ÇOK ALGILAYICILI SALDIRI TESPİT SİSTEMLERİ Şule Pasin spasin@toysrus.com.tr Özet Günümüzde bilgi teknolojileri sistemlerinin en önemli çalışma ve araştırma alanlarından biri güvenliktir. Sisteme veya ağa gelmesi muhtemel davetsiz misafirleri farkedebilmek için oluşturulacak saldırı tespit sistemleri, sistemleri sürekli olarak izleyebilmeyi ve saldırıları kısa süre içinde farketmeyi sağlayarak güvenlik politikalarının vazgeçilmez ürünleri arasına girmiştir. Bu çalışmada saldırı tespit sistemleri ile özel olarak çok algılayıcı saldırı tespit sistemleri (ing.multisensor intrusion detection systems) konusu ele alınmıştır. (Intrusion Detection Systems, Multi sensor IDS) Abstract Today, one of the most popular research area of information technology systems is security. Intrusion detection systems built to realize intrusions to a network or a system, became important security products as they let us obtain continuous follow up and early detection. The study outline is about intrusion detection systems and multi sensor intrusion detection systems are presented in more detail. Bilgi Güvenliği Durum Tespiti Modern iletişim teknolojileri kullanıcılara yepyeni hizmetlerin sunulmasını mümkün kılmaktadır. Ağ üzerinden sunulan hizmetlerin sayısı ve çeşitliliği günden güne başdöndürücü bir hızla artmaktadır. Bu alandaki çalışmalar ile ağüzerinden her türlü hizmetin herhangi bir anda ve herhangi bir yerdeki kullanıcılara ulaştırılabilmesi hedeflenmektedir. Ağ üzerinden sunulan hizmetlerdeki yüksek çeşitlilik beraberinde çeşitli düzeylerde karmaşıklığı getirmektedir. Artan bir biçimde, ağteknolojileri ve üst katmanında dağıtık sistemler teknolojileri günlük yaşamın her alanında kendini göstermektedir; sağlık kayıtları, banka hesapları vb. dağıtık sistemler ile işlenmektedir. Kritik sayılabilecek bilgilerin dağıtık sistemler aracılığı ile idare ediliyor olması, bu sistemlerin bulunurluğunu (ing. availability), doğruluğunu ve eksiksizliğini son derece önemli kılmaktadır. Dağıtık sistemlerin karmaşıklığı arttıkça bu sistemlerin doğruluğunu ve eksiksizliğini denetlemek ve sistemlerin kesintisiz işlerliğini sağlamak daha da güçleşmektedir. Sistemler ve bu sistemler tarafından işlenen bilgilerin güvenliği de göz önünde bulundurulduğunda, karmaşıklığın daha da artması kaçınılmazdır. Doğruluğun ve eksiksizliğinin denetiminin son derece güç olduğu durumlarda bilgi güvenliğinin her üç temel eksenine (gizlilik, bütünlük ve bulunurluk) ilişkin gereksinimlerin eksiksiz biçimde karşılanamaması durumunda kurumları ciddi tehlikeler beklemektedir. İnternet in geçtiğimiz otuz yıl içerisindeki gelişim macerası, dağıtık sistemler için yepyeni ufukların ortaya çıkmasına neden olmuştur. Internet de Saldırı Tespiti Teknolojileri Başlangıcında yalnızca akademik amaçlı bir araştırma ağı olan İnternet, bugün gelinen noktada önemli toplumsal dönüşümlere altyapı sağlar duruma gelmiştir. Ancak ilk yıllarda lüzumsuz ya da önemsiz olarak nitelendirilebilen güvenlik konusu, İnternet e bağlı kurum sayısı arttıkça ciddi bir problem haline gelmiştir. İnternet in temelini oluşturan protokollerin büyük bölümünün güvenliğe pek az önem verilerek tasarlanmışolması (örn. SMTP) bu yaklaşımı doğrular niteliktedir. İnternet in ilk yıllarından itibaren önemsiz sayılan güvenlik konusu, özellikle 1988 yılındaki Morris Kurdu (ing. worm) faciası ile dikkatleri üzerine çekmiştir. Kurt, başarılı bir biçimde binlerce bilgisayara sızmayı başarmış ve bu bilgisayar sistemlerini çalışamaz hale getirmiştir.
Morris Kurdu ile yaşanan dönüşüm sonrasında bilgi güvenliği konusunda doğrudan askeri amaçlı olmayan çalışmalar hız kazanmış, 1990 lı yılların başlarında ilk güvenlik duvarı uygulamaları ile bir takım teknik güvenlik önlemlerin alınması konusunda referans çalışmalar başlamıştır. Saldırıya kim yol açabilir? Saldırıya kimin yol açtığını tahmin edebilmek için önce saldırıyı incelemek gerekir. Çeşitli araştırma gruplarının yaptığı incelemeler, saldırılara yol açan kişilerin aşağıdakişekilde gruplanabileceğini gösteriyor : - Çalışanlar : Bir kuruma çeşitli nedenlerle yapılan saldırılarda en önemli grubu kurum çalışanları ya da kurumdan ayrılmışpersonel oluşturuyor. Bunun nedeni ise, bu kişilerin kurumun zayıf noktalarını biliyor olması. 99 CSI/FBI raporuna göre zarara uğradığı raporlanmışkurumların %55 inde sorun içeriden kaynaklanmış. - Hackerlar : Hackerlar, dehasını ispat etmek için sisteme girip, girdiğini gösteren bir mesaj bırakan ve girdiği sisteme zarar vermeyen bilgisayar meraklısı kişiler olarak biliniyorlar. Ancak günümüzde bu kavram da değişim içinde. Girdikleri sisteme zarar veren ya da en azından kurum hakkında ileride kullanılabilecek bilgi toplayıp şantaj vb. yöntemlerle zarar vermeyi hedefleyen kişiler de hacker olarak kabul ediliyorlar. Bunun asıl nedeni ise, bugün sisteme girişyöntemlerinin Internet üzerinden ücretsiz yüklenebilen binlerce crack programı sayesinde çok kolaylaşmışolması. Bir sistemi hack etmek için artık dahi olmak gerekmiyor. Bu da hacker lığı bir anlamda ayağa düşürüyor. - Virüs yazan kişiler: Virüs yazan kişiler, sistem ve iletişim ağları için çok ciddi tehditler oluşturan grubu oluşturuyor. Bugüne kadar verdikleri maddi hasar, hackerların verdiği hasarın çok üstünde. - Kriminel gruplar : Sistemlere maddi kazanç elde etmek için giren kişilerin oluşturdukları gruplar. Örnek olarak, 1994-1995 yıllarında St. Petersburg da bir kriminel grubun Citibank dan 10.4 milyon USD yi çeşitli hesaplara transfer etmeleri ve yine bir kişinin Amerika da çeşitli ISP lere izinsiz girerek 100.000 kredi kartı numarasını çalması verilebilir. - Teroristler : Teroristlerin, internet teknolojisini propaganda yapmak ve güvenli haberleşmek amacıyla kullandıkları kabul ediliyor. Bununla beraber bazı terorist grupların düşmanlarının sistemlerine zarar vermek amaçlı saldırılarda bulundukları da biliniyor. Saldırı motifleri neler olabilir? - Merak - Maddi kazanç elde etme isteği - Ün kazanma isteği - Kin Saldırı türleri neler olabilir? Bir kurumun sistemine girmek isteyen bir kişinin en çok uyguladığı yöntemler : - Servisin reddedilmesi (Denial of Service) : Hedef sistemin erişilemez ve cevap veremez duruma getirildiği atak tipidir. (SYN atak, ping atak, teardrop, LAND, ping of death, Distributed DoS atak vb...) - Tarama ve deneme (Scanning and Probing) : Satan, strobe, nmap gibi tarama ve deneme ürünleri sistemlerin ve iletişim ağlarının açıklarını bulmaya yönelik ürünlerdir. Ancak bu ürünler, kötü amaçla izinsiz girişaracı olarak kullanılabilirler. -Şifre atakları : Yetkilişifrenin ele geçirilmesine yönelik ataklardır. Şifrenin hattın dinlenmesi yoluyla kırılması veşifre dosyasına erişim sağlanarak şifrenin sözlükteki kelimelerin denenmesi yöntemi ile bulunması bilinen yaygın yöntemlerdir. - Hak ele geçirme : Sisteme izinsiz giren bir kişinin, genellikle ilk hedefi, yetki kazanmaktır. Bu kişi, NT üzerinde administrator, Unix üzerinde root hakkı kazanmaya uğraşır. Böylece, sistemin sahibi olur ve yapmak istediklerini hiçbir engelle karşılaşmadan gerçekleştirir. - Düşman kodu yerleştirme : Sistemlere izinsiz girişlerin bir kısmında, hedef sisteme düşman kodu yerleştirilir. Bu kod, veri hırsızlığı, dosyaların silinmesi ve kullanıcının gelecekte sisteme erişim yetkisi kazanması gibi işlemleri gerçekleştirmeyi hedefler. - Tahrip etme (Vandalism) : Genellikle web sayfalarını değiştirmek, dosyaları silmek, hard diski formatlamak gibi yöntemlerle sistemlerin tahrip edilmesine yönelik ataklardır. - Özel veri hırsızlığı : PC ya da laptoplardaki özel verinin kopyalanmasına yönelik girişimlerdir. Son zamanlarda laptop hırsızlığı da dahil olmak üzere özel veri hırsızlığının artış gösterdiği tespit edilmiştir.
- Dolandırıcılık ve suistimal : Dolandırıcılık, kritik dosyaların değiştirilmesi, kredi kart numaralarının çalınması gibi yöntemlerle maddi kazanç elde etmeye yönelik aksiyonlardır. Suistimal dediğimiz zaman ise, bilgisayar oyunları, işiçin gerekli olmayan nedenlerle web üzerinde sörf gibi yöntemlerle kurum kaynaklarının yersiz kullanımı anlıyoruz. - Log dosyalarının silinmesi ya da değiştirilmesi : Sistem loglarını silmek ya da değiştirmek, suç delillerini ortadan kaldırmak için kullanılan yöntemlerdir. - Güvenlik mimarisinin değiştirilmesi : Güvenlik duvarı ya da sunucu konfigürasyonlarını değiştirmeye yönelik ataklardır. Bilişim suçları ile savaşabilmek, sistemlerin ve bilgilerin güvenliğini sağlamak için sistematik çalışmaların gerekmektedir. Kurumsal güvenlik düzeyini arttırmak için yapılması gereken çalışmalar üç temel alanda toplanır. Bu alanlar sırası ile Güvenlik Politikaları ve Prosedürler Teknoloji Eğitim ve Bilgilendirme dir. Her üç alanda da çalışmaların yapılması zorunludur; bir alanda eksik bırakılacak çalışmalar diğer alanlarda yapılan çalışmaların etkisini ciddi biçimde azaltacaktır. Güvenlik politikalarının ve buna bağlı olarak prosedürlerin oluşturulması kurumun birinci önceliği olmalıdır. Güvenlik ile ilgili kurum politikası bu konuda (ya da bu konuya etki edebilecek) her türlü çalışma için esas teşkil edecektir. Teknoloji, kurumun güvenlik politikalarının yaptırımının sağlanması ve/veya politika ihlallerinin tespit edilmesi için kullanılabilecek bir araçtır, tek başına güvenlik problemlerinin tümüne bir çözüm teşkil etmez.şifreleme ve uygulamaları,güvenlik duvarları,gelişmiş tanımlama ve yetkilendirme mekanizmaları gibi muhtelif teknolojik çözümler, kurumların belirledikleri güvenlik politikalarının yaptırımının sağlanması noktasında bir araç teşkil ederler. Bilgi güvenliği konusunda endüstrinin bu günkü durumu hiç de iç açıcı görünmemektedir. CERT/CC nin istatistiklerine göre [CERT2001], 1997 ve 2000 yılları arasında rapor edilen güvenlik ihlallerinin yıllara göre sayısı geometrik olarak artmaktadır. Saldırı türleri listesine baktığımızda, bir türlü ayağa kaldıramadığımız sunucunun büyük bir olasılıkla bir Denial of Service (servisin reddedilmesi) atağıyla karşı karşıya olduğunu tahmin edebiliyoruz. Ancak bunu bilmek yeterli değil. Hangi adresten geldiğini, hangi portun kullanıldığını, hangi atak türü (SYN flood, teardrop vb) olduğunu bilmeden engel olmamız mümkün değil. CERT Coordination Center ın yayınladığı istatistiğe göre, 98 yılında 3500 üzerinde olan kurum sistemlerine izinsiz girişolayları, 99 yılında 8000 i geçerek iki katın üstünde artış göstermiş.
Saldırıyı kim haber verebilir? - Güvenlik duvarı (ing. Firewall) : Güvenlik duvarı, tanımladığınız kurallar yardımıyla izinsiz girişleri durdurur. Güvenlik duvarı günlükleri (ing. Firewall log), düzenli inceleniyorsa, kuruma dışarıdan gelen başarılı ya da başarısız izinsiz girişleri haber verir. Ancak güvenlik duvarı günlüklerini (analiz eden yardımcı raporlama ürünleri kullanılmıyorsa) düzenli incelemek yorucu ve bir kişinin tüm zamanını alan bir iştir. Ayrıca bazı koşullarda güvenlik duvarı yetersiz de kalabilir : - Atak, güvenlik duvarında izin verdiğiniz bir port üzerinden geliyor olabilir. - Atak, içeriden kaynaklanıyor olabilir. Bu durumda, güvenlik duvarı ataktan hiç haberdar olmayacaktır. - Modem gibi bir arka kapı kullanılıyor olabilir. Bu durumda da, güvenlik duvarı atlatılmış olacaktır. - Virüs ya da truva atı gibi programlar kullanılarak, kurum içinden kişilerin bilmeden atağın gerçekleşmesine yardımcı olması sağlanmış olabilir. Bu durumda da e-posta gibi güvenlik duvarında izin verdiğiniz bir servis kötü niyetli olarak kullanılmaktadır.
- Sunucu Günlükleri : Sunucu üzerindeki sistem günlükleri de, deneyimli bir sistem yöneticisi tarafından düzenli izleniyorsa, anormal durum tespit edilebilir. Yüzlerce sunucunun günlüklerini düzenli olarak kaç sistem yöneticisi takip edebilir? Ayrıca, tüm aktivitelerin kayıt edilmesi, sunucuda kaplayacağı yer nedeniyle mümkün değildir. Yine yer kısıtı nedeniyle, günlükler sık sık silinmekte ve geçmişe yönelik bir aktiviteyi izlemek çok defa mümkün olmamaktadır. Güvenlik duvarı ve sunucu günlüklerinin yetersiz kalması ve izinsiz girişlerin gün geçtikçe artması nedeniyle, izinsiz girişleri tespit etmeye yönelik yazılımların kullanımı artmaya başladı. Kaçak Giriş (Saldırı) Tespit Sistemleri adı verilen yazılımlar, atağı anında bildirme özelliğine sahipler. Saldırı Tespiti Politikanın yaptırımının sağlanması kadar, ihlallerinin tespiti de önem arz etmektedir. İhlallerin tespit edilebilmesi için monitorizasyon işlevini yerine getiren teknolojilerden faydalanılır. Saldırı tespiti (ing. intrusion detection - ID), Sistemleri yetkisiz kullanma ya da yetkilerini aşan işlemleri yapma girişiminde bulunan kişileri (ya da programları) tespit etme çalışması olarak tanımlanmaktadır [Mukherjee1994]. Saldırı tespitinin gerekliliği Denning tarafından aşağıdaki maddelerle verilmektedir [Denning1986]: Mevcut sistemlerin bir çoğunda saldırıya, sızmaya ve muhtelif diğer biçimlerde zarar verilmesine imkan verecek zaaflar bulunmaktadır; tüm bu zaafların bulunması ve düzeltilmesi teknik ve/veya ekonomik nedenler ile mümkün olamamaktadır. Bilindik zaafları olan mevcut sistemler, daha yüksek güvenlik sağlayan alternatifleri ile değiştirilememektedir. Bunun ana nedeni ya mevcut sistemlerde var olan bazı özelliklerin daha yüksek güvenlik sağlayan alternatiflerinde var olmaması ya da ekonomik nedenlerle değiştirilememesidir. Mutlak güvenliğe sahip sistemlerin geliştirilmesi imkansız değilse bile son derece güçtür. En yüksek güvenlik düzeyine sahip sistemler bile yetkilerini kötüye kullanan kullanıcılarının zarar verebilmesine imkan verir durumdadır. Saldırı tespit sistemlerinin kullanımı üç temel başlık altında özetlenebilecek faydalar sağlamaktadır: Erken tespit: Saldırı tespit sistemleri, başlayan bir ihlali sorumlu sistem yöneticilerinden çok önce tespit edebilir. Bu özellik sayesinde olay ile ilintili olarak sistem sorumlusunu SMS, e- posta, telefon ya da çağrı cihazı gibi farklı biçimlerde anında uyarabilir ve ihlalin etkisinin en kısa sürede minimize edilmesini sağlayarak riskin sınırlanmasına destek olabilir. Detaylı bilgi toplanması: Saldırı tespit sistemlerinin kullanılması sayesinde, sistem yöneticileri sürmekte olan ya da geçmişte gerçekleşmişsaldırılara ilişkin detaylı bilgi edinebilirler. Bu bilgiler saldırıların kaynağı, çapı ve hedefler üzerindeki etkilerinin incelenmesi noktasında son derece değerlidir. Toplanan bilgilerin kanıt niteliği: Sistem tarafından toplanan bilgiler, hukuki yollara başvurulduğunda kanıt teşkil edebileceği gibi, bir diğer kurumdan kaynaklanan bir ihlalde, ilgili kurumun yetkilileri ile temasa geçildiğinde de görüşmeler için zemin teşkil edebilir. Saldırı - Kaçak Giriş Tespit Sistemleri Nedir? SaldırıTespit Sistemleri, gerçek zamanlı, sistemin bütünlüğünü, kullanılabilirliğini ve gizliliğini tehdit eden aktiviteleri ayırt ederek bildiren sistemlerdir. Saldırı tespiti alanında bu güne değin yapılan çalışmalar iki temel kategoride incelenebilir; anormallik tespiti (ing. anomaly detection) ve kötüye kullanım tespiti (ing. misuse detection). Kötüye kullanım tespitinde, önceden bilinen politika ihlali olasılıkları (ya da yöntemleri) önce senaryolara dönüştürülür. Senaryolar daha sonra saldırı imzalarına (ing. attack signature) indirgenir. Saldırı imzaları, belirli bir saldırıya ilişkin olası tüm senaryoların ana eksenini oluşturan bir özet olarak nitelendirilebilirler. Saldırı imzalarının oluşturulmasından sonra bu imzalar, sistemin anlayacağı makinaca okunabilir biçime dönüştürülür. Makinaca okunabilir biçim, bu güne kadarki uygulamaların büyük birbölümünde kural temelli bir dil olarak seçilmiştir [Kumar1995] [Ilgun1995][Porras1997]. Sistemin kaynak girdisi (ağ
trafiği, sistemlere ilişkin günlük kayıtları vb.) üzerinde yapılan analizler ile bilinen zaaflara yönelik saldırıların ya da ihlallerin gerçekleşip gerçekleşmediği tespit edilmeye çalışılır; tespit edilmesi durumunda alarm üretilir. Anormallik tespitinde ise, kaynakların (kullanıcılar, programlar, sistemler vb.) normal durum davranışı istatistiksel yöntemler ile tespit edilir ve profil olarak adlandırılan özet bilgiler oluşturulur. Kaynakların davranışındaki tüm değişimler düzenli olarak değerlendirilerek ilgili profilin de güncellenmesi sağlanır. Kaynağında davranışında istatistiksel olarak ani bir değişim görüldüğünde bir anormallik olduğu öne ürülerek alarm üretilir. Saldırı tespiti ile ilgili çalışmaların ilk yıllarında, gününşartlarında karmaşık sayılan saldırıların nasıl yapıldığına ilişkin bilgilerin araştırmacıların elinde olmaması nedeni ile kötüye kullanım tespiti modeli gelişme gösterememiştir. İstatistiksel anormalliklerin tanımlanması yöntemi, daha az konu uzmanı bilgisi gerektirmesi nedeni ile tercih edilmiştir. Ancak İnternet üzerindeki bilgi güvenliği ile ilgili forumların ve tartışma listelerinin hızla artması, bu ortamlarda saldırı tekniklerine ilişkin derin teknik tartışmaların yapılabilmesi kötüye kullanım tespiti modelinin uygulanabilirliğini son yıllarda ciddi biçimde arttırmıştır. Endüstride yoğun biçimde kullanılan tüm ürünler ağırlıklı olarak bu modelde işlemektedirler. Saldırı tespit sistemlerine ilişkin bir diğer sınıflama, sistemin girdisine göre yapılan sınıflamadır. İletişim Ağı Tabanlı SaldırıTespit Sistemleri Ağ temelli sistemlerde, ağ üzerinden akan trafik sistemin girdisidir. Bu modelde çalışan bir sistemin birden fazla sisteme ilişkin trafiği izlemesi hedeflenmektedir. Ağ temelli sistemler, trafik akışını tümüyle uç sistemlerin algıladığı biçimde yorumlama durumundadır, aksi durumda muhtelif biçimlerde sistemin bertaraf edilmesi mümkün olabilmektedir [Ptacek1998]. Ağ temelli sistemler, daha az çabayla daha yüksek sayıda kaynağın davranışının izlenebilmesine ve politika ihlallerinin tespit edilebilmesine imkan verdiği için tercih edilmektedir. Ancak bu sistemlerin trafiği uç sistemlerin algıladığı biçimde yorumlama konusundaki zaafları kullanılabilirliklerini ciddi biçimde etkilemektedirler. Keza, ağtemelli sistemlerinşifreleme teknolojisinden faydalanan uygulamalar için, trafiği inceleyemiyor olmak gerekçesi ile, çalışamaz duruma gelmesi önemli bir zaaftır. İletişim ağı tabanlı saldırı tespit sistemleri, yer aldığı ağ segmenti üzerindeki trafiği izler. Kritik segmentlerin üzerine bir sensörün yerleştirilmesi, segmentlerin üzerindeki uygulamaları savunmasında da etkili olacaktır. Ağ tabanlı sistemler, paketteki bilgiyi, atak imzaları ile karşılaştırarak saldırıyı tespit ederler. Ayrıca ağ tabanlı sistemlerin genellikle, korumayı arttırmak amacıyla, belirlenen bir IP aralığını düzenli tarayarak port bazında anormal aktiviteyi bulma, sessionı tutma ve düşürme özelliği bulunmaktadır. CyberSafe (www.cybersafe.com) firmasının Centrax bölümünün teknoloji şefi Paul Proctor, ağ düğümlü IDS leri tek bir ağ düğümüne yönlenen paketleri denetleyen sistemler olarak tanımlamaktadır. ÇOK ALGILAYICILI SALDIRI TESPİT SİSTEMLERİ İletişim ağı tabanlı saldırı tespit sistemi dendiğinde veri kaynağından akan veri ile ilgili yaklaşımları anlamak büyük önem taşımaktadır. Oldukça yeni bir teknoloji olarak ortaya çıkan çok algılayıcılı saldırı tespit sistemleri (ing.multisensor IDS) kavramı iletişim ağı üzerinde veriyi toplayan algılayıcıların birden fazla (ve çoğunlukla farklı tipte verileri yorumlayacak tarzda) olmasıdır. Çok algılayıcılı saldırı tespit sistemleri ağ üzerindeki algılayıcılardan oluşur. Kimi türlerinde gelen veriyi harmanlama ve yorumlama işi sunucu üzerindeki bir yazlım tarafından yapılır.
Saldırı tespit sistemleri veri akışı Çok algılayıcılı veri akışı, veya dağıtık algılama, olaylar, aktiviteler ve durumlar hakkında öngörüde bulunabilmek için verinin birden fazla ve farklı algılayıcılardan geçerek birleştirilmesi esasına dayanan yeni bir mühendislik disiplinidir. Bu sistemler genellikle insanların idrak süreci ile, yani beyne diğer organlardan bilgi gelmesi, beynin bu sayede durumu analiz etmesi ve harekete geçmesi esası ile kıyaslanır. Veri akışı teknolojisi cephe gözetimi ve taktiksel durum değerlendirilmesi gibi ordu uygulamalarında belirgin olarak göze çarpar.robotik, üretim, tıbbi bilimler, uzaktan algılama gibi ticari uygulamalarda da veri akışı sisteminden faydalanılır. Veri akışı uygulamalarının teknik sistemlere uyarlanması istatistik, yapay zeka, yöneylem araştırması, dijital sinyal işleme, modelleme, bilgi teorisi, karar teorisi ve öğrenme psikolojisi alanları gibi ileri seviyede matematik tekniği de gerektirir. Saldırı tespit sistemi veri akışı çerçevesinde algılayıcılardan gelen verileri, daha önce elinde mevcut olan verileri ve mevcut veritabanına dahil olan verileri kullanır. Örneğin sistem girdileri birden fazla dağıtık paket sniffer dan, sistem kayıt dosyalarından, SNMP kayıtlarından, sorgulardan, kullanıcı tanımlarından, sistem mesajlarından ve operator komutlarından elde edilebilir. Saldırı tespit sisteminin çıktısı ise saldırganın kimliği (ve muhtemelen bulunduğu yer), saldırganın aktiviteleri, gözlemlenen tehditler, saldırı oranları ve saldırının ne kadar tehlikeli olduğuna verilen karardır. IDS veri birleşiminin hiyerarşik yapısı Tehdit analizi (threat analysis) Durum değerlendirme (situation assesstment) Saldırganın davranış biçiminin belirlenmesi (behaviour of intruder) Saldırganın kimliğinin belirlenmesi (identity of intruder) Saldırı oranları (rate of intrusion) Saldırı girişiminin doğrulanması (existance of intrusion)
Özellikleri: Farklı denetim kayıt formatlarıyla çalışabilmelidir. Ağdaki bir veya daha fazla düğüm, ağ üzerinde iletilen datanın toplanması ve analizi için görev yapabilmelidir. Merkezi veya merkezi olmayan yapı kullanılabilir. Network algılayıcıları iki tip algılayıcı ile çalışır. Bazı sistemlerde tek tür algılayıcı varken çoğu çok algılayıcılı saldırı tespit mekanizması her iki tür algılayıcıları bir arada kullanır. İmza algılayıcıları Saldırı imzaları, belirli bir saldırıya ilişkin olası tüm senaryoların ana eksenini oluşturan bir özet olarak nitelendirilebilirler. Saldırı imzalarının oluşturulmasından sonra bu imzalar, sistemin anlayacağı bir dile çevrilir. İmza algılayıcıları ağ üzerinde sürekli olarak tarama yaparlar ve saldırı imzalarını yakaladıklarında alarm verirler. Anormallik algılayıcıları Anormallik algılayıcıları ise, kaynağın davranışında istatistiksel olarak ani bir değişim görüldüğünde bir anormallik olduğu öne ürülerek alarm üretilir. IDS IDS IDS ID S IDS Algılayıcılar Sunucu Tabanlı Saldırı Tespit Sistemleri Sunucu tabanlı saldırı tespit sistemlerinde, kritik rol oynayan sistemler belirlenir. Bu sistemlere yüklenen bir yazılım, sistemin log dosyalarını kullanarak saldırıları tespit eder. Sunucu tabanlı saldırı tespit sistemleri, hem sunucuya giren ve çıkan trafiği izler, hem de sistem dosyalarının bütünlüğünü ve şüpheli aktiviteyi (örneğin sisteme bağlanmış şüpheli bir kullanıcıyı) kontrol eder. Sunucu tabanlı saldırı tespit sistemleri genellikle ajan-yönetici yapısında çalışan sistemlerdir. Sunucular üzerindeki network paketlerini, bağlanma girişimlerini, login girişimlerini, kritik sistem dosyalarına erişimleri, bu dosyalardaki değişimleri, kullanıcı haklarındaki değişimleri vb kontrol ederler. Sunucu temelli (ing. host based) sistemlerde, sistemin girdisi sistem günlükleri (örn. UNIX syslog u) ve uygulama kayıtları (örn. web sunucu erişim kayıtları)gibi doğrudan sistem üzerinden temin edilebilen bilgilerin toplamıdır. Sistem üzerinden toplanabilecek bilgiler kümesinin olabildiğince genişolması, bu modelde bir uygulamanın gerçekleştirilebilmesi için önemli bir gereksinimdir; muhtelif sistemlerin sağladığı olanaklar ve yeterlilikleri de tartışılmaktadır.
Bazı uzmanlar bu gruplama içerisine masaüstü IDS lerini de dahil ederler. Hatta bazıları honeypot ve honeynet adı verilen ve saldırganları kritik gibi gözüken sahte ortamlara yönlendiren sistemleri de kategori içinde gösterirler. Masaüstü çalışan bir IDS, ağ trafiğini kontrol etmekten ziyade, dosya seviyesinde koruma sağlar. Temel olarak, kişisel sistemlerdeki aktiviteleri dinleyerek Windows işletim sistemi çalıştıran PC lerdeki dosya ve sistem kaydı (registry) kayıtlarına gelebilecek muhtemel saldırıları tespit eder. Masaüstü IDS leri ayrıca trojanları yakalamada da çok etkilidir. Honeypot lar, üzerlerine saldırmaları için tasarlanmış, saldırganları aldatmaya yönelik sistemlerdir. Atak girişimlerini tespit edip gerekli yerlere uyarı mesajları yollamak için kullanılırlar. Bir honeynet ise güvenlik duvarının arkasında kalan ve muhtemel bir saldırı hakkında yararlı bilgiler edinilmesine yönelik dizayn edilen bir ağdır. Bu ağ sayesinde, potansiyel saldırganların güdüleri, kullandıkları araç ve taktikleri ortaya çıkar. Saldırı tespit sistemleri pazarına göz attığımızda, bu pazardaki en önemli iki ürünün Internet Security Systems (http://www.iss.net) firmasının RealSecure ve Cisco Systems ın (http://www.cisco.com) NetRanger olduğunu görmekteyiz. Serbestçe dağıtılan ürünler arasında ise özellikle Snort yazılımının (http://www.snort.org) başarılı olduğunu söylemek mümkündür. Saldırı imzalarının düzenli olarak güncellendiği Snort yazılımı ile oldukça farklı sayıda ve türde saldırıyı tespit edebilmek mümkün olacaktır. Saldırı Tespit Sistemleri Hangi Atakları Adresler? İletişim ağı tabanlı Saldırı Tespit Sistemleri, servisin reddedilmesi ve tarama ataklarını yakalamada en iyi çözümdür. Sunucu tabanlı Saldırı Tespit Sistemleri ise en yaygın atak tipi olan servisin reddinde
yetersiz kalırken, yetki ele geçirme, şifre atakları, tahrip etme (vandalism), logların ve güvenlik mimarisinin değiştirilmesi ataklarında en etkin çözümdür. Bu iki ürün ailesinin entegre çalıştığı, iletişim ağı ürününün aldığı bir sonucun, host ürünü tarafından değerlendirilerek aksiyon alındığı çözüm ise tek tek ürünlerin aldığı sonuçlardan daha başarılı olmaktadır. Saldırı Tespit Sistemleri Ne Yapar, Ne Yapamaz? - Saldırı Tespit Sistemleri saldırı yakalamaya yönelik sistemlerdir ve sınırlı bir koruma sağlayabilirler. Ortamda, Güvenlik duvarı ve uzaktan erişim ürünleri gibi koruma ürünlerinin yerini tutamazlar. - Tanımlanmışkuralların ve atak imzalarının belirlediği kısıtları vardır. - Saldırı Tespit Sistemleri, yapılan konfigürasyona bağlı olarak tüm atakları bloklayamazlar. - İletişim ağı bazlı Saldırı Tespit Sistemleri nde çok fazla kural tanımlanması ciddi performans problemlerine yol açabilir. - Saldırı Tespit Sistemleri nde çok fazla alarm verilmesi, ciddi problemlerin gözden kaçmasına yol açabilir. %100 güvenlik ancak teorik olarak mümkündür. Ve hiçbir güvenlik ürünü mucizeler yaratamaz. Saldırı Tespit Sistemleri de, dağıtık ortamlarda, sistem ve iletişim ağı güvenlik sorumlularını saldırılardan ve ortamlardaki anormal değişimlerden haberdar etmeyi hedeflemektedir. Bu ürün ailesinin kurumda güvenliği arttırması, ancak ürünlerin ve sistemlerin iyi tanınması, gereksinimlere göre konfigüre edilmesi ve düzenli güncellenmesi durumunda gerçekleşir. Bunun için gereken ön çalışma ihmal edildiği taktirde, ürünlerden istenen verim alınamaz. Bu durum, bilgi işlem personeli için ise yalnızca bakım gerektiren yeni sunucuları olması anlamına gelecektir. Saldırı Tespit Sistemleri, izinsiz girişin giderek arttığı günümüzde, Güvenlik duvarı ve diğer koruyucu ürünlerle beraber bir kurumun vazgeçilmez güvenlik cephesini oluşturmaktadırlar. Saldırı Tespit Sistemleri saldırı yakalamaya yönelik sistemlerdir ve sınırlı bir koruma sağlayabilirler. Ortamda, Güvenlik duvarı ve uzaktan erişim ürünleri gibi koruma ürünlerinin yerini tutamazlar. Tanımlanmışkuralların ve atak imzalarının belirlediği kısıtları vardır. Saldırı Tespit Sistemleri, yapılan konfigürasyona bağlı olarak tüm atakları bloklayamazlar. İletişim ağı bazlı Saldırı Tespit Sistemleri nde çok fazla kural tanımlanması ciddi performans problemlerine yol açabilir. Saldırı Tespit Sistemleri nde çok fazla alarm verilmesi, ciddi problemlerin gözden kaçmasına yol açabilir. Sonuç Saldırı tespit sistemleri içerisinde çok algılayıcılı saldırı tespit sistemlerinin güvenli ve dağıtık bir mimarisi vardır. Saldırı tespiti çoklu tespit motorları ile yapılır. Herbir motor farklı ağlara dağıtılabilir. Bu bize esnek, güvenli ve dağıtık bir yönetim imkanı sağlar. Referanslar [ArachNIDS 2001] ArachNIDS Açık Saldırı Tespit Kural Veritabanı, http:// www.whitehats.com adresinden erişilebilir [Bass 2000] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, 2000 [Bass 1999] Tim Bass, Multisensor Data Fusion for Nezt Generation Intrusion Detection Sytems, Iris National symposium draft, 1999 [CERT 2001] CERT/CC Web Sitesi, http://www.cert.org adresinden erişilebilir. [Dayıoğlu 2001] Burak Dayıoğlu, İnternet de Saldırı Tespiti Teknolojileri, İletişim Teknolojileri 1. Ulusal Sempozyumu ve Fuarı, Ankara, 2001 [Dayıoğlu 2001] Burak Dayıpolu, Use of Passive Network Mapping to Enhance Network Intrusion Detection, METU Graduate School Of Natural and Applied Sciences Thesis, 2001 [Denning 1986] D. Denning, An Intrusion Detection Model, Proceedings of the IEEE Security and Privacy Conference, 1986
[Ilgun 1995] K. Ilgun ve diğerleri, State Transition Analysis: A Rule Based Intrusion Detection Approach, IEEE Transaction on Software Engineering, Vol. 21, No. 3, 1995 [Innova 2002] Gülden Yüncüoğlu, Güvenlik Çözümleri Yöneticisi, INNOVA Güvenlik Çözümleri A.Ş, 2002 [Mukherjee 1994] B. Mukherjee ve diğerleri, Network Intrusion Detection, IEEE Network, Vol. 8, No. 3, 1994 [Murray 2000] Cristopher Patrick Murray, Network Forensics, Seminar, University of Minnesota, 2000 [Roesch 1999] M. Roesch, Snort Lightweight Intrusion Detection for Networks, Proceedings of the 13th LISA Conference of USENIX Association, 1999 [Wood 1997] C. Cresson-Wood, Information Security Policies Made Easy: A Comprehensive Set of Information Security Policies, Baseline Software, 1997