Intrusion Detection System (IDS) ve Intrusion Prevention System (IPS) terimlerini duyduğunuzda, her ikisinin de aynı tür izinsiz girişi engelleyen bir siber güvenlik çözümüne atıfta bulunduğunu varsayabilirsiniz. Fakat bu iki kavram benzer amaçlara hizmet etseler de, aynı şeyi yapmazlar. IDS’ler ve IPS’ler, işletmenizin bilgi teknolojisi (BT) altyapısını kilitlemek ve dolayısıyla onu siber tehditlere karşı korumak için farklı şekillerde çalışır.
Peki IPS nedir, IDS nedir ve IPS vs. IDS arasındaki farklar nelerdir?
Bu yazıda tüm bu soruların cevaplarını detaylıca anlatacağız, fakat öncesinde ağ saldırısı nedir konusuna değinelim.
Ağ Saldırısı (Network Intrusion) Nedir?
İzinsiz giriş, güvenliği ihlal ederek veya güvenli olmayan bir ağa erişmeye zorlayarak bir bilgisayar sistemini tehlikeye atar. Dijital bir ağdaki herhangi bir istenmeyen etkinlik, bir ağa izinsiz giriş olarak kabul edilir. Genellikle önemli ağ kaynaklarının çalınmasını içerir ve sıklıkla ağların ve verilerinin güvenliğini tehlikeye atar. Bir izinsiz girişi tespit edebilmek, temel güvenlik tehlikelerinin yanı sıra ağ faaliyetleri hakkında kapsamlı bir farkındalık gerektirir. Etkili bir şekilde oluşturulmuş ve kurulmuş bir ağ saldırı tespit ve önleme sistemi, hassas verileri çalmaya, veri ihlallerine neden olmaya ve kötü amaçlı yazılım yüklemeye çalışan davetsiz misafirlerin belirlenmesine yardımcı olabilir.
IPS Nedir?
IPS, bir IDS ile aynı ağ trafiğini izleme işlevini yerine getiren, ancak şüpheli veya kötü niyetli trafiği de engelleme yeteneğine sahip bir siber güvenlik aracıdır. Tıpkı IDS’ye benzer şekilde veri tabanına karşı ağ trafiğini kontrol ederek çalışır. Ancak aradaki fark, IPS’ler şüpheli veya kötü amaçlı etkinlikleri engelleme yeteneğine sahipken, IDS’ler yalnızca bu tür etkinlikleri tanımlama ve günlüğe kaydetme yeteneğine sahiptir.
Güvenlik duvarları gibi, IPS’ler de işletmenizin dahili ağı ile internet arasında bir engel görevi görür. İster bir e-posta eki indiriyor olun ister bir web sitesinde geziniyor olun, işletmenizin dahili ağı internetten gelen harici trafiğe maruz kalır. Bir IPS ile işletmenizin ağının dış tehditlere karşı güvende olduğundan emin olabilirsiniz.
Aşağıdakiler dahil olmak üzere dört ana IPS türü vardır:
- Network based (Ağ tabanlı)
- Wireless (Kablosuz)
- Network behavior analysis
- Host based
IPS Nasıl Çalışır?
Çoğu IPS çözümü güvenlik duvarının arkasında bulunur, ancak bir tür IPS olan HIPS (Host based IPS) uç noktalarda bulunur. IPS mekanizması aşağıdaki gibi çalışır.
- Ağ trafiğini tarar ve analiz eder ve paket akışlarını izler.
- Şüpheli etkinlikleri algılar.
- BT ekiplerine alarm gönderir.
- Kötü amaçlı paketleri bırakır.
- Trafiği engeller.
- Bağlantıları sıfırlar.
IPS Türleri Nelerdir?
IPS, ağ paketlerini tarayarak yalnızca kötü amaçlı etkinlikleri algılamakla kalmaz, aynı zamanda bunları önler. Aşağıda, işlevlerine göre IPS türlerini bulabilirsiniz:
1. Host-Based IPS
Ana bilgisayar tabanlı IPS, tek bir ana bilgisayar üzerinde çalışır ve dahili ağda kötü amaçlı etkinliklerin olmamasını sağlar. Anormal imzalı herhangi bir etkinlik bulunursa, ana bilgisayar tabanlı IPS bunu algılar.
Ayrıca, bu etkinlikle ilgili daha fazla ayrıntı almak için ağı tarar. Bu IPS, tüm ağda çalışmaz ve dağıtıldığı tek bir ana bilgisayarda çalışır.
2. Wireless IPS
Bu tür IPS kablosuz ağda çalışır. Kablosuz ağı izler ve orada olan tüm etkinlikleri kontrol eder.
Kötü amaçlı bir imzaya sahip bir etkinlik bulunursa, ağa girmesini engeller. Bağlantıların çoğu artık kablosuz olduğundan, bu günlerde en yaygın kullanılan IPS budur.
3. Network-based IPS
Kötü niyetli faaliyetleri önlemek için ağ üzerinde konuşlandırılır. Ağ tabanlı IPS tüm ağı izler.
4. Network Behavior Analysis
Ağ davranışını ve ağda devam eden faaliyetleri anlar. Kötü niyetli paketleri algılayarak ağa zarar vermemek için bu paketleri bloke eder. Sizi Dos ve diğer gizlilik ihlali saldırılarından korur.
IPS Kötü Amaçlı Faaliyetleri Nasıl Tespit Eder?
IPS’nin siber saldırıları doğru bir şekilde tespit etmek için uygulayabileceği iki yöntem vardır:
1. İmzaya Dayalı Tespit (Signature-based Detection)
IPS, paket akışlarını bir CVE sözlüğü ve bilinen kalıplarla karşılaştırır. Bir model eşleşmesi olduğunda, IPS paketleri otomatik olarak uyarır ve engeller. Sözlük, belirli açıklardan yararlanma kalıplarını veya bilinen güvenlik açıklarının varyantlarının eğitimli tahminlerini içerebilir.
2. Anomaliye Dayalı Tespit (Anomaly-based Detection)
IPS, olası tehditleri bilinen ve onaylanmış bir temel seviyeyle karşılaştırarak ve anormallik durumunda uyarı vererek belirlemek için buluşsal yöntemler kullanır.
IPS Gereksinimleri
IPS’nin aşağıdakileri sağlaması gerekir:
Performans: Ağ verimliliğini sağlamak için,
Hız: İstismarları gerçek zamanlı olarak belirlemek için,
Doğruluk: Doğru tehditleri yakalamak ve yanlışlardan kaçınmak için.
Bulutistan IPS hizmetinin detaylarına ulaşmak için tıklayınız.
IDS Nedir?
IDS, bir ağdaki trafiği şüpheli etkinlik belirtileri açısından izleyen, yazılım veya donanım tabanlı bir siber güvenlik aracıdır. Dağıtıldığında, bir siber saldırı belirtisi ararken işletmenizin ağındaki trafiği sürekli olarak tarar. IDS, potansiyel siber tehditleri aramak için ağ trafiğini izler.
IDS’ler, ağ trafiğini bilinen siber tehditlerden oluşan bir veri tabanına çapraz referans vererek çalışır. IDS, işletmenizin ağında bir siber tehdit tespit ederse, daha fazla araştırma yapabilmeniz veya uygun adımları atabilmeniz için olayı günlüğe kaydeder.
IDS Nasıl Çalışır?
Bir IDS, bir ağdaki tüm cihazlardan gelen ve giden trafiği izler. Sistem, kötü amaçlı paketler için ikincil bir filtre olarak bir güvenlik duvarının arkasında çalışır ve öncelikle iki şüpheli ipucu arar:
- Bilinen saldırıların imzaları.
- Düzenli aktiviteden sapmalar.
Bir saldırı tespit sistemi, tehditleri belirlemek için tipik olarak model korelasyonuna dayanır. Bu yöntem, bir IDS’nin ağ paketlerini bilinen siber saldırıların imzalarını içeren bir veri tabanıyla karşılaştırmasını sağlar. Bir IDS’nin model korelasyonuyla işaretleyebileceği en yaygın saldırılar aşağıdaki gibidir:
- Kötü amaçlı yazılımlar (worms, fidye yazılımları, truva atları, virüsler, botlar vb.).
- Açık veya kapalı bağlantı noktaları, izin verilen trafik türleri, etkin ana bilgisayarlar ve yazılım sürümleri hakkında bilgi toplamak için ağa paket gönderen tarama saldırıları.
- Kötü amaçlı bir paket gönderen ve farklı giriş ve çıkış yolları ile güvenlik kontrollerini atlayan asimetrik yönlendirme.
- Veri tabanı içeriğini kötü amaçlı yürütülebilir dosyalarla değiştiren arabellek taşması saldırıları.
- Belirli bir protokolü (ICMP, TCP, ARP, vb.) hedefleyen protokole özgü saldırılar.
- DDoS saldırısı gibi ağı aşırı yükleyen trafik taşması ihlalleri.
Bir IDS bir anormallik keşfettiğinde, sistem sorunu işaretler ve alarm verir. Uyarı, bir denetim günlüğündeki basit bir nottan bir BT yöneticisine gönderilen acil bir mesaja kadar değişebilir. Ekip daha sonra sorunu giderir ve sorunun temel nedeni belirler.
IDS Türleri Nelerdir?
Aşağıdakiler, dört ana IDS türünü bulabilirsiniz:
1. Network IDS (NIDS)
Bu bağımsız yazılım, ağ trafiğini inceler, ana bilgisayarları izler ve ardından izinsiz girişleri tanımlar. NIDS, bir ağ anahtarına veya bir ağ hub’ına bağlanır ve ardından ağ trafiğine erişim kazanır.
Trafiği izlemek için ağın tıkanma noktasına yerleştirilmiş sensörler bulunur. Bu sensörler, herhangi bir kötü amaçlı trafik için ağın tek tek paketlerini analiz eder.
2. Host-based IDS (HIDS)
Burada ana bilgisayar, uygulama günlüklerini, sistem çağrılarını ve ana bilgisayarın diğer etkinliklerini izleyen ve izinsiz girişleri tanımlayan bir aracıya sahiptir. Bu IDS’deki sensörlerin bir yazılım aracısı vardır.
3. Protocol-based IDS (PIDS)
İşletmeler, sunucunun ön ucunda Protokol Tabanlı Saldırı Tespit Sistemi kurar. Sunucu ve kullanıcı arasındaki protokolleri yorumlar. PIDS, web’in güvenliğini sağlamak için HTTPS sunucusunu düzenli olarak izler. Benzer şekilde, protokolle ilgili HTTP sunucusuna izin verir.
4. VM Based IDS (VMIDS)
Sanal bir makine kullanarak izleme sağlar. Tüm aktiviteleri izleyebildiği için kullanırken ayrı bir IDS’ye ihtiyacınız yoktur.
IPS vs. IDS Farklar
IPS ve IDS arasındaki temel fark, birinin izlemesi, diğerinin kontrol etmesidir. IDS sistemleri paketleri değiştirmez. Sadece paketleri tarar ve bilinen tehditler veri tabanıyla karşılaştırır. IPS sistemleri ise, paketin ağa girmesini engeller.
IPS ve IDS arasındaki farkları detaylıca aşağıdaki tabloda görebilirsiniz:
Karşılaştırma Parametreleri | IDS | IPS |
Full – Form | Saldırı Tespit Sistemleri | Saldırı Önleme Sistemleri |
Piyasaya Sürülme | IDS, 1984 ile 1986 arasında piyasaya sürüldü. | IPS 2000’lerin ortalarında piyasaya sürüldü. |
Tanım | IDS, herhangi bir kötü amaçlı yazılım için ağ geçidinden geçen dosyaları algılayan sistemdir. | IPS, sağlanan kural kümesine göre algılanan kötü amaçlı yazılımları algılayan ve hatta çözen yazılımdır. |
Tür | IDS, pasif bir yazılım türüdür. | IPS aktif bir yazılımdır. |
Çalışma | IDS, kötü amaçlı yazılım ve hataların algılanmasını ve bildirilmesini içerir. | IPS, sorunu kendi başına çözdüğü için insanların veya diğer yazılımların katılımını gerektirmez. |
Performans | IDS, çevrimiçi olmayan dağıtım nedeniyle ağ performansını etkilemez. | IPS, algılama işlemi nedeniyle ağı yavaşlatır. |
İletişim | IDS’nin iletişimi bant dışındadır. | IPS veri iletişimi ile uyumludur. |
Avantaj | IDS, kötü niyetli trafiği algılar. | IPS kötü niyetli trafiği düşürür, uyarır veya temizler. |
IDS vs. IPS vs. Güvenlik Duvarı
Bu 3 kavram, bir ağın oldukça önemli bileşenleridir.
Trafik filtreleme ve engelleme gibi eylemler gerçekleştiren farklı güvenlik duvarı türleri vardır.
Öte yandan, IDS kötü amaçlı etkinlikleri algılarken, IPS yapılandırmaya göre kötü amaçlı yazılımları algılar ve önler.
Güvenlik duvarı kullanırken ise, bazı kuralları yapılandırmanız gerekir ve bunlara göre; trafiğin geçmesine izin verir. Yapılandırılan kurallara uymayan trafiğin geçmesine izin verilmez.
Güvenlik duvarı, bağlantı noktalarına, kaynak ve hedef adreslere bağlıdır.
IDS, veri paketlerini izleyen ve bunları bir imzayla karşılaştıran, ardından herhangi bir şüpheli etkinlik konusunda uyarı veren pasif bir cihaz olarak çalışır.
IPS, satır içi modda çalışır ve saldırıyı önlemek için imza modellerini karşılamayan veri paketlerini engeller.
Güvenlik duvarı, trafiği bağlantı noktası numarasına ve IP adresine göre filtrelerken, IDS ve IPS gerçek zamanlı trafiği inceler ve trafik modellerini arar.
Basit bir deyişle, güvenlik duvarı trafik modellerini analiz etmez. İlk savunma hattıdır. IDS ve IPS, güvenlik duvarından sonraki yerlerdir.
Özetle diyebiliriz ki, IDS ve IPS’ler, işletmenizi siber tehditlerden koruyabilen iki yaygın siber güvenlik aracıdır. Her ikisi de bilinen siber tehditler veri tabanına karşı ağ trafiğini kontrol ederek çalışır. Bununla birlikte, yalnızca IPS’ler siber tehditleri engelleyebilir. IDS’ler yalnızca siber tehditleri belirlemek için tasarlanırken, IPS’ler siber tehditleri hem belirlemek hem de engellemek için tasarlanmıştır. Bu ince nüans dışında, hemen hemen aynıdırlar.