IPS SİSTEMLER MİMARİSİ HAKKINDA BİLİNMEYENLER

IPS (Intrusion Prevention System / Tehditlere Karşı Koruma Sistemi) olarak sıkça karşılaştığımız bu sistemin genel tanıma geçmeden önce IPS in temelinde yer alan IDS (Intrusion Detection System / Saldırı Tespit Sistemi) sisteminden başlamak gerekmektedir.

IDS sistemlerinin genel yapısı ve tanımını sağlayacak olursak; güvenilir ve korunan sistemlerin çalışılabilirliğini etkileyebilecek potansiyel tehditlerin veya saldırıların gerçek zamanlı tespitini sağlayan sistemlerdir. Sistem içeriğinde network (ağ) üzerinden geçen bütün paketler incelenir ve ilgili detaylar log kayıtları,sistem içerisinde tutulur. Burada ki önemli nokta ise sistem sadece monitor edilir ve herhangi bir önlem kesinlikle IDS sistemi tarafından alınmaz; tehditler sadece tespit edilir ve ilgili personele doğru konfigüre edilen bir yapıda bilgisi sağlanır. IPS sistemler ise IDS sistemlerinin geliştirilmiş versiyonudur.

Günden güne teknolojinin gelişmesi ile birlikte bilgisayarlı sistemlerin kullanılmasının artık zorunlu bir ihtiyaç haline geldiğini biliyoruz. Buna paralel olarak bilgisayarlı sistemelerin güvenlik zaafiyetlerininde ortaya çıktığını ve her yeni günde farklı bir güvenlik açığının tespit edildiğini gözlemliyoruz. Bu noktada IPS sistemlerinin kullanılması ile ortaya çıkan zaafiyetlere karşı tespit ve önlem alma sürecinin ise minimum seviyelere indiğini söylebiliriz. IPS sistemler IDS in gelişmiş versiyonu olarak nitelendirdiğimiz yapılar olduğu için IDS tarafından tespit edilen zararlı durumlar IPS tarafından hem tespit edilirken paralelinde ise tespit edilen açığa karşı gereken önlemleri yazılımsal anlamda almaktadır.

Peki bu noktaya kadar gelen süreç içerisinde IPS kavramını genel olarak ne maksatla kullanıldığından kısaca bahsettik. Bundan sonra şu soruları merak edip soran arkadaşlarımız oldu mu?

  • IPS mimarisi içerisinde neler yer almaktadır?
  • IPS çeşitleri nelerdir?
  • IPS Konumlandırma Yöntemleri Nelerdir?
  • Bir IPS Konfigürasyonunda Yer Alan Tanımlamalar ve Kullanım Amaçları?

Makalemize yukarıda sorulan soruların cevapları ile devam edelim.

IPS Mimarisini Oluşturan Temel Kavramlar Nelerdir?

Bu makaleyi yazmadan önce süre gelen zaman içerisinde bu konu ile ilgili birçok araştırmam oldu. Burada sizinle paylaşacağım kavramları elimden geldiği kadar genel anlamlarıyla ve literatürünü çok fazla Türkçeleştirmeden kullanmaya özen göstermiş olacağım.

IPS sistemlerinin ana gövdesini hatta kalbini oluşturan yapılar, bir ya da birden fazla içerisinde konumlandırılan sensorlerden oluşmaktadır. Bu sensorlerin her birisinin stratejik olarak bir anlamı ve network/ag trafiğinin analizinde önemli bir iş yükü vardır. Buna ek bir bilgi ise VM (Virtual/Sanal Sistemler) platformalarında da çalışabilecek sensorler ayrıca tanımlanmıştır.

IPS omurgası içerisinde yer alan Bouncer IPS sistemleri (Bouncer=Koruyucu) multi-moduler sistemlerdir. Her modul belirli bir işlev için tasarlanmış ve özelleştirilmiştir. Bu bileşenler aşağıdaki gibi listenebilir:

  • Bouncer Defence Unit (BDU)
  • Bouncer Control Unit (BCU)
  • Bouncer Report Unit (BRU)
  • Intelligence Plug-In
  • Alarm Center Plug-In
  • Bouncer Shield Plug-In
  • Update Manager Plug-In
  • Bouncer Inter-Connection Channel (BIC)

olarak sınıflandırılmıştır. Tanımlarını ve hangi iş yükünü üstlendiklerinden kısaca bahsedelim:

Bouncer Defense Unit (BDU):
IPS in temelinde yer almaktadır. Policy tanımlamaları, koruma seviyesini belirleyen yapıdır. Ağ trafiğini etkilemez. Her vendor kendi yapılandırması içerisinde değişiklik yapabilir.

Bouncer Control Unit (BCU):
Trafiğin monitor edildiği, query loglarının yer aldığı bölümdür. Uctan uca güvenliği maximum düzeye çıkarmaktadır.

Bouncer Report Unit (BRU):
Yöneticilere kapsamlı ve deatylı rapor sunulması sağlayan modüldür. Operasyonel ve taktiksel anlamda önemli ipuçlarını sunar.

Intelligence Plug-In:
Saldırı esnasında saldırganın bilgilerini toplayan moduldür. BDU ile paralel çalışmaktadır. Oluşturulan politikalar bilgi sağlayarak gereken önlemin alınmasına yüksek katkılarda bulunur.

Alarm Center Plug-In:
Aslında bir çok vendor ın tanımladığı saldırı anında ya da kritik düzeyi yüksek durumlarda kullanıcının e-mail, sms ya da çağrı yoluyla uyarılmasını Sağlayan modüldür.

Bouncer Shield Plug-In:
Bilinen şüpheli durumların-hedeflerin bilgilerinin güncellemesinden sorumludur. Bu bilgileri endüstri kaynaklarının kullanarak sağlar.

Update Manager Plug-In:
BCU ve BDU lar için sürüm bilgileri, fix/düzeltme bilgilerini, IPS imzalarının ve güvenlik detaylarının takibini Sağlayan eklentidir. Yeni imzaların kısa sürede sisteme entegre edilmesi önem arz eden durumlardandır.

Bouncer Inter-Connection Channel (BIC):
IPS bileşenleri arasında mutlak iletişimin sorunsuz ilerlemesini sağlar. (BCU,BDU vb.)

IPS Çeşitleri Nelerdir ?

Günümüzde gelişen ağ teknolojileri ile birlikte IPS işlevi değişmesede bulunduğu platform ve cihazlar farklılık gösterebilmektedir. Aslında IPS I iki ana başlık altında ayırabiliriz:

  • NIPS (Network-based Intrusion Prevention System)
  • HIPS (Host-based Intrusion Prevention System)

NIPS (Network-based Intrusion Prevention System)

Network bazlı çalışan IPS sistemleri network trafiğinizin ana noktalarına konumlandırılarak size yüksek koruma düzeyinde ağ gizliliği (confidentiality), bütünlüğü (integrity) ve kullanılabilirliği (availability) sunmaktadır. NIPS in ana amacı sisteminize gelebilecek saldırı tehditlerine karşı gereken önlemleri ve aksiyonları en kısa süre içerisinde almaktır. NIPS ile zararlı yazılım aktivitileri veya şüpheli trafik tespiti detaylı protokol analizleri sağlanarak gerçekleştirilmektedir. Aslına bakacak olursak bir makalede nitelendirildiği gibi NIPS Trojan, worm, viruses veya polimorfik tehditler için tam anlamıyla bir hapishanedir.

NIPS yüksek bandwith e sahip network trafiklerinde analiz yapabilme yeteniğine sahip bir yapılandırma ve mimari içermektedir. Mevcut trafik akışı sağlanırken paralelinde bu trafiğin anlık analizini sağlamak; bu paketlerden anlamlandırılacak sonuçlar çıkarmak ve bilinen tehditlerle karşılaştırmasını sağlayıp önlemini almak gibi iş yüklerini size çok kısa aksiyon sürelerinde sağlamaktadır.

NIPS üç ana metot içermektedir:

  • Signature-based Detection (İmza Tabanlı Tespit),
  • Anomaly-based Detection (Kuraldışı/anomaly/normal olmayan bazlı Tespit),
  • Protocol State Analysis Detection (Protokol bazlı Analiz ile Tespit),

Kısaca yukarıda bahsedilen başlıklardan sizlere bahsedelim:

Signature-based Detection: İmzalar önceden tanımlanmış ve hazırlanmış atak pattern (model) leridir. Genel çalışma mantığı ise monitor edilen network trafiği içerisinde imzalar ile network paketlerinde ki eşleşmeyi kontrol eder. Eğer eşleşme sağlanırsa başarılı bir şekilde aks,yon almayı sağlamaktadır. Elbette başarısız olma durumlarıda karşılaşılan sorunlardan birisidir; bel ki bu kısmı okuduktan sonra bu soru aklınıza gelecektir. Zero-day (sıfırıncı gün) yani henüz imzası olmayan bir atak tipi ile karşılaşıdığında ne yapmak gerekir? Bununla ilgli aslında kullandığını vendor a güvenmek zorunda kalıyorsunuz ki genellikle çok kısa sürelerde zero-day ataklar için imzalar yayınlanmaktadır. Bu tür bir durumda içeride aldığınız client ve sunucu güvenliğide ön plana çıkmaktadır.
Anomaly-based Detection: Hali hazırda çalışmakta olan ve kurgulanmış bir sistemde ağ trafiğini takip ederek zaman zaman analizini çıkarır ve bir önce ki örneği ile arasında ki karşılaştırmada anormal düzeyde istatistikler var ise oluşan bu anormal duruma müdehale eder. Örnek olarak içeriden dışarıya anormal bir şekilde oluşturulan ve dışarıya very çekmeye çalışan bir hacker ın yarattığı trafik olarak örneklendirebiliriz. Burada standart base devam ederken içerden dışarıya ya da dışarıdan içeriye yapılan trafiğin belli aralıklarda anormal şekilde değiştiği gözlemlenebilir ya da saldırgan farkedilmemek için farklı hedeflere belli bir source tan nizami komutlarla data aktarımı sağlamaya çalışıyor olabilir. Buna benzer durumlar IPS içerisinde yer alan sensorler tarafından tespit edilebilir.
Protocol State Analysis Detection: Bilinen zaafiyetlerin kullandığı protokoller ve portlar üzerinde ki işlemleri takip ederek analiz çıkarır ve alması gereken bir önlem var ise belirlenen konfigğrasyon dahilinde tamamlar.
NIPS konusunda başarılı olan birçok vendor mevcuttur. Bunun için Gartner ve NSS Raporlarını mutlaka inceleyerek ürün seçiminizi sağlayınız.

HIPS (Host-Based Intrusion Prevention System)

Host-based IPS sistemi tekil olarak bir sistem içerisinde yer alan server (Fizkse Host or VM Host),bilgisayar gibi ürünler üzerinde viruslere karşı, Internet trafiği üzerinden gelebilecek tehditlere karşı bir savunma mekanizması yaratır. Host üzerinde Layer 3 ten Layer 7 ye yani network katmanından Application katmanına kadar olan bir güvenlik mekanızmasını sizlere sağlar. HIPS düzenli olarak kurulu olduğu host un üzerinde kievent leri, data transferini, üzerinde çalışan uygulamalrın servislerini ve host un karateristik özellikleri kontrol eder. HIPS sistem event lerinin, uygulama log larının ve dosya sistemi üzerindeki değişikliklerin tutulduğu veritabanını analiz ederek üzerinde yapılan değişiklikleri  ve izinsiz girişlerin kontrolünü sağlamaktadır. Veritabanındaki her nesne için karşılaştırma yaparken HIPS nesne niteliklerini kullanır ve içeriklerdeki değişiklikleri belli periyodlarda kontrol ederek kendi farkındalığını oluşturur ve önlemini alır. HIPS ayrıca bellek bölümlerinide kontrol ederek bellekte yapılan herhangi bir değişiklik var mı yok mu durumunuda kontrol eder.

HIPS avantajlarından bahsedecek olursak kurumsal ve kamu kurumları gibi noktalarda dışarıya hizmet verilen sistemler üzerinde sağladığı güvenlik politikası ile güvenlik düzeyini üst seviye çıkarmaktadır. Host üzerinde çalışması ile lokal ağ üzerinden gelebilmesi muhtemel saldırılar ve tehditlere karşı da ayrıca önemli bir önlem sunmaktadır.

Virtualization (Sanallaştırma) teknolojisinin gelişmesi ile birlikte farklı vendor (üretici) lar farklı platformlar sunduklarını görebiliyoruz. HIPS tarafında da geliştiriciler buna paralel olarak sanal sensor yapıları ile VM ağı içerisine konumlanabilmektedir. Çünkü bu platformlar aslında kendi içerisinde de bir trafiğe sahipti ve içeride ki trafik kendi içerisinde dönmektedir. Burada ki trafik ağınızda yer alan IPS cihazınıza ya da Firewall cihazınıza gereksinim duymadan içerisinde yer alan sanal switchler üzerinden birbir arasından data transferi sağlayabilir. Bu noktayı açamın sebebi ise genel olarak sunucu sistemlerini barındıran Virtual platformlarda bir çok web uygulaması, dışa hizmet veren ya da iç network te kullanılan hizmetler olabilmektedir. Bu noktada oluşabilecek zaafiyetleri içeride kullanabilecek kötü niyetli personel ya da kullanıcı olabilir. Bu kısımda da IPS sistemleri ile alınabilecek önlemler ile güvenliğinizi üst seviyeler çıkarabilirsiniz. HIPS ile anti-malware, web reputation,integrity monitoring, IPS-signature-base , log inspection veya application kontrolü gibi işlemleride sağlayabilirsiniz.

Bu konuda da kendi kullandığım ve hali hazırda da aktif olarak çalışan Trend Micro Deep Security ürününü sizlere tavsiye edebilirim. Gartner raporlarında da lider seviyede yer almaktadır. Trend Micro test için size free-trial lisans oluşturma imkanınında ayrıca sunmaktadır.

IPS Konumlandırma Yöntemleri Nelerdir ?

IPS konumlandırma yöntemlerini 4 farklı başlık altında inceleyebiliriz:

  • SPAN Mode (Pasif Sniffer Mode),
  • TAP Konfigürasyonu,
  • Inline Mod (Aktif Gateway Modu)
  • Virtual IPS.

Şimdi detaylarından kısaca bahsedelim:

SPAN Mod Nedir: IPS SPAN portları bir ya da birden fazla network switch ile bağlantı sağlanarak BDU(Defence Unit) tespit portları ile ilişkilendirilmesi sağlanır. Böylelikle, TCP bağlantısını sıfırlamak gibi geri dönüş eylemleri, aynı bağlantı noktası kullanılarak BDU tarafından enjekte edilebilir.
TAP Mode: Bu modda gelen ve giden trafik IPS cihazında monito edilirek analiz yapmasına ve içerdide kullanılan entegre bir çözüm var ise eğer buradan alınacak bilgi ile aksiyon aldırılması sağlanabilir. Burada tamamen full traffic capturing olması söz konusudur. Tehditlere karşı deep analiz yapılmasına olank sağlar.
Inline Mod: Aslında çoğumuzun aktif olarak kullandığı yöntem bu moddur. Sensorler ile ataklara karşı IPS önlemleri ve aksiyonlarını alarak gereken engellemeler sağlanmaktadır. Genellikle UTM Firewall ve tek işi sadece IPS olan cihazlar bu modda çalıştırılarak güvenlik seviyesi üst düzeylere çıkarılır.
Virtual IPS: Sensorler, Sanal IPS (Virtual)’in yenilikçi ve güçlü konseptini destekler. Bir sensorü, güvenlik ilkesiyle tamamen özelleştirilebilen çok sayıda sanal sensöre bölme yeteneğini ortaya çıkarır. Bu durum bireyselleştirilmiş saldırı seçimi ve ilişkili tepki eylemleri kapsamaktadır. Sanal IPS, bir IP adresi bloğu , bir ya da daha fazla VLAN etiketi/tag ı veya bir sensor üzerindeki belirli port veya portlar temelinde tanımlanarak işlem yaptırtılabilir.
Bir IPS Konfigürasyonunda Yer Alan Tanımlamalar ve Kullanım Amaçları?

Zaafiyet Tanımlamaları:
Tanımlamalar birçok farklı vendor tarafından sağlanabilir. En önemli olanlarından birisi ise ZDI dır. Her tanımlama unique yani benzersiz bir identifier-tanımlaycı içerir. Bu tanımlamalar ile lokalinizde konumlandırdığınız IPS cihazında ya da IPS hizmetine sahip UTM Firewall larınız ile gelebilecek saldırıları önleme olasılığınız yüksek olacaktır. Diğer kavramlar ise sıkça duyduğumuz virtual patching ve IM/P2P Engellemedir. Sanal Yama (virtual patching), benzersiz bir ad, yayınlandıkları tarih, önem düzeyi, yanıt, protokol, işletme-etki düzeyi, güven seviyesi ve ilgili güvenlik bültenlerinin listesi ile karakterize edilir. IM/P2P ise, benzersiz bir isim, hangi tarihte yayınlandıkları, risk seviyesi ve bir cevap ile karakterize edilir.

IPS cihazlarında genel olarak aksiyon adımları: Blocking, Blocking and Log, Only Log, Allow, Allow and Log şeklindedir.

Her IPS imzasının bir severity tanımı vardır. (Critical, Highly Suspicious, Medium, Low vb.) Konfigure ederken bunların detayları incelenmeli ve hatta mümkünse IPS konumlandırma öncesinde NESSUS gibi ya da muadili ürünler ile iç network ve dışa bakan servis networklerinin detaylı analizleri sağlanmalıdır. Burada yapılacak analiz ile protokol bazında, servis bazında, risk düzeyi bazında güven ve önem derecesi bazında detaylarla IPS cihazınızı kurgulayabilirsiniz. Ek bir bilgi ise mevcutta kullanılan sunucu-client lar üzerinde de hali hazırda kötü amaçlı yazılımlar kullanılabilir. Bu tarz durumlarda da aksiyon aldırmanız ve konumlandıracağınız noktanın tespiti için tarama sonuçları size destek olacaktır. Ayrıca bahsedilmesi gereken bir diğer konu ise henüz imza tanımlanmamaış bir zaafiyet sistemde varsa o zaman ne yapacaksınız? Bu noktada her vendor farklı çözüm sunabiliyor.Behaviour Monitoring ya da predictive machine learning gibi eklentileri IPS üzerinde de uygulayan vendor lar mevcuttur. Gelen saldırının analizini yaparak sizin belirlediğiniz ya da default ayarları ile bloklama işlemlerini sağlayabilen yetenekleri içeren ürünler mevcuttur ki buna en iyi örneklerden birisi Trend Micro Tipping Point Ürün Ailesi olacaktır.  Bu ürün ile NESSUS ile yapılan tarama sonucunuzu cihaz içine import edip imzaların otomatik olarak tanımlanmasını sağlayabilirsiniz. Eğer tanımlı imza yok ise bu tarama sonucuna göre kendiniz cihaz arayüzünden geçici önlem almak adına bir imza tanımlayabilirsiniz. (ya da bir policy)

IPS cihazları farklı segmentlerde fiziksel kablolama sağlanarak çalışabilmektedir. Bundan dolayı alacağınız ürünün segment desteğini ve detaylarınıda araştırmanızı öneririm. Farklı segmentlerden kastedilen gelen ve giden trafiğin akışını bozmadan analizini ve gerekli önlemleri

sağlamaktır. Kuracağınız yapıda birden fazla yedekli çalışan omurga ya da firewall cihazı olabilir.

Her cihaz ise ayrı ayrı network trafiğini üzerinden geçiren cihazlardır.

Aşağıdaki örnek topoojide aslında lokal trafikler içerisinde de IPS ile önlem alabilmek adına 4 farklı segmentasyon tanımını sizlere sunmak istedim. Gerçek bir projede farklı çözümlerde planlanabilir.

IPS Exceptions (IPS Taraması Dışında Kalacaklar):
Genellikle exception girmek tavsiye edilen bir durum değildir. Ancak özellikle devlet kurumları ya da çok uluslu çalışan firmalarda exception girme ihityaçları doğabiliyor. Genel olarak IP bazlı ya da domain bazlı işlemlerin yapıldığını gözlemliyoruz.

İlk Konfigürasyonda Yapılması Gereken Durumlar:
Bu soruyu her kullanıcı gibi bende ilk kurulum yaptığımda sormuştum. Ama daha sonra ilk kurulum sonrasında aslında yukarıda bahsettiğim ağ analizlerini çıkarıp ve daha sonra bir süre cihazı Log only modunda çalıştırarak gelen trafikte ve giden trafikte tespit edilen IPS-imzalarını gözlemlemenin doğru olduğunu öğrendim. Böylelikle iç networkte kritik seviyede ya da Highly suspicious (Yüksek ihtimalli Şüpheli) seviyede meydana gelen trafiğin analizini gözlemlemeniz ile nasıl bir politika tanımlayacağınız sorunun cevabı şekillenmeye başlıyor. Bazı vendor yetkilileri kritik olan durumları size hazır bir şekilde sunarak sistem üzerinde bloklamanızıda önerebilir.

Güncellemeleri mutlaka ama mutlaka sistemi devreye almadan önce sağlamanız gerekmektedir.

Trafik geçişinin sağlandığını ve istatistiklerin geldiğinide kendi ortamınıza küçük bir network lab I kurarak test etmenizde fayda olacaktır. Eğer kuracağınız ürüne tam anlamıyla hakim değilseniz mutlaka vendor desteğini de yanınıza alınız.