Güvenlikle ilgili tehditlerin sayısının ve türlerinin hızla artmasıyla birlikte, güvenlik teknolojilerinde de hızlı bir gelişim yaşanmaktadır. Bilgisayarların güvenliğini sağlamak, yetkili olmayan kişilerin sistemlere girip bilgileri ele geçirmelerini veya değiştirmelerini engellemek için ilk olarak kimlik doğrulama ve erişim kontrolü gibi güvenlik mekanizmaları geliştirilmiştir. Bu tip mekanizmalar güvenliğin ilk basamağını oluşturmaktadır. İnternet'in yaygınlaşmasıyla birlikte bilgi sistemlerine yönelik tehditlerde de ciddi artışlar ve saldırıların tiplerinde genişlemeler olmaktadır. Artan tehditler nedeniyle, yukarıdaki mekanizmalar dışında yeni mekanizmaların varlığına gerek duyulmuştur.
Güvenlik duvarları (firewall),
güvenlik tarayıcıları (vulnerability scanner) ve
saldırı tespit sistemleri(STS) güvenlik mekanizmalarının ikinci basamağını oluştururlar. Bu güvenlik teknolojilerinden hiçbiri tek başına tam olarak yeterli değildir; çünkü her biri farklı güvenlik noktalarına odaklanmıştır. Güvenli bir sistem için bu yapıların birbirini destekleyecek şekilde birlikte kullanılması gerekir.
STS(Saldırı Tespit Sistemleri - Intrusion Detection Systems) Türleri
Bir kaynağın bütünlüğünü, gizliliğini, güvenilirliğini veya erişilebilirliğini engelleme amaçlı tüm davranışlar saldırının tanımını oluşturur. Saldırı tespit sistemleri, tüm tedbirlere karşın bilgisayar sistemlerine yapılan saldırıları gerçekleşirken ya da gerçekleştikten sonra tespit etmek, İnternet veya yerel ağdan gelebilecek, ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşan bu saldırıları fark etmek üzere tasarlanmış sistemlerdir ve bu saldırılara yanıt vermeyi amaçlayan bir güvenlik teknolojisidir. Saldırı tespit sistemleri bir nevi alarm sistemi olarak düşünülebilir. Bunları pek çok farklı şekillerde kategorilere ayırmak mümkündür. Örneğin: ISS (Internet Security Systems)’nin ortaya attığı modele göre bir saldırı tespit sistemi öncelikle aktif ya da pasif olabilir. İkincisi anasistem-tabanlı(host-based) ya da ağ-tabanlı(network-based) olabilir. Bu ikisini birleştirdiğimizde saldırı tespit sistemleri aktif/anasistem-tabanlı, aktif/ağ-tabanlı, pasif/anasistem-tabanlı, pasif/ağ-tabanlı olarak gruplandırılabilir. Bir sistemin aktif olması tespit edilen bir saldırıya gerçek-zamanlı veya buna yakın cevap vermesi (Örneğin: Güvenlik duvarı kurallarını saldırıya göre şekillendirmek veya kullanıcıyı komut konsolundan uyarmak vb.) gerekir. Pasif sistemler genelde saldırıyı kaydederler ve daha sonra incelenmek üzere saklarlar. Anlaşıldığı üzere saldırıların tespit edilebilmesi için tetikleme mekanizmalarına(başka bir deyişle sistem ve ağ kaynaklarının yanlış ve normal olmayan kullanımlarının neler olduğunun bilinmesine) ihtiyaç vardır. Saldırı tespiti iki analiz metoduna göre sınıflandırılabilir. Bunlar kötüye kullanım saldırıları ile anormallik saldırılarıdır.
Kötüye Kullanım Saldırı Tespiti (Misuse Detection)
İç ağdan kaynaklı saldırılar tespit edilir. Bu yöntemde STS edindiği bilgileri analiz eder ve büyük boyutlu imza (signature) veritabanlarıyla karşılaştırır. Esasen STS önceden belgelenmiş saldırılardan yola çıkarak güvenliği sağlamaya çalışır.
Avantajları
- İmza tanımlarının bilinen saldırı durumlarına göre modellenmesi
- Kullanıcıların imza veritabanını denetleyebilmesi ve sistem yöneticisi tarafından hangi saldırı tiplerinin alarma neden olacağının kolaylıkla anlaşılabilmesi
- Kurulumdan hemen sonra işlerlik kazanması
- Sistemin kolay anlaşılırlığı
Dezavantajları
- Saldırı aktivitelerinin birbirinden ayrık pek çok olayı kapsaması
- Bir saldırganın yapabileceği tüm saldırılar için ayrı imza tanımlanmasının gerekliliği
- İmza veritabanının sürekli güncel tutulmasının gerekliliği
Burada asıl önemli olan imza ölçütlerinin iyi bir şekilde tanımlanabilmesi ve veritabanının büyüklüğünün ayarlanmasıdır. Veritabanı gereğinden fazla büyürse yanlış uyarı verme olasılığı yükselebilir. Benzer şekilde, veritabanındaki imzalar yetersiz kalırsa bu da güvenlik sorunları yaratabilir.
Anormallik Saldırı Tespiti (Anomaly Detection)
Bu yöntemde kullanıcı grubu ya da her bir kullanıcı için ayrı ayrı olmak üzere profil belirlenir. Profiller dinamik olarak veya elle yaratılabilir ve normal kullanıcı aktivitesini tanımlayabilmek için taban çizgisi(baseline) olarak kullanılırlar. Eğer ağda yapılan bir işlem taban çizgisinden çok fazla sapma gösterirse alarm tetiklenir. Bu STS profiller üzerinden çalıştığından aynı zamanda profil tabanlı STS olarak da adlandırılır.
Avantajları
- İçten gelen saldırılar ve kullanıcı hesabı hırsızlığının tespitinde çok etkili olması
- Profillerin özelleştirilmiş olmasının, saldırganın hangi faaliyetlerde bulunduğunda alarm üretilmeyeceğini bilmesini zorlaştırması
- İlk defa meydana gelen saldırıların tespitinin daha kolay olması
Dezavantajları
- Uygun profillerin yaratılabilmesi için ağın dinlenmesinin ve analiz edilmesinin gerekliliği
- Analiz süresince ağın normal trafiği anlaşılmaya çalışıldığından bu süre içinde ağın güvenliksiz oluşu
- Profillerin yönetiminin ve bakımının zahmetli ve zaman kaybına neden olması
- Sistemin karmaşıklığı ve her bir farklı saldırıyla alarmı tetikleyecek olay arasında bağlantı kurmanın zorluğu
- Saldırının normal kullanıcı etkinliklerine çok yakın olduğu durumlarda alarm üretilememesi
- Hangi saldırıların alarm üreteceğini kestirmenin kullanım süresi uzadıkça zorlaşması
Ağ tabanlı Saldırı Tespit Sistemleri (Network-Based Intrusion Detection Systems)
Ağ tabanlı saldırı tespit sistemleri ağın kendi segmenti üzerinden geçen trafiği veri kaynağı biçiminde görüntüler. Bunun için genelde ağ kartı geçirgen (promiscuous) moda getirilerek üzerinden geçen tüm trafiği yakalaması sağlanır. Ağın diğer segmentlerine ve telefon hatları gibi diğer iletişim çeşitlerine ait trafik yakalanamaz ve görüntülenemez. Ağ tabanlı STS temelde ağda dolaşan paketlerin bir algılayıcı (sensor) üzerinden geçenleriyle ilgilenir. Algılayıcıya gelen paket mevcut imzalarla karşılaştırılır ve pakete ne yapılacağına karar verilir. Başlangıç seviyesindeki filtre hangi paketlerin kabul edilip hangilerinin atılacağını veya saldırı tanıma modülüne gönderileceğini belirler. Saldırı belirlenirse cevap modülü saldırıya karşılık olarak alarm üretilmesini tetikler. Algılayıcı ile görüntüleyici(monitor) arasındaki trafiğin şifrelenmesi veya algılayıcı ve görüntüleyicilerin ayrı bir ağa dahil edilmesi güvenlik açısından önemlidir. Bilgili ve deneyimli bir saldırgan için algılayıcı ve görüntüleyici arasındaki trafik (alarmlar, durum kayıtları, diğer paketler vb.) ağa saldırmak için çok önemli bilgiler içermektedir. Algılayıcı ve görüntüleyiciler ayrı bir ağa dahil edilerek DoS (Denial of Service) ataklarından korunmak mümkün olmaktadır. Diğer avantaj saldırının algılandığı ağ ile bulunduğumuz ağın farklı oluşudur.
Ağ Tabanlı Saldırı Tespit Sistemlerinin Anahtarlayıcılı (Switched) Ağa Kurulması
Kurulumunun zorlukları standart hub ve anahtarlayıcıların (switch) farklı çalışma prensiplerinden doğmaktadır. Bilindiği gibi hublar bir portundan gelen paketi o port hariç diğer tüm portlara geçirirler. Anahtarlayıcılar (switch) ise bağlantılı çalışırlar ve bir porttan gelen paketi MAC adresine bakarak gönderilmesi gereken porttan çıkarırlar. Bundan dolayıdır ki hublı bir ortamda algılayıcılarımızı hemen her yere yerleştirebilirken, anahtarlayıcılı(switched) ortamda aradaki bağlantının nerelerden gerçekleştiği göz önünde bulundurularak yerleştirme yapılabilir. Kurulum için "SPAN Port"lar, "Hub"lar ve "Tap"ler kullanılır.
SPAN (Switch Port Analyzer) Port
Anahtarlayıcının (switch) hub portu gibi davranan özel bir portudur. Ağ trafiğini görüntülemeye ve dinlemeye yarayan Ağ "sniffer"ının kullanılabilmesi için konulmuştur.
Örneğin yukarıdaki şekilde kaynak bilgisayarla saldırı tespit sistemi arasındaki bağlantı "SPAN port" üzerinden gerçekleştirilirse aradaki tüm trafiğin görüntülenmesi sağlanabilir. "SPAN port" gönderilen (TX) ve alınan (RX) veride, veya her ikisinde aynı anda kullanılabilir.
Avantajları
- Kolay kurulum imkânı
- Saldırı tespit sistemini yönetmenin ek donanım veya yapılandırma gerektirmemesi
- Oturum sonlandırma ve güvenlik duvarı yapılandırmasından bağımsız çalışması
Dezavantajları
- Bir anahtarlayıcıda bir adet "SPAN port" bulunabilmesi
- Birden fazla port görüntülenmek isteniyorsa ya port dizisi ya da tüm VLAN'in "span"lenmesinin gerekliliği
- Birden fazla portun "SPAN port" olarak ayarlanmasının özellikle "full-duplex" ortamlarda aşırı yüklenmeye sebebiyet vermesi
- Bazı SPAN portların tek yönlü trafiğe izin vermesi sebebiyle gereksiz oturumların kapatılamaması
- CRC(Cyclic Redundancy Check) kodu bozuk ve normal paket boyutundan büyük ya da küçük olan paketlerin görüntülenememesi
Hub kullanmak
Hub, görüntülenmek istenen bağlantının arasına koyulur, uçlarda anahtarlayıcı-anahtarlayıcı (switch-switch), anahtarlayıcı–yönlendirici (switch-router) veya sunucu – anahtarlayıcı (server-switch) vb. olabilir.
Yukarıdaki şekilde anahtarlayıcı (switch) ve bilgisayar arasına hub koyulmuş ve hubın başka bir portuna da saldırı tespit sistemi bağlanmıştır. "Hub"'ın çalışma mantığına göre bilgisayarla anahtarlayıcı (switch) arasındaki bağlantının kopyası saldırı tespit sistemi üzerinden de geçeceğinden (hub bir portundan gelen paketi diğer portlara aynen gönderir.) atakları algılama ve görüntüleme yapılabilir.
Avantajları
- Yapılandırması çok basittir.
- STS(Saldırı tespit sistemi)'yi yönetmek ek donanım veya yapılandırma gerektirmez.
- Oturum sonlandırma ve güvenlik duvarı yapılandırmasından bağımsızdır.
- 4 portlu hublar ekonomiktir.
Dezavantajları
- Özellikle "full-duplex" bağlantılarda aşırı yüklenme nedeniyle kullanılamaz.
- Saldırı tespit sisteminin yönetimi hub üzerinden olmak zorundadır ve bu da anahtarlayıcı - bilgisayar(switch - host) trafiğini etkileyeceğinden çarpışma (collision) sayısı artar.
- Ucuz hublarda hata oranı artmaktadır.
Sonuç olarak STS (Saldırı Tespit Sistemi) hubla beraber kullanmak tavsiye edilmez.
Tap kullanmak
Tap tek yönlü çalışır, hata toleranslıdır, trafik akışını etkilemez (ağa yük getirmez), saldırı tespit sistemine doğrudan bağlantıları kabul etmez; CRC kodu bozuk ve normal paket boyutundan büyük ya da küçük olan paketlerin görüntülenebilmesine izin verir. Bunun yanında pahalıdır, ek yapılandırma olmadan oturum sonlandırmayı ve çift yönlü trafik görüntülemesini desteklemez. Yani yukarıdaki örnekte tapın işlevi anahtarlayıcı (switch) ve bilgisayardan gelen trafiği saldırı tespit sistemine göndermektir. STS (Saldırı tespit sistemi)'den anahtarlayıcı (switch) veya bilgisayara giden trafiğe izin verilmez. Tapın tek yönlü olma özelliği sayesinde bir hubın arkasındaki çok sayıdaki tapın trafiği STS (Saldırı tespit sistemi)'de görüntülenmek üzere, herhangi bir performans kaybı yaşanmadan yönlendirilir.
Kullanıcı Tabanlı Saldırı Tespit Sistemleri (Host-Based Intrusion Detection Systems)
Kullanıcı tabanlı saldırı tespiti 1980'lerin başlarında sıklıkla kullanılan bir yöntemdi. Tehlikeli olabilecek ağ etkinliklerine karşı "audit log"ları tutulurdu. Günümüzde de bu sistem kullanılmaktadır; ama "audit log"ları daha gelişmiş, otomatikleşmiş ve gerçek-zamanlı tespit ve karşılık verme kolaylaşmıştır. Kullanıcı tabanlı sistemlerde kayıtları (log) görüntülemek için yazılımlar kullanılır. Windows NT sistemlerde sistem, olay ve güvenlik kayıtları; UNIX sistemlerde ise syslog ve özel OS kayıt dosyaları mevcuttur. Bu dosyalarda herhangi bir değişiklik olduğunda edinilen bilgi mevcut güvenlik politikasıyla karşılaştırılır ve değişikliğe anında cevap verilir. Kullanıcı tabanlı STS (Saldırı tespit sistemi) logları gerçek-zamanlı olarak görüntüler ve yine aynı şekilde cevap verir. Bazı kullanıcı tabanlı STS (Saldırı tespit sistemleri)'ler de port etkinliklerini dinleyip bazı özel portlara girişleri engelleyebilir ve bu sayede ağ güvenliğini sağlayabilir.
Stack Tabanlı Saldırı Tespit Sistemleri (Stack-Based Intrusion Detection Systems)
Bu en yeni STS teknolojisidir ve üreticiden üreticiye çok büyük farklılıklar arz etmektedir. Bu yöntemde paketler OSI katman modeline göre yukarı katmanlara ulaşmadan önce, yani paketler herhangi bir uygulama ya da işletim sistemi tarafından işlenmeden önce izlenirler.
Günümüzde Yapılan Çalışmalar
Günümüzde STS için üzerinde anlaşılmış genel bir standart henüz oluşturulamamıştır; ama özellikle birkaç kurum çalışmalarını bu yönde hızlandırmıştır. IETF (Internet Engineering Task Force) yeni standartları geliştiren kurumların ana gövdesini oluşturmaktadır. Kurum içinde STS uyarılarına (IDS alerts) ortak bir biçim hazırlamak için çalışma grubu oluşturulmuş ve ana hatlarıyla standartlar belirlenmiştir. Ayrıntılar üzerinde çalışılmaktadır. Buna göre HTTP’ye benzer bir iletişim formatı üzerinden XML tabanlı uyarılar gönderilmesi düşünülmüştür. Konuyla ilgilenen diğer kurumlar ISO’nun T4 komitesi ve DARPA(Defence Advanced Research Project Agency)’dır.