Seneryo

Hackerlar arasında bir haber yayılmaktadır ; ‘ Ünlü bir güvenlik sitesinde bir zayıflık tespitedilmiştir.’Kötü niyetli hacker olan Redb0z açık farkedilmeden arka kapı kurmak istemektedir.Birçokaraç kullanarak web server ı hacklemiştir. Redb0z çok memnudur.Fakat ozan siteningüvenlik uzmanı, Redb0z u honeypot kurarak kandırmıştır.Crackerlar serverda olduklarınıdüşünürken çok yanılmışlardır.En iyi uzaktan erişim trojanını seçmiş ve birkaç byte ekleyerek onu görünmez yapmıştır.Sniff ederek tarayarak, ve enumeration tekniklerini kullanarak IDS in, routerın ve firewallun yeriniöğrenmiştir.Aracının imzasını değiştirmiş ve IDS i geçmiştir. Firewall dan cevap almış vefirewalla da yakalanmamıştır. Sonunda web servera ulaşmış ve yetkilerini yükseltmiştir.Fakat Redb0z’dan mutlu biri daha vardır. Hackediğini sandığı Sitenin güvenlik uzmanı ozan,Çünkü Redb0z un hacklediğini sandığı site Honeypottur ,Redb0z honeypot tarafındankandırılmıştır.Bir çok cracker bu şekilde kandırılmaktadır.

Makalenin Amaçları

-IDS sistemlerine giriş-Kaçak girişi tespit etmenin yolları-IDS çeşitleri-Sistem güvenilirlik doğrulayıcıları nelerdir-IDS ile bir saldırının Tespit edilmesi-IDS leri aşmanın yolları-IDS leri aşmak için araçlar-Firewall ve tanımlaması-Firewall u geçmek-Honeypot ve çeşitleri-Honeypot tespit yöntemleri

Makelenin Akışı

-IDS nedir?-Kaçak girişi tespit etmenin yolları-IDS çeşitleri-IDS araçları-IDS atlatma-IDS atlatma yolları-IDS atlatma araçları-Firewall-Firewall Çeşitleri-Firewall üreticileri-Firewall u atlatma-Honeypot-Honeypot çeşitleri-Honeypotları tespit etmek için araçlar-Korunma yolları

Giriş

-Saldırganlar, Hackerlar networklere sızmak için herzaman hazırdırlar.-Ayarları değiştirmek hackerların kolay erişimini engelleyecektir.-IDS , Firewall ve Honeypotlar saldırganın networke girmesini engelleyen önemliteknolojilerdir.

Terminoloji

-IDSIDS gelen ve giden trafiği inceler , şüpheli paketleri tespit ederek keser yada admine uyarıverir.-FirewallFirewall özel networkün kaynaklarını diğer network kullanıcılarından koruyan basit birprogram yada cihazdır.-HoneypotHoneypot sisteme gelen saldırı ları tespit etmek , loglamak ve hedef şaşırtmak içinhazırlanmış yazılımlardır.

IDS

-IDS networkten , sistemlerden gelen trafiği inceleyerek kendi güvenlik kurallarıylauyuşmayanları tespit eder.-IDS aynı zamanda paket sniffer olarak ta adlandırılabilir , paketlerin önünü keserek inceler.-Paketler capture edildikten sonra değişik yöntemlerle analiz edilir.-IDS şüpheli paketleri tespit eder ve gerekli yerlere alarm verir yada paketin önünü keser.

Şüpheli Giriş Tespit Metodları

-Kaçak girişi tespit etmenin 3 yolu vardır.

1. İmza Tanıma

Aynı zamanda kötü kullanma olarak bilinir. Veri tabanındaki imzalar ile paketin imzasınıkarşılaştırır.

2. Anormallik Tanıma

İmza tabanlı taramadan farklıdır, paket modelini inceler.

3. Protokol anormalliği Tespit Etme

Bu tarz tespit etmede , TCP/IP protokolleri ve özellikleri ile modeller oluşturulur.

IDS Çeşitleri

İki temel çeşit IDS vardır-Network tabanlı IDSNetwork tabanlı IDS ler de network üzerinden geçen paketler incelenir ve içeri giriş olupolmadığı tespit edilmeye çalışılır.-Host Tabanlı IDSHost tabanlı sistemde IDS tüm sistemlerde yada hostta aktiviteleri denetler.HIDS bir çok değişik sisteme , serverlara , laptoplara kurulur.

Sistem Güvenilirlik Doğrulayıcıları

-SIV ler system dosyalarını izliyerek saldırgan tarafından değişiklik yapılan dosyaları tespittekullanılır.-Tripwire en ünlü SIV lerden biridir.-SIV ler registry gibi cron ( zamanlanmış görevler ) konfigrasyonu gibi bileşenleri de kontrolederler.

IDS Araçları

Snort 2.1.0Symantec ManHuntLogIDS 1.0SnoopNetCop StandardPrelude Hybrid IDS version 0.8.xSamhain

Snort 2.1

-Snort açık kaynak kodlu NIDS tir , Gerçek zamanlı trafik analizi ve paket loglama yapabilir.-Protokol analizi yapar , içeriği inceler, bir çok saldırı çeşidini tespit eder , Buffer overflowgibi , Gizli port tarama , CGI saldırıları , SMB , işletim sistemi tespit denemeleri gibi.Snort –W ( interfaceleri gösterir )Snort –i (interface)Snort –dev (başlatır)LinuxC:\Snort\bin\snort.exe -c "C:\Snort\etc\snort.conf" -l "C:\Snort\log" –N –A consoleEaglex kurulumusnort.panelIDScenter

IDS Symantec Manhunt

-Yüksek hızlı NIDS tir , Gerçek zamanlı analiz yapar , iç ve dış networkleri inceler DOSsaldırılarına karşı savunur.-Yeni versiyonu Red Hat Linux ta destekler.-Değiştirlebilir esnek bir yapıya sahiptir.-Protokol anormallik tespiti yaparak kaçak girşi engellemeye çalışır.

LogIDS 1.0

-LOgIDS log tabanlı kaçak giriş tespit sistemidir, Gerçek zamanlı logları analiz etme özelliğivardır.-Grafik arayüzü ile network haritası çıkarabilir, her node u ayrı olarak gösterir

Snoop Netcop Standart

-SnoopNetCop Standard network üzerindeki paket sniff etme saldırılarını tespit edebilir.-Aynı zamanda Promiscous modda çalışan network kartların tespitte kullanılır.