Saldırı Önleme Sistemi (IPS)
Saldırı Önleme Sistemi, Saldırı Tespit ve Önleme Sistemi olarak da bilinir. Ağ veya sistem etkinliklerini kötü amaçlı etkinliklere karşı izleyen bir ağ güvenliği uygulamasıdır. İzinsiz giriş önleme sistemlerinin başlıca işlevleri, kötü amaçlı etkinlikleri tanımlamak, bu etkinlik hakkında bilgi toplamak, bildirmek ve engellemeye veya durdurmaya çalışmaktır.
Saldırı önleme sistemleri, hem IPS hem de IDS, kötü amaçlı etkinlik için ağ trafiğini ve sistem etkinliklerini işlettiği için İzinsiz Giriş Tespit Sistemlerinin (IDS) güçlendirilmesi olarak düşünülmektedir.
IPS tipik olarak gözlemlenen olaylarla ilgili bilgileri kaydeder, güvenlik yöneticilerine gözlemlenen önemli olayları bildirir ve raporlar üretir. Birçok IPS, tespit edilen bir tehdide başarılı olmasını engellemeye çalışarak da yanıt verebilir. IPS’nin saldırıyı durdurmasını, güvenlik ortamını değiştirmesini veya saldırının içeriğini değiştirmesini içeren çeşitli yanıt teknikleri kullanıyorlar.
Saldırı Önleme Sistemi (IPS) Sınıflandırılması
Saldırı Önleme Sistemi (IPS) 4 tipte sınıflandırılmıştır:
1-) Ağ tabanlı saldırı önleme sistemi (NIPS):
Protokol etkinliğini analiz ederek tüm ağı şüpheli trafik açısından izler.
2-) Kablosuz saldırı önleme sistemi (WIPS):
Kablosuz ağ protokollerini analiz ederek bir kablosuz ağı şüpheli trafik açısından izler.
3-) Ağ davranış analizi (NBA):
Dağıtılmış hizmet reddi saldırıları, belirli kötü amaçlı yazılım biçimleri ve politika ihlalleri gibi olağandışı trafik akışları oluşturan tehditleri belirlemek için ağ trafiğini inceler.
4-) Ana bilgisayar tabanlı saldırı önleme sistemi (HIPS):
Bu ana bilgisayarda gerçekleşen olayları tarayarak şüpheli etkinlik için tek bir ana bilgisayarı çalıştıran dahili bir yazılım paketidir.
Saldırı Önleme Sistemi (IPS) Tespit Yöntemileri
a-) İmza tabanlı algılama:
İmza tabanlı IDS ağdaki paketleri çalıştırır ve imza olarak bilinen önceden oluşturulmuş ve önceden hazırlanmış saldırı kalıplarıyla karşılaştırır.
b-) İstatistiksel anomali tabanlı algılama:
Anomali tabanlı IDS ağ trafiğini izler ve bunu yerleşik bir taban çizgisiyle karşılaştırır. Taban çizgisi, o ağ için neyin normal olduğunu ve hangi protokollerin kullanıldığını belirleyecektir. Ancak, taban çizgileri akıllıca yapılandırılmamışsa yanlış alarm verebilir.
c-) Durum bilgisi olan protokol analizi algılama:
Bu IDS yöntemi, gözlemlenen olayların genel olarak kabul edilen ve zararlı olmayan aktivite tanımlarının önceden oluşturulmuş profilleri ile karşılaştırılmasıyla belirtilen protokollerin farklılığını tanır.
IPS ile IDS karşılaştırması
İzinsiz Giriş Tespit Sistemleri (IDS) ile Saldırı Önleme Sistemi (IPS) arasındaki temel fark şunlardır:
- İzinsiz giriş önleme sistemleri sıraya yerleştirilir ve algılanan izinsiz girişleri etkin bir şekilde önleyebilir veya engelleyebilir.
- IPS, alarm gönderme, algılanan kötü amaçlı paketleri bırakma, bağlantıyı sıfırlama veya rahatsız edici IP adresinden gelen trafiği engelleme gibi eylemleri gerçekleştirebilir.
- IPS ayrıca döngüsel artıklık denetimi (CRC) hatalarını düzeltebilir, paket akışlarını birleştirebilir, TCP sıralama sorunlarını azaltabilir ve istenmeyen taşıma ve ağ katmanı seçeneklerini temizleyebilir.