SlideShare une entreprise Scribd logo

Ağ Tabanlı Saldırı Tespit Sistemleri

Télécharger en tant que PPTX, PDF
Cihat Işık
Cihat Işık
1  sur  47
Snort IDS ile Ağ Tabanlı Saldırı Tespit Sistemleri Osman Cihat IŞIK https://twitter.com/osmncht https://www.linkedin.com/in/osmncht
IDS Nedir ? • IDS(Intrusion Detection Systems) kelime anlamı itibarı ile Saldırı Tespit Sistemleri demektir. • Ağınıza yada bilgisayarınıza yapılan saldırıları tespit eden bir uygulamadır. • Saldırıların ne zaman ve kim tarafından gerçekleştirildiğinin bilgisini tutar.
Neden IDS‟e ihtiyacımız var ? Saldırıları Tespit Etme Ağ trafiğini kotrol etme  Kaynak Doğrulama İz Sürme
False Positive • IDS tarafından üretilen uyarılardır. • IDS‟in sisteme saldırı olduğu tespit etmesine rağmen aslında geçerli bir saldırı değildir. • Bizi olmayan şeylerin peşinde oyalar. • Bizim için problem teşkil eder.
False Negative • Gerçek bir saldırıdır. • IDS tarafından tespit edilemez. • IDS saldırıyı yakalayamadığı için alarm vermez! • IDS uyarı vermeği için de Sistem yöneticisinin saldırıdan haberi olmaz.
Signature Detection( İmza Tespiti) • İmza Tespiti kullanan bir IDS gördüğü ağ trafiği ile saldırı işaret listesini karşılaştırır. • Bu işaretler genelde saldırının önemli bit ve parçalarıdır.Bu parçalar IDS tarafından olumsuz trafik olarak işaretlenir. • Düzgün bir şekilde konfigüre edilmiş Signature Detection IDS‟i,false pozitive bakımından az sayıda ancak false negative açısından çok sayıda uyarı/alarm verebilir.
Anomaly Detection  Saldırı tespit`te, sık rastlanmayan, tanınlamayan saldırıları tespit olayı ise 'Anomaly Detection'dır.  Anomaly tespit sistemi ile ağ normalde bulunan trafik gözardı edilir ve normal trafikte bulunmayacak bitler ağ yöneticisinin dikkatine sunulur.  Bunun belirli bazı avantajları vardır.
Ağ Tabanlı Saldırı Tespit Sistemleri (Network based IDS) • Bir Ağ tabanlı IDS (NIDS),ağ bağlantısı üzerinden gelen ve saldırının bir parçası olan veriler üzerineki paketleri analiz eder. • NIDS saldırıları tespit etmek amacıyla signature yada anormally detection kullanır. • Gerçek zamanlı bir saldırıyı bildirmek için alarm verir. • Saldırı gerçekleştikten sonra saldırı ile ilgili detaylı bilgilerin log kaydını tutar.
Host tabanlı IDS (Host based IDS) • Bir NIDS saldırıları tespit etmek için ağ üzerindeki tüm trafiğe bakarken, HIDS sadece üzeinde çalıştığı sistemdeki ihlaleri görüntüler. • HIDS sistemdeki olağan dışı olayların loglarını inceler. Örneğin: Çoklu geçersiz login teşebbüsleri • HIDS sistemdeki dosyaların düzgün olup olamadığından ziyade dosyalar üzerinde değişiklik yapılıp yapılmadığını kontrol eder. • Sistemde backdoor ya da trojan programlarının yüklendiğini tespit etme konusunda oldukça kulanışlıdır.
Firewall  Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemidir.  İP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme bunlardan birkaçıdır.  Private network kaynaklarını diğer network kullanıcılarından korur.  Birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutar.  Firewall hem yazılım hem donanım hem de her ikisinin kombinasyonu şeklinde olabilir.
IPS  Intrusion prevention system aktif olarak veri paketlerini atmak ya da yetkisiz veri içeren bağlantılarda bağlantı sonlandırmak için kullanılır.  Aynı şekilde saldırıları loglama ve kaynak IP adresini kısa bir zaman diliminde block listesine ekler. Ve hatta tanımlanan ayarlara bağlı olarak, IP adreslerini kalıcı olarak bloklayabilir.
WAF  Web Application Firewall‟lar adında da anlaşıldığı üzere web uygulamalarını/sunucularını web tabanlı saldırılardan korumak amaçlı tasarlanmıştır ki IPS‟ler bunları engelleyemez.  IDS/IPS te olduğu gibi network ya da host tabanlı olabilir. Inline olarak bulunurlar ve web uygulaması/sunucusundan giden ve gelen trafiği görüntülerler. Temel olarak, farklılık katman 7 web uygulama mantığını analiz etme yeteneği seviyesindedir.  IPS‟ler trafiği signature ve anomaly‟lerle sorgularken, WAF‟lar ise request ve response taki mantık ve davranışları sorgular. WAF‟lar web uygulamalarını SQL Injection, Cross-site scripting, session hijacking(session çalma) ya da URL tampering(URL kurcalama) ve buffer overflow gibi tehditlere karşı korur.
Firewall varken IDS‟e ihtiyaç var mı? Şöyle bir analoji yapılabilir. Firewall‟u güvenlik görevlilerine benzetirsek, IDS sistemleri de güvenlik kameraları olarak görülebiliriz. Bir IDS ağı görüntüler ve aktivite kalıplarını tespit eder ve eğer network saldırı altındaysa uyarı verir. Signature detection, IDS veritabanında bulunan saldırılarla network ya da sistem bilgilerini karşılaştırır. Anomaly detection mevcut network trafiğini, normal seviyedeki paket uzunlukları ya da aktiviteleriyle karşılaştırır ve elde ettiği istatistiği analiz eder.
Firewall varken IDS‟e ihtiyaç var mı? Firewall network‟u internete bağlayan portları gözetler ve paketlerin geçişini önce kontrol eder sonra izin verir ya da engeller. Bir paketi kabul edebilir, silip atabilir ya da gönderene geri gönderebilir. Firewall trafik yasal mı ya da normal mi bunu bilemez. Firewalllar trafiği bloklar ya da izin verirken, IDS ise trafiğe daha detaylı bakar ve tespit eder. Bir firewall, internete bağlı bir ağ için en temel ihtiyaçtır. Ancak bir firewall bir IDS‟in yerine geçemez. Bizim hem bir firewall hem de bir IDS „e ihtiyacımız var. Tabii bazı firewall‟lar intrusion detection yeteneklerine sahip olsalar da, çoğu kez tam teşekküllü bir IDS‟den daha az saldırıyı tespit edebilir.
IPS varken IDS‟e ihtiyaç var mı?  IDS sistemleri sadece sızma girişimlerini algılar ve saldırıları loglayıp bunları yöneticiye uyarı olarak gönderir. IDS sistemleri network‟ü IPS „te olduğu gibi yavaşlatmaz, çünkü inline değildir.  Peki IPS ile saldırıları bloklayabiliyorken neden IDS ile geçmesine izin verilsin? Bunun birkaç nedeni var, ancak bunlardan ikisi önemlidir. Bir IDS sistemi, false positive üretildiği durumda bunu sadece loglarken IPS in network trafiğini engellemesi istenmeyen bir durum olarak karşımıza çıkar.  Bunun dışından bazı adminler ya da yöneticiler sistem üzerinde kendi adına karar verilmesini istemeyebilir, bunun yerine uyarıyı alıp problem üzerinde kendileri harekete geçmek isteyebilirler.
Snort nedir? • Snort ağ tabanlı,signature detection kullanan bir IDS‟tir. • Ağdaki veri paketlerini koklar ve bilinen saldırılarda içeriği eşleştirmeye çalışır. • Piyasada snort haricinde IDS çözümleri mevcuttur. Ticari olanlar : IIS Real Secure,Cisco IDS Açık Kaynak olanlar : Prelure IDS for Linux and BSD OS
Neden Snort ?  Konfigüre edilebilir. Tüm iç işleyişi,konfigürasyon dosyaları ve kurallar açık bir şekilde ortadadır.  Ücretsizdir.  GNU GPL lisansına sahiptir.  Çok yaygın olarak kullanılır.  www.snort.org sitesinden her ay onbinlerce kez indirilmektedir.
Neden Snort ? • Birçok platforma kullanılır. • Unix,Linux ve Windows tabanlı sistemlerde çalışır. • Sürekli olarak güncellenir. • Snort kuralları her yeni saldırı işareti ile birlikte güncellenir ve kendi sitesinden indirilebilir.
Snort‟un Avantajları  Bir tek snort ile çok sayıda sistemi izlemek mümündür.  Yeni bir saldırı çeşidine karşılık hemen yeni kural eklenip güncellenebiliyor.  Herkese açık, güncel ve geniş bir kural tabanına sahip.  Açık kaynak ve ücretsiz olması.
Snort‟un Dezavantajları  Şifrelenmiş bağlantıları izleyemiyor.  Çok büyük trafikleri izlemekte yetersiz kalıyor.  İyi konfigüre edilmediği zaman yanlış alarmlar üretiyor.
Snort Mimarisi
Snort‟un Bileşenleri 1-Packet Capture Library(Paket Yakalama Kütüphanesi) • Snort‟un network paketlerini network kartından çekmek için kullandığı ayrı bir yazılım parçasıdır. • Ethernet çerçeveleri gibi işlenmiş veribağı katman paketlerini barındırır. • Linux ve Unix sistemlerde Snort libcap, Windows sistemlerde ise WinPcap kullanılır.
Snort‟un Bileşenleri 2-Packet Decoder • Packet Decoder, paket yakalama kütüphanesinden gönderilen katman 2 verisini alır ve parçalar. • İlk olarak veribağı çerçevelerini,(Ethernet.Token Ring, 802.11) sonra IP protokolü ve sonrasında TCP yada UDP paketlerini ayrıştırır. • Çözme işlemi bittikten sonra, Snort tüm protokol bilgilerini daha sonra işlemek üzere doğru yere koyar.
Snort‟un Bileşenleri 3- Preprocessor • Snort‟un önişlemcisi açılıp kapatılabilen eklentilere sahiptir. • Ön işleme çözümlenmiş paketler üzerinde çalışır.Çeşitli dönüşümler yaparak Snort‟un veriyi daha kolay kavrayabilmesini sağlar. • Önişlemciler paketleri Detection Engine kısmına yollamadan önce uyarı,sınıflandırma yapabilir hatta paketi silip atabilir.
Snort‟un Bileşenleri 4- Detection Engine • Sezme motoru Snort‟un kalbidir. • Packet Decoder ve Preprocessor‟dan bilgi alır ve bunlar üzerinde taşıma ve uygulama katmanlarında işlem yapar.(OSI modelinin 4 ve 5. katmanı) • Paketin içeriğini inceleyip karşılaştırır,kural tabanlı tespit eklentisine bilgi verir. • Kurallar saldırıların işaret yapısını içerir.
Snort‟un Bileşenleri 5- Output • Bir önişlemci yada kural tetiklendiğinde, bir alarm üretilir ve log tutulur. • Snort çeşitli output eklentilerini,metin ve binary tabanlı loglama formatlarını,birçok veritabanı ve syslog‟u destekler.
Snort‟un Diğer Protokollerle İlişkisi    Snort sadece OSI modelinin katman 3 ve üzerinde, TCP/IP protokol suitinin parçası olan paketleri çözümleyebilir.  Bu demektir ki, Novel‟in IPX/SPX ya da AppleTalk gibi diğer network protokolleri üzerinde taşınan paketleri çözümleyemez ya da saldırıları sezemez.
Snort Kurulumu  Snort‟un kurulumu hakkında detaylı bilgi http://www.snort.org/docs/ sitesinde mevcuttur.  Windows için kurulum:  http://winsnort.com/index.php?module=Pages&func=view&prop=Main&cat=10 060 adresi üzerinde detaylıca anlatılmıştır.  Linux için kurulum :  Centos için: http://s3.amazonaws.com/snortorg/www/assets/202/snort2953_centos6x.pdf  Ubuntu için: http://www.snort.org/assets/158/snortinstallguide293.pdf  Fedora için: http://s3.amazonaws.com/snort-org/www/assets/219/snort2953_fedora.pdf adresleri üzerinde detaylı kurulum bilgileri mevcuttur.  FreeBSD için kurulum:  http://s3.amazonaws.com/snort-org/www/assets/207/snort2953_freebsd9x.pdf adresinde mevcuttur.
Snort Çalışma Modları 1- Sniffer Modu • Ağ trafiğini izleme modudur. • Snortu, sadece geçen paketleri izlemek üzere sniffer modda çalıştırmak mümkündür.. Bu şekilde network trafiğini incelemek için oldukça elverişlidir.
Snort Çalışma Modları 2-Paket Loglayıcı Modu  Paketleri diske belirli formatlarda loglamak için kullanılan moddur.  Loglama seçenekleri belirli parametreler kullanılarak özelleştirilebilir.  -d paketin veri kısmını da kaydetmek için  -e Layer2 başlıklarını kaydetmek için  -l Loglamanın hangi dizine yapılacağını belirtir
Snort Çalışma Modları 3- NIDS Modu  Genel geçer kullanım alanı olan, sızma girişimlerini tespit etme modudur.  Bu modda, snort veri akışını analiz ederek daha önceden tanımlanmış kurallarla eşleştirme işlemi yapıp ilgili kurallarda belirtilmiş aksiyonların uygulanmasını sağlar.
Snort Çalışma Modları 4- Inline Mod Bu mod da paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor. Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor. Yani sisteme sızma girişimlerini tespit etmekle kalmıyor aynı zamanda bu girişimlere ait paketlerin drop edilmesine olanak sağlıyor.
Snort HIDS Olarak Kullanılma Sebepleri  Eğer network tek bir host ile sınırlı ise,  Hizmet alınan host firmasının bütün trafiği izlemek yerine sadece kendi sitenizin trafiğini izlemek istiyorsanız,  Herhangi biyerde kişisel bilgisayarınızla wireless ağına bağlandığınızda bir başkasının sizin işletim sisteminizin son sistem yamasını kontrol ederek bilgisayarınıza girmesini engellemek istiyorsanız,
DMZ (De-Militarized Zone)  Bir DMZ ağı bir çeşit araftır yani aradaki bir bölgedir.  Gelen ve giden trafiğin ne olduğunu kontrol eder.  Geleneksel olarak herkese açık internet sunucularının bulunduğu yarı güvenilir bir ağdır.
NAT (Network Address Translation)  Network Address Translation (Ağ Adresi Dönüştürme), TCP/IP ağındaki bir bilgisayarın yönlendirme cihazı ile başka bir ağa çıkarken adres uzayındaki bir IP ile yeniden haritalandırma yaparak IP paket başlığındaki ağ adres bilgisini değiştirme sürecidir.  NAT ,Ağ maskelemeyle (ya da IP maskelemeyle) ile birlikte, bir adres uzayını gizlemek için kullanılan teknik bir terimdir.Çoğu kez private network adreslerinden ibarettir.(RFC 1918).Genellikle tek bir ip adresinin arkasında küçük bir adres uzayı bulunur.Bu mekanizma, yönlendirici cihazın kullandığı adreslerin haritalarını içeren, durum çeviri tabloları kullanır ve giden ip paketlerini haritalama yapar. Böylece yönlendirici kaynağı görüntülenir. İletişim tersten yapıldığında, geri haritalandırma yaparak IP adresleriyle karşılaştırma yapar ve sonuç durum çeviri tablolarında saklanır. Çevirici tablo içindeki bu yöntemde, kayıtlar trafikteki durumu yenilendikten sonra silinirler.
Snort‟un Ağ toplojisindeki Yeri  Snort‟un nereyi izleyeceği/görüntüleyeceği ağ yapısına bağlıdır.  Snort‟un topolojideki yeri her sisteme her amaca göre değişebilir.  Kullanılan ara bağlantı cihazlarına göre değişkenlik gösterir.  Snort‟un nereye kurulması gerektiği sonraki slaylatlarda görsel olarak mevcuttur.
Snort‟un Topolojideki Yeri -2
Snort‟un Toplojideki Yeri - 3
Snort‟un Toplojideki Yeri -4 (Inline)
Eğer ayrı bir DMZ ağı kullanılıyorsa,  DMZ switch‟inizdeki bir portu izleme/dinleme portu olarak atayın.  snort.conf dosyasında bu alt ağı dinlemek istediğinizi belirtin.  Trafiği bir süre izledikten sonra yapılan atakların içerikleri incelenmelidir.Bu noktada snortun uyarıları dikkatle incelenerek “false pozitive”leri azaltmak için konfigirasyonu yeniden gözden geçirmek gerekir.
Snort Kural yapısı  Temel olarak iki kısımdan oluşur.  Rule Header  Rule Actions  Pass  Log  Alert  Activate  Dynamic  Protokols  IP  ICMP  TCP  UDP  IP Adresi  Port Number  Rule Option  Keywords
Snort Kural yapısı Rule Header Rule Option Genel kural yapısı Action Protokol Adress Port Direction Kural yapısının içeriği Adress Port
Snort Kural Örnekleri  alert icmp any any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp any any -> 192.168.1.10/32 80 (msg: "TTL=100"; ttl: 100;)  alert icmp ![192.168.2.0/24] any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp 192.168.2.0/24 23 -> any any (content: "confidential"; msg: "Detected confidential";)  log udp any !53 -> any any log udp  alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "TCP ping detected";)
Snort‟u IPS Olarak Kullanma  Snort‟u Inline mod‟da yapılandırarak IPS olarak kullanmak mümkündür.  Yani sisteme sızma girişimleri tespit etmekle beraber bu girişimlere ait paketlerin silinmesini de sağlar.  Bu mod ise paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor.  Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor.
Snort DEMO
Referanslar  Intrusion Detection Systems with Snort - Rafeeq Ur Rehman  http://www.snort.org/docs  http://www.sans.org/security-resources/idfaq/ips-web-app-firewall.php  https://www.sans.org/reading-room/whitepapers/detection/understanding-ips-ids-ips-ids-defensein-depth-1381  http://www.syslogs.org/snort_inline-kurulumu/  http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/snort-2.9.2-kurulumu-1.html  http://seminer.linux.org.tr/wp-content/uploads/snort.pdf  http://web.bilecik.edu.tr/murat-ozalp/files/2013/01/YasinKilic.pdf 

Recommandé

Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaBeyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 

Recommandé

Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaBeyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriBGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerBGA Cyber Security
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework EğitimiBGA Cyber Security
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriBGA Cyber Security
 
BT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer KlavuzuBT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer KlavuzuBGA Cyber Security
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumuBilgiO A.S / Linux Akademi
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugayFuat Ulugay, CISSP
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri KitabıDoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri KitabıBGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 

Contenu connexe

Tendances

Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerBGA Cyber Security
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriBGA Cyber Security
 
BT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer KlavuzuBT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer KlavuzuBGA Cyber Security
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugayFuat Ulugay, CISSP
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri KitabıDoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri KitabıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 

Tendances (20)

DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
BT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer KlavuzuBT Güvenlik ve Kariyer Klavuzu
BT Güvenlik ve Kariyer Klavuzu
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif Çalışmaları
 
DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri KitabıDoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 

Similaire à Ağ Tabanlı Saldırı Tespit Sistemleri

Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta GüvenliğiFevziye Tas
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
Açık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikAçık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikBurak DAYIOGLU
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclarieroglu
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekFurkan Çalışkan
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 

Similaire à Ağ Tabanlı Saldırı Tespit Sistemleri (20)

Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
 
Açık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikAçık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve Güvenlik
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclari
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemek
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS Forensics
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 

Ağ Tabanlı Saldırı Tespit Sistemleri

  • 1. Snort IDS ile Ağ Tabanlı Saldırı Tespit Sistemleri Osman Cihat IŞIK https://twitter.com/osmncht https://www.linkedin.com/in/osmncht
  • 2. IDS Nedir ? • IDS(Intrusion Detection Systems) kelime anlamı itibarı ile Saldırı Tespit Sistemleri demektir. • Ağınıza yada bilgisayarınıza yapılan saldırıları tespit eden bir uygulamadır. • Saldırıların ne zaman ve kim tarafından gerçekleştirildiğinin bilgisini tutar.
  • 3. Neden IDS‟e ihtiyacımız var ? Saldırıları Tespit Etme Ağ trafiğini kotrol etme  Kaynak Doğrulama İz Sürme
  • 4. False Positive • IDS tarafından üretilen uyarılardır. • IDS‟in sisteme saldırı olduğu tespit etmesine rağmen aslında geçerli bir saldırı değildir. • Bizi olmayan şeylerin peşinde oyalar. • Bizim için problem teşkil eder.
  • 5. False Negative • Gerçek bir saldırıdır. • IDS tarafından tespit edilemez. • IDS saldırıyı yakalayamadığı için alarm vermez! • IDS uyarı vermeği için de Sistem yöneticisinin saldırıdan haberi olmaz.
  • 6. Signature Detection( İmza Tespiti) • İmza Tespiti kullanan bir IDS gördüğü ağ trafiği ile saldırı işaret listesini karşılaştırır. • Bu işaretler genelde saldırının önemli bit ve parçalarıdır.Bu parçalar IDS tarafından olumsuz trafik olarak işaretlenir. • Düzgün bir şekilde konfigüre edilmiş Signature Detection IDS‟i,false pozitive bakımından az sayıda ancak false negative açısından çok sayıda uyarı/alarm verebilir.
  • 7. Anomaly Detection  Saldırı tespit`te, sık rastlanmayan, tanınlamayan saldırıları tespit olayı ise 'Anomaly Detection'dır.  Anomaly tespit sistemi ile ağ normalde bulunan trafik gözardı edilir ve normal trafikte bulunmayacak bitler ağ yöneticisinin dikkatine sunulur.  Bunun belirli bazı avantajları vardır.
  • 8. Ağ Tabanlı Saldırı Tespit Sistemleri (Network based IDS) • Bir Ağ tabanlı IDS (NIDS),ağ bağlantısı üzerinden gelen ve saldırının bir parçası olan veriler üzerineki paketleri analiz eder. • NIDS saldırıları tespit etmek amacıyla signature yada anormally detection kullanır. • Gerçek zamanlı bir saldırıyı bildirmek için alarm verir. • Saldırı gerçekleştikten sonra saldırı ile ilgili detaylı bilgilerin log kaydını tutar.
  • 9. Host tabanlı IDS (Host based IDS) • Bir NIDS saldırıları tespit etmek için ağ üzerindeki tüm trafiğe bakarken, HIDS sadece üzeinde çalıştığı sistemdeki ihlaleri görüntüler. • HIDS sistemdeki olağan dışı olayların loglarını inceler. Örneğin: Çoklu geçersiz login teşebbüsleri • HIDS sistemdeki dosyaların düzgün olup olamadığından ziyade dosyalar üzerinde değişiklik yapılıp yapılmadığını kontrol eder. • Sistemde backdoor ya da trojan programlarının yüklendiğini tespit etme konusunda oldukça kulanışlıdır.
  • 10. Firewall  Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemidir.  İP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme bunlardan birkaçıdır.  Private network kaynaklarını diğer network kullanıcılarından korur.  Birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutar.  Firewall hem yazılım hem donanım hem de her ikisinin kombinasyonu şeklinde olabilir.
  • 11. IPS  Intrusion prevention system aktif olarak veri paketlerini atmak ya da yetkisiz veri içeren bağlantılarda bağlantı sonlandırmak için kullanılır.  Aynı şekilde saldırıları loglama ve kaynak IP adresini kısa bir zaman diliminde block listesine ekler. Ve hatta tanımlanan ayarlara bağlı olarak, IP adreslerini kalıcı olarak bloklayabilir.
  • 12. WAF  Web Application Firewall‟lar adında da anlaşıldığı üzere web uygulamalarını/sunucularını web tabanlı saldırılardan korumak amaçlı tasarlanmıştır ki IPS‟ler bunları engelleyemez.  IDS/IPS te olduğu gibi network ya da host tabanlı olabilir. Inline olarak bulunurlar ve web uygulaması/sunucusundan giden ve gelen trafiği görüntülerler. Temel olarak, farklılık katman 7 web uygulama mantığını analiz etme yeteneği seviyesindedir.  IPS‟ler trafiği signature ve anomaly‟lerle sorgularken, WAF‟lar ise request ve response taki mantık ve davranışları sorgular. WAF‟lar web uygulamalarını SQL Injection, Cross-site scripting, session hijacking(session çalma) ya da URL tampering(URL kurcalama) ve buffer overflow gibi tehditlere karşı korur.
  • 13. Firewall varken IDS‟e ihtiyaç var mı? Şöyle bir analoji yapılabilir. Firewall‟u güvenlik görevlilerine benzetirsek, IDS sistemleri de güvenlik kameraları olarak görülebiliriz. Bir IDS ağı görüntüler ve aktivite kalıplarını tespit eder ve eğer network saldırı altındaysa uyarı verir. Signature detection, IDS veritabanında bulunan saldırılarla network ya da sistem bilgilerini karşılaştırır. Anomaly detection mevcut network trafiğini, normal seviyedeki paket uzunlukları ya da aktiviteleriyle karşılaştırır ve elde ettiği istatistiği analiz eder.
  • 14. Firewall varken IDS‟e ihtiyaç var mı? Firewall network‟u internete bağlayan portları gözetler ve paketlerin geçişini önce kontrol eder sonra izin verir ya da engeller. Bir paketi kabul edebilir, silip atabilir ya da gönderene geri gönderebilir. Firewall trafik yasal mı ya da normal mi bunu bilemez. Firewalllar trafiği bloklar ya da izin verirken, IDS ise trafiğe daha detaylı bakar ve tespit eder. Bir firewall, internete bağlı bir ağ için en temel ihtiyaçtır. Ancak bir firewall bir IDS‟in yerine geçemez. Bizim hem bir firewall hem de bir IDS „e ihtiyacımız var. Tabii bazı firewall‟lar intrusion detection yeteneklerine sahip olsalar da, çoğu kez tam teşekküllü bir IDS‟den daha az saldırıyı tespit edebilir.
  • 15. IPS varken IDS‟e ihtiyaç var mı?  IDS sistemleri sadece sızma girişimlerini algılar ve saldırıları loglayıp bunları yöneticiye uyarı olarak gönderir. IDS sistemleri network‟ü IPS „te olduğu gibi yavaşlatmaz, çünkü inline değildir.  Peki IPS ile saldırıları bloklayabiliyorken neden IDS ile geçmesine izin verilsin? Bunun birkaç nedeni var, ancak bunlardan ikisi önemlidir. Bir IDS sistemi, false positive üretildiği durumda bunu sadece loglarken IPS in network trafiğini engellemesi istenmeyen bir durum olarak karşımıza çıkar.  Bunun dışından bazı adminler ya da yöneticiler sistem üzerinde kendi adına karar verilmesini istemeyebilir, bunun yerine uyarıyı alıp problem üzerinde kendileri harekete geçmek isteyebilirler.
  • 16.
  • 17. Snort nedir? • Snort ağ tabanlı,signature detection kullanan bir IDS‟tir. • Ağdaki veri paketlerini koklar ve bilinen saldırılarda içeriği eşleştirmeye çalışır. • Piyasada snort haricinde IDS çözümleri mevcuttur. Ticari olanlar : IIS Real Secure,Cisco IDS Açık Kaynak olanlar : Prelure IDS for Linux and BSD OS
  • 18. Neden Snort ?  Konfigüre edilebilir. Tüm iç işleyişi,konfigürasyon dosyaları ve kurallar açık bir şekilde ortadadır.  Ücretsizdir.  GNU GPL lisansına sahiptir.  Çok yaygın olarak kullanılır.  www.snort.org sitesinden her ay onbinlerce kez indirilmektedir.
  • 19. Neden Snort ? • Birçok platforma kullanılır. • Unix,Linux ve Windows tabanlı sistemlerde çalışır. • Sürekli olarak güncellenir. • Snort kuralları her yeni saldırı işareti ile birlikte güncellenir ve kendi sitesinden indirilebilir.
  • 20. Snort‟un Avantajları  Bir tek snort ile çok sayıda sistemi izlemek mümündür.  Yeni bir saldırı çeşidine karşılık hemen yeni kural eklenip güncellenebiliyor.  Herkese açık, güncel ve geniş bir kural tabanına sahip.  Açık kaynak ve ücretsiz olması.
  • 21. Snort‟un Dezavantajları  Şifrelenmiş bağlantıları izleyemiyor.  Çok büyük trafikleri izlemekte yetersiz kalıyor.  İyi konfigüre edilmediği zaman yanlış alarmlar üretiyor.
  • 23. Snort‟un Bileşenleri 1-Packet Capture Library(Paket Yakalama Kütüphanesi) • Snort‟un network paketlerini network kartından çekmek için kullandığı ayrı bir yazılım parçasıdır. • Ethernet çerçeveleri gibi işlenmiş veribağı katman paketlerini barındırır. • Linux ve Unix sistemlerde Snort libcap, Windows sistemlerde ise WinPcap kullanılır.
  • 24. Snort‟un Bileşenleri 2-Packet Decoder • Packet Decoder, paket yakalama kütüphanesinden gönderilen katman 2 verisini alır ve parçalar. • İlk olarak veribağı çerçevelerini,(Ethernet.Token Ring, 802.11) sonra IP protokolü ve sonrasında TCP yada UDP paketlerini ayrıştırır. • Çözme işlemi bittikten sonra, Snort tüm protokol bilgilerini daha sonra işlemek üzere doğru yere koyar.
  • 25. Snort‟un Bileşenleri 3- Preprocessor • Snort‟un önişlemcisi açılıp kapatılabilen eklentilere sahiptir. • Ön işleme çözümlenmiş paketler üzerinde çalışır.Çeşitli dönüşümler yaparak Snort‟un veriyi daha kolay kavrayabilmesini sağlar. • Önişlemciler paketleri Detection Engine kısmına yollamadan önce uyarı,sınıflandırma yapabilir hatta paketi silip atabilir.
  • 26. Snort‟un Bileşenleri 4- Detection Engine • Sezme motoru Snort‟un kalbidir. • Packet Decoder ve Preprocessor‟dan bilgi alır ve bunlar üzerinde taşıma ve uygulama katmanlarında işlem yapar.(OSI modelinin 4 ve 5. katmanı) • Paketin içeriğini inceleyip karşılaştırır,kural tabanlı tespit eklentisine bilgi verir. • Kurallar saldırıların işaret yapısını içerir.
  • 27. Snort‟un Bileşenleri 5- Output • Bir önişlemci yada kural tetiklendiğinde, bir alarm üretilir ve log tutulur. • Snort çeşitli output eklentilerini,metin ve binary tabanlı loglama formatlarını,birçok veritabanı ve syslog‟u destekler.
  • 28. Snort‟un Diğer Protokollerle İlişkisi    Snort sadece OSI modelinin katman 3 ve üzerinde, TCP/IP protokol suitinin parçası olan paketleri çözümleyebilir.  Bu demektir ki, Novel‟in IPX/SPX ya da AppleTalk gibi diğer network protokolleri üzerinde taşınan paketleri çözümleyemez ya da saldırıları sezemez.
  • 29. Snort Kurulumu  Snort‟un kurulumu hakkında detaylı bilgi http://www.snort.org/docs/ sitesinde mevcuttur.  Windows için kurulum:  http://winsnort.com/index.php?module=Pages&func=view&prop=Main&cat=10 060 adresi üzerinde detaylıca anlatılmıştır.  Linux için kurulum :  Centos için: http://s3.amazonaws.com/snortorg/www/assets/202/snort2953_centos6x.pdf  Ubuntu için: http://www.snort.org/assets/158/snortinstallguide293.pdf  Fedora için: http://s3.amazonaws.com/snort-org/www/assets/219/snort2953_fedora.pdf adresleri üzerinde detaylı kurulum bilgileri mevcuttur.  FreeBSD için kurulum:  http://s3.amazonaws.com/snort-org/www/assets/207/snort2953_freebsd9x.pdf adresinde mevcuttur.
  • 30. Snort Çalışma Modları 1- Sniffer Modu • Ağ trafiğini izleme modudur. • Snortu, sadece geçen paketleri izlemek üzere sniffer modda çalıştırmak mümkündür.. Bu şekilde network trafiğini incelemek için oldukça elverişlidir.
  • 31. Snort Çalışma Modları 2-Paket Loglayıcı Modu  Paketleri diske belirli formatlarda loglamak için kullanılan moddur.  Loglama seçenekleri belirli parametreler kullanılarak özelleştirilebilir.  -d paketin veri kısmını da kaydetmek için  -e Layer2 başlıklarını kaydetmek için  -l Loglamanın hangi dizine yapılacağını belirtir
  • 32. Snort Çalışma Modları 3- NIDS Modu  Genel geçer kullanım alanı olan, sızma girişimlerini tespit etme modudur.  Bu modda, snort veri akışını analiz ederek daha önceden tanımlanmış kurallarla eşleştirme işlemi yapıp ilgili kurallarda belirtilmiş aksiyonların uygulanmasını sağlar.
  • 33. Snort Çalışma Modları 4- Inline Mod Bu mod da paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor. Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor. Yani sisteme sızma girişimlerini tespit etmekle kalmıyor aynı zamanda bu girişimlere ait paketlerin drop edilmesine olanak sağlıyor.
  • 34. Snort HIDS Olarak Kullanılma Sebepleri  Eğer network tek bir host ile sınırlı ise,  Hizmet alınan host firmasının bütün trafiği izlemek yerine sadece kendi sitenizin trafiğini izlemek istiyorsanız,  Herhangi biyerde kişisel bilgisayarınızla wireless ağına bağlandığınızda bir başkasının sizin işletim sisteminizin son sistem yamasını kontrol ederek bilgisayarınıza girmesini engellemek istiyorsanız,
  • 35. DMZ (De-Militarized Zone)  Bir DMZ ağı bir çeşit araftır yani aradaki bir bölgedir.  Gelen ve giden trafiğin ne olduğunu kontrol eder.  Geleneksel olarak herkese açık internet sunucularının bulunduğu yarı güvenilir bir ağdır.
  • 36. NAT (Network Address Translation)  Network Address Translation (Ağ Adresi Dönüştürme), TCP/IP ağındaki bir bilgisayarın yönlendirme cihazı ile başka bir ağa çıkarken adres uzayındaki bir IP ile yeniden haritalandırma yaparak IP paket başlığındaki ağ adres bilgisini değiştirme sürecidir.  NAT ,Ağ maskelemeyle (ya da IP maskelemeyle) ile birlikte, bir adres uzayını gizlemek için kullanılan teknik bir terimdir.Çoğu kez private network adreslerinden ibarettir.(RFC 1918).Genellikle tek bir ip adresinin arkasında küçük bir adres uzayı bulunur.Bu mekanizma, yönlendirici cihazın kullandığı adreslerin haritalarını içeren, durum çeviri tabloları kullanır ve giden ip paketlerini haritalama yapar. Böylece yönlendirici kaynağı görüntülenir. İletişim tersten yapıldığında, geri haritalandırma yaparak IP adresleriyle karşılaştırma yapar ve sonuç durum çeviri tablolarında saklanır. Çevirici tablo içindeki bu yöntemde, kayıtlar trafikteki durumu yenilendikten sonra silinirler.
  • 37. Snort‟un Ağ toplojisindeki Yeri  Snort‟un nereyi izleyeceği/görüntüleyeceği ağ yapısına bağlıdır.  Snort‟un topolojideki yeri her sisteme her amaca göre değişebilir.  Kullanılan ara bağlantı cihazlarına göre değişkenlik gösterir.  Snort‟un nereye kurulması gerektiği sonraki slaylatlarda görsel olarak mevcuttur.
  • 41. Eğer ayrı bir DMZ ağı kullanılıyorsa,  DMZ switch‟inizdeki bir portu izleme/dinleme portu olarak atayın.  snort.conf dosyasında bu alt ağı dinlemek istediğinizi belirtin.  Trafiği bir süre izledikten sonra yapılan atakların içerikleri incelenmelidir.Bu noktada snortun uyarıları dikkatle incelenerek “false pozitive”leri azaltmak için konfigirasyonu yeniden gözden geçirmek gerekir.
  • 42. Snort Kural yapısı  Temel olarak iki kısımdan oluşur.  Rule Header  Rule Actions  Pass  Log  Alert  Activate  Dynamic  Protokols  IP  ICMP  TCP  UDP  IP Adresi  Port Number  Rule Option  Keywords
  • 43. Snort Kural yapısı Rule Header Rule Option Genel kural yapısı Action Protokol Adress Port Direction Kural yapısının içeriği Adress Port
  • 44. Snort Kural Örnekleri  alert icmp any any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp any any -> 192.168.1.10/32 80 (msg: "TTL=100"; ttl: 100;)  alert icmp ![192.168.2.0/24] any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp 192.168.2.0/24 23 -> any any (content: "confidential"; msg: "Detected confidential";)  log udp any !53 -> any any log udp  alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "TCP ping detected";)
  • 45. Snort‟u IPS Olarak Kullanma  Snort‟u Inline mod‟da yapılandırarak IPS olarak kullanmak mümkündür.  Yani sisteme sızma girişimleri tespit etmekle beraber bu girişimlere ait paketlerin silinmesini de sağlar.  Bu mod ise paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor.  Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor.
  • 47. Referanslar  Intrusion Detection Systems with Snort - Rafeeq Ur Rehman  http://www.snort.org/docs  http://www.sans.org/security-resources/idfaq/ips-web-app-firewall.php  https://www.sans.org/reading-room/whitepapers/detection/understanding-ips-ids-ips-ids-defensein-depth-1381  http://www.syslogs.org/snort_inline-kurulumu/  http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/snort-2.9.2-kurulumu-1.html  http://seminer.linux.org.tr/wp-content/uploads/snort.pdf  http://web.bilecik.edu.tr/murat-ozalp/files/2013/01/YasinKilic.pdf 