Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
OK ALGILAYICILI SALDIRI TESPT SSTEMLER ule Pasin spasin@toysrus.com.tr
zet
Gnmzde bilgi teknolojileri sistemlerinin en nemli alma ve aratrma alanlarndan biri gvenliktir. Sisteme veya aa gelmesi muhtemel davetsiz misafirleri farkedebilmek iin oluturulacak saldr tespit sistemleri, sistemleri srekli olarak izleyebilmeyi ve saldrlar ksa sre iinde farketmeyi salayarak gvenlik politikalarnn vazgeilmez rnleri arasna girmitir. Bu almada saldr tespit sistemleri ile zel olarak ok alglayc saldr tespit sistemleri (ing.multisensor intrusion detection systems) konusu ele alnmtr.
(Intrusion Detection Systems, Multi sensor IDS) Abstract
Today, one of the most popular research area of information technology systems is security. Intrusion detection systems built to realize intrusions to a network or a system, became important security products as they let us obtain continuous follow up and early detection. The study outline is about intrusion detection systems and multi sensor intrusion detection systems are presented in more detail.
Bilgi Gvenlii Durum Tespiti
Modern iletiim teknolojileri kullanclara yepyeni hizmetlerin sunulmasn mmkn klmaktadr. A zerinden sunulan hizmetlerin says ve eitlilii gnden gne badndrc bir hzla artmaktadr. Bu alandaki almalar ile azerinden her trl hizmetin herhangi bir anda ve herhangi bir yerdeki kullanclara ulatrlabilmesi hedeflenmektedir. A zerinden sunulan hizmetlerdeki yksek eitlilik beraberinde eitli dzeylerde karmakl getirmektedir. Artan bir biimde, ateknolojileri ve st katmannda datk sistemler teknolojileri gnlk yaamn her alannda kendini gstermektedir; salk kaytlar, banka hesaplar vb. datk sistemler ile ilenmektedir. Kritik saylabilecek bilgilerin datk sistemler aracl ile idare ediliyor olmas, bu sistemlerin bulunurluunu (ing. availability), doruluunu ve eksiksizliini son derece nemli klmaktadr.
Datk sistemlerin karmakl arttka bu sistemlerin doruluunu ve eksiksizliini denetlemek ve sistemlerin kesintisiz ilerliini salamak daha da glemektedir. Sistemler ve bu sistemler tarafndan ilenen bilgilerin gvenlii de gz nnde bulundurulduunda, karmakln daha da artmas kanlmazdr. Doruluun ve eksiksizliinin denetiminin son derece g olduu durumlarda bilgi gvenliinin her temel eksenine (gizlilik, btnlk ve bulunurluk) ilikin gereksinimlerin eksiksiz biimde karlanamamas durumunda kurumlar ciddi tehlikeler beklemektedir. nternetin getiimiz otuz yl ierisindeki geliim maceras, datk sistemler iin yepyeni ufuklarn ortaya kmasna neden olmutur.
Internetde Saldr Tespiti Teknolojileri
Balangcnda yalnzca akademik amal bir aratrma a olan nternet, bugn gelinen noktada nemli toplumsal dnmlere altyap salar duruma gelmitir. Ancak ilk yllarda lzumsuz ya da nemsiz olarak nitelendirilebilen gvenlik konusu, nternete bal kurum says arttka ciddi bir problem haline gelmitir. nternetin temelini oluturan protokollerin byk blmnn gvenlie pek az nem verilerek tasarlanmolmas (rn. SMTP) bu yaklam dorular niteliktedir. nternetin ilk yllarndan itibaren nemsiz saylan gvenlik konusu, zellikle 1988 ylndaki Morris Kurdu (ing. worm) facias ile dikkatleri zerine ekmitir. Kurt, baarl bir biimde binlerce bilgisayara szmay baarm ve bu bilgisayar sistemlerini alamaz hale getirmitir. Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 Morris Kurdu ile yaanan dnm sonrasnda bilgi gvenlii konusunda dorudan askeri amal olmayan almalar hz kazanm, 1990l yllarn balarnda ilk gvenlik duvar uygulamalar ile bir takm teknik gvenlik nlemlerin alnmas konusunda referans almalar balamtr.
Saldrya kim yol aabilir ?
Saldrya kimin yol atn tahmin edebilmek iin nce saldry incelemek gerekir. eitli aratrma gruplarnn yapt incelemeler, saldrlara yol aan kiilerin aadakiekilde gruplanabileceini gsteriyor : - alanlar : Bir kuruma eitli nedenlerle yaplan saldrlarda en nemli grubu kurum alanlar ya da kurumdan ayrlmpersonel oluturuyor. Bunun nedeni ise, bu kiilerin kurumun zayf noktalarn biliyor olmas. 99 CSI/FBI raporuna gre zarara urad raporlanmkurumlarn %55inde sorun ieriden kaynaklanm. - Hackerlar : Hackerlar, dehasn ispat etmek iin sisteme girip, girdiini gsteren bir mesaj brakan ve girdii sisteme zarar vermeyen bilgisayar merakls kiiler olarak biliniyorlar. Ancak gnmzde bu kavram da deiim iinde. Girdikleri sisteme zarar veren ya da en azndan kurum hakknda ileride kullanlabilecek bilgi toplayp antaj vb. yntemlerle zarar vermeyi hedefleyen kiiler de hacker olarak kabul ediliyorlar. Bunun asl nedeni ise, bugn sisteme giriyntemlerinin Internet zerinden cretsiz yklenebilen binlerce crack program sayesinde ok kolaylamolmas. Bir sistemi hack etmek iin artk dahi olmak gerekmiyor. Bu da hackerl bir anlamda ayaa dryor. - Virs yazan kiiler: Virs yazan kiiler, sistem ve iletiim alar iin ok ciddi tehditler oluturan grubu oluturuyor. Bugne kadar verdikleri maddi hasar, hackerlarn verdii hasarn ok stnde. - Kriminel gruplar : Sistemlere maddi kazan elde etmek iin giren kiilerin oluturduklar gruplar. rnek olarak, 1994-1995 yllarnda St. Petersburgda bir kriminel grubun Citibankdan 10.4 milyon USDyi eitli hesaplara transfer etmeleri ve yine bir kiinin Amerikada eitli ISPlere izinsiz girerek 100.000 kredi kart numarasn almas verilebilir. - Teroristler : Teroristlerin, internet teknolojisini propaganda yapmak ve gvenli haberlemek amacyla kullandklar kabul ediliyor. Bununla beraber baz terorist gruplarn dmanlarnn sistemlerine zarar vermek amal saldrlarda bulunduklar da biliniyor.
Saldr motifleri neler olabilir ?
- Merak - Maddi kazan elde etme istei - n kazanma istei - Kin
Saldr trleri neler olabilir ?
Bir kurumun sistemine girmek isteyen bir kiinin en ok uygulad yntemler : - Servisin reddedilmesi (Denial of Service) : Hedef sistemin eriilemez ve cevap veremez duruma getirildii atak tipidir. (SYN atak, ping atak, teardrop, LAND, ping of death, Distributed DoS atak vb...) - Tarama ve deneme (Scanning and Probing) : Satan, strobe, nmap gibi tarama ve deneme rnleri sistemlerin ve iletiim alarnn aklarn bulmaya ynelik rnlerdir. Ancak bu rnler, kt amala izinsiz giriarac olarak kullanlabilirler. -ifre ataklar : Yetkiliifrenin ele geirilmesine ynelik ataklardr. ifrenin hattn dinlenmesi yoluyla krlmas veifre dosyasna eriim salanarak ifrenin szlkteki kelimelerin denenmesi yntemi ile bulunmas bilinen yaygn yntemlerdir. - Hak ele geirme : Sisteme izinsiz giren bir kiinin, genellikle ilk hedefi, yetki kazanmaktr. Bu kii, NT zerinde administrator, Unix zerinde root hakk kazanmaya urar. Bylece, sistemin sahibi olur ve yapmak istediklerini hibir engelle karlamadan gerekletirir. - Dman kodu yerletirme : Sistemlere izinsiz girilerin bir ksmnda, hedef sisteme dman kodu yerletirilir. Bu kod, veri hrszl, dosyalarn silinmesi ve kullancnn gelecekte sisteme eriim yetkisi kazanmas gibi ilemleri gerekletirmeyi hedefler. - Tahrip etme (Vandalism) : Genellikle web sayfalarn deitirmek, dosyalar silmek, hard diski formatlamak gibi yntemlerle sistemlerin tahrip edilmesine ynelik ataklardr. - zel veri hrszl : PC ya da laptoplardaki zel verinin kopyalanmasna ynelik giriimlerdir. Son zamanlarda laptop hrszl da dahil olmak zere zel veri hrszlnn art gsterdii tespit edilmitir. Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 - Dolandrclk ve suistimal : Dolandrclk, kritik dosyalarn deitirilmesi, kredi kart numaralarnn alnmas gibi yntemlerle maddi kazan elde etmeye ynelik aksiyonlardr. Suistimal dediimiz zaman ise, bilgisayar oyunlar, iiin gerekli olmayan nedenlerle web zerinde srf gibi yntemlerle kurum kaynaklarnn yersiz kullanm anlyoruz. - Log dosyalarnn silinmesi ya da deitirilmesi : Sistem loglarn silmek ya da deitirmek, su delillerini ortadan kaldrmak iin kullanlan yntemlerdir. - Gvenlik mimarisinin deitirilmesi : Gvenlik duvar ya da sunucu konfigrasyonlarn deitirmeye ynelik ataklardr.
Biliim sular ile savaabilmek, sistemlerin ve bilgilerin gvenliini salamak iin sistematik almalarn gerekmektedir. Kurumsal gvenlik dzeyini arttrmak iin yaplmas gereken almalar temel alanda toplanr. Bu alanlar sras ile
Gvenlik Politikalar ve Prosedrler Teknoloji Eitim ve Bilgilendirmedir.
Her alanda da almalarn yaplmas zorunludur; bir alanda eksik braklacak almalar dier alanlarda yaplan almalarn etkisini ciddi biimde azaltacaktr. Gvenlik politikalarnn ve buna bal olarak prosedrlerin oluturulmas kurumun birinci ncelii olmaldr. Gvenlik ile ilgili kurum politikas bu konuda (ya da bu konuya etki edebilecek) her trl alma iin esas tekil edecektir. Teknoloji, kurumun gvenlik politikalarnn yaptrmnn salanmas ve/veya politika ihlallerinin tespit edilmesi iin kullanlabilecek bir aratr, tek bana gvenlik problemlerinin tmne bir zm tekil etmez.ifreleme ve uygulamalar,gvenlik duvarlar,gelimi tanmlama ve yetkilendirme mekanizmalar gibi muhtelif teknolojik zmler, kurumlarn belirledikleri gvenlik politikalarnn yaptrmnn salanmas noktasnda bir ara tekil ederler. Bilgi gvenlii konusunda endstrinin bu gnk durumu hi de i ac grnmemektedir. CERT/CCnin istatistiklerine gre [CERT2001], 1997 ve 2000 yllar arasnda rapor edilen gvenlik ihlallerinin yllara gre says geometrik olarak artmaktadr. Saldr trleri listesine baktmzda, bir trl ayaa kaldramadmz sunucunun byk bir olaslkla bir Denial of Service (servisin reddedilmesi) atayla kar karya olduunu tahmin edebiliyoruz. Ancak bunu bilmek yeterli deil. Hangi adresten geldiini, hangi portun kullanldn, hangi atak tr (SYN flood, teardrop vb) olduunu bilmeden engel olmamz mmkn deil. CERT Coordination Centern yaynlad istatistie gre, 98 ylnda 3500 zerinde olan kurum sistemlerine izinsiz giriolaylar, 99 ylnda 8000i geerek iki katn stnde art gstermi.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
Saldry kim haber verebilir ?
- Gvenlik duvar (ing. Firewall) : Gvenlik duvar, tanmladnz kurallar yardmyla izinsiz girileri durdurur. Gvenlik duvar gnlkleri (ing. Firewall log), dzenli inceleniyorsa, kuruma dardan gelen baarl ya da baarsz izinsiz girileri haber verir. Ancak gvenlik duvar gnlklerini (analiz eden yardmc raporlama rnleri kullanlmyorsa) dzenli incelemek yorucu ve bir kiinin tm zamann alan bir itir. Ayrca baz koullarda gvenlik duvar yetersiz de kalabilir : - Atak, gvenlik duvarnda izin verdiiniz bir port zerinden geliyor olabilir. - Atak, ieriden kaynaklanyor olabilir. Bu durumda, gvenlik duvar ataktan hi haberdar olmayacaktr. - Modem gibi bir arka kap kullanlyor olabilir. Bu durumda da, gvenlik duvar atlatlm olacaktr. - Virs ya da truva at gibi programlar kullanlarak, kurum iinden kiilerin bilmeden atan gereklemesine yardmc olmas salanm olabilir. Bu durumda da e-posta gibi gvenlik duvarnda izin verdiiniz bir servis kt niyetli olarak kullanlmaktadr.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
- Sunucu Gnlkleri : Sunucu zerindeki sistem gnlkleri de, deneyimli bir sistem yneticisi tarafndan dzenli izleniyorsa, anormal durum tespit edilebilir. Yzlerce sunucunun gnlklerini dzenli olarak ka sistem yneticisi takip edebilir? Ayrca, tm aktivitelerin kayt edilmesi, sunucuda kaplayaca yer nedeniyle mmkn deildir. Yine yer kst nedeniyle, gnlkler sk sk silinmekte ve gemie ynelik bir aktiviteyi izlemek ok defa mmkn olmamaktadr. Gvenlik duvar ve sunucu gnlklerinin yetersiz kalmas ve izinsiz girilerin gn getike artmas nedeniyle, izinsiz girileri tespit etmeye ynelik yazlmlarn kullanm artmaya balad.
Kaak Giri (Saldr) Tespit Sistemleri ad verilen yazlmlar, ata annda bildirme zelliine sahipler.
Saldr Tespiti
Politikann yaptrmnn salanmas kadar, ihlallerinin tespiti de nem arz etmektedir. hlallerin tespit edilebilmesi iin monitorizasyon ilevini yerine getiren teknolojilerden faydalanlr. Saldr tespiti (ing. intrusion detection - ID), Sistemleri yetkisiz kullanma ya da yetkilerini aan ilemleri yapma giriiminde bulunan kiileri (ya da programlar) tespit etme almas olarak tanmlanmaktadr [Mukherjee1994].
Saldr tespitinin gereklilii Denning tarafndan aadaki maddelerle verilmektedir [Denning1986]: Mevcut sistemlerin bir ounda saldrya, szmaya ve muhtelif dier biimlerde zarar verilmesine imkan verecek zaaflar bulunmaktadr; tm bu zaaflarn bulunmas ve dzeltilmesi teknik ve/veya ekonomik nedenler ile mmkn olamamaktadr. Bilindik zaaflar olan mevcut sistemler, daha yksek gvenlik salayan alternatifleri ile deitirilememektedir. Bunun ana nedeni ya mevcut sistemlerde var olan baz zelliklerin daha yksek gvenlik salayan alternatiflerinde var olmamas ya da ekonomik nedenlerle deitirilememesidir. Mutlak gvenlie sahip sistemlerin gelitirilmesi imkansz deilse bile son derece gtr. En yksek gvenlik dzeyine sahip sistemler bile yetkilerini ktye kullanan kullanclarnn zarar verebilmesine imkan verir durumdadr.
Saldr tespit sistemlerinin kullanm temel balk altnda zetlenebilecek faydalar salamaktadr: Erken tespit: Saldr tespit sistemleri, balayan bir ihlali sorumlu sistem yneticilerinden ok nce tespit edebilir. Bu zellik sayesinde olay ile ilintili olarak sistem sorumlusunu SMS, e- posta, telefon ya da ar cihaz gibi farkl biimlerde annda uyarabilir ve ihlalin etkisinin en ksa srede minimize edilmesini salayarak riskin snrlanmasna destek olabilir. Detayl bilgi toplanmas: Saldr tespit sistemlerinin kullanlmas sayesinde, sistem yneticileri srmekte olan ya da gemite gereklemisaldrlara ilikin detayl bilgi edinebilirler. Bu bilgiler saldrlarn kayna, ap ve hedefler zerindeki etkilerinin incelenmesi noktasnda son derece deerlidir. Toplanan bilgilerin kant nitelii: Sistem tarafndan toplanan bilgiler, hukuki yollara bavurulduunda kant tekil edebilecei gibi, bir dier kurumdan kaynaklanan bir ihlalde, ilgili kurumun yetkilileri ile temasa geildiinde de grmeler iin zemin tekil edebilir.
Saldr - Kaak Giri Tespit Sistemleri Nedir ?
SaldrTespit Sistemleri, gerek zamanl, sistemin btnln, kullanlabilirliini ve gizliliini tehdit eden aktiviteleri ayrt ederek bildiren sistemlerdir. Saldr tespiti alannda bu gne dein yaplan almalar iki temel kategoride incelenebilir; anormallik tespiti (ing. anomaly detection) ve ktye kullanm tespiti (ing. misuse detection). Ktye kullanm tespitinde, nceden bilinen politika ihlali olaslklar (ya da yntemleri) nce senaryolara dntrlr. Senaryolar daha sonra saldr imzalarna (ing. attack signature) indirgenir. Saldr imzalar, belirli bir saldrya ilikin olas tm senaryolarn ana eksenini oluturan bir zet olarak nitelendirilebilirler. Saldr imzalarnn oluturulmasndan sonra bu imzalar, sistemin anlayaca makinaca okunabilir biime dntrlr. Makinaca okunabilir biim, bu gne kadarki uygulamalarn byk birblmnde kural temelli bir dil olarak seilmitir [Kumar1995] [Ilgun1995][Porras1997]. Sistemin kaynak girdisi (a Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 trafii, sistemlere ilikin gnlk kaytlar vb.) zerinde yaplan analizler ile bilinen zaaflara ynelik saldrlarn ya da ihlallerin gerekleip gereklemedii tespit edilmeye allr; tespit edilmesi durumunda alarm retilir. Anormallik tespitinde ise, kaynaklarn (kullanclar, programlar, sistemler vb.) normal durum davran istatistiksel yntemler ile tespit edilir ve profil olarak adlandrlan zet bilgiler oluturulur. Kaynaklarn davranndaki tm deiimler dzenli olarak deerlendirilerek ilgili profilin de gncellenmesi salanr. Kaynanda davrannda istatistiksel olarak ani bir deiim grldnde bir anormallik olduu ne rlerek alarm retilir. Saldr tespiti ile ilgili almalarn ilk yllarnda, gnnartlarnda karmak saylan saldrlarn nasl yapldna ilikin bilgilerin aratrmaclarn elinde olmamas nedeni ile ktye kullanm tespiti modeli gelime gsterememitir. statistiksel anormalliklerin tanmlanmas yntemi, daha az konu uzman bilgisi gerektirmesi nedeni ile tercih edilmitir. Ancak nternet zerindeki bilgi gvenlii ile ilgili forumlarn ve tartma listelerinin hzla artmas, bu ortamlarda saldr tekniklerine ilikin derin teknik tartmalarn yaplabilmesi ktye kullanm tespiti modelinin uygulanabilirliini son yllarda ciddi biimde arttrmtr. Endstride youn biimde kullanlan tm rnler arlkl olarak bu modelde ilemektedirler.
Saldr tespit sistemlerine ilikin bir dier snflama, sistemin girdisine gre yaplan snflamadr.
letiim A Tabanl SaldrTespit Sistemleri
A temelli sistemlerde, a zerinden akan trafik sistemin girdisidir. Bu modelde alan bir sistemin birden fazla sisteme ilikin trafii izlemesi hedeflenmektedir. A temelli sistemler, trafik akn tmyle u sistemlerin alglad biimde yorumlama durumundadr, aksi durumda muhtelif biimlerde sistemin bertaraf edilmesi mmkn olabilmektedir [Ptacek1998]. A temelli sistemler, daha az abayla daha yksek sayda kaynan davrannn izlenebilmesine ve politika ihlallerinin tespit edilebilmesine imkan verdii iin tercih edilmektedir. Ancak bu sistemlerin trafii u sistemlerin alglad biimde yorumlama konusundaki zaaflar kullanlabilirliklerini ciddi biimde etkilemektedirler. Keza, atemelli sistemlerinifreleme teknolojisinden faydalanan uygulamalar iin, trafii inceleyemiyor olmak gerekesi ile, alamaz duruma gelmesi nemli bir zaaftr.
letiim a tabanl saldr tespit sistemleri, yer ald a segmenti zerindeki trafii izler. Kritik segmentlerin zerine bir sensrn yerletirilmesi, segmentlerin zerindeki uygulamalar savunmasnda da etkili olacaktr. A tabanl sistemler, paketteki bilgiyi, atak imzalar ile karlatrarak saldry tespit ederler. Ayrca a tabanl sistemlerin genellikle, korumay arttrmak amacyla, belirlenen bir IP araln dzenli tarayarak port baznda anormal aktiviteyi bulma, session tutma ve drme zellii bulunmaktadr. CyberSafe (www.cybersafe.com) firmasnn Centrax blmnn teknoloji efi Paul Proctor, a dml IDSleri tek bir a dmne ynlenen paketleri denetleyen sistemler olarak tanmlamaktadr.
OK ALGILAYICILI SALDIRI TESPT SSTEMLER
letiim a tabanl saldr tespit sistemi dendiinde veri kaynandan akan veri ile ilgili yaklamlar anlamak byk nem tamaktadr. Olduka yeni bir teknoloji olarak ortaya kan ok alglaycl saldr tespit sistemleri (ing.multisensor IDS) kavram iletiim a zerinde veriyi toplayan alglayclarn birden fazla (ve ounlukla farkl tipte verileri yorumlayacak tarzda) olmasdr. ok alglaycl saldr tespit sistemleri a zerindeki alglayclardan oluur. Kimi trlerinde gelen veriyi harmanlama ve yorumlama ii sunucu zerindeki bir yazlm tarafndan yaplr. Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
Saldr tespit sistemleri veri ak
ok alglaycl veri ak, veya datk alglama, olaylar, aktiviteler ve durumlar hakknda ngrde bulunabilmek iin verinin birden fazla ve farkl alglayclardan geerek birletirilmesi esasna dayanan yeni bir mhendislik disiplinidir. Bu sistemler genellikle insanlarn idrak sreci ile, yani beyne dier organlardan bilgi gelmesi, beynin bu sayede durumu analiz etmesi ve harekete gemesi esas ile kyaslanr. Veri ak teknolojisi cephe gzetimi ve taktiksel durum deerlendirilmesi gibi ordu uygulamalarnda belirgin olarak gze arpar.Robotik, retim, tbbi bilimler, uzaktan alglama gibi ticari uygulamalarda da veri ak sisteminden faydalanlr. Veri ak uygulamalarnn teknik sistemlere uyarlanmas istatistik, yapay zeka, yneylem aratrmas, dijital sinyal ileme, modelleme, bilgi teorisi, karar teorisi ve renme psikolojisi alanlar gibi ileri seviyede matematik teknii de gerektirir. Saldr tespit sistemi veri ak erevesinde alglayclardan gelen verileri, daha nce elinde mevcut olan verileri ve mevcut veritabanna dahil olan verileri kullanr. rnein sistem girdileri birden fazla datk paket snifferdan, sistem kayt dosyalarndan, SNMP kaytlarndan, sorgulardan, kullanc tanmlarndan, sistem mesajlarndan ve operator komutlarndan elde edilebilir. Saldr tespit sisteminin kts ise saldrgann kimlii (ve muhtemelen bulunduu yer), saldrgann aktiviteleri, gzlemlenen tehditler, saldr oranlar ve saldrnn ne kadar tehlikeli olduuna verilen karardr.
IDS veri birleiminin hiyerarik yaps Tehdit analizi (threat analysis) Durum deerlendirme (situation assesstment) Saldrgann davran biiminin belirlenmesi (behaviour of intruder) Saldrgann kimliinin belirlenmesi (identity of intruder) Saldr oranlar (rate of intrusion) Saldr giriiminin dorulanmas (existance of intrusion)
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 IDS IDS IDS ID S IDS Alglayclar zellikleri: Farkl denetim kayt formatlaryla alabilmelidir. Adaki bir veya daha fazla dm, a zerinde iletilen datann toplanmas ve analizi iin grev yapabilmelidir. Merkezi veya merkezi olmayan yap kullanlabilir.
Network alglayclar iki tip alglayc ile alr. Baz sistemlerde tek tr alglayc varken ou ok alglaycl saldr tespit mekanizmas her iki tr alglayclar bir arada kullanr. mza alglayclar Saldr imzalar, belirli bir saldrya ilikin olas tm senaryolarn ana eksenini oluturan bir zet olarak nitelendirilebilirler. Saldr imzalarnn oluturulmasndan sonra bu imzalar, sistemin anlayaca bir dile evrilir. mza alglayclar a zerinde srekli olarak tarama yaparlar ve saldr imzalarn yakaladklarnda alarm verirler. Anormallik alglayclar Anormallik alglayclar ise, kaynan davrannda istatistiksel olarak ani bir deiim grldnde bir anormallik olduu ne rlerek alarm retilir.
Sunucu Tabanl Saldr Tespit Sistemleri
Sunucu tabanl saldr tespit sistemlerinde, kritik rol oynayan sistemler belirlenir. Bu sistemlere yklenen bir yazlm, sistemin log dosyalarn kullanarak saldrlar tespit eder. Sunucu tabanl saldr tespit sistemleri, hem sunucuya giren ve kan trafii izler, hem de sistem dosyalarnn btnln ve pheli aktiviteyi (rnein sisteme balanm pheli bir kullancy) kontrol eder. Sunucu tabanl saldr tespit sistemleri genellikle ajan-ynetici yapsnda alan sistemlerdir. Sunucular zerindeki network paketlerini, balanma giriimlerini, login giriimlerini, kritik sistem dosyalarna eriimleri, bu dosyalardaki deiimleri, kullanc haklarndaki deiimleri vb kontrol ederler. Sunucu temelli (ing. host based) sistemlerde, sistemin girdisi sistem gnlkleri (rn. UNIX syslogu) ve uygulama kaytlar (rn. web sunucu eriim kaytlar)gibi dorudan sistem zerinden temin edilebilen bilgilerin toplamdr. Sistem zerinden toplanabilecek bilgiler kmesinin olabildiince geniolmas, bu modelde bir uygulamann gerekletirilebilmesi iin nemli bir gereksinimdir; muhtelif sistemlerin salad olanaklar ve yeterlilikleri de tartlmaktadr.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
Baz uzmanlar bu gruplama ierisine masast IDSlerini de dahil ederler. Hatta bazlar honeypot ve honeynet ad verilen ve saldrganlar kritik gibi gzken sahte ortamlara ynlendiren sistemleri de kategori iinde gsterirler.
Masast alan bir IDS, a trafiini kontrol etmekten ziyade, dosya seviyesinde koruma salar. Temel olarak, kiisel sistemlerdeki aktiviteleri dinleyerek Windows iletim sistemi altran PClerdeki dosya ve sistem kayd (registry) kaytlarna gelebilecek muhtemel saldrlar tespit eder. Masast IDSleri ayrca trojanlar yakalamada da ok etkilidir.
Honeypotlar, zerlerine saldrmalar iin tasarlanm, saldrganlar aldatmaya ynelik sistemlerdir. Atak giriimlerini tespit edip gerekli yerlere uyar mesajlar yollamak iin kullanlrlar. Bir honeynet ise gvenlik duvarnn arkasnda kalan ve muhtemel bir saldr hakknda yararl bilgiler edinilmesine ynelik dizayn edilen bir adr. Bu a sayesinde, potansiyel saldrganlarn gdleri, kullandklar ara ve taktikleri ortaya kar.
Saldr tespit sistemleri pazarna gz attmzda, bu pazardaki en nemli iki rnn Internet Security Systems (http://www.iss.net) firmasnn RealSecure ve Cisco Systemsn (http://www.cisco.com) NetRanger olduunu grmekteyiz. Serbeste datlan rnler arasnda ise zellikle Snort yazlmnn (http://www.snort.org) baarl olduunu sylemek mmkndr. Saldr imzalarnn dzenli olarak gncellendii Snort yazlm ile olduka farkl sayda ve trde saldry tespit edebilmek mmkn olacaktr.
Saldr Tespit Sistemleri Hangi Ataklar Adresler ?
letiim a tabanl Saldr Tespit Sistemleri, servisin reddedilmesi ve tarama ataklarn yakalamada en iyi zmdr. Sunucu tabanl Saldr Tespit Sistemleri ise en yaygn atak tipi olan servisin reddinde Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 yetersiz kalrken, yetki ele geirme, ifre ataklar, tahrip etme (vandalism), loglarn ve gvenlik mimarisinin deitirilmesi ataklarnda en etkin zmdr. Bu iki rn ailesinin entegre alt, iletiim a rnnn ald bir sonucun, host rn tarafndan deerlendirilerek aksiyon alnd zm ise tek tek rnlerin ald sonulardan daha baarl olmaktadr.
Saldr Tespit Sistemleri Ne Yapar, Ne Yapamaz ?
- Saldr Tespit Sistemleri saldr yakalamaya ynelik sistemlerdir ve snrl bir koruma salayabilirler. Ortamda, Gvenlik duvar ve uzaktan eriim rnleri gibi koruma rnlerinin yerini tutamazlar. - Tanmlanmkurallarn ve atak imzalarnn belirledii kstlar vardr. - Saldr Tespit Sistemleri, yaplan konfigrasyona bal olarak tm ataklar bloklayamazlar. - letiim a bazl Saldr Tespit Sistemlerinde ok fazla kural tanmlanmas ciddi performans problemlerine yol aabilir. - Saldr Tespit Sistemlerinde ok fazla alarm verilmesi, ciddi problemlerin gzden kamasna yol aabilir.
%100 gvenlik ancak teorik olarak mmkndr. Ve hibir gvenlik rn mucizeler yaratamaz. Saldr Tespit Sistemleri de, datk ortamlarda, sistem ve iletiim a gvenlik sorumlularn saldrlardan ve ortamlardaki anormal deiimlerden haberdar etmeyi hedeflemektedir. Bu rn ailesinin kurumda gvenlii arttrmas, ancak rnlerin ve sistemlerin iyi tannmas, gereksinimlere gre konfigre edilmesi ve dzenli gncellenmesi durumunda gerekleir. Bunun iin gereken n alma ihmal edildii taktirde, rnlerden istenen verim alnamaz. Bu durum, bilgi ilem personeli iin ise yalnzca bakm gerektiren yeni sunucular olmas anlamna gelecektir. Saldr Tespit Sistemleri, izinsiz giriin giderek artt gnmzde, Gvenlik duvar ve dier koruyucu rnlerle beraber bir kurumun vazgeilmez gvenlik cephesini oluturmaktadrlar.
Saldr Tespit Sistemleri saldr yakalamaya ynelik sistemlerdir ve snrl bir koruma salayabilirler. Ortamda, Gvenlik duvar ve uzaktan eriim rnleri gibi koruma rnlerinin yerini tutamazlar. Tanmlanmkurallarn ve atak imzalarnn belirledii kstlar vardr. Saldr Tespit Sistemleri, yaplan konfigrasyona bal olarak tm ataklar bloklayamazlar. letiim a bazl Saldr Tespit Sistemlerinde ok fazla kural tanmlanmas ciddi performans problemlerine yol aabilir. Saldr Tespit Sistemlerinde ok fazla alarm verilmesi, ciddi problemlerin gzden kamasna yol aabilir.
Sonu
Saldr tespit sistemleri ierisinde ok alglaycl saldr tespit sistemlerinin gvenli ve datk bir mimarisi vardr. Saldr tespiti oklu tespit motorlar ile yaplr. Herbir motor farkl alara datlabilir. Bu bize esnek, gvenli ve datk bir ynetim imkan salar.
Referanslar
[ArachNIDS 2001] ArachNIDS Ak Saldr Tespit Kural Veritaban, http:// www.whitehats.com adresinden eriilebilir [Bass 2000] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, 2000 [Bass 1999] Tim Bass, Multisensor Data Fusion for Nezt Generation Intrusion Detection Sytems, Iris National symposium draft, 1999 [CERT 2001] CERT/CC Web Sitesi, http://www.cert.org adresinden eriilebilir. [Dayolu 2001] Burak Dayolu, nternetde Saldr Tespiti Teknolojileri, letiim Teknolojileri 1. Ulusal Sempozyumu ve Fuar, Ankara, 2001 [Dayolu 2001] Burak Daypolu, Use of Passive Network Mapping to Enhance Network Intrusion Detection, METU Graduate School Of Natural and Applied Sciences Thesis, 2001 [Denning 1986] D. Denning, An Intrusion Detection Model, Proceedings of the IEEE Security and Privacy Conference, 1986 Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002 [Ilgun 1995] K. Ilgun ve dierleri, State Transition Analysis: A Rule Based Intrusion Detection Approach, IEEE Transaction on Software Engineering, Vol. 21, No. 3, 1995 [Innova 2002] Glden Yncolu, Gvenlik zmleri Yneticisi, INNOVA Gvenlik zmleri A., 2002 [Mukherjee 1994] B. Mukherjee ve dierleri, Network Intrusion Detection, IEEE Network, Vol. 8, No. 3, 1994 [Murray 2000] Cristopher Patrick Murray, Network Forensics, Seminar, University of Minnesota, 2000 [Roesch 1999] M. Roesch, Snort Lightweight Intrusion Detection for Networks, Proceedings of the 13th LISA Conference of USENIX Association, 1999 [Wood 1997] C. Cresson-Wood, Information Security Policies Made Easy: A Comprehensive Set of Information Security Policies, Baseline Software, 1997