Internet'te Güvenliğinizi Ele Alın (Dökümantasyon) | ihvan forum – Özgür Düşünce ve Paylaşım Platformu!

Internet'te Güvenliğinizi Ele Alın (Dökümantasyon)

MaKHoRSa

Üye
İhvan Üyesi
Katılım
25 Eki 2006
Mesajlar
124
Puanları
0
Hazırlamış olduğum bu döküman,internet hayatımızda sıkça kullandığımız E-Ticaret hakkında kapsamli bir bilgi sunuyor.Döküman boyunca E-Ticaret hakkında bilmemiz gerekenler,internetten alışveriş yaparken nelere dikkat etmemiz gerektiği ve almamız gereken önlemler üzerinde durulmuştur.

E-TİCARET

Güvenlik konusu ile doğrudan ilişkili ve can damarı sayılabilecek e-ticaret meselesi..
E-Ticaret'te güvenlik denilince yaygın olarak herkesin aklına sanal mağazanın alması gereken önlemler gelmektedir.Ancak bu yeterli olmayıp müşterilerinde yapması gereken bir takım önlemler bulunmakta olup,sadece sanal mağazanın önlem alması yeterli değildir.Genel saldırıların önemli bir kısmını oluşturan sanal mağazalar içinde aynı normal bir mağazada olduğu gibi mutlaka güvenlik önlemleri alınmalıdır.
Birçok banka bu güvenlik hizmetlerini sunmaktadır.Bunlar paket şifrelemeyi temel alan SSL ve SET sistemleridir.SSL halen dünyada birçok site tarafından kullanılan en yaygın güvenlik sistemidir.SET ise,SSL sistemine göre oldukça güvenli,kriptografiyi daha sıkı kullanan bir güvenlik şirketidir.
Müşterilerin yapması gerekenlerin başında ise,sadece güvenliğinden emin olduğunuz sitelere,kredi kartı ve kişisel bilgilerinizi vermeniz,tanınmış sitelerden alışveriş yapmanız ve sözleşmeleri iyice okumanız gelmektedir.
Aşağıda "Güvenli alışveriş Kuralları" başlığı altında dikkat etmeniz ve uygulamanız gereken maddeleri anlatmaya çalıştım.

GÜVENLİ ALIŞVERİŞ KURALLARI

1. Mağaza adını,açık adresini,telefon numarasını ve e-posta adresini veriyor mu? Vermiyorsa o işyerinden uzak durun.Güvenilir mağazalar kim olduklarını ve onlara nasıl ulaşmanız gerektiğini belirtirler.Problem anında,kime nasıl ulaşabileceğinizi bilmeniz çok önemli.

2.İşyeri detaylı bir ürün açıklaması sunmuş mu?Bu ürün açıklamasının bir kopyasını kaydettiniz mi?Sipariş ettiğiniz ürün ekranda gördüğünüzden farklı çıkabilir.Bu durumda iş yerine geri dönüp ekranda gördüğünüz ürünün size gelenden farklı olduğunu ispat etmeniz gerekebilir.

3.Satış koşulları anlaşılır bir şekilde hazırlanmış mı?Eksik olan birşey var mı?Satış koşullarının anlaşılır bir şekilde yazılmış olması gerekmektedir. Bunun yanı sıra aşağıdaki bilgilere kesin olarak cevap vermelidir:

* Ürünün toplam fiyatı(vergiler ve paketleme ücreti dahil)
* Ekstra ücretler
* Teslimat şartları
* İptal ve iade şartları,üretici ve satıcı garantileri.
* Ödeme koşulları

Bütün bu bilgilerin bir kopyasını muhafaza edin.Eğer bilgiler eksikse mümkünse başka bir iş yerinden alışveriş yapın.

4. Aldığınız ürünün sizi tatmin etmemesi durumunda ne yapabileceğiniz açıkça belirtilmiş mi? İşyerleri müşteri sorunlarını çözmek için bir süreç oluşturmak durumundadırlar.Eğer sorun olduğunda ne yapabileceğiniz,nereye nasıl başvuracağınız belli değilse başka bir yerden alışverişinizi yapmaya çalışın.

5. Ürün seçme,sipariş,ödeme ve iptal süreçleri yeterince anlaşılabilir mi?
Güvenilir iş yerleri size bütün bu süreçlerin basit ve anlaşılır bir özetini sunarlar.Size her etapta seçtiğiniz ürünleri,bunların fiyatlarını ve ek masrafları açık bir şekilde gösterirler ve bu ürünleri değiştirme fırsatı sunarlar.İş yeri bu konulara açık bir şekilde cevap vermemişse başka yerlerden alışverişinizi gerçekleştirmeye çalışın.

6.Bu sitenin ödemeleriniz için güvenli bir sistem sunduğundan emin misiniz? Genelde güvenilir iş yerleri sitelerinin belirli yerlerinde sitelerinin nasıl ve neden güvenli olduğunu belirtirler.Böyle bir bilgiye rastlayamazsanız sakın o siteye kredi kartı bilgilerinizi vermeyin.Ayrıca,kredi kart numaranızı girerken tarayıcının sağ köşesinde kapalı bir kilit sembolü olmasına ve yukarıdaki adres bölümünün "HTTPS://" ile başlamasına dikkat edin.Bunlardan biri yoksa kredi kart bilgilerinizi SAKIN vermeyin!

7.İşyerinin kişisel bilgilerinizi nasıl kullanacağını biliyor musun? İşyerlerinin sitelerinde mutlaka müşterilerinin kişisel bilgilerini nasıl kullandıklarına ilişkin bir "gizlilik politikası" olmalıdır.Normalde,bir iş yeri şahsi bilgilerinizi alışverişinizi tamamlamak dışında bir amç için kullanmadan sizden izin istemelidir.Fakat gizlilik anlaşması olmadan bu konudan emin olamazsınız ve e-posta kutunuzda onlarca alakasız reklam ile karşılaşmanız mümkün olabilir.

8.Türkiye dışındaki bir siteden mi alışveriş yapıyorsunuz? Uluslararası alışveriş yaparken diğer ülkelerin tüketici kanunlarının ülkemizden farklı olabileceğini unutmayın. TC mevzuatı bu tür alışverişlerinizde geçersiz olacaktır.Ayrıca yurt dışına sipariş verdiğinizde olası sorunları çözmek daha zor olabilir.Yurt dışına telefon ederek yabancı bir dilde konuşan müşteri temsilcisiyle saatlerce görüşmek zorunda kalabilirsiniz. Yurt dışından alışveriş yapacaksanız,mutlaka tanınmış ve güvenilir siteleri seçmelisiniz.

9. Size gönderilen izinsiz bir e-posta reklamında gördüğünüz bir ürünü mü almak istiyorsunuz? Güvenilir iş yerleri sizin izniniz olmadan e-posta aracılığı ile reklam yapmazlar.Eğer bildiğiniz ve tanıdığınız bir firma değilse,bu şekilde ürün satmaya çalışan iş yerlerinden uzak durun.

Internet Üzerinden Yapılan Alışverişler İçin Öneriler

1. Küçük tutarlı siparişlerle başlayın.Daha önce Internet üzerinden alışveriş yapmamışsanız,kitap veya CD gibi düşük tutarlı ürünleri sipariş ederek başlayın.

2. Farklı sanal mağazaları gezin.Internet üzerinden yapılan satışlarda fiyatlar siteden siteye farklılıklar göstermektedir.En uygun fiyatı bulmak için alternatifleri dikkatli şekilde inceleyin.

3. Yönlendirmenin kolay olduğu siteleri tercih edin.Alışveriş yapmanın rahat olduğu,seçeneklerin kolay anlaşılabilir ve hataya yer vermeyen siteleri tercih edin.

4. Güvenlikle ilgili garantilere dikkat edin.Sanal Kart kullanmıyorsanız kredi kartı numaranızın yanlış ellere geçmemesi için,kredi kartı numarasını girdiğiniz sayfanın bir güvenlik sistemi kullandığından emin olun.Güvenli bir sitede kapalı bir kilit sembolü veya "https://" ile başlayan bir Internet adresi görülecektir.Kredi kartı numarası gibi özel bilgilerin güvenli bir ortamda gönderildiğini düşünmüyorsanız,o sitede alışveriş yapmayın.

5. Kişisel bilgilerinize dikkat edin.Internet üzerinde her alışveriş yaptığınızda veya bir siteden bilgi talep ettiğinizde kendinizle ilgili değerli bilgilerden oluşan dijital bir iz bırakırsınız.Pek çok firma bu tür bilgilere ulaşmaya çalışır.Alışveriş yaptığınız sitenin açıkça ifade edilmiş bir gizlilik politikası olup,olmadığını kontrol edin.Eğer yoksa,alışverişinizi başka bir siteden yapın.

6. Sahtekarlığa karşı tedbirli olun.Internet üzerinden yapılan sahtekarlığın boyutları tam olarak belli değildir.Kredi kartı numaranızı,son kullanma tarihini ve CVC numarasını başkalarına vermeyin ve kredi kartınızı günlük hayatta kullanırken dikkatli olun.

7. Bildiğiniz firmaları tercih edin.Ücretsiz bilgi hattı veya müşteri hizmetleri hattı bulunan siteleri tercih edin.Bu sayede aklınıza takılan bütün konular hakkında detaylı bilgi alabilirsiniz.Internet sitesinde firmanın açık adresinin/telefonun yer almasına dikkat ediniz.

8. Ürün seçerken taviz vermeyin.Bir sitede tam olarak aradığınızı bulamıyorsanız,bulduğunuzla yetinmeyin ve başka siteleri de araştırın.

9.İndirimleri takip edin.Bazı perakendiciler siteleirnde düzenli olarak indirimler uygulamaktadırlar.Diğerleri ise seri sonu ürünleri düşük fiyatlarla Internet üzerinden müşteriye sunmaktadırlar.

10. Alışveriş yaptığınız sitelerde şifre belirlerken dikkatli olun.Adınızı,adresinizi veya doğum tarihinizi şifre olarak girmeyin.

11. Ürün fiyatlarını kontrol edin.Ürünün fiyatı sizce makul mü? Herhangi bir ürüne ederinin üzerinde ödeme yapıyor olabilirsiniz.Bu nedenle sipariş etmeden önce ürünün piyasa fiyatı hakkında bilgi sahibi olun.

12. Garanti,iade ve satış şartlarına dikkat edin.Alışverişi tamamlamadan önce ilgili şartlara,para ve ürün iadesinin mümkün olup,olmadığını dikkatli olarak araştırın.Ürün ve para iadesi konusunda bilgi bulunmayan sitelerden e-mail veya telefonla bilgi isteyin,eğer bilgi alamıyorsanız bu sitelerden alışveriş yapmayın.

13. Siparişinizi kontrol edin.Sipariş ettiğiniz ürünlerin adedini,fiyatını,teslimat için verdiğiniz adres ve telefon bilgilerini dikkatli şekilde kontrol edin.

14. Kargo ve taşıma ücretlerine dikkat edin.Internet üzerinden yapılan bir alışveriş nakliye ücretleri nedeniyle dezavantajlı hale gelebilir.Genellikle Internet üzerinden satış yapan firmalar kargo ve taşıma hizmetleri için ne kadar ödemeniz gerektiğini,ödeme işleminin en son safhalarından belirtirler.Bazı siteler satış tutarlarını yükseltmek için otomatik olarak ekspres teslimat seçeneğini sunmaktadırlar.Bu durumda eğer süre açısından bir probleminiz yoksa daha ucuz teslimat yöntemlerini sizin seçmeniz gerekebilir.

15. Eğer bozulabilen ürünler satın alıyorsanız teslimat yöntemine ve fiyatına dikkat edin.Ürünlerin bozuk çıkması durumunda firmanın paranızı tamamen geri ödeyeceğinden veya ürünü yenisiyle değiştireceğinden emin olun.

16. Gönderilen malı inceleyin.Ürünü teslim aldıktan hemen sonra inceleyin.Eğer herhangi bir problemle karşılaşırsanız derhal satıcı firma ile irtibat kurun.

17. Satış esnasındaki kayıtları muhafaza edin.Aşağıda yazmış olduğum dökümanları satış sonrasında saklamanız sizin için faydalı olacaktır :

*Satıcının isim,adres ve telefon numaralarını gösteren sayfa.

*Satış şartlarını belirten sayfalar.

*Alışverişle ilgili olarak satıcıya gönderdiğiniz ve satıcıdan gelen teyit veya bilgi notları.

*Yapılan ödeme ve teslimat şartlarıyla ilgili bilgileri içeren sayfalar.

18. Tüketici olarak hakkkınızı koruyun.Alışverişlerde alıcı ve satıcının karşılıklı hak ve sorumluluklarını düzenleyen 4077 sayılı ve 23.02.1995 tarihli Tüketicinin Korunması Hakkındaki Kanun'da Internet üzerinden yapılan ticaret "Kapıdan Satışlar" kapsamında değerlendrilmektedir. [Burada parantez açmak zorundayım arkadaşlar çünkü bu mevzuat yeni kanuna göre düzenlendiğinde nasıl bir hal alıyor bilemiyorum.Ben sizlere üniversitede okuduğumuz ve bize öğretilen şekilde bahsettim mevzuattan.Son kanuna göre düzenlenmiş şeklini internetten araştırarak bulabilirsiniz sanırım.]


Son Söz :

* Alışveriş yaptığınız sayfanın güvenilir olduğunu anlamanın en kesin yolu,kredi kartınızla ilgili bilgileri gireceğiniz sayfanın Internet adresindeki "http" nin "https" ye dönüşmesidir.Bu dönüşüm,firmanın sanal mağazasının bulunduğu sitenin SSL güvenlik protokolünü kullandığını gösterir.

* Internet üzerinde sanal alışveriş hizmeti veren firmalar,sanal alışverişin güvenliğini sağlayan standartlar ve teknolojiler kullanmaktadır.Internet tarayıcınızın Explorer veya Netscape olmasına bağlı olarak kilit ikonu kilitlenmiş veya anahtar ikonunun kırık olmadığı sayfalar güvenli sayfalardır.Fakat bu durum tarayıcı versiyonlarına göre ve sertifikanın alındığı sertifikasyon kurumuna göre değişiklik gösterebilir.

* Güvenilir ve isim sahibi sitelerden yaptığınız alışverişlerinizde güvenlik açısından bir problem çıkması ihtimali çok düşüktür.Tanımadığınız veya güvenliğinden emin olmadığınız bir siteden alışveriş yapmanız gerekiyorsa limiti düşük bir kredi kartı kullanın.

* Satın aldığınız ürün ile ilgili teslim tarihi,ilave ücretler,garanti koşulları gibi detaylara çok dikkat edin.

* Satın alma işleminizin bittiğini belirten mesajı yazıcınızdan çıkartarak saklayın.

* Kredi kartı ekstrelirinizi dikkatle inceleyin.Şüphe duyduğunuz bir harcamayı bankanıza bildiriniz ve takip ediniz.


Yukarıdaki açıklamalar içerisinde ara sıra SSL ve SET güvenlik protokollerinden bahsettim.Bunların ne olduğunu tam olarak bilmeyen arkadaşlar olabilir.Onları aydınlatmak için kısaca onlardan da bahsetmek istiyorum.

SSL (SECURE SOCKET LAYER)

SSL, network üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür.
1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının(Microsoft Explorer,Netscape Navigator v.s) desteklediği bir standart haline gelmiş ve çok geniş uygulama alanları bulmuştur.
SSL,gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar.Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir.Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır.Anahtar uzunluğu bilginin korunması için çok önemlidir.
Örneğin 8 bit üzerinden bir iletinin çözülmesi son derece kolaydır.Bit,ikilik sayma düzeninde bir rakamı ifade eder.Bir bit,0 veya 1 olmak üzere 2 farklı değer alabilir.8 bit ise sadece 28=256 olası farklı anahtar içerir.Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir.
SSl protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır.128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir.
Örneğin kötü niyetli bir kişinin 128 bit'lik bir şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması gerekir.Bu örnekten anlaşılacağı gibi SSL güvenlik sistemi oldukça iyi bir koruma sağlar.

SET(SECURE ELECTRONIC TRANSACTIONS)

SET,banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa,Mastercard,Microsoft,Netscape,GTE,IBM,SAIC,Terica Systems ve Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir.SET uyumlu ilk alışveriş,18 Temmuz 1997'de San Francisco'da yapılan tanıtımla İspanya ve Singapur'da bulunan sanal mağazalardan gerçekleştirilmiştir.
SET protokolünde alışveriş,sanal cüzdan ve sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir.SET,alışveriş işlemi sırasında ödeme bilgisi gizliliğini,kart kullanıcısının gerçek kart sahibi olduğunu ve iş yerinin banka ile anlaşmalı bir iş yeri olduğunu garantiler.
SET sisteminde provizyon işlemi müşteri alışveriş seçimini yaptıktan sonra müşterinin sanal cüzdanı ile mağazanın Sanal POS'unun(V-POS) birbirlerinin gerçekliklerini dijital sertifikalar aracılığıyla kontrol etmeleri ile başlar.Mağazanın Sanal POS yazılımı sipariş tutarını ve sanal cüzdanda bulunan ve alışveriş için seçilen kredi kartının sertifika bilgilerini bankaya iletmesi ile devam eder.Banka yapılan alışverişin içeriğini (malın ne olduğu,kaç tane alındığı vb.) görmeksizin provizyon verir.Müşterinin kredi kartı bilgilerini görmeyen sanal mağaza ise bankadan gelecek onayı bekler.Onayı aldıktan sonra da ürünü alıcısına gönderir.

Bu 2 güvenlik protokolü de görüldüğü gibi e-ticaret sırasında bizler için olmazsa olmaz güvenlik önemlerini oluşturuyorlar.Bu güvenlik özelliklerine sahip olmayan bir siteden alışveriş yapmak,şehrin en işlek yerinde çantamız açık vaziyette dolaşmak kadar güvensiz bir ortam oluşturacaktır.
 

MaKHoRSa

Üye
İhvan Üyesi
Katılım
25 Eki 2006
Mesajlar
124
Puanları
0
Hazırladığım bu dökümanda,güvenliğimiz için almamız gereken önlemlerden birisi olan "Saldırı Tespit Sistemi" üzerinde durmaya çalıştım. Saldırı tespit sistemlerinin ne anlama geldiği, hangi yöntemlerle kullanıldığı, yararları ve eksi tarafları,piyasadaki en çok tutulan ürünlerin tanıtımları ve özellikleri konusunda önemli bir döküman olduğunu düşünüyorum.
Tüm dökümanı okumanız,güvenliğiniz için sizlere artı puan kazandıracaktır.Bu yüzden okumaktan kaçınmayın.
Umarım faydalı bir döküman hazırlayabilmişimdir.


Saldırı Tespit Sistemleri


Saldırı tespit sistemleri,Internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek,çeşitli paket ve verilerden oluşabilecek saldırıları fark etmek üzere tasarlanmış sistemlerdir.

Amacı:

Temel amaçları belirlenen kurallar çerçevesinde,saldırıları tespit ederek mail,sms,snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir.

Önemi:

Her gün binlerce sistem saldırıya uğramaktadır.Bu saldırılardan bazıları ise maddi ve manevi boyutta kayıplara neden olmaktadır.Genel olarak bu saldırıların yapısı ve karakteristliği konusunda bir fikir ortaya atılamamktadır.Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir.Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir.İlk yol,bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır.İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır.
İlk tip saldırıları önlemek ikinci tip saldırılara göre daha kolaydır.Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ancak ikinci tip saldırılarda daha savunmasız kalınır.Çünkü belirgin bir hareket veya tarz yoktur.Bu durumda saldırı önleme yöntemleri de çeşitlilik kazanmıştır.Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur.Büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.
Yerel ağı korumak amaçlı olan Firewall ve Anti-Virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadır.Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar,ayarlarından kaynaklanan hatalar,Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler,Anti-virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır.Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedir.

İçerik Olarak Çalışma Şekilleri

Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar.İlk yapıda Anti-virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları tespit etmek hedeflenmektedir.İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir.Bu düzende olabilecek herhangi bir normal dışı hareket saldırının tanımlanmasını sağlamaktadır.İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadır.Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir.Genelde bu tür sistemlerde saldırıların çokluğu,her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır.Ancak ticari yazılımlarda otomatik olarak Internet'ten her gün yeni saldırı imzaları indirilebilmektedir.Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir; örneğin snort için her gün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.
İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır.Ağda ya da çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı ya da olağandışı hareketler gördüklerinde ise rapor ederler.Örneğin, IIS web sunucusuna gelen ziyaretçiler %99 indeks.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen fark edilebilir.Ancak gerçek durum örnekte anlattığım kadar da parlak değildir.Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır.Ayrıca bu hareketlerin zaman içerisinde değişebilirliği,kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaşmaktadır.

Yerleşim Olarak Çalışma Şekilleri

Yerel ağda çalıştıkları yere göre ikiye ayrılmaktadırlar.
Ağ tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır.Ağdaki yakalayabildiği tüm paketleri inceler ve ağa giriş izni olup olmadığına karar vererek haber verirler.Kuruldukları sistemde dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır.Genel olarak posix tabanlı sistemlerde ya da kendi özel işletim sistemlerinde çalışmaktadırlar.Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih edilmemektedir.Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar.Bazı sistemler ise her ağ parçasını kendisinden farklı her biri agent(yardımcı) olark adlandırılan sistemler ile dinlemektedir.Böyle durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler.Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir.
Sunucu tabanlı saldırı tespit sisemleri ; çeşitli özel sunuculara yüklenerek,o sunucuya yönelik saldırıları tespit etmek veya önlemek şeklinde çalışırlar.Bulundukları sistemlerin konfigürasyon dosyalarını izlemeye almak,sistem ile ilgili kayıtların tutulduğu dosyaları izlemeye almak,o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır.
Kuruldukları sistemlere tam olarak uyum sağlayabilmeleri konusunda zaorlukları vardır.İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması,o sistemin zayıflıklarına uygun yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır.Özel bir sunucu yazılımı için üretilmiş olanları da vardır,Snort for ISS gibi.

Yararları :

1. Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır.

2. Yerleştikleri sistem gereği gerek sunuculara özel,gerekse tüm ağa özel koruma sağlamaktadırlar.

3. Firewall ve Router gibi pasif güvenlik araçları değildirler,aktif olarak raporlama,engelleme ve öğrenme gibi artıları sunmaktadırlar.

4. Ürettikleri sonuçlar ile potansiyel olarak tehlike gösteren güvenlik zaafları saldıranların tepkilerinden belirlenebilir.Gerekiyorsa çeşitli önlemler alınabilir.

5. Gelen saldırıların karakteristliğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı sunarlar.

Zayıflıkları :

Her saldırı tespit sisteminin yerleşim yönteminden ya da çalışma yönteminden kaynaklanan çeşitli zayıflıkları ve engelleri vardır.Bunlara ek olarak tüm saldırı tespit sistemlerinin ortak problemleri de vardır.
Öncelikle ortak problemlerine bakılırsa,çok fazla hatalı kayıt ürettikleri görülmektedir.Henüz tam gerçek ve güvenilir kayıtlar üretememektedirler.Üretilen kayıtlardan büyük bölümü bir saldırıya ait değildir.Bu durum tepki verme imkanını da kısıtlamaktadır.Alınan bir yanlış alarm sonucu gerekli gereksiz bağlantılar kesilebilir,çeşitli adresleri reddetmek için kurallar koyulabilir.Bu durum kötüye de kullanılabilir.Bir saldırgan,gönderdiği sahte adresli paketler ile hizmet alınan bir ağın bağlantısını koparabilir.Üretilen kayıtlar henüz yasal delil olarak kullanılmamaktadır.Halen geliştirilmeye çalışılan bu yönü ciddi zaaflarındandır.Ayrıca kurulan saldırı tespit sistemlerinin birbirleriyle haberleşememesi ya da sadece aynı firmaya ait sistemlerin haberleşebilmesi de bir diğer ciddi zaafıdır.
Bir diğer zayıf yönleri ise şifrelenmiş veri trafiği konusunda çözümsüz olmaları,örneğin SSl ile kurulmuş bir oturum içerisindeki paketleri fark edememesi ciddi engellerindendir.Genel olarak saldırganlar ele geçirdikleri sistemlere basitçe bir şifreleme (örn. blowfish) yöntemiyle verileri şifreleyen trojanlar yerleştirilerek saldırı tespit sistemlerini etkisiz hale getirebilmektedirler.
Anormallikleri saptama yöntemiyle çalışan sistemlerde ise öğrenme(yani ağdaki sistemlerin ve olayların hangi aralıklarla,hangi şekillerde olduğunu saptama) aşaması uzun sürmektedir.Bu durum öğrenme sürecinde saldırı tespit sisteminin işe yaramayacağı anlamına gelmektedir.Ağa eklenecek yeni bir sunucu,sunulacak ya da alınacak yeni bir hizmet sistemi tekrar öğrenme sürecine sokacaktır.Bu öğrenme süreci içerisinde sürekli olarak yanlış kayıtlar üretilecektir.
Yine bir başka zayıflık ise saldırganların bu öğrenme sürecinde sistemi düzenli olarak incelemesi ve olağan sayılabilecek hareketler ile hareket edebilmesi veya baştan olağan olan ancak daha sonra yavaş yavaş arttırılan haklarla sisteme müdahale edebilmesidir.Henüz çok yeni olan bu yöntem bugün itibariyle kullanışlı değildir ancak ileride sistemlerin bu şekle döneceği de düşünülmektedir bence.
Kural tabanlı yöntemle çalışan sistemlerde ise anti-virüs sistemlerine benzer zaaflar mevcuttur.Tanımlanamayan bir saldırı başarılı olabilmekte ya da kayıt edilememektedir.Tüm kuralların sürekli olarak güncellenmesi gerekmektedir,haliyle bu işlem ya otomatize olarak yapılmalı ya da düzenli olarak bir yönetici tarafından yapılandırılmalıdır.Anti-Virüs sistemleri kadar gelişmiş olmayan imza veritabanları ancak çeşitli kurallar tanımlanmasıyla anlam kazanabilmektedir.Ayrıca belirlenen kurallar içerisinde dikkat edilmesi gereken birkaç ayrıntı da bulunmaktadır.Bir kural yazılırken saldırı olarak tespit edilecek paketin tüm özellikleri,yani paket boyu,hedefi,içeriği,kaynağı,protokolü,hedef ve kaynak portu tam olarak tanımlanmalıdır.Böylece aynı imzayı taşıyan fakat bir saldırı olmayan paketlerin yanlış alarm olarak gelmemesi sağlanmış olur.
Ağ tabanlı sistemlerde genel sorunlar ağın yapısı ve donanımlarıyla ilgilidir.Ağdaki tüm trafiği izlemesi istenilen saldırı tespit sistemi üzerinde 100 Mbit bir Ethernet kartı bulunuyorsa ve izlenilecek veri trafiğinin aktığı switch üzerinde ise 12 port bulunuyorsa,11 portun 1 porta kopyalanması şeklindeki ayar değişikliği switch'in 11 x 100 Mbit trafiği saldırı tespit sisteminin 100 Mbit Ethernet'inin olduğu porta kopyalanması sonucunu doğuracaktır.
Dolayısıyla da ciddi oranda kaçan veri trafiği olacaktır.Böyle bir durumda yapabileceğiniz çok fazla önlem de bulunmamaktadır.Ancak son günlerdeki projeler ile bu sorunu aşmak için saldırı tespit sistemlerinin switch içerisine gömülmesi planlanmaktadır.Böylece trafiğin büyük bölümü yakalanabilecektir.Tabi bu durumda ikinci bir engel daha oluşacaktır tahminimce çünkü bugün kullanılan saldırı tespit sistemlerinden en iyisi bile 60 Mbit üzerindeki trafiği bırakıyor.Bu da zaten bir kısmı kaçan incelenecek veri miktarını iyice düşürüyor.Ayrıca tek engel veri miktarı da değil,açılan oturumların sayısı da saldırı tespit sistemini bir o kadar zorlamaktadır. Örneğin bolca ICQ mesajının aktığı ağda topu topu 30 Mbit veri akmakta iken saldırı tespit sistemi ciddi sorunlar yaşayacaktır.
Bu sorunları iyi kullanan saldırganların geliştirdikleri yöntemler içerisinde parçalanmış paketler ile saldırı gerçekleştirmek en önemlilerindendir.Ağ yoğun çalışan bir ağ ise saldırganın parçalayarak gönderdiği paketlerden bir kısmı saldırı tespit sistemi tarafından yakalanabilmekte iken bir kısmı da hiç yakalanamayacaktır.Birleştirilemeyen paket içindeki imzalar doğrulanamayacağından saldırı tanımlanmayacaktır ; ancak hedefin paketleri birleştirip içerisine bakması durumunda saldırı gerçekleşecek ve kayıtlarda gözükmeyecektir.
Sunucu tabanlı sistemlerin ise daha çok çalıştığı platform ve taşınabilirlik problemleri vardır.Genel olarak girdileri işletim sisteminin oluşturduğu kayıtlar olmasına rağmen bazı sunucu tabanlı sistemler Ethernet kartını promiscupus moda geçirerek paketlerden sisteme veya özel bir servise ulaşılması istenmeyenleri engellemeye çalışırlar.Girdilerin sunucunun kendi kayıtlarından alınması her işletim sisteminin kendine ait bir kayıt tutma özelliği ve bazı işletim sistemlerinde aynı önemi taşımaması ya da bulunmaması taşınabilirliklerini ve kurulduğu işletim sistemi platformlarında güvenlik oranının sürekli aynı olmasını engeller.Dolayısıyla tercih edilecek ticari bir ürün ise o firmanın tüm sunuculara özel çözümlerinin bulunması ve sağladığı güvenlik boyutunun yaklaşık olarak aynı olması tercih edilmelidir.

Saldırı Tespit Ürünleri & Özellikleri

Piyasada en çok öne çıkan ticari ürünlerden bazıları :

Real Secure Host :[ISS]

Internet Security Systems ' RealSecure tek bilgisayarlar ve networkler için güçlü,otomatikleştirilmiş,gerçek zamanlı atak koruması sağlayan bir yazılımdır.RealSecure dikkat çekmeyen,sürekli bir gözetim sağlar.Güvenlik açıklarına ve Network'un suistimal edilmesine sistemin tehlikeye düşmesinden önce cevap verir ve bu tip işlemlerin yolunu keser.RealSecure çeşitli sensor seçenekleri ve merkezi bir yönetim konsolu ile her türlü network'e kolaylıkla uyum sağlayabilmektedir ve artı olarak yönetim işlemlerini network trafiğini paketleri kablolardan kopyalayarak izlediklerinden kesinlikle dikkat çekmezler. RealSecure Server sensorleri de kendi CPU'larını ve hafıza kullanımlarını iç limitler dahilinde izleyerek minimize ederler. RealSecure Network Sensor network trafiğini ataklara ve diğer güvenlikle alakalı olaylara karşı izleyen ayrı bir sistem üzerinde çalışır.Atak tespiti,karşı cevap ve bu sayede korunma,zengin imza ve cevap alternatiflerinin doğru tanımlanması ile anında gerçekleşir.RealSecure Server Sensor,kernel seviyesinde hareketleri,host loglarını ve network aktivitelerini analiz ederek kritik serverlarda gerçek zamanlı izleme ve zararlı aktivite etkilerinden korunma sağlayabilmektedir.Tüm bu özellikleri ile bence piyasadaki en güvenilir yazılımların başını çekmektedir.

NetProwler [Axent]

NetProwler,mevcut güvenlik önlemlerini tamamlamakla birlikte Network trafiğini,performansı etkilemeden denetleyen ve bilgisayar sistemlerinin kötü niyetli kişilerce yetkisiz kullanımını anında tespit etmeye yarayan,kurumsal bazda kullanıma hazır,dinamik Network saldırı tespit sağlayarak şirketlerin e-business girişimlerini destekler.NetProwler,yüzlerce bilinen veya yeni güvenlik açıklarına yönelik tehditlerin yanı sıra kurumsal mekanizmaları hedefleyen saldırılara karşı da korunma imkanı verir.En gelişmiş saldırı yöntemleri bile Netprowler'a özel etkili SDSI işlemcisi ile etkisiz hale getirilir.

Intruder Alert [Axent]

Symantec Intruder Alert, izinsiz girişimleri tespit ederek sistemleri ve verileri kötü niyetli kullanıma karşı korur.Belirtilen sistemlere yönelik bir tehdit söz konusu olduğunda bilgi hırsızlığını veya kaybını önlemek amacıyla otomatik olarak acil tedbir alır.Rekabete dönük en önemli avantajları şunlardır :

* Çok yönlü platform desteği.

* Çeşitli saldırı tespit durumlarında kullanıcılar için basit kural geliştirme imkanı.

* Hızlı ve kolay kural belirleme ve yönetim olanağı.

* Etkili ve basit yönetilebilirlik özellikleri.

Kilit Noktaları :

* İzinsiz prosesleri tespit etmek ve haber vermek amacıyla sistemi gerçek zamanlı olarak izler.

* Etkili ve istenen kriterlere göre belirlenebilen saldırı tespit politikaları ve karşılıkları yaratılmasını sağlar.

* Güvenlik politikalarını kolaylıkla uygulamanızı mümkün kılan etkili yönetim araçlarına sahiptir.

* Symantec Intruder Alert, "actions" üzerinden tek bir merkezi yönetim konsolu ile tüm network'te karşı önlemler almanıza ve bunları uygulamanıza olanak sağlar.

* Problem tesbiti ve inceleme analizlerine yönelik denetleme bilgisi sağlamakla birlikte sunucu ve network saldırı tespit sistemi için grafik raporlar oluşturur.

* Firewall ve diğer erişim kontrol sistemlerini network performansında çok az değişimle veya hiç etkilemeden tamamlar.
 

MaKHoRSa

Üye
İhvan Üyesi
Katılım
25 Eki 2006
Mesajlar
124
Puanları
0
Internet'te Güvenliğinizi Ele Alın [Döküman No :2]

Hazırladığım bu dökümanda,güvenliğimiz için almamız gereken önlemlerden birisi olan "Saldırı Tespit Sistemi" üzerinde durmaya çalıştım. Saldırı tespit sistemlerinin ne anlama geldiği, hangi yöntemlerle kullanıldığı, yararları ve eksi tarafları,piyasadaki en çok tutulan ürünlerin tanıtımları ve özellikleri konusunda önemli bir döküman olduğunu düşünüyorum.
Tüm dökümanı okumanız,güvenliğiniz için sizlere artı puan kazandıracaktır.Bu yüzden okumaktan kaçınmayın.
Umarım faydalı bir döküman hazırlayabilmişimdir.


Saldırı Tespit Sistemleri


Saldırı tespit sistemleri,Internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek,çeşitli paket ve verilerden oluşabilecek saldırıları fark etmek üzere tasarlanmış sistemlerdir.

Amacı:

Temel amaçları belirlenen kurallar çerçevesinde,saldırıları tespit ederek mail,sms,snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir.

Önemi:

Her gün binlerce sistem saldırıya uğramaktadır.Bu saldırılardan bazıları ise maddi ve manevi boyutta kayıplara neden olmaktadır.Genel olarak bu saldırıların yapısı ve karakteristliği konusunda bir fikir ortaya atılamamktadır.Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir.Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir.İlk yol,bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır.İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır.
İlk tip saldırıları önlemek ikinci tip saldırılara göre daha kolaydır.Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ancak ikinci tip saldırılarda daha savunmasız kalınır.Çünkü belirgin bir hareket veya tarz yoktur.Bu durumda saldırı önleme yöntemleri de çeşitlilik kazanmıştır.Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur.Büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.
Yerel ağı korumak amaçlı olan Firewall ve Anti-Virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadır.Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar,ayarlarından kaynaklanan hatalar,Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler,Anti-virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır.Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedir.

İçerik Olarak Çalışma Şekilleri

Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar.İlk yapıda Anti-virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları tespit etmek hedeflenmektedir.İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir.Bu düzende olabilecek herhangi bir normal dışı hareket saldırının tanımlanmasını sağlamaktadır.İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadır.Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir.Genelde bu tür sistemlerde saldırıların çokluğu,her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır.Ancak ticari yazılımlarda otomatik olarak Internet'ten her gün yeni saldırı imzaları indirilebilmektedir.Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir; örneğin snort için her gün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.
İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır.Ağda ya da çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı ya da olağandışı hareketler gördüklerinde ise rapor ederler.Örneğin, IIS web sunucusuna gelen ziyaretçiler %99 indeks.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen fark edilebilir.Ancak gerçek durum örnekte anlattığım kadar da parlak değildir.Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır.Ayrıca bu hareketlerin zaman içerisinde değişebilirliği,kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaşmaktadır.

Yerleşim Olarak Çalışma Şekilleri

Yerel ağda çalıştıkları yere göre ikiye ayrılmaktadırlar.
Ağ tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır.Ağdaki yakalayabildiği tüm paketleri inceler ve ağa giriş izni olup olmadığına karar vererek haber verirler.Kuruldukları sistemde dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır.Genel olarak posix tabanlı sistemlerde ya da kendi özel işletim sistemlerinde çalışmaktadırlar.Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih edilmemektedir.Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar.Bazı sistemler ise her ağ parçasını kendisinden farklı her biri agent(yardımcı) olark adlandırılan sistemler ile dinlemektedir.Böyle durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler.Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir.
Sunucu tabanlı saldırı tespit sisemleri ; çeşitli özel sunuculara yüklenerek,o sunucuya yönelik saldırıları tespit etmek veya önlemek şeklinde çalışırlar.Bulundukları sistemlerin konfigürasyon dosyalarını izlemeye almak,sistem ile ilgili kayıtların tutulduğu dosyaları izlemeye almak,o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır.
Kuruldukları sistemlere tam olarak uyum sağlayabilmeleri konusunda zaorlukları vardır.İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması,o sistemin zayıflıklarına uygun yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır.Özel bir sunucu yazılımı için üretilmiş olanları da vardır,Snort for ISS gibi.

Yararları :

1. Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır.

2. Yerleştikleri sistem gereği gerek sunuculara özel,gerekse tüm ağa özel koruma sağlamaktadırlar.

3. Firewall ve Router gibi pasif güvenlik araçları değildirler,aktif olarak raporlama,engelleme ve öğrenme gibi artıları sunmaktadırlar.

4. Ürettikleri sonuçlar ile potansiyel olarak tehlike gösteren güvenlik zaafları saldıranların tepkilerinden belirlenebilir.Gerekiyorsa çeşitli önlemler alınabilir.

5. Gelen saldırıların karakteristliğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı sunarlar.

Zayıflıkları :

Her saldırı tespit sisteminin yerleşim yönteminden ya da çalışma yönteminden kaynaklanan çeşitli zayıflıkları ve engelleri vardır.Bunlara ek olarak tüm saldırı tespit sistemlerinin ortak problemleri de vardır.
Öncelikle ortak problemlerine bakılırsa,çok fazla hatalı kayıt ürettikleri görülmektedir.Henüz tam gerçek ve güvenilir kayıtlar üretememektedirler.Üretilen kayıtlardan büyük bölümü bir saldırıya ait değildir.Bu durum tepki verme imkanını da kısıtlamaktadır.Alınan bir yanlış alarm sonucu gerekli gereksiz bağlantılar kesilebilir,çeşitli adresleri reddetmek için kurallar koyulabilir.Bu durum kötüye de kullanılabilir.Bir saldırgan,gönderdiği sahte adresli paketler ile hizmet alınan bir ağın bağlantısını koparabilir.Üretilen kayıtlar henüz yasal delil olarak kullanılmamaktadır.Halen geliştirilmeye çalışılan bu yönü ciddi zaaflarındandır.Ayrıca kurulan saldırı tespit sistemlerinin birbirleriyle haberleşememesi ya da sadece aynı firmaya ait sistemlerin haberleşebilmesi de bir diğer ciddi zaafıdır.
Bir diğer zayıf yönleri ise şifrelenmiş veri trafiği konusunda çözümsüz olmaları,örneğin SSl ile kurulmuş bir oturum içerisindeki paketleri fark edememesi ciddi engellerindendir.Genel olarak saldırganlar ele geçirdikleri sistemlere basitçe bir şifreleme (örn. blowfish) yöntemiyle verileri şifreleyen trojanlar yerleştirilerek saldırı tespit sistemlerini etkisiz hale getirebilmektedirler.
Anormallikleri saptama yöntemiyle çalışan sistemlerde ise öğrenme(yani ağdaki sistemlerin ve olayların hangi aralıklarla,hangi şekillerde olduğunu saptama) aşaması uzun sürmektedir.Bu durum öğrenme sürecinde saldırı tespit sisteminin işe yaramayacağı anlamına gelmektedir.Ağa eklenecek yeni bir sunucu,sunulacak ya da alınacak yeni bir hizmet sistemi tekrar öğrenme sürecine sokacaktır.Bu öğrenme süreci içerisinde sürekli olarak yanlış kayıtlar üretilecektir.
Yine bir başka zayıflık ise saldırganların bu öğrenme sürecinde sistemi düzenli olarak incelemesi ve olağan sayılabilecek hareketler ile hareket edebilmesi veya baştan olağan olan ancak daha sonra yavaş yavaş arttırılan haklarla sisteme müdahale edebilmesidir.Henüz çok yeni olan bu yöntem bugün itibariyle kullanışlı değildir ancak ileride sistemlerin bu şekle döneceği de düşünülmektedir bence.
Kural tabanlı yöntemle çalışan sistemlerde ise anti-virüs sistemlerine benzer zaaflar mevcuttur.Tanımlanamayan bir saldırı başarılı olabilmekte ya da kayıt edilememektedir.Tüm kuralların sürekli olarak güncellenmesi gerekmektedir,haliyle bu işlem ya otomatize olarak yapılmalı ya da düzenli olarak bir yönetici tarafından yapılandırılmalıdır.Anti-Virüs sistemleri kadar gelişmiş olmayan imza veritabanları ancak çeşitli kurallar tanımlanmasıyla anlam kazanabilmektedir.Ayrıca belirlenen kurallar içerisinde dikkat edilmesi gereken birkaç ayrıntı da bulunmaktadır.Bir kural yazılırken saldırı olarak tespit edilecek paketin tüm özellikleri,yani paket boyu,hedefi,içeriği,kaynağı,protokolü,hedef ve kaynak portu tam olarak tanımlanmalıdır.Böylece aynı imzayı taşıyan fakat bir saldırı olmayan paketlerin yanlış alarm olarak gelmemesi sağlanmış olur.
Ağ tabanlı sistemlerde genel sorunlar ağın yapısı ve donanımlarıyla ilgilidir.Ağdaki tüm trafiği izlemesi istenilen saldırı tespit sistemi üzerinde 100 Mbit bir Ethernet kartı bulunuyorsa ve izlenilecek veri trafiğinin aktığı switch üzerinde ise 12 port bulunuyorsa,11 portun 1 porta kopyalanması şeklindeki ayar değişikliği switch'in 11 x 100 Mbit trafiği saldırı tespit sisteminin 100 Mbit Ethernet'inin olduğu porta kopyalanması sonucunu doğuracaktır.
Dolayısıyla da ciddi oranda kaçan veri trafiği olacaktır.Böyle bir durumda yapabileceğiniz çok fazla önlem de bulunmamaktadır.Ancak son günlerdeki projeler ile bu sorunu aşmak için saldırı tespit sistemlerinin switch içerisine gömülmesi planlanmaktadır.Böylece trafiğin büyük bölümü yakalanabilecektir.Tabi bu durumda ikinci bir engel daha oluşacaktır tahminimce çünkü bugün kullanılan saldırı tespit sistemlerinden en iyisi bile 60 Mbit üzerindeki trafiği bırakıyor.Bu da zaten bir kısmı kaçan incelenecek veri miktarını iyice düşürüyor.Ayrıca tek engel veri miktarı da değil,açılan oturumların sayısı da saldırı tespit sistemini bir o kadar zorlamaktadır. Örneğin bolca ICQ mesajının aktığı ağda topu topu 30 Mbit veri akmakta iken saldırı tespit sistemi ciddi sorunlar yaşayacaktır.
Bu sorunları iyi kullanan saldırganların geliştirdikleri yöntemler içerisinde parçalanmış paketler ile saldırı gerçekleştirmek en önemlilerindendir.Ağ yoğun çalışan bir ağ ise saldırganın parçalayarak gönderdiği paketlerden bir kısmı saldırı tespit sistemi tarafından yakalanabilmekte iken bir kısmı da hiç yakalanamayacaktır.Birleştirilemeyen paket içindeki imzalar doğrulanamayacağından saldırı tanımlanmayacaktır ; ancak hedefin paketleri birleştirip içerisine bakması durumunda saldırı gerçekleşecek ve kayıtlarda gözükmeyecektir.
Sunucu tabanlı sistemlerin ise daha çok çalıştığı platform ve taşınabilirlik problemleri vardır.Genel olarak girdileri işletim sisteminin oluşturduğu kayıtlar olmasına rağmen bazı sunucu tabanlı sistemler Ethernet kartını promiscupus moda geçirerek paketlerden sisteme veya özel bir servise ulaşılması istenmeyenleri engellemeye çalışırlar.Girdilerin sunucunun kendi kayıtlarından alınması her işletim sisteminin kendine ait bir kayıt tutma özelliği ve bazı işletim sistemlerinde aynı önemi taşımaması ya da bulunmaması taşınabilirliklerini ve kurulduğu işletim sistemi platformlarında güvenlik oranının sürekli aynı olmasını engeller.Dolayısıyla tercih edilecek ticari bir ürün ise o firmanın tüm sunuculara özel çözümlerinin bulunması ve sağladığı güvenlik boyutunun yaklaşık olarak aynı olması tercih edilmelidir.

Saldırı Tespit Ürünleri & Özellikleri

Piyasada en çok öne çıkan ticari ürünlerden bazıları :

Real Secure Host :[ISS]

Internet Security Systems ' RealSecure tek bilgisayarlar ve networkler için güçlü,otomatikleştirilmiş,gerçek zamanlı atak koruması sağlayan bir yazılımdır.RealSecure dikkat çekmeyen,sürekli bir gözetim sağlar.Güvenlik açıklarına ve Network'un suistimal edilmesine sistemin tehlikeye düşmesinden önce cevap verir ve bu tip işlemlerin yolunu keser.RealSecure çeşitli sensor seçenekleri ve merkezi bir yönetim konsolu ile her türlü network'e kolaylıkla uyum sağlayabilmektedir ve artı olarak yönetim işlemlerini network trafiğini paketleri kablolardan kopyalayarak izlediklerinden kesinlikle dikkat çekmezler. RealSecure Server sensorleri de kendi CPU'larını ve hafıza kullanımlarını iç limitler dahilinde izleyerek minimize ederler. RealSecure Network Sensor network trafiğini ataklara ve diğer güvenlikle alakalı olaylara karşı izleyen ayrı bir sistem üzerinde çalışır.Atak tespiti,karşı cevap ve bu sayede korunma,zengin imza ve cevap alternatiflerinin doğru tanımlanması ile anında gerçekleşir.RealSecure Server Sensor,kernel seviyesinde hareketleri,host loglarını ve network aktivitelerini analiz ederek kritik serverlarda gerçek zamanlı izleme ve zararlı aktivite etkilerinden korunma sağlayabilmektedir.Tüm bu özellikleri ile bence piyasadaki en güvenilir yazılımların başını çekmektedir.

NetProwler [Axent]

NetProwler,mevcut güvenlik önlemlerini tamamlamakla birlikte Network trafiğini,performansı etkilemeden denetleyen ve bilgisayar sistemlerinin kötü niyetli kişilerce yetkisiz kullanımını anında tespit etmeye yarayan,kurumsal bazda kullanıma hazır,dinamik Network saldırı tespit sağlayarak şirketlerin e-business girişimlerini destekler.NetProwler,yüzlerce bilinen veya yeni güvenlik açıklarına yönelik tehditlerin yanı sıra kurumsal mekanizmaları hedefleyen saldırılara karşı da korunma imkanı verir.En gelişmiş saldırı yöntemleri bile Netprowler'a özel etkili SDSI işlemcisi ile etkisiz hale getirilir.

Intruder Alert [Axent]

Symantec Intruder Alert, izinsiz girişimleri tespit ederek sistemleri ve verileri kötü niyetli kullanıma karşı korur.Belirtilen sistemlere yönelik bir tehdit söz konusu olduğunda bilgi hırsızlığını veya kaybını önlemek amacıyla otomatik olarak acil tedbir alır.Rekabete dönük en önemli avantajları şunlardır :

* Çok yönlü platform desteği.

* Çeşitli saldırı tespit durumlarında kullanıcılar için basit kural geliştirme imkanı.

* Hızlı ve kolay kural belirleme ve yönetim olanağı.

* Etkili ve basit yönetilebilirlik özellikleri.

Kilit Noktaları :

* İzinsiz prosesleri tespit etmek ve haber vermek amacıyla sistemi gerçek zamanlı olarak izler.

* Etkili ve istenen kriterlere göre belirlenebilen saldırı tespit politikaları ve karşılıkları yaratılmasını sağlar.

* Güvenlik politikalarını kolaylıkla uygulamanızı mümkün kılan etkili yönetim araçlarına sahiptir.

* Symantec Intruder Alert, "actions" üzerinden tek bir merkezi yönetim konsolu ile tüm network'te karşı önlemler almanıza ve bunları uygulamanıza olanak sağlar.

* Problem tesbiti ve inceleme analizlerine yönelik denetleme bilgisi sağlamakla birlikte sunucu ve network saldırı tespit sistemi için grafik raporlar oluşturur.

* Firewall ve diğer erişim kontrol sistemlerini network performansında çok az değişimle veya hiç etkilemeden tamamlar.
 
Üst