Computer & Network Security Intrusion Detection and Prevention Systems Saldırı Tespit ve Önleme Sistemleri Dr.Yuksel Celik

Intrusion Detection and Prevention Systems Computer & Network Security Definition Intrusions : attempts to compromise the confidentiality, integrity, availability, or to bypass the security mechanisms of a computer system or network (illegal access) Intrusions have many causes, such as malware (worms, spyware, etc…), attackers gaining unauthorized access to systems from the Internet, and authorized users of systems who misuse their privileges or attempt to gain additional privileges for which they are not authorized Saldırı : Gizlilik, bütünlük, kullanılabilirlikten ödün vermeye veya bir bilgisayar sisteminin veya ağın güvenlik mekanizmalarını atlamaya çalışır. Saldırıların kötü niyetli yazılımlar (solucanlar, casus yazılımlar vs ..), saldırganların Internet'ten gelen sistemlere yetkisiz erişim kazanmaları ve ayrıcalıklarını kötüye kullanan veya yetkileri bulunmayan ek ayrıcalıklar kazanmaya çalışan yetkisiz kullanıcıları gibi birçok nedeni vardır

Intrusion Detection and Prevention Systems Computer & Network Security Definition Intrusion detection: is the process of monitoring the events occurring in a computer system or network and analyzing them for signs of possible intrusions (incidents). Intrusion detection system (IDS): is software that automates the intrusion detection process. The primary responsibility of an IDS is to detect unwanted and malicious activities. Intrusion prevention system (IPS): is software that has all the capabilities of an intrusion detection system and can also attempt to stop possible incidents. Saldırı tespiti: bir bilgisayar sistemi veya ağında meydana gelen olayları izlemek ve bunları muhtemel müdahaleler (olaylar) işaretleri açısından analiz etmektir. Saldırı Tespit Sistemi (IDS): Saldırı tespit işlemini otomatikleştiren bir yazılımdır. Bir IDS'in birincil sorumluluğu, istenmeyen ve kötü amaçlı faaliyetleri tespit etmektir. Saldırı önleme Sistemi (IPS): bir saldırı tespit sisteminin tüm özelliklerine sahip olan ve olası olayları durdurmaya çalışabilen bir yazılımdır.

Intrusion Detection and Prevention Systems Computer & Network Security Why Intrusion Detection Prevention Systems should be used? It’s a dire fact that while every enterprise has a firewall, most still suffer from network security problems. IT professionals are acutely aware of the need for additional protective technologies, and network equipment vendors are anxious to fill in the gap. Intrusion Prevention Systems have been promoted as cost-effective ways to block malicious traffic, to detect and contain worm and virus threats, to serve as a network monitoring point, to assist in compliance requirements, and to act as a network sanitizing agent. Her kuruluşta bir güvenlik duvarı bulunurken çoğu kişinin ağ güvenliği sorunları yüzünden korkunç bir gerçektir. BT uzmanları, ek koruyucu teknolojilere duyulan ihtiyacın farkındalar ve ağ ekipmanı üreticileri bu boşluğu doldurmak için endişeleri var. Saldırı Önleme Sistemleri, kötü niyetli trafiği engellemek, solucan ve virüs tehditlerini tespit etmek ve bunları içerecek, bir ağ izleme noktası olarak hizmet etmek, uyumluluk gereksinimlerine yardımcı olmak ve bir ağ sterilize eden ajanı olarak hareket etmek için uygun maliyetli bir seçenektir.

Intrusion Detection and Prevention Systems Computer & Network Security IDPSs are primarily focused on Identifying possible incidents, logging information about them, attempting to stop them, and reporting them to security administrators. Identifying problems with security policies Documenting existing threats Deterring individuals from violating security policies. Olası olayları belirleme, bunlarla ilgili bilgileri günlüğe kaydetme, bunları durdurmaya çalışmak ve bunları güvenlik yöneticilerine rapor etmek. Güvenlik politikalarıyla ilgili sorunları tanımlama Mevcut tehditleri belgelemek Bireyleri güvenlik politikalarını ihlal etmekten alıkoyuyor.

Intrusion Detection and Prevention Systems Computer & Network Security Classes of detection methodologies : Signature-based Compares known threat signatures to observed events to identify incidents. This is very effective at detecting known threats but largely ineffective at detecting unknown threats and many variants on known threats. Signature-based detection cannot track and understand the state of complex communications, so it cannot detect most attacks that comprise multiple events. İmza tabanlı: olayları belirlemek için bilinen tehdit imzalarını gözlemlenen olaylarla karşılaştırır. Bu, bilinen tehditleri tespit etmede çok etkili ancak bilinmeyen tehditleri ve bilinen tehditler üzerinde birçok varyantı tespit etmede büyük ölçüde etkisizdir. İmza tabanlı algılama, karmaşık iletişim durumunu izleyemez ve anlayamaz; bu nedenle, birden çok olay içeren saldırıların çoğunu algılayamaz.

Intrusion Detection and Prevention Systems Computer & Network Security Classes of detection methodologies : Anomaly-based detection: sample network activity to compare to traffic that is known to be normal. When measured activity is outside baseline parameters or clipping level, IDPS will trigger an alert. Anomaly-based detection can detect new types of attacks. Requires much more overhead and processing capacity than signature-based . May generate many false positives. Anormalik tabanlı algılama: normal olduğu bilinen trafik ile karşılaştırılacak örnek ağ etkinliği. Ölçülen etkinlik, temel parametrelerin veya kırpma seviyesinin dışında olduğunda, IDPS bir uyarı tetikler. Anormalik tabanlı algılama yeni saldırı türlerini tespit edebilir. İmza tabanlı belgelere göre çok daha fazla ek yük ve işleme kapasitesi gerektirir. Birçok yanlış pozitif hatalar üretebilir.

Intrusion Detection and Prevention Systems Computer & Network Security Classes of detection methodologies: Stateful protocol analysis: A key development in IDPS technologies was the use of protocol analyzers. Protocol analyzers can natively decode application-layer network protocols, like HTTP or FTP. Once the protocols are fully decoded, the IPS analysis engine can evaluate different parts of the protocol for anomalous behavior or exploits against predetermined profiles of generally accepted definitions of benign protocol activity for each protocol state Problems with this type include that it is often very difficult or impossible to develop completely accurate models of protocols, it is very resource-intensive, and it cannot detect attacks that do not violate the characteristics of generally acceptable protocol behavior. IDPS teknolojilerinde önemli bir gelişme protokol analizörlerinin kullanılmasıydı. Protokol analizörleri, HTTP veya FTP gibi uygulama katmanı ağ protokollerini doğal olarak çözebilir. Protokoller tamamen çözüldükten sonra, IPS analiz motoru protokolün farklı bölümlerini anormallik davranış için değerlendirebilir veya her bir protokol durumu için genel kabul görmüş iyi huylu protokol aktivitelerinin önceden belirlenmiş profillerine karşı yararlanır. Bu türdeki sorunlar arasında, tamamen doğru protokol modelleri geliştirmek çok zordur veya imkansızdır, çok fazla kaynak gerektirir ve genellikle kabul edilebilir protokol davranış özelliklerini ihlal etmeyen saldırıları tespit edemez.

Intrusion Detection and Prevention Systems Computer & Network Security Placement of Network IDPSs Outside firewall Just inside firewall -Combination of both will detect attacks getting through firewall and may help to refine firewall rule set. Behind remote access server Between business units Between corporate network and partner networks Sensors may need to be placed in all switched network segments Güvenlik duvarının dışında   Sadece güvenlik duvarının içinde           Her ikisinin birleşimi saldırıların geçip geçtiğini algılayacak             Güvenlik duvarı ve güvenlik duvarı kural setini hassaslaştırmaya yardımcı olabilir.   Uzaktan erişim sunucusunun arkasında   İş birimleri arasında   Kurumsal ağ ve iş ortağı ağları arasında   Sensörler tüm anahtarlamalı şebeke segmentlerine yerleştirilmelidir

Intrusion Detection and Prevention Systems Computer & Network Security Types of IDPSs : Host-Based They are similar in principle and purpose to network-based , except that a host-based product monitors the characteristics of a single host and the events occurring within that host, such as monitoring network traffic (only for that host), system logs, running processes, file access and modification, and system and application configuration changes. They often use a combination of attack signatures and knowledge of expected or typical behavior to identify known and unknown attacks on systems. If a host-based product monitors the host’s network traffic, it offers detection capabilities similar to a network-based. Ana makine bazlı: İlke ve amaca yönelik olarak ağ tabanlıdır, ancak bir ana makine tabanlı ürün, tek bir ana bilgisayarın özelliklerini ve bu ana makinede meydana gelen olayları izler; ağ trafiğini izleme (yalnızca bu ana bilgisayar için), sistem Günlükler, çalışan süreçler, dosya erişimi ve değişikliği, sistem ve uygulama yapılandırması değişiklikleri. Sistemlerde bilinen ve bilinmeyen saldırıları tanımlamak için genellikle saldırı imzalarının bir kombinasyonu ve beklenen veya tipik davranış bilgisi kullanırlar. Bir ana makine tabanlı ürün, sunucunun ağ trafiğini izlerse, ağa benzer saptama yetenekleri sunar.

Intrusion Detection and Prevention Systems Computer & Network Security Types of IDPSs : Network Behavior Analysis (NBA): Examines network traffic to identify threats that generate unusual traffic flows, such as denial of service (DoS) and distributed denial of service (DDoS) attacks, certain forms of malware (e.g., worms, backdoors), and policy violations (e.g., a client system providing network services to other systems). NBA systems are most often deployed to monitor flows on an organization’s internal networks, and are also sometimes deployed where they can monitor flows between an organization’s networks and external networks (e.g., the Internet, business partners’ networks). Ağ Davranışı Analizi (NBA): hizmet reddini (DoS) ve dağıtılmış hizmet reddini (DDoS) saldırıları, bazı kötü amaçlı yazılım biçimlerini (örneğin, solucanlar, arka kapılar) gibi olağan dışı trafik akışı oluşturan tehditleri tanımlamak için ağ trafiğini inceler ve Politika ihlalleri (örneğin, diğer sistemlere ağ hizmetleri sağlayan bir istemci sistemi). NBA sistemleri çoğu zaman bir kuruluşun dahili ağlarındaki akışları izlemek için kullanılır ve ayrıca bazen bir kuruluşun ağları ve harici ağlar (ör. İnternet, iş ortakları ağları) arasındaki akışları izleyebildikleri yerlerde konuşlandırılırlar.

Intrusion Detection and Prevention Systems Computer & Network Security Types of IDPSs : Wireless Wireless: monitors wireless network traffic and analyzes its wireless networking protocols to identify suspicious activity involving the protocols themselves. It cannot identify suspicious activity in the application or higher-layer network protocols (e.g., TCP, UDP) that the wireless network traffic is transferring. It is most commonly deployed within range of an organization’s wireless network to monitor it, but can also be deployed to locations where unauthorized wireless networking could be occurring. Kablosuz: kablosuz ağ trafiğini izler ve protokollerin kendisiyle ilgili şüpheli etkinliği belirlemek için kablosuz ağ protokollerini analiz eder. Kablosuz ağ trafiğinin taşıdığı uygulama veya üst katmanlı ağ protokollerinde (ör. TCP, UDP) şüpheli etkinliği belirleyemez. Genellikle, bir kuruluşun kablosuz ağının kapsama alanına yerleştirilir ve bunu izlemek için yetkili olmayan kablosuz ağın oluşabileceği yerlere de konuşlandırılabilir.

Intrusion Detection and Prevention Systems Computer & Network Security Thanks

Intrusion Detection and Prevention Systems Computer & Network Security References: Kizza, Joseph Migga, Guide to Computer Network Security, Springer,2014