Günümüzde artan bilgisayar korsanlığı ve internet üzerinden gelen saldırılar, savunma sistemlerinin de gelişmesinde büyük bir rol oynamaktadır. Savunma sistemlerini ise doğru ve bilinçli bir şekilde kullanmamız gerekmektedir. Uzman olmayan kişiler tarafından kullanılan savunma sistemleri, sistemize zararlı aktivitelerin yapılmasına sebep olmaktadır. Savunma stratejimizi belirlemek için, saldırgan profilleri ve saldırı çeşitlerini tespit etmemiz gerekmektedir. Burada Saldırı Tespit Sistemleri (STS) devreye girmektedir. Saldırı Tespit Sistemleri, kendisine ulaşan veri paketlerini inceleyip, belirlenmiş izler (signature) aracılığı ile saldırı ve bilgi toplama aktivitelerinin kayıtlarını tutmamızı sağlar. Bu yazımızda Saldırı Tespit Sistemlerini ayrıntılı bir şekilde inceleyip, kullanım şekilleri ve yararlarını tartışacağız.
Saldırı Tespit Sistemleri, bizim için çalışan özel yazılımlardır. Bu yazılım sensör ve yönetim arabirimi olarak iki parçadan oluşur. Genel olarak incelediğimizde, Saldırı Tespit Sistemleri ağdaki paketlerin hedefini önemsemeden hepsini incelemek için ağ bağlantı noktasından alan ve iz veritabanı dediğimiz listeye göre eleme yaparak, saldırı aktivitelerini kayıt eden yazılımlar olarak tanımlayabiliriz. Tanıma dikkat edersek, bir ağ bağlantı noktası ve oradan alınan veri paketlerinden bahsetmekteyiz.Saldırı Tespit Sistemleri, sadece erişimi olan veri paketlerini inceleyebilmektedir. Bu yüzden, Saldırı Tespit Sistemlerinin konumu ve ağımızdaki bağlantı noktası çok önemlidir. Eğer yapmak istediğimiz analizin, tüm ağı kapamasını istiyorsak, buna dikkat etmeliyiz
Saldırı Tespit Sistemleri, küçük ve orta boy ağlarda ateşduvarının (firewall) önüne ve arkasına olmak üzere iki noktada konumlandırılmaktadır. Büyük ağlarda ise, sistemin yapısına göre, gerek görülen her noktaya, Saldırı Tespit Sistemi sensörleri konulmaktadır. Büyük ağların, küçük ağ yapılarından oluştuğunu bildiğimize göre, yazımızda küçük ağlarda Saldırı Tespit Sistemlerinin konumlarını incelememiz bir problem oluşturmaz.
Ateşduvarının önünde, yönlendiricimizin arkasında bir Saldırı Tespit Sistemini hat üzerine (inline) bağlamamız kesinlikle gerekmektedir. Bu noktada varolan yapıyı bozmamak, Saldırı Tespit Sisteminin varlığının fark edilmesini ve saldırıya maruz kalmasını engellemek için, Saldırı Tespit Sistemlerini iki portlu bir switch haline dönüştürmeliyiz. Yazımızın konusu olmadığı için, iki ethernet kartlı bir bilgisayarın nasıl switch haline getirileceğini anlatmayacağız. Saldırı Tespit Sistemimizi konumlandırdığımıza göre, ondan elde edebileceğimiz faydaların neler olduğuna bir göz atalım. Ateşduvarımızın önünde konumlandırılması dolayısı ile, hiçbir filtrelemeye maruz kalmadan tüm paketleri inceleyebilen sistemimiz, internet ortamında şirketimizin ağına gelen tüm saldırıları ve saldırgan profillerini rahatça ortaya koyabilmektedir. Saldırı tiplerine ve saldırıların hedeflerine bakarak, önlemler almamız kolaylaşmaktadır. Örnek olarak, e-posta sunucumuzu hedef alan saldırılar gözlemlediğimizde, sunucumuz üzerinde başarıya ulaşmış bir saldırı izi olup olmadığını ve çalışan tüm servislerin yamalarının yapılıp yapılmadığını kontrol edebiliriz. Saldırganların kullandığı sistemlerin IP adreslerinin de kayıtları tutulduğu için, ya saldırganları yakalayabiliriz ya da daha önce saldırıya uğramış başka bir kurbanı uyarabiliriz. İkinci durumla karşılaşma olasılığımız daha yüksektir, çünkü saldırganlar genelde kendilerini gizlemek için daha önce ele geçirdikleri sistemleri kullanırlar.
Ateşduvarının arkasında, yerel ağımızın içinde bulunan Saldırı Tespit Sistemini konumlandırmak, ilki kadar kolay olmamaktadır. Yerel ağımızda çok fazla bağlantı olması ve günümüzde ağlarda switch kullanılması nedeniyle biraz ön çalışma yapmamıza sebep olmaktadır. Yaygın olarak kullanılan Cisco Systems’in ağ cihazları işimizi çok fazla kolaylaştırmaktadır. İzleme portu dediğimiz bir özellik sayesinde, Cisco switch’lerde seçtiğimiz bir porta, tüm ağ trafiğinin bir kopyasını gönderebilmekteyiz. Ancak ağımızdaki switch’in teknik özelliklerini inceleyip, monitör özelliğini aktif hale getirdiğimiz zaman, problem yaratıp yaratmayacağına karar vermeliyiz. Bu bilgilendirmeden sonra, Saldırı Tespit Sistemimizi kolayca konumlandırıp, işimize geri odaklanabiliriz. İçerdeki Saldırı Tespit Sistemi sayesinde, ağımızdaki kullanıcılar arasında saldırgan olup olmadığını, ağımızdaki sistemlerde trojan/worm benzeri uygulamaların olup olmadığını ve ateşduvarımızın kurallarının doğruluğunu öğrenebiliriz. Sonuçta, yine yönetim arabirimde inceleme yapılıp, gerekli düzenlemeleri yapmalıyız.
Şu ana kadar çok güzel özelliklerden ve hep Saldırı Tespit Sistemlerinin iyi yönlerinden bahsettik. Ancak Saldırı Tespit Sistemlerinin dünyası bu kadar toz pembe değildir. Günümüzde Saldırı Tespit Sistemlerinin problemleri, saldırı olmayan aktiviteleri bazen saldırı olarak algılaması (false-negative) ve saldırı olan aktiviteleri ise bazen saldırı olarak algılamaması (false-positive) olayıdır. Bu yüzden, Saldırı Tespit Sistemlerini uygulanmasında insan faktörü ve bilgi çok önemlidir. Saldırı Tespit Analisti dediğimiz bilgili kişiler tarafından kayıtların incelenmesi gerekmektedir. Kayıtların doğruluğu tespit edildikten sonra, harekete geçilip çok kolay önlem alınabilir. Bazı Saldırı Tespit Sistemleri otomatik olarak müdahele etmeye olanak sağlamaktadır. Yani, saldırı kaydı sistemde tespit edilir edilmez, insan faktörü olmadan tepki vermek veya gerekli cihazlarda konfigurasyon değişikleri yapmaya olanak sağlar. Saldırı Tespit Sistemlerinin doğruluk yüzdesinin %80’nin üzerine çıkmadığı durumlarda otomatik müdahelelerin çok doğru olmayacağı kanısındayım.
Bilgi çağında, internete her kurumun bağlı olduğunu düşündüğümüze, herkesin bir Saldırı Tespit Sistemi oluşturması ve bunu düzenli olarak takip etmesi gerekmektedir. Bunun bir ihtiyaç ve ateşduvarı kadar önemli bir uygulama olduğunu tüm firmaların bilmesi gerekmektedir. Güvenlikte sadece bir uygulama veya cihazın kullanılması değil, komple bir çözümün uygulamaya geçirilmesi, takip edilmesi ve sürekli güncellenmesi gerekir.