İPUCU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

IDS | IPS Yapısı ve Tespiti //Siber Güvenlik Serisi #1

MBeyTHT - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2016
Mesajlar:
3.263
Konular:
288
Teşekkür (Etti):
119
Teşekkür (Aldı):
727
Ticaret:
(0) %
23-01-2018 13:38
#1
IDS | IPS Yapısı ve Tespiti //Siber Güvenlik Serisi #1
Merhaba TURKHACKTEAM, son zamanlarda fark ettim'ki forum üzerinde IPS-IDS yapısını çok bilmeyen kişi var bilgilenme amaçlı önemli bir konudur. size bu yapılardan bahsedeceğim ve bu tespit nasıl tespit edilir onlardan bahsedeceğim.(ALINTILAR YAPILMIŞTIR.)


IDS nedir?
IDS, (Intrusion Detection Systems) kötü niyetli ağ hareket ve bağlantılarının testipi için kullanılan sistemdir. Amacı tanımlama ve loglamadır. Bir nevi saldırı tespit sistemidir. Teknolojik olarak dünya üzerinde bilinen ve daha önceden kaydedilmiş saldırı tipleri saldırı veritabanlarında toplanır. Kullandığımız IDS-IPS sistemleri bu veritabanlarını sürekli olarak güncel tutar ve sunucularınıza gelecek saldırıları sürekli izleyebilmemizi sağlar.

IDS sadece analiz ve izleme sistemleridir. Herhangi bir engelleme özellikleri bulunmamaktadır. Fakat IDS sistemleri sadece hosting network sistemleri ile entegre çalışarak engelleme özellikleri sunarlar. Firewall’lar paketlerin geçmesini kısıtlayabildikleri halde, bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendilerini yeniden programlama yeteneğine sahip değildirler.

Ayrıca kendilerinin algıladığı saldırı sayısı da oldukça azdır. Intrusion Detection Sistem (IDS) teknolojisi sayesinde, hem saldırılara karşı korumak istediğiniz sisteme saldırı gerçekleştirildiğini anlayabilir, hem de bu saldırıyı yapan kaynagın bir daha sisteminize erişmesini engelleyebilirsiniz. IDS aynı zamanda saldırı yapıldığında, firewall veya router gibi iletişim agi cihazlarını yeniden konfigüre ederek tekrar aynı yolla saldırı yapılmasını engeller. IDS’in sensör ve yönetim konsolu olmak üzere iki temel bileşeni vardır.


Nasıl Çalışır?

Network Sensör: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tespit ettiği an bu paketleri bloklar. Genelde sadece bu işlemi yapmak için kurulan bir pc üzerinde çalışır.

Server Sensör: Ana makinalarımıza yüklenen sensörlerdir. Server sensörler sadece yüklü oldukları makina üzerindeki trafiği dinlerler. Üzerinde çalıştıkları makinaların işletim sisteminden aldıkları bilgileri incelerler (sistem loglarını) bu sayede makinaya erişim bilgilerini (yetkili/yetkisiz), kaynak kullanımı, dosya silinmesi vs. gibi tüm işlemler hakkında bilgi sahibi olurlar. Network sensörlerle aynı veri tabanını kullanırlar ve veri tabanında atak olarak tanımlanmış işlemleri tesbit ettikleri an bu istekleri bloklarlar.

══════════════════════════════════════════════════ ════════════

IPS nedir?
IPS, (Intrusion Prevention Systems) kötü niyetli ağ hareket ve bağlantılarının önlenmesi için kullanılan sistem. Amacı kötü niyetli ağ hareketlerinin önlenmesidir. IDS sistemleri ile aynı teknoloji ile çalışan IPS sistemlerinde ek olarak engelleme özelliği de bulunmaktadır. Bu özellik sayesinde ek bir cihaza gerek duymadan saldırı engelleme yapılabilir.



IDS-IPS sistemleri DDOS saldırılarında doğru bir çözüm üretmez ve tam aksine gelen aşırı yüksek talepler yüzünden tüm network'ünüzün kapanmasına sebep olurlar. Bu nedenle DDOS saldırıları için Sadece Hosting DDOS Hizmetini incelemenizi öneririz. IDS-IPS hizmetlerimiz Firewall hizmetlerimiz ile birlikte kullanılmak zorundadır. Bu sayede IDS sistemleri performans sorunu yaşamadan sadece sizin ihtiyaç duyduğunuz trafikleri analiz ederler. Analiz edilen trafik miktarının artması durumunda IDS cihazları aşırı kaynak tüketerek kötü servis verebilirler. Bu nedenle sadece cihazı satın almak yetmeyecek bu servisleri ve cihazları sürekli izlemek gerekecektir.

Örnek: Microsoft Windows tabanlı 3 sunucu üzerinde Web, Ftp, RDP, MSSQL ve DNS servisleri kullanan bir müşterimiz bulunuyor. Bu müşterimizin sistemlerine internet üzerinden talepler gelmek zorunda bu nedenle bu servislerin açık olması gerekiyor ise müşterimiz günde 2000 civarında yüksek risk değerine sahip saldırı alacaktır. Sadece Hosting IDS müşterimizin kullanımı için gereken tüm güvenlik önlemlerini sağlar ve 7/24 gelen talepleri kayıt altında tutar.

IDS hizmeti içerisinde Sadece Hosting Juniper SRX ve Cisco ASA serisi cihazlar kullanmaktadır. Bu cihazlar 2 saatlik aralıklarda veritabanlarını update ederek çalışırlar. Bu update edilen veritabanları müşterilerimizin sunucularına gelecek saldırılarda en güncel şekilde engelleme ve koruma sağlarlar.

IDS hizmeti kullanmayan üzerinde sadece 1 adet web sitesi çalışan normal bir sunucu günde ortalama oran olarak 1200-1500 arasında saldırı almaktadır. Bu saldırılar planlı veya plansız olarak dünya üzerindeki sistemlerden gelmektedir. Sunucunuz üzerinde daha fazla web sitesi çalışıyor ise bu saldırı oranları katlanarak artmaktadır. Sadece Hosting IDS sistemleri normal bir iş günü içerisinde 190 milyon IDS alarmı almakta ve bu saldırıları engellemektedir.


══════════════════════════════════════════════════ ════════════


IDPS nedir?

IDPS (Intrusion Detection and Prevention Systems) kötü niyetli ağ hareket ve bağlantılarının önlenmesi ve tanımlanması için kullanılan sistem. Amacı tanımlama, loglama, limitleme (bazı sistemler belli bir limitin üstüne çıktığında saldırı kabul edilir.) ve durdurmadır.

══════════════════════════════════════════════════ ════════════


AKTİF İDS/İPS TESPİTİ NASIL YAPILIR ?

ADIMLAR ŞEKLİNDE İLERLEYELİM :

  • Hedef sistem önünde aktif bir IPS/IDS/WAF olup olmadığını tespit etmenin en sık kullanılan yöntemi IPS'lerin geneli tarafından tanınan belirli payloadların hedef sistemden istenmesidir.
  • Örnek olarak http://www.ornek.com/../../../cmd.exe gibi bir bağlantı çağrılarak sonucu yorumlanmalıdır. IPS ile korunan sistemler bu tür durumlarda sıklıkla cevap vermeyerek time outa düşürme veya connection reset işlemi döndürürler.
  • İlgili talepleri browserdan gönderebileceğimiz gibi komut satırından da gönderebiliriz.
  • IPS koruması olmayan bir sisteme bu tip HTTP istekleri gönderdiğimizde aşağıdakina benzer çıktı alırız.


Kod:
# telnet www.snort.org 80
Trying 68.177.102.20…
Connected to www.snort.org.
Escape character is ‘^]’.
GET ../../../etc/passwd HTTP/1.0
Kod:
HTTP/1.1 400 Bad Request
Date: Mon, 15 Feb 2010 09:53:42 GMT
Server: Apache
Content-Length: 289
Connection: close
Content-Type: text/html; charset=iso-8859-1
IPS koruması olduğunu düşündüğümüz bir siteye aynı isteği ilettiğimizde aşağıdaki gibi cevapsız kalma gibi bir durum ile karşılaşabiliriz.

Kod:
root@bt:~# telnet www.tippingpoint.com 80
Trying 66.179.208.38…
Connected to www.tippingpoint.com
Escape character is ‘^]’.
GET ../../../etc/passwd HTTP/1.0
…
…
İYİ FORUMLAR //Sosyal Medya Asistanınız
Konu MBeyTHT tarafından (23-01-2018 13:40 Saat 13:40 ) değiştirilmiştir.
Hakyiyenhacky3r, MixPro, HANEDAN1 Teşekkür etti.
Belvando - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Mantı V2
Mesajlar:
239
Konular:
34
Teşekkür (Etti):
59
Teşekkür (Aldı):
201
Ticaret:
(0) %
23-01-2018 13:40
#2
Gayet güzel bir anlatım yapmışsın.
Ellerine sağlık
---------------------
Bastığın yerleri 'toprak' diyerek geçme, tanı!
Düşün altındaki binlerce kefensiz yatanı.
Sen şehit oğlusun, incitme, yazıktır atanı;
Verme, dünyaları alsan da bu cennet vatanı.
Telegram: @belvando
Hakyiyenhacky3r - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2016
Nereden:
İnstagram
Yaş:
19
Mesajlar:
4.266
Konular:
734
Teşekkür (Etti):
233
Teşekkür (Aldı):
1246
Ticaret:
(0) %
23-01-2018 13:41
#3
Eline Sağlık.
--------------------- I never lose. Either I win or I learn.
MBeyTHT - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2016
Mesajlar:
3.263
Konular:
288
Teşekkür (Etti):
119
Teşekkür (Aldı):
727
Ticaret:
(0) %
23-01-2018 13:44
#4
Alıntı:
Hakyiyenhacky3r´isimli üyeden Alıntı Mesajı göster
Eline Sağlık.
Alıntı:
Belvando´isimli üyeden Alıntı Mesajı göster
Gayet güzel bir anlatım yapmışsın.
Ellerine sağlık
Teşekkürler
Connected - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2016
Mesajlar:
774
Konular:
56
Teşekkür (Etti):
73
Teşekkür (Aldı):
159
Ticaret:
(0) %
23-01-2018 13:45
#5
emeğine sağlık güzel konu
---------------------
$ C0D3R $
Mocean - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2016
Nereden:
Sarmatia
Yaş:
18
Mesajlar:
990
Konular:
108
Teşekkür (Etti):
30
Teşekkür (Aldı):
99
Ticaret:
(0) %
23-01-2018 14:19
#6
bundan önce ağ ile alakalı temel bilgilerin verilmesi , okuyanlarda daha sağlam bir temel oluşturur.
---------------------
The Master Algorithm
Ego primum tollo, nominor quoniam leo
CYANİD - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2015
Nereden:
Nereye
Yaş:
19
Mesajlar:
981
Konular:
65
Teşekkür (Etti):
432
Teşekkür (Aldı):
137
Ticaret:
(0) %
23-01-2018 14:19
#7
Elinize emeğinize sağlik guzel bir anlatim yapmişsiniz
--------------------- Soru ve Sorunlarınız için
Telegram: +1 (916) 573-5505
MBeyTHT - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2016
Mesajlar:
3.263
Konular:
288
Teşekkür (Etti):
119
Teşekkür (Aldı):
727
Ticaret:
(0) %
23-01-2018 22:46
#8
Alıntı:
Connected´isimli üyeden Alıntı Mesajı göster
emeğine sağlık güzel konu
TEŞEKKÜRLER

Alıntı:
Mocean´isimli üyeden Alıntı Mesajı göster
bundan önce ağ ile alakalı temel bilgilerin verilmesi , okuyanlarda daha sağlam bir temel oluşturur.
Öncelikle dostum web bölümünde verilecek o temel bilgiler bu siber güvenlik bölümü İPS yapısı en önceliklidir.Üniversite düzeyi bilgi bunlar.

Alıntı:
Samed38´isimli üyeden Alıntı Mesajı göster
Elinize emeğinize sağlik guzel bir anlatim yapmişsiniz
TEŞEKKÜRLER
olcan32 Teşekkür etti.
Ceys - ait Kullanıcı Resmi (Avatar)
Süper Moderatör
Üyelik tarihi:
04/2016
Mesajlar:
7.026
Konular:
690
Teşekkür (Etti):
144
Teşekkür (Aldı):
3117
Ticaret:
(0) %
23-01-2018 22:46
#9
eline sağlık.
olcan32 Teşekkür etti.
HANEDAN1 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
KIZIL ELMA
Yaş:
22
Mesajlar:
290
Konular:
9
Teşekkür (Etti):
101
Teşekkür (Aldı):
76
Ticaret:
(0) %
23-01-2018 22:49
#10
Emeğine sağlık biraz bilgim vardi üstüne biraz daha ekledim sagolasin
--------------------- Bildiklerini anlat, ama akıl vermeye kalkma.
Anlatılanları iyi dinle, ama hepsini doğru sanma.
Sessiz kalmak, bir şey bilmediğin anlamına gelmez, çok konuşmakta çok şey bildiğini göstermez.
Herkesi kendine eşit gör.
Cesaret akıldan gelirse cesarettir, bilgisizlikten gelirse cehalettir.
olcan32 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı