SNORT IDS (Saldırı Tespit Sistemi) Nedir?
Saldırı tespit sistemleri bilginin bilgisayar ortamında sistemlerine saldırı gerçekleşirken ya da gerçekleştikten sonra tespit etmek işlenirken veya depolanırken başına gelebilecek tehlike ve tehditlerin ortadan kaldırılması veya bunlara karşı tedbir alınmasıdır.Bir nevi sizin evinizin özel korumasıdır.
Veri İşleme Yöntemine Göre
- İmza Tabanlı
- Anomali Tabanlı
Bilgi Kaynağına Göre
- Bilgisayar Tabanlı
- Ağ Tabanlı
İmza Tabanlı:
İmza tabanlı STS ağ da bayt dizileri veya kötü amaçlı yazılımları tespit edilmesi anlammıa gelmektir
Anomali Tabanlı:
Bu tespit sistemi gelişen kötü yazılımların yaptığı saldırıları tespit etmektedir
Bilgisayar tabanlı:
Bu tespit sisteminde ise ağdaki bütün makinalarda tek tek çalışmaktadır. Gelen ve giden paketler arasıda herhangi bir farklılık varsa karşılaştırarak bakar ve kullanıcıyı uyarır
Ağ tabanlı :
Ağdaki tüm trafiği izleyebilmesi için belli noktalara yerleştirilir. Herhangi bir saldırı tespiti veya başka bir olay gözlemler ise yöneticiye bildirir. Ağ tabanlı STS ayrıntılandığında çevrim içi ve çevrimdışı olarak 2 ye ayrılır. Çevrimiçi STS ağ ile anlık çalışır saldırı olup olmadığını kontrol ederken internetten yararlanır. Çevrim dışı STS verileri depolar ve karar vermek için bazı işlemler gerçekleştirir.
Ağ tabanlı STS'nin ağa bağlantısı
Kurulumu standart hub ve anahtarlayıcıların [Switch] farklı şekilde çalıştıklarından uğraştırıcıdır. Hublar bir porttan gelen paketi o hariç bütün portlara geçirirler. Anahtarlayıcılar ise bir porttan gelen paketi ''MAC'' adreslerine bakılarak gönderilir.
SPAN (Switch Port) Port
Anahtarlayıcının hub portu gibi özel bir portudur. Ağ trafiğini görüntülemeye ve dinlemeye yarar
Avantajları
1) Kolay kurulum
2) ayretten donanım gerektirmemesi
Dezavantajları
1) Anahtarlayıcıda en fazla 1 adet span port bulunması
2) Crc kodu bozuksa veya normal paketten boyutu büyük olursa görüntülenmemeesi
Hub kullanmak
Hub, görüntülenmek istenen bağlantının arasına koyulur
Avantajları
1) Yapılandırması basittir
STS'yi yönetmek eek donanım istemez
Dezavantajları
1) Saldırı tespit sisteminin yönetimi hub üzerinden olmalıdır yoksa anahtarlayıcı ile çarpışır
2) Ucuz hublarda hata oranı artmaktadır.
