararlı trafikleri engellemek olabilir.
IPS, IDS'nin aksine, tespit yöntemlerini imza veya davranış tabanlı olarak kullanabilir. Ancak, IPS, tespit edilen bir tehdide müdahale etmek için önceden tanımlanmış bir politika veya kural kümesi kullanır. Bu politika veya kural kümesi, ağ yöneticileri tarafından önceden belirlenir ve belirli bir tehdit algılandığında, IPS, bu politika veya kural kümesine göre hareket eder.
IPS, ağdaki trafiği sürekli olarak izler ve tehlikeli davranışları tespit eder. Bu davranışlar, önceden tanımlanmış politika veya kural kümesine göre değerlendirilir ve uygun bir müdahale yöntemi kullanılarak engellenir veya müdahale edilir.
IPS'in Çalışma Mantığı
IPS'nin çalışma prensibi, IDS (Intrusion Detection System) ile benzerdir ancak bir adım daha ileri gider. IDS sadece tehditleri tespit ederken, IPS aynı zamanda bu tehditlere karşı önlem alır ve müdahale eder. IPS, ağ güvenliği için bir dizi teknoloji kullanır ve birincil işlevleri şunlardır:
- Teşhis ve Tespit: IPS, ağda gerçekleşen trafiği analiz eder ve zararlı trafikleri tespit eder. Bu tespit yöntemleri, davranış tabanlı, imza tabanlı veya birleşik olabilir.
- Müdahale: IPS, tespit edilen tehditlere müdahale eder. Müdahale yöntemleri, trafik akışını değiştirme, trafiği durdurma veya zararlı trafikleri engelleme gibi çeşitli şekillerde gerçekleştirilebilir.
- Veri Yakalama: IPS, tehditleri tespit etmek için ağ trafiğini yakalar ve analiz eder. Bu veriler, saldırıları analiz etmek ve ağ güvenliği politikalarını optimize etmek için kullanılabilir.
IPS'nin çalışma prensibi, tespit edilen tehditlere otomatik olarak müdahale etmek olduğundan, ağda gerçekleşen saldırıların zarar vermeden önlenebilmesi mümkündür. IPS, ağa yönelik saldırıları önlemek için etkili bir araçtır ve ağ güvenliği için çok önemlidir.
IPS'nin Avantajları
IPS, ağ güvenliği açısından daha etkilidir, çünkü IPS sayesinde tehditler, ağa zarar vermeden engellenebilir. Ayrıca, IPS, IDS'nin dezavantajı olan yanlış pozitiflerin tespit edilme olasılığını azaltır. IPS, tehditleri tespit etmenin yanı sıra, bu tehditlere müdahale ederek ağ yöneticilerinin daha hızlı ve etkili bir şekilde müdahale etmelerini sağlar.
IPS, IDS'nin dezavantajı olan tehditleri sadece tespit etmek yerine, bu tehditlere müdahale ederek ağ güvenliğini artırır. IPS, ayrıca, hızlı ve otomatik tepki vererek ağ yöneticilerinin müdahale süresini azaltır.
IPS, aynı zamanda, birden fazla ağ cihazını birleştiren bir yapıda çalışabilir. Bu sayede, birden fazla ağ cihazını yönetmek yerine, tek bir IPS cihazı ile tüm ağı yönetmek mümkün olabilir.
IPS'nin Dezavantajları
IPS'nin en önemli dezavantajı, maliyetidir. IPS, IDS'ye göre daha pahalıdır ve birçok küçük işletmenin bütçesi dışında kalabilir.
IPS, IDS'ye göre daha karmaşık bir yapıya sahiptir ve ağ yöneticilerinin daha fazla teknik bilgiye sahip olmalarını gerektirir. Ayrıca, IPS, yanlış konfigürasyon veya hatalı yapılandırma gibi hatalar nedeniyle ağa zarar verebilir.
IPS türleri nelerdir?
Network Based Intrusion Prevention (NIPS)
Ağ Tabanlı Saldırı Önleme Sistemi NIPS, bir ağ üzerindeki şüpheli etkinliği algılamak ve engellemek için kullanılan bir saldırı önleme sistemidir.
Wireless Intrusion Prevention Systems (WIPS)
Kablosuz Saldırı Önleme Sistemi WIPS, kablosuz ağ protokolünü izleyerek şüpheli etkinliği tespit etmek için tasarlanmış bir saldırı önleme sistemidir.
Host Based Intrusion Prevention (HIPS)
Bu, ana bilgisayar saldırılarını önlemek için tasarlanmış bir sistemdir. Temel olarak, ana bilgisayar korunur.
Network Behavior Analysis (NBA)
Belirli standart davranışlara sahip ağlar sıklıkla kullanılır. Bu normların dışındaki hareketler şüpheyle bakılması gereken faaliyetlerdir.
Ağ trafiğini izlemek, anormal durumları analiz etmek ve böylece saldırıları önceden tespit etmek için tasarlanmış bir sistemdir.
Sonuç olarak, IDS ve IPS ağ güvenliği için önemli teknolojilerdir. IDS, ağda bulunan potansiyel tehditleri tespit eder ve raporlar, IPS ise tespit edilen tehditleri durdurur ve müdahale eder.
IPS'nin Avantajları
IPS, ağ güvenliği açısından daha etkilidir, çünkü IPS sayesinde tehditler, ağa zarar vermeden engellenebilir. Ayrıca, IPS, IDS'nin dezavantajı olan yanlış pozitiflerin tespit edilme olasılığını azaltır. IPS, tehditleri tespit etmenin yanı sıra, bu tehditlere müdahale ederek ağ yöneticilerinin daha hızlı ve etkili bir şekilde müdahale etmelerini sağlar.
IPS, IDS'nin dezavantajı olan tehditleri sadece tespit etmek yerine, bu tehditlere müdahale ederek ağ güvenliğini artırır. IPS, ayrıca, hızlı ve otomatik tepki vererek ağ yöneticilerinin müdahale süresini azaltır.
IPS, aynı zamanda, birden fazla ağ cihazını birleştiren bir yapıda çalışabilir. Bu sayede, birden fazla ağ cihazını yönetmek yerine, tek bir IPS cihazı ile tüm ağı yönetmek mümkün olabilir.
IPS'nin Dezavantajları
IPS'nin en önemli dezavantajı, maliyetidir. IPS, IDS'ye göre daha pahalıdır ve birçok küçük işletmenin bütçesi dışında kalabilir.
IPS, IDS'ye göre daha karmaşık bir yapıya sahiptir ve ağ yöneticilerinin daha fazla teknik bilgiye sahip olmalarını gerektirir. Ayrıca, IPS, yanlış konfigürasyon veya hatalı yapılandırma gibi hatalar nedeniyle ağa zarar verebilir.
IPS türleri nelerdir?
Network Based Intrusion Prevention (NIPS)
Ağ Tabanlı Saldırı Önleme Sistemi NIPS, bir ağ üzerindeki şüpheli etkinliği algılamak ve engellemek için kullanılan bir saldırı önleme sistemidir.
Wireless Intrusion Prevention Systems (WIPS)
Kablosuz Saldırı Önleme Sistemi WIPS, kablosuz ağ protokolünü izleyerek şüpheli etkinliği tespit etmek için tasarlanmış bir saldırı önleme sistemidir.
Host Based Intrusion Prevention (HIPS)
Bu, ana bilgisayar saldırılarını önlemek için tasarlanmış bir sistemdir. Temel olarak, ana bilgisayar korunur.
Network Behavior Analysis (NBA)
Belirli standart davranışlara sahip ağlar sıklıkla kullanılır. Bu normların dışındaki hareketler şüpheyle bakılması gereken faaliyetlerdir.
Ağ trafiğini izlemek, anormal durumları analiz etmek ve böylece saldırıları önceden tespit etmek için tasarlanmış bir sistemdir.
Sonuç olarak, IDS ve IPS ağ güvenliği için önemli teknolojilerdir. IDS, ağda bulunan potansiyel tehditleri tespit eder ve raporlar, IPS ise tespit edilen tehditleri durdurur ve müdahale eder.
Son düzenleme:
