d03dc062a7.jpg

Saldırı Tespit ve Önleme Sistemi

Tıpkı güvenlik duvarları ya da antivirüs yazılımları gibi saldırı önleme sistemleri de, ağı ve ağdaki trafiği kötücül aktivitelere karşı korumak ve saldırganların ağınıza erişimini engellemek üzere geliştirilmiştir.

Temel fonksiyonları; anormal trafik, zararlı kod , politika ihlali, ya da sisteme girmeye çalışan bir saldırganın varlığı gibi durumları analiz etmek, bu aktivitelerle ilgili kayıt tutmak ve bu aktiviteleri raporlayıp durdurmaya/engellemeye çalışmak olan saldırı önleme sistemlerinin, saldırı tespit sistemlerinden (Intrusion Detection System – IDS) en önemli farkı; herhangi bir zararlı aktiviteyi tespit ettikten sonra engelleyip bloklamasıdır. Kısaca özetlemek gerekirse, saldırı tespit sistemleri ağı bir pencereden izleme imkanı sağlarken, saldırı önleme sistemleri müdahale ve kontrol etme imkanı da sağlamaktadır.

IPS’ler, üzerinden geçmekte olan tüm ağ aktivitelerini aktif bir şekilde analiz ederken, gerektiği zamanlarda bu aktivitelere otomatik tepkiler de verebilir. Bu otomatik tepkiler; sistem yöneticisine alarm gönderilmesinden, zararlı paketlerin düşürülmesine, zararlı paketin geldiği kaynak adresin ve portun, ya da bağlantının engellenmesine kadar çeşitlilik gösterebilir.

Bir IPS'in ‘inline’ durumda olması; yani kaynak ve hedef arasındaki iletişim yolu üzerinde konumlandırılması ve ağ trafiğinin üzerinden geçmesi, saldırıları önlemede en önemli ön koşuldur.

IPS’ler ağ güvenlik duvarlarıyla (WAF) benzerlik gösterse de, saldırı tespit sistemlerinin ağ güvenlik duvarlarından en büyük farkı; güvenlik duvarlarının önceden belirlenmiş olan bazı kurallara göre trafiği engellemesi ve izin verilen trafik dışındaki herşeyi engellemesiyken, IPS’lerin önceden belirlenmiş kurallar dışındaki tüm trafiği geçirmesidir. Diğer bir deyişle, ağ güvenlik duvarları ‘neye izin verildiği’, saldırı önleme sistemleri ise ‘neye izin verilmediği’ ile tanımlanır.

IDS ve IPS’lerin en çok denetleme/koruma sağladığı saldırı çeşitleri arasında; müdahale edilmiş kurallar, protokoller ve paket yapıları gibi konuları kapsayan kural ihlalleri, bellek taşırma saldırıları (buffer overflow), saldırganların bilgi toplamak ve sistemde hangi portların açık olduğunu görmek üzere yaptığı port taramaları ve sisteminizi hizmet dışı bırakmak için saldırganın birçok sahte adresten veya tek adresten ardarda istek gönderip TCP protokolündeki üçlü el sıkışma (3 way hand shake) son adımını eksik bırakarak sunucunun kaynaklarını tükettiği SYN flood gibi saldırıları içeren DoS/DDoS saldırıları da mevcuttur.

Önceden bilinen Hacker saldırıları ve diğer kötü niyetli erişimlerin, Bilgi Teknolojileri (BT) kaynaklarına ulaşmadan engellenmesi ve olayların raporlanması için kullanılmaktadır.

Bu Hizmet Kapsamında Çalışılan İş Ortakları