İyi günler Türk Hack Team ailesi.
Bugün IPS ve IDS'e bakıcağız.
IPS Nedir?
IPS yani INTRUSION PREVENTION SYSTEM. İsmindende kolaylıkla anlaşıldığı gibi izinsis girişi önleme sistemidir. Önceden belirtilmis ve sisteme kaydedilmis tehtidleri tesğit etmek ve önlemek için çalışan bir ağ güvenlik sistemidir. IPS yani izinsiz giriş önleme sistemi ağ trafiğini aktif olarak izler, olasi bir tehtid durumu arar ve bunları loglar. Bu topladığı logları sistem yöneticilerini yollar.
IDS Nedir?
IDS yani INTRUSION DETECTION SYSTEM. Bu sistem ise izinsiz bir girişi tespit etme sistemidir. Tüm gelen giden kısacası bütün ağ trafiğini izler ve denetler. Bir sisteme girmeye çalısan veya bir sistemi ele geçirmeye çalışan süpheli bir ağ saldırısını tanımlar.
IDS ve IPS Nasıl Çalışır?
İlk önce ikisinin nasıl çalıştığını öğrenmek için ikisinin farkını öğrenmeniz gerekmektedir. Birisi izinsiz giriş tespit sistemleri. Yani IDS diğeri ise izinsiz giriş önleme sistemi IPS. Birisi girişi kontrol ediyor, diğeri izinsiz olan girişleri önlüyor. Bu iki sistem ağ altyapısının parçalarından sadece iki tanesidir. Ağ'ya gönderilen paketleri ağ trafiği üzerinden inceler eğer paketlerin içerisinde zararlı yazılımlara ait bir imza bulunuyorsa veri tabanıyla karşılaştırır ve eşlesen bütün paketleri işaretler. Temel çalışma mantığı bu şekildedir. IDS'in biraz daha ne yaptığına bakalım. Hatalı bir kullanım tesğiti ve sıra dışı durumları tespit için kullanılır. Yukardada yazdığım üzere. Bu tespitleri ağ trafiğin'in içerişinden geçen paketleri izler, olağan dışı bir durum olduğunda ise sınıflandırma yapmaya başlar normal durum olan dışı durum şeklinde. IDS'in kullandığı ekstradan 2 adet araç vardır. Network Sensor ve Server Sensor. Network Sensor ağ üzerindeki sensorlerdir. Ağ trafiğini bu sensorleri kullanarak izler. Zararlı yazlım içeren paketleri bu sensor sayesinde tesip etmektedir. Server Sensor ise ana makinada bulunan sensördür. Ana makinaya hakim olur sadece sunucunun trafiğini izlemek için kullanılır. Gelen trafiği kontrol eder, eğer gelen paketi gönderen kişininn yetkisi yok ise sunucuya erişmesini engeller. Bu sensör Network Sensor aynı veritabanın altındadır. IPS ise ağ trafiğinin içerisindeki zararlı yazılımları tesip ederek önlemesi için kullanılır. Asıl amacı ise zararlı paketlerin ve zararlı haraketlerinin ağ trafiğinin içerisinde tespit edilip durdurulması yönündedir. IDS ve IPS'in aynı olan iki tür çalışma mantıkları bulunuyor. İmza tabanlı çalışma ve kural tabanlı çalışma. Bunlar bu iki sistemin ortak özelliklerinden birisidir.
En basit sekli ile anlatmaya çalıştım umarım anlaşılmıştır. İyi günler dilerim.
