Teknoloji ile birlikte gelişen saldırıları tespit edip, önlemek için birçok yazılım, cihaz geliştirilmiştir. Saldırı tespit sitemi ve önleme sistemini biraz inceleyelim.
Saldırı Tespit Sistemi (IDS)
Saldırı Tespit Sistemleri (STS) (İngilizce: Intrusion Detection Systems (IDS)), ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri, istenmeyen durumları izlemeye yarayan cihaz ya da yazılımlardır. IDS temel olarak ağ tarifiğini izleyerek analiz eder ve herhangi bir durumda yöneticiyi uyarır.
Başlıca yaptıkları şunlardır;
- Program veya kişiden gelen saldırıları tespit eder.
- Algılama mantığını geliştirmek için saldırı kalıplarını kaydeder.
- Uyarı ve rapor verir.
- Adli kanıtlar için tüm saldırıları veritabanında kaydeder.
- Zarar görmüş sistemi karantinaya alır.
- Veri bütünlüğünü, erişilebilirliğini ve gizliliğini sağlar.
Saldırı Önleme Sistemi (IPS)
Saldırı Tespit Sistemleriyle (Intrusion Detection Systems) Saldırı Engelleme Sistemleri (Intrusion Prevention Systems) arasındaki temel fark; saldırı tespit sistemlerinin, saldırıları sadece tespit edip raporlamasına karşılık saldırı engelleme sistemlerinin, yapılan saldırıları önleme yeteneğine sahip olmasıdır.
Saldırı tespit sistemi başlıca aşağıdaki eylemleri içerir;
- Yöneticiye saldırı anında uyarı gönderme,
- Kötü amaçlı paketlerin bırakılması,
- Kaynak adreste trafiği engelleme,
- Bağlantının sıfırlanması,
- CRC hatalarını düzeltme,
- Paket akışını birleştirme,
- TCP katmanında Sequence Number’a bakarak gelen segmentleri sıralama ve eksik varsa bildirme vb.
İmza Nedir?
IDS ve IPS’in gibi bilinen saldırıları tespit etmek ve önceden tanımlanmış eylemlerle yanıt vermek için kullandığı bir dizi kuraldır.
Saldırı Engelleme Sistemi Yazılımları
- Snort
Snort açık kaynak bir saldırı tespit ve saldırı engelleme sistemidir ve ilk olarak 1998 yılında Martin Roesch tarafından geliştirilmiştir. - Suricata
Suricata açık kaynaklı bir saldırı tespit sistemi ve saldırı önleme sistemidir. Açık Güvenlik Vakfı tarafından geliştirilmiştir. - Bro (Zeek)
Zeek ücretsiz ve açık kaynaklı bir yazılım ağı analiz çerçevesidir. - OSSEC
OSSEC ücretsiz, açık kaynaklı bir ana bilgisayar tabanlı saldırı tespit sistemidir. Günlük analizi, bütünlük denetimi, Windows kayıt defteri izleme, rootkit algılama, zamana dayalı uyarı ve etkin yanıt gerçekleştirir. - Samhain Labs
Samhain ana bilgisayar tabanlı saldırı tespit sistemi (HIDS), dosya bütünlüğü denetimi ve günlük dosyası izleme / analizinin yanı sıra, rootkit tespiti, bağlantı noktası izleme, hileli SUID çalıştırılabilirlerinin tespiti ve gizli işlemler sağlar.