Defansif Ürün Teknolojileri (Firewall ,IDS ve IPS)

SOC

Bu yazımızda blueteam alanında kullanılan ürünlerin açıklamaları ve nasıl çalıştıklarından bahsedeceğiz.

Firewall nedir?

Firewall donanım veya yazılım tabanlı olarak ağa gelen ve ağdan giden trafiğin güvenliğini sağlar.Bu işlemi bir engelleme veya filtreleme gibi kontrollerle sağlar.

Firewall çalışma mantığı ise;

Ağ yöneticisi tarafından oluşturulan “güvenli liste” içerisindeki tüm trafik bir engele maruz kalmadan ağınıza iletilir.Güvenli listede olmayan trafik ise bloke edilerek ağınıza erişmesi engellenir ve tarafınıza bilgi verir. Yaşamımızdan bir örnek vermek gerekirse bir şirket girişinde bulunan turnike sistemini örnek verebiliriz.Örneğin çalışanlar her girişinde kartını okutarak turnikeden sorunsuz bir şekilde geçebilir ama kartı bulunmayanlar geçemez.Ama şirkette çalışan herhangi bir kişi ile görüşmek isteyen ziyaretçi ise önce kapıdaki güvenliğe sorar ve ardından görüşmek istediğini belirtir bunu da firewall tarafından izin verilmeyen şüpheli trafik olarak anlamlandırabiliriz.

Firewalları iki kategoriye ayırabiliriz;

  • Yazılımsal Firewall = İşletim sistemi içerisinde kurularak kullanılan güvenlik duvarlarıdır.(Windows Güvenlik Duvarı )
  • Donanımsal Firewall = Ayrı bir cihaza yüklenerek kullanılan güvenlik duvarlarıdır.(Fortinet,Palo Alto ,Sophos ,Check Point gibi ürünler)

Mimarisine Göre Firewallar;

  • Paket Denetimli Güvenlik Duvarı(Packet Filtering Firewall)
    • Ağ trafiğini izleyerek güvenlik kontrolü ile eşleşmeyen veri paketlerini engeller.
  • Proxy Tabanlı Güvenlik Duvarı(Application Level Gateways)
    • İstemci ve sunucu arasında doğrudan bağlantı kurulmasını engeller.Uygulama düzeyinde güvenlik sağlar ancak yoğun trafik dönemlerinde gecikmelere yol açabilir.
  • Devre Düzeyi Güvenlik Duvarı(Circuit Level Gateways)
    • Paket bağlantılarını ya da veri paketlerini doğrulayarak çalışır.TCP tokalaşmasını gözlemleyen bu sistem tek başına yeterli görülmez.
  • Durum Tabanlı Güvenlik Duvarı (Stateful Firewall)
    • Bağlantılarla ilgili verileri kayıt altına alarak trafiği analiz etmek için verileri kullanır ve bağlantı noktası tarama saldırılarını azaltmaya yardımcı olur.
  • Yeni Nesil Güvenlik Duvarı(NGFW)
    • Genel firewallara ek olarak yenilikçi özelliklere sahiptir.Paket denetimini durum denetimi ile birleştirir ve derin paket denetimi yapar.Antivirüs,kötü yazılım tespiti ,saldırı önleme gibi özelliklere sahiptir ve internet trağini analiz ederek korur.SQL enjeksiyonu ,dosya ekleme işlemlerine karşı etkilidir.
    • Normal firewalldan farklı olarak daha kapsamlı log üretir.IDS logu VPN logu Uygulama logu ve güvenlik duvarı logu

IPS ve IDS nedir?

IPS(Instrusion Prevent System) bir ağ trafiği üzerinde oluşan şüpheli ve tehlikeli aktivitlere izleyerek engellenmesini sağlar.

IPS çalışma mantığı ise;

IPS genel olarak güvenlik duvarlarını arkasında yer alır.Kötü amaçlı aktivitenin tespit edildiği durumda bağlantıyı sıfırlayarak ve ağ yöneticililerini uyararak kaynak adresten gelen trafiği engellemek için birçok otomatik eylem gerçekleştirir bu tehditleri algılamak için birkaç yöntem kullanır ;

  • İmza Tabanlı : İyi bilinen ağ tehditlerinin önceden tanımlı imzalarını kullanır.Bu imza veya modellerden bir saldırı başladığında sistem gerekli eylemleri gerçekleştirir.
  • Anormallik Tabanlı : İmza tabanlı izlemeye göre daha güvenilir olan ağ üzerindeki aktiviteleri temel standartlarla karşılaştırır.Yapay zeka ve makine öğrenimi bu yöntemi desteklemek için kullanılır.
  • Politika Tabanlı : Bir Güvenlik politikasını ihlal eden faaliyet gerçekleştiğinde ,bir uyarı tetiklenir ve sistem yöneticilerine gönderilir.

IPS Türleri;

  • Ağ Tabanlı Saldırı Önleme sistemi
    • Ağ tabanlı saldırı önleme sistemi(NIPS), NIDS gibi tüm ağdaki trafiği kontrol eder. Saldırı ve kötü niyetli bir paket gözlemlediğinde bu paketleri engellemek için aksiyon alır.
  • Ana bilgisayar tabanlı Saldırı Önleme Sistemi
    • Ana bilgisayar tabanlı saldırı önleme sistemi(HIPS), HIDS gibi ana bilgisayarlar ve cihazlara gelen/giden paketleri izler. Saldırı ve kötü niyetli bir paket gözlemlediğinde engellemek için kullanılan bir IPS türüdür.
  • Kablosuz Saldırı Önleme Sistemi
    • Kablosuz saldırı önleme sistemi(WIPS), adından da anlaşılacağı üzere kablosuz ağdaki tüm trafiği izler . Saldırı ve kötü niyetli davranışları engellemek için kullanılan bir IPS türüdür.

IDS(Instrusion Detection System)bir ağ trafiği üzerinde oluşan şüpheli ve tehlikeli aktiviteleri izleyerek tespit edilmesini sağlar.

IDS temel olarak meydana gelen saldırıları tespit etmenin yanı sıra karantinaya almak,raporlamak, kaydetmek gibi farklı işlevleri de vardır ve IPS ile entegreli kullanılabilir.

IDS Türleri;

  • Ağ Tabanlı Saldırı Tespit Sistemi
    • Ağdaki tüm cihazlardan gelen trafiği incelemek için ağ içinde planlı bir noktada kurulur. Bir saldırı tespit edildiğinde veya anormal bir etkinlik gözlemlendiğinde uyarı gönderilebilir.
  • Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi
    • Ağ üzerinde bulunan bağımsız ana bilgisayarlar ya da aygıtlar üzerinde çalışır. Gelen ve giden trafiği izleyerek şüpheli bir etkinlik algılandığında yöneticiyi uyarır.
  • Protokol Tabanlı Saldırı Tespit Sistemi
    • Kullanıcı ya da cihaz ile sunucu arasındaki protokolü kontrol eder.

IPS ve IDS Arasındaki Fark

IDS sistemi yalnızca saldırıları ve kötü niyetli işlemleri tespit edip sistem yöneticisine alarm gönderir ama IPS tespit ettiğinde aksiyon alabilme özelliğine sahiptir.

IDS ve IPS Ürünleri

  • Snort
  • Suricata
  • Wazuh

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir