1. Snort IDS ile Ağ Tabanlı
Saldırı Tespit Sistemleri
Osman Cihat IŞIK
https://twitter.com/osmncht
https://www.linkedin.com/in/osmncht
2. IDS Nedir ?
• IDS(Intrusion Detection Systems) kelime anlamı
itibarı ile Saldırı Tespit Sistemleri demektir.
• Ağınıza yada bilgisayarınıza yapılan saldırıları
tespit eden bir uygulamadır.
• Saldırıların ne zaman ve kim tarafından
gerçekleştirildiğinin bilgisini tutar.
3. Neden IDS‟e ihtiyacımız var ?
Saldırıları Tespit Etme
Ağ trafiğini kotrol etme
Kaynak Doğrulama
İz Sürme
4. False Positive
• IDS tarafından üretilen uyarılardır.
• IDS‟in sisteme saldırı olduğu tespit etmesine
rağmen aslında geçerli bir saldırı değildir.
• Bizi olmayan şeylerin peşinde oyalar.
• Bizim için problem teşkil eder.
5. False Negative
• Gerçek bir saldırıdır.
• IDS tarafından tespit edilemez.
• IDS saldırıyı yakalayamadığı için alarm
vermez!
• IDS uyarı vermeği için de Sistem
yöneticisinin saldırıdan haberi olmaz.
6. Signature Detection( İmza Tespiti)
• İmza Tespiti kullanan bir IDS gördüğü ağ trafiği ile
saldırı işaret listesini karşılaştırır.
• Bu işaretler genelde saldırının önemli bit ve
parçalarıdır.Bu parçalar IDS tarafından olumsuz
trafik olarak işaretlenir.
• Düzgün bir şekilde konfigüre edilmiş Signature
Detection IDS‟i,false pozitive bakımından az
sayıda ancak false negative açısından çok sayıda
uyarı/alarm verebilir.
7. Anomaly Detection
Saldırı tespit`te, sık rastlanmayan, tanınlamayan
saldırıları tespit olayı ise 'Anomaly Detection'dır.
Anomaly tespit sistemi ile ağ normalde bulunan
trafik gözardı edilir ve normal trafikte
bulunmayacak bitler ağ yöneticisinin dikkatine
sunulur.
Bunun belirli bazı avantajları vardır.
8. Ağ Tabanlı Saldırı Tespit Sistemleri
(Network based IDS)
• Bir Ağ tabanlı IDS (NIDS),ağ bağlantısı üzerinden gelen
ve saldırının bir parçası olan veriler üzerineki paketleri
analiz eder.
• NIDS saldırıları tespit etmek amacıyla signature yada
anormally detection kullanır.
• Gerçek zamanlı bir saldırıyı bildirmek için alarm verir.
• Saldırı gerçekleştikten sonra saldırı ile ilgili detaylı
bilgilerin log kaydını tutar.
9. Host tabanlı IDS (Host based IDS)
• Bir NIDS saldırıları tespit etmek için ağ üzerindeki tüm trafiğe
bakarken, HIDS sadece üzeinde çalıştığı sistemdeki ihlaleri
görüntüler.
• HIDS sistemdeki olağan dışı olayların loglarını inceler.
Örneğin: Çoklu geçersiz login teşebbüsleri
• HIDS sistemdeki dosyaların düzgün olup olamadığından
ziyade dosyalar üzerinde değişiklik yapılıp yapılmadığını
kontrol eder.
• Sistemde backdoor ya da trojan programlarının yüklendiğini
tespit etme konusunda oldukça kulanışlıdır.
10. Firewall
Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol
eden donanım tabanlı ağ güvenliği sistemidir.
İP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme
bunlardan birkaçıdır.
Private network kaynaklarını diğer network kullanıcılarından korur.
Birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden
paketler olmak üzere İnternet trafiğini kontrol altında tutar.
Firewall hem yazılım hem donanım hem de her ikisinin
kombinasyonu şeklinde olabilir.
11. IPS
Intrusion prevention system aktif olarak veri paketlerini atmak ya da
yetkisiz veri içeren bağlantılarda bağlantı sonlandırmak için
kullanılır.
Aynı şekilde saldırıları loglama ve kaynak IP adresini kısa bir
zaman diliminde block listesine ekler. Ve hatta tanımlanan ayarlara
bağlı olarak, IP adreslerini kalıcı olarak bloklayabilir.
12. WAF
Web Application Firewall‟lar adında da anlaşıldığı üzere web
uygulamalarını/sunucularını web tabanlı saldırılardan korumak
amaçlı tasarlanmıştır ki IPS‟ler bunları engelleyemez.
IDS/IPS te olduğu gibi network ya da host tabanlı olabilir. Inline
olarak bulunurlar ve web uygulaması/sunucusundan giden ve gelen
trafiği görüntülerler. Temel olarak, farklılık katman 7 web uygulama
mantığını analiz etme yeteneği seviyesindedir.
IPS‟ler trafiği signature ve anomaly‟lerle sorgularken, WAF‟lar ise
request ve response taki mantık ve davranışları sorgular. WAF‟lar
web uygulamalarını SQL Injection, Cross-site scripting, session
hijacking(session çalma) ya da URL tampering(URL kurcalama) ve
buffer overflow gibi tehditlere karşı korur.
13. Firewall varken IDS‟e ihtiyaç var mı?
Şöyle bir analoji yapılabilir. Firewall‟u güvenlik görevlilerine
benzetirsek, IDS sistemleri de güvenlik kameraları olarak görülebiliriz.
Bir IDS ağı görüntüler ve aktivite kalıplarını tespit eder ve eğer
network saldırı altındaysa uyarı verir. Signature detection, IDS
veritabanında bulunan saldırılarla network ya da sistem bilgilerini
karşılaştırır. Anomaly detection mevcut network trafiğini, normal
seviyedeki paket uzunlukları ya da aktiviteleriyle karşılaştırır ve elde
ettiği istatistiği analiz eder.
14. Firewall varken IDS‟e ihtiyaç var mı?
Firewall network‟u internete bağlayan portları gözetler ve paketlerin
geçişini önce kontrol eder sonra izin verir ya da engeller. Bir paketi
kabul edebilir, silip atabilir ya da gönderene geri gönderebilir. Firewall
trafik yasal mı ya da normal mi bunu bilemez.
Firewalllar trafiği bloklar ya da izin verirken, IDS ise trafiğe daha
detaylı bakar ve tespit eder.
Bir firewall, internete bağlı bir ağ için en temel ihtiyaçtır. Ancak bir
firewall bir IDS‟in yerine geçemez. Bizim hem bir firewall hem de bir
IDS „e ihtiyacımız var. Tabii bazı firewall‟lar intrusion detection
yeteneklerine sahip olsalar da, çoğu kez tam teşekküllü bir IDS‟den
daha az saldırıyı tespit edebilir.
15. IPS varken IDS‟e ihtiyaç var mı?
IDS sistemleri sadece sızma girişimlerini algılar ve saldırıları
loglayıp bunları yöneticiye uyarı olarak gönderir. IDS sistemleri
network‟ü IPS „te olduğu gibi yavaşlatmaz, çünkü inline değildir.
Peki IPS ile saldırıları bloklayabiliyorken neden IDS ile geçmesine
izin verilsin? Bunun birkaç nedeni var, ancak bunlardan ikisi
önemlidir. Bir IDS sistemi, false positive üretildiği durumda bunu
sadece loglarken IPS in network trafiğini engellemesi istenmeyen
bir durum olarak karşımıza çıkar.
Bunun dışından bazı adminler ya da yöneticiler sistem üzerinde
kendi adına karar verilmesini istemeyebilir, bunun yerine uyarıyı
alıp problem üzerinde kendileri harekete geçmek isteyebilirler.
16.
17. Snort nedir?
• Snort ağ tabanlı,signature detection kullanan bir
IDS‟tir.
• Ağdaki veri paketlerini koklar ve bilinen saldırılarda
içeriği eşleştirmeye çalışır.
• Piyasada snort haricinde IDS çözümleri mevcuttur.
Ticari olanlar : IIS Real Secure,Cisco IDS
Açık Kaynak olanlar : Prelure IDS for Linux and
BSD OS
18. Neden Snort ?
Konfigüre edilebilir.
Tüm iç işleyişi,konfigürasyon dosyaları ve
kurallar açık bir şekilde ortadadır.
Ücretsizdir.
GNU GPL lisansına sahiptir.
Çok yaygın olarak kullanılır.
www.snort.org sitesinden her ay onbinlerce
kez indirilmektedir.
19. Neden Snort ?
• Birçok platforma kullanılır.
• Unix,Linux ve Windows tabanlı sistemlerde çalışır.
• Sürekli olarak güncellenir.
• Snort kuralları her yeni saldırı işareti ile birlikte güncellenir ve kendi
sitesinden indirilebilir.
20. Snort‟un Avantajları
Bir tek snort ile çok sayıda sistemi izlemek mümündür.
Yeni bir saldırı çeşidine karşılık hemen yeni kural eklenip
güncellenebiliyor.
Herkese açık, güncel ve geniş bir kural tabanına sahip.
Açık kaynak ve ücretsiz olması.
21. Snort‟un Dezavantajları
Şifrelenmiş bağlantıları izleyemiyor.
Çok büyük trafikleri izlemekte yetersiz kalıyor.
İyi konfigüre edilmediği zaman yanlış alarmlar üretiyor.
23. Snort‟un Bileşenleri
1-Packet Capture Library(Paket Yakalama Kütüphanesi)
• Snort‟un network paketlerini network kartından çekmek
için kullandığı ayrı bir yazılım parçasıdır.
• Ethernet çerçeveleri gibi işlenmiş veribağı katman
paketlerini barındırır.
• Linux ve Unix sistemlerde Snort libcap, Windows
sistemlerde ise WinPcap kullanılır.
24. Snort‟un Bileşenleri
2-Packet Decoder
• Packet Decoder, paket yakalama kütüphanesinden
gönderilen katman 2 verisini alır ve parçalar.
• İlk olarak veribağı çerçevelerini,(Ethernet.Token Ring,
802.11) sonra IP protokolü ve sonrasında TCP yada
UDP paketlerini ayrıştırır.
• Çözme işlemi bittikten sonra, Snort tüm protokol
bilgilerini daha sonra işlemek üzere doğru yere koyar.
25. Snort‟un Bileşenleri
3- Preprocessor
• Snort‟un önişlemcisi açılıp kapatılabilen eklentilere
sahiptir.
• Ön işleme çözümlenmiş paketler üzerinde
çalışır.Çeşitli dönüşümler yaparak Snort‟un veriyi daha
kolay kavrayabilmesini sağlar.
• Önişlemciler paketleri Detection Engine kısmına
yollamadan önce uyarı,sınıflandırma yapabilir hatta
paketi silip atabilir.
26. Snort‟un Bileşenleri
4- Detection Engine
• Sezme motoru Snort‟un kalbidir.
• Packet Decoder ve Preprocessor‟dan bilgi alır ve
bunlar üzerinde taşıma ve uygulama katmanlarında
işlem yapar.(OSI modelinin 4 ve 5. katmanı)
• Paketin içeriğini inceleyip karşılaştırır,kural tabanlı
tespit eklentisine bilgi verir.
• Kurallar saldırıların işaret yapısını içerir.
27. Snort‟un Bileşenleri
5- Output
• Bir önişlemci yada kural tetiklendiğinde, bir alarm üretilir
ve log tutulur.
• Snort çeşitli output eklentilerini,metin ve binary tabanlı
loglama formatlarını,birçok veritabanı ve syslog‟u
destekler.
28. Snort‟un Diğer Protokollerle İlişkisi
Snort sadece OSI modelinin katman 3 ve üzerinde, TCP/IP
protokol suitinin parçası olan paketleri çözümleyebilir.
Bu demektir ki, Novel‟in IPX/SPX ya da AppleTalk gibi diğer
network protokolleri üzerinde taşınan paketleri çözümleyemez ya
da saldırıları sezemez.
29. Snort Kurulumu
Snort‟un kurulumu hakkında detaylı bilgi
http://www.snort.org/docs/ sitesinde mevcuttur.
Windows için kurulum:
http://winsnort.com/index.php?module=Pages&func=view&prop=Main&cat=10
060 adresi üzerinde detaylıca anlatılmıştır.
Linux için kurulum :
Centos için: http://s3.amazonaws.com/snortorg/www/assets/202/snort2953_centos6x.pdf
Ubuntu için: http://www.snort.org/assets/158/snortinstallguide293.pdf
Fedora için: http://s3.amazonaws.com/snort-org/www/assets/219/snort2953_fedora.pdf
adresleri üzerinde detaylı kurulum bilgileri mevcuttur.
FreeBSD için kurulum:
http://s3.amazonaws.com/snort-org/www/assets/207/snort2953_freebsd9x.pdf
adresinde mevcuttur.
30. Snort Çalışma Modları
1- Sniffer Modu
• Ağ trafiğini izleme modudur.
• Snortu, sadece geçen paketleri izlemek üzere sniffer modda çalıştırmak
mümkündür.. Bu şekilde network trafiğini incelemek için oldukça
elverişlidir.
31. Snort Çalışma Modları
2-Paket Loglayıcı Modu
Paketleri diske belirli formatlarda loglamak için kullanılan moddur.
Loglama seçenekleri belirli parametreler kullanılarak
özelleştirilebilir.
-d paketin veri kısmını da kaydetmek için
-e Layer2 başlıklarını kaydetmek için
-l Loglamanın hangi dizine yapılacağını belirtir
32. Snort Çalışma Modları
3- NIDS Modu
Genel geçer kullanım alanı olan, sızma girişimlerini tespit etme
modudur.
Bu modda, snort veri akışını analiz ederek daha önceden
tanımlanmış kurallarla eşleştirme işlemi yapıp ilgili kurallarda
belirtilmiş aksiyonların uygulanmasını sağlar.
33. Snort Çalışma Modları
4- Inline Mod
Bu mod da paketler iptables ya da IPFW üzerinden yönlendirme
yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene
daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop
ediliyor. Yani kendi başına IDS olarak çalışan Snort, inline modunda
çalıştırılarak IPS özelliği kazanmış oluyor. Yani sisteme sızma
girişimlerini tespit etmekle kalmıyor aynı zamanda bu girişimlere ait
paketlerin drop edilmesine olanak sağlıyor.
34. Snort HIDS Olarak Kullanılma Sebepleri
Eğer network tek bir host ile sınırlı ise,
Hizmet alınan host firmasının bütün trafiği izlemek yerine sadece
kendi sitenizin trafiğini izlemek istiyorsanız,
Herhangi biyerde kişisel bilgisayarınızla wireless ağına
bağlandığınızda bir başkasının sizin işletim sisteminizin son sistem
yamasını kontrol ederek bilgisayarınıza girmesini engellemek
istiyorsanız,
35. DMZ (De-Militarized Zone)
Bir DMZ ağı bir çeşit araftır yani aradaki bir bölgedir.
Gelen ve giden trafiğin ne olduğunu kontrol eder.
Geleneksel olarak herkese açık internet sunucularının bulunduğu
yarı güvenilir bir ağdır.
36. NAT (Network Address Translation)
Network Address Translation (Ağ Adresi Dönüştürme), TCP/IP
ağındaki bir bilgisayarın yönlendirme cihazı ile başka bir ağa
çıkarken adres uzayındaki bir IP ile yeniden haritalandırma
yaparak IP paket başlığındaki ağ adres bilgisini değiştirme
sürecidir.
NAT ,Ağ maskelemeyle (ya da IP maskelemeyle) ile birlikte, bir
adres uzayını gizlemek için kullanılan teknik bir terimdir.Çoğu kez
private network adreslerinden ibarettir.(RFC 1918).Genellikle tek
bir ip adresinin arkasında küçük bir adres uzayı bulunur.Bu
mekanizma, yönlendirici cihazın kullandığı adreslerin haritalarını
içeren, durum çeviri tabloları kullanır ve giden ip paketlerini
haritalama yapar. Böylece yönlendirici kaynağı görüntülenir.
İletişim tersten yapıldığında, geri haritalandırma yaparak IP
adresleriyle karşılaştırma yapar ve sonuç durum çeviri tablolarında
saklanır. Çevirici tablo içindeki bu yöntemde, kayıtlar trafikteki
durumu yenilendikten sonra silinirler.
37. Snort‟un Ağ toplojisindeki Yeri
Snort‟un nereyi izleyeceği/görüntüleyeceği ağ yapısına bağlıdır.
Snort‟un topolojideki yeri her sisteme her amaca göre değişebilir.
Kullanılan ara bağlantı cihazlarına göre değişkenlik gösterir.
Snort‟un nereye kurulması gerektiği sonraki slaylatlarda görsel olarak
mevcuttur.
41. Eğer ayrı bir DMZ ağı kullanılıyorsa,
DMZ switch‟inizdeki bir portu izleme/dinleme portu olarak atayın.
snort.conf dosyasında bu alt ağı dinlemek istediğinizi belirtin.
Trafiği bir süre izledikten sonra yapılan atakların içerikleri
incelenmelidir.Bu noktada snortun uyarıları dikkatle incelenerek
“false pozitive”leri azaltmak için konfigirasyonu yeniden gözden
geçirmek gerekir.
42. Snort Kural yapısı
Temel olarak iki kısımdan oluşur.
Rule Header
Rule Actions
Pass
Log
Alert
Activate
Dynamic
Protokols
IP
ICMP
TCP
UDP
IP Adresi
Port Number
Rule Option
Keywords
43. Snort Kural yapısı
Rule Header
Rule Option
Genel kural yapısı
Action
Protokol Adress
Port
Direction
Kural yapısının içeriği
Adress
Port
44. Snort Kural Örnekleri
alert icmp any any -> any any (msg: "Ping with TTL=100"; ttl: 100;)
alert tcp any any -> 192.168.1.10/32 80 (msg: "TTL=100"; ttl: 100;)
alert icmp ![192.168.2.0/24] any -> any any (msg: "Ping with
TTL=100"; ttl: 100;)
alert tcp 192.168.2.0/24 23 -> any any
(content: "confidential"; msg: "Detected confidential";)
log udp any !53 -> any any log udp
alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "TCP
ping detected";)
45. Snort‟u IPS Olarak Kullanma
Snort‟u Inline mod‟da yapılandırarak IPS olarak kullanmak
mümkündür.
Yani sisteme sızma girişimleri tespit etmekle beraber bu
girişimlere ait paketlerin silinmesini de sağlar.
Bu mod ise paketler iptables ya da IPFW üzerinden yönlendirme
yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene
daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da
drop ediliyor.
Yani kendi başına IDS olarak çalışan Snort, inline modunda
çalıştırılarak IPS özelliği kazanmış oluyor.