IDS, IPS və Firewall
İnternetin biznes dünyasında geniş istifadəsi ümumilikdə şəbəkə istifadəsini artırıb. Təşkilatlar, öz şəbəkələrini qorumaq üçün firewall, müdaxilənin aşkarlanması sistemləri (IDS), müdaxilənin qarşısının alınması sistemləri (IPS) və "honeypot"lar kimi müxtəlif şəbəkə təhlükəsizliyi tədbirlərindən faydalanır. Şəbəkələr, hakerlərin təşkilatın təhlükəsizliyinə zərər vurmaq üçün ən çox istifadə etdiyi hədəflərdir və hakerlər şəbəkə təhlükəsizlik tədbirlərindən yayınmaq və bu hədəflərə hücum etmək üçün yeni yollar tapmağa davam edirlər.
Bu modul IDS, IPS, firewall və honeypot-lar kimi müxtəlif şəbəkə təhlükəsizliyi texnologiyaları haqqında ətraflı məlumat verir. Modulda bu komponentlərin əməliyyatlarını və hakerlərin onlardan yayınmaq üçün istifadə etdiyi müxtəlif üsullar izah olunub. Həmçinin, bu cür hücumlarını qarşısını almaq üçün icra edilən qabaqlayıcı tədbirlər də mövcuddur. Bu modulda öyrənəcəyiniz mövzular:
IDS, IPS və firewall anlayışları
Müxtəlif IDS, IPS və firewall həllərindən faydalanma
IDS-i bypass etmək üçün müxtəlif texnikalar
Firewall-ı bypass etmək üçün müxtəlif texnikalar
NAC və endpoint security-ni bypass etmək üçün müxtəlif texnikalar
IDS/Firewall-dan yayınmaq üçün fərqli alətləri istifadə etmə
Honeypot anlayışını anlama və honeypot-ları aşkarlamaq üçün fərqli texnikalar
IDS/Firewall-dan yayınmağa qarşı qabaqlayıcı tədbirlər
IDS, IPS və Firewall Konseptləri
Etik hakerlər, firewall, IDS/IPS-in funksiyasını, rolunu, yerləşməsini, dizaynını və hakerlərin bu təhlükəsizlik tədbirlərindən necə yayındıqlarını anlamalıdırlar.
IDS nədir?
Intrusion detection systems (IDS) - Müdaxilə aşkarlama sistemləri, şəbəkələri və ya sistemləri zərərli fəaliyyətlərə qarşı izləmək, müəyyən etmək və qorumaq üçün istifadə edilən bir təhlükəsizlik yazılımı və ya avadanlıq cihazıdır. Hücumları aşkarladığı anda təhlükəsizlik personalına xəbərdarlıq göndərir. IDS son dərəcə faydalıdır, çünki şəbəkə üzrə gələn/gedən trafiki izləyib şübhəli fəaliyyətləri yoxlamaqla şəbəkədəki/sistemdəki təhlükəsizlik pozuntusunu (security breach) aşkarlayır. Xüsusilə, məlum hücum modelləri ilə uyuşan imzalar (signature) üçün trafiki kontrol edir və bir uyuşma aşkarlandıqda siqnal verir.
IDS, funksionallığına görə aktiv və passiv IDS olmaqla iki kateqoriyaya ayrılır. Passiv IDS, adətən yalnız hücumları aşkarlayır, aktiv IDS isə həm hücumları aşkarlayır, həm də qarşısını alır.
Bəsit nümunə: "IDS/IPS sistemi şirkətin əsas giriş qapısındakı üz tanıma sistemi kimidir. Bu sistem binaya daxil olan hər kəsin üzünü tanıyaraq təhlükəli şəxsləri müəyyən edir. Əgər biri binaya silah və ya təhlükəli alətlə daxil olmağa çalışırsa, sistem dərhal təhlükəsizlik əməkdaşına (administrator) xəbərdarlıq siqnalı göndərir (Passiv IDS). Əgər sistem eyni zamanda giriş qapısını dərhal bağlayır və təhlükəli şəxsin içəri daxil olmasını əngəlləyirsə, bu artıq aktiv IDS (IPS) sistemidir."
IDS-in başlıca funksiyaları:
IDS, səlahiyyətsiz müraciət və sui-istifadə də daxil olmaqla, təhlükəsizlik siyasətinin potensial pozuntularını (violation) müəyyən etmək üçün kompüter və ya şəbəkə daxilində məlumat yığır və təhlil edir.
IDS, eyni zamanda müxtəlif kommunikasiya vasitələri və protokollar (adətən TCP/IP) üzərindən səyahət edən paketləri tutan “packet sniffer” kimi də adlandırılır.
Paketlər yaxalandıqdan (captured) sonra təhlil edilir.
IDS, şübhəli icazəsiz müdaxilələrə (intrusion) qarşı trafiki qiymətləndirir və bu cür müdaxilələri aşkarladıqda həyəcan siqnalı verir.
IDS-lər şəbəkədə harada yerləşir?
IDS yerləşdirmək üçün ən ümumi yerlərdən biri firewall yaxınlığıdır. Nəzarət ediləcək trafikdən asılı olaraq, IDS şəbəkə daxilindən/xaricindən gələn şübhəli trafikə nəzarət etmək üçün firewall xaricində/daxilində yerləşdirilir.
Firewall xaricinə yerləşdirilən IDS xaricdən daxil olan şübhəli trafiki izləyir.
Firewall daxilinə yerləşdirilən IDS daxildən gələn trafiki izləyir.
Bəsit nümunə:
Şirkətdə giriş-çıxışa nəzarət edən üz tanıma sistemləri (IDS) həm giriş qapısında, həm də çıxış qapısında yerləşdirilib. Bu o deməkdir ki, şirkətə daxil olan və şirkətdən çıxan hər kəsin üzü yoxlanılır.
Giriş tərəfdəki IDS: Kənardan gələn insanların (internetdən gələn trafik kimi) kimliyini yoxlayır. Yəni, şəbəkəyə daxil olan trafiki skan edir.
Çıxış tərəfdəki IDS: Şirkətdən çıxan insanların (şəbəkədən xaricə gedən trafik) nə apardığını yoxlayır. Məsələn, işçilər vacib sənədləri çıxarırsa, bu burada skan olunur.
Firewall (Mühafizəçi) isə otağında oturub nəzarət edir. O, həm fiziki kameraları (IDS sistemləri) izləyir, həm də bəzən özü müdaxilə edir. Əgər sistem şübhəli bir hərəkət göstərirsə və ya gözünə nəsə ilişibsə, mühafizəçi:
Dərhal müdaxilə edib qapını bağlayır,
Qara siyahıdan şəxsi tapıb girişini rədd edir,
Ya da əlavə yoxlama üçün həmin şəxsi saxlayır.
Texniki baxımdan bu nə deməkdir?
Firewall – sistemə daxil olan və çıxan məlumat paketlərini yoxlayır, qaydalara uyğun olub-olmadığını təyin edir. Əgər uyğun deyilsə, onu bloklaya bilər.
IDS (daxildə/xaricdə yerləşən) – sistemə daxil olan və çıxan trafiki analiz edir, məlum hücum imzaları ilə müqayisə edir, administratoru xəbərdar edir.
Daxilə yerləşdirildikdə, DMZ-yə (Demilitarized Zone) yaxın olarsa, IDS ideal olacaq. Ancaq ən yaxşı təcrübə, bir IDS-i firewall-ın önünə, digərini isə firewall-ın arxasına yerləşdirməklə ikiqatlı müdafiə istifadə etməkdir.
DMZ nədir?
DMZ (Demilitarized Zone) — şəbəkədə yerləşdirilən aralıq zonadır.
Bu zonada yerləşdirilən serverlər (məsələn, veb server, e-mail server, DNS server) həm daxili şəbəkə, həm də xarici dünya (internet) ilə əlaqə saxlayır.
Lakin bu serverlərin birbaşa daxili şəbəkəyə müraciəti məhdudlaşdırılır, yəni qorunur.
Bəsit nümunə: Təsəvvür edin ki, şirkətin əsas binasına girməmişdən öncə girişdə bir gözləmə zalı var – bu zal DMZ-dir.
Buraya gələnlər, məsələn:
Kuryerlər (e-mail server),
Məlumat almaq istəyən ziyarətçilər (veb server),
Adres soruşanlar (DNS server)
bu gözləmə zalında qarşılanır. Onlar birbaşa şirkət işçilərinin oturduğu otaqlara (intranetə) keçə bilməzlər.
Mühafizəçi (firewall) əvvəlcə onları bu DMZ zonasında saxlayır. Əgər ziyarətçi sadəcə sual soruşub çıxacaqsa, onu içəri buraxmadan elə buradaca qarşılayır. Amma nəsə şübhəli hal olarsa, ya geri qaytarır, ya da mühafizə sistemi (IDS/IPS) siqnal verir.
DMZ nə üçün lazımdır?
Şirkətin serverlərini güvəndə saxlamaq üçün.
İnternətdən gələn hücumların birbaşa daxili şəbəkəyə keçməsinin qarşısını almaq üçün.
Daxili sistemləri təcrid etmək və əlavə qoruma qatları yaratmaq üçün.
IDS-i yerləşdirməzdən əvvəl, bunları anlamaq çox vacibdir:
şəbəkə topologiyasını təhlil etmək
trafik axınının, hakerin şəbəkəyə müraciət etmək üçün istifadə edə biləcəyi resurslar üzərində necə hərəkət etdiyini bilmək
şəbəkəyə qarşı müxtəlif hücumlar zamanı potensial olaraq hədəf sayılacaq kritik komponentləri müəyyən etmək
IDS-in şəbəkədəki yeri müəyyən edildikdən sonra, şəbəkə qoruma effektini maksimum səviyyəyə qaldırmaq üçün IDS konfiqurasiya edilməlidir.
IDS necə işləyir?
IDS-in əsas məqsədi, real vaxt kəsiyində izləmə və müdaxilələrin (intrusion) aşkarlanmasını təmin etməkdir. Əlavə olaraq, reaktiv IDS (və IPS) müdaxilələri kəsə (intercept), cavablaya (respond) və/və ya önləyə (prevent) bilər. IDS belə çalışır:
IDS-lər, data paketlərindəki zərərli imzaları (malicious signatures) aşkarlamaq üçün sensorlara sahibdir və bəzi qabaqcıl IDS-lərə zərərli trafik davranışını aşkarlamaq üçün davranışsal fəaliyyət aşkarlama (behavioral activity detection) daxildir. Paket imzaları, IDS imza databazasındakı imzalarla mükəmməl uyuşmasa belə, fəaliyyət aşkarlama sistemi (activity detection system) inzibatçıları potensial hücumlar barədə xəbərdar edə bilər.
Bəsit nümunə 1: "Deyək ki, şirkətə daxil olmağa çalışırıq. Girişdəki üz tanıma sistemi (IDS) üzümüzü skan edərək şübhəli olub-olmadığımızı yoxlayır. Şirkət, daha əvvəl problem yaratmış və ya qadağa siyahısına daxil edilmiş şəxslərin üz məlumatlarını qara siyahı (blacklist) adlı bir databazada saxlayır.
Əgər şübhəli şəxsin üzü bu qara siyahıdakı məlumatla mükəmməl şəkildə uyuşursa, üz tanıma sistemi bunu zərərli imza (malicious signature) kimi tanıyır və:
Passiv IDS dərhal mühafizəçiyə (administrator) siqnal verir.
Aktiv IDS (IPS) isə əlavə olaraq giriş qapısını bağlayaraq, şübhəli şəxsin fiziki olaraq içəri daxil olmasının qarşısını alır.
Ancaq indi daha ağıllı sistemlər (qabaqcıl IDS-lər) yalnız qara siyahı ilə yox, davranışımıza da baxır.
Məsələn, üzümüz qara siyahıda olmasa da, sistem görür ki:
Bir şəxs gündə bir neçə dəfə daxil olmağına icazə verildiyi halda, şübhəli olaraq saatda 20 dəfə gəlir.
Həmin şəxs girişdən sonra qeyri-adi zonalara getməyə çalışır.
Bu cür davranışlar normal şablondan kənara çıxırsa, davranış əsaslı aşkarlama sistemi (behavioral activity detection) bunu fərq edir. Üz tanıma sistemi siqnal verir və mühafizəçini potensial hücum barədə xəbərdar edir. Beləliklə, mükəmməl uyğunluq olmasa belə, sistem potensial riskləri qabaqlaya bilir."
İmza uyuşduqda, IDS əvvəlcədən təyin edilmiş bu fəaliyyətləri icra edə bilər: bağlantıları sonlandırma, IP ünvanları bloklama, paketləri buraxma (drop the packets) və/və ya inzibatçını məlumatlandırmaq üçün siqnal vermə.
İmza uyuşduqda, anomaliya aşkarlanması ötürülür (skip), yəni anomaliya analizi aparılmır. Əks halda sensor trafikdə anomaliya olub-olmadığını müəyyən etmək üçün analiz aparır.
Paket, bütün testlərdən keçdikdən sonra IDS onu şəbəkəyə ötürür.
Nəyə görə imza uyuşduqda anomaliya ötürülür?
Əgər imza, databazadakı imza ilə uyuşursa, yəni təhlükə artıq təsdiqlənmiş və məlum bir imza ilə üst-üstə düşürsə, bu artıq bilinən bir hücumdur. Sistem artıq bu paketin zərərli olduğunu dəqiq bilir, əlavə analizə ehtiyac yoxdur. Ona görə anomaly detection mərhələsi buraxılır və birbaşa tədbir görülür (bloklama, siqnal və s.).
Əgər imza uyuşmursa, yəni bu trafikdə məlum imza yoxdursa, yenə də buna "güvənli" demək olmaz.
Burada anomaly detection işə düşür və sistem, trafik davranışlarını izləyir:
Paketin davranışı normaldırmı?
Çox tez-tez gəlirmi?
Qeyri-adi portdan istifadə olunurmu?
Əgər qəribə davranış müşahidə olunarsa, bu zaman sistem xəbərdarlıq edir.
Bəsit nümunə: Mühafizəçi şirkətə daxil olmasına icazə verilməyən birinin kimliyini yoxlayaraq onun içəri daxil olmasına icazə vermir - bu, signature match sayılır və anomaliya analizinə ehtiyac yoxdur. Ancaq, həmin şəxs, içəri daxil olmaq üçün icazəyə sahibdirsə və şübhəli davranırsa, artıq anomaly detection işə düşür.
Yuxarıdakı sxemi təhlil etsək, trafik İnternet → Router → Firewall → IDS-ə gəlir və IDS trafiki 3 mərhələdə yoxlayır.
Signature File Comparison
Anomaly Detection
Stateful Protocol Analysis
Signature file – məlum hücumların və zərərli fəaliyyətlərin identifikasiya məlumatlarının saxlandığı fayllardır. Antivirusda və ya IDS sistemində: "bu zərərli davranışın izi budur" – deyə saxlanır. Bu "izlərə" imza (signature) deyilir. Məsələn SQL Injection hücumu üçün bir signature belə ola bilər:
' OR 1=1 --Yuxarıdakı kod, pentester üçün payload (hədəfi istismar etmək üçün istifadə olunan kod), IDS üçün signature (həmin kodun sistemdə zərərli fəaliyyət göstəricisi kimi tanınan və imza bazasında saxlanılan forması) sayılır.
Bu signature, signature.db və ya signatures.sig adlı bir faylda saxlanılır. Sistemə gələn paketdə bu kod aşkarlanarsa → imza ilə üst-üstə düşür → match olur.
Yuxarıdakı mərhələdə signature faylı datazabadakı imza ilə uyuşmasa, növbəti Anomaly Detection mərhələsinə keçilir. Heç bir anormallıq aşkarlanmasa, paket üçün növbəti mərhələ olan Stateful Protocol Analysis mərhələsi icra olunur.
Normalda bir protokol özünəməxsus port və davranış şablonuna malikdir. Əgər bu protokol, davranışdan kənara çıxırsa, Stateful Protocol Analysis onu şübhəli və ya zərərli olaraq qiymətləndirə bilər. Məsələn, HTTP protokolu ilkin olaraq 80 nömrəli portu istifadə edir, ancaq gələn trafikdə HTTP üçün 2020 nömrəli port istifadə olunur. Bu zaman, ehtimal ki, hücum edən şəxs HTTP protokolunu gizlətmək üçün fərqli port istifadə edir. Və yaxud, DNS sorğuları ilkin olaraq 53 nömrəli portu istifadə edir. Normalda gələn DNS trafikində əvvəl request, sonra response gəlməlidir. Əgər response, request-dən əvvəl gəlirsə, Stateful Analysis bunun qarşısını alır.
Əgər heç bir mərhələdə zərərli proses aşkarlanmasa, o zaman paketin müəssisənin şəbəkəsinə daxil olmasına icazə verilir. Əgər hər hansısa bir mərhələdə, anormallıq və ya şübhəli fəaliyyət aşkarlanarsa, o zaman Action Rules tətbiq olunur.
Yuxarıdakı təsvirdə göründüyü kimi, Action Rules mərhələsində signature, log serverə yazılır ki, SOC və forensics komandası bu log-lara baxaraq analiz apara bilsin. Həm də sistemdə baş verən insidentlər gündəlik olaraq izlənilsin və audit üçün saxlanılsın. Nümunə: Şirkətdə 5 dəfə ardıcıl eyni IP-dən uğursuz giriş cəhdi olub. Bu məlumat log server-ə yazılıb. Növbəti gün SOC komandası baxa bilər: "Bu IP kimindir?", "İçəri girməyə çalışırdı?"
Digər Action Rules mərhələlərinə baxsaq: inzibatçıya insident barədə tədbir görülməsi üçün məlumat göndərilir. Attacker-in sistemə daha çox zərər verməsini önləmək üçün IP adres bloklanır. Zərərli paketin sistemə düşməsini önləmək üçün bu paket silinir.
Bu Action Rules mərhələlərində sıralama şirkətdən-şirkətə dəyişir. Yuxarıdakı sxemdən fərqli ardıcıllıq tətbiq oluna da bilər, bəzi mərhələlər buraxıla da bilər. Bu, şirkətin təyin etdiyi qaydalara əsasən dəyişir.
IPS nədir?
Intrusion prevention systems (IPS) - Müdaxilə önləmə sistemləri, müdaxilələri aşkar etməklə yanaşı, onların qarşısını ala bildiyi üçün aktiv IDS hesab olunur. IPS-lər, adətən əlavə bir qoruma təbəqəsi kimi firewall-ların arxasında yerləşən davamlı izləmə sistemləridir. Passiv IDS-lərdən fərqli olaraq, IPS-lər, inline olaraq şəbəkədə mənbə ilə hədəf nöqtə arasında yerləşdirilir və bütün trafik IPS-dən keçir. IPS tarfiki analiz edir, lazım gələrsə şəbəkəyə daxil olan trafiklə bağlı avtomatlaşdırılmış qərarlar (bloklamak kimi) qəbul edir. Ancaq, passiv IDS, sadəcə trafiki izləyir, lakin bloklamır.
Inline olaraq yerləşmə nədir?
“Inline olaraq yerləşmə” ifadəsi, IPS-in — trafikin məcburi şəkildə onun üzərindən keçdiyi bir mövqedə yerləşdirilməsini bildirir. Yəni, şəbəkəyə daxil olan və ya şəbəkədən çıxan bütün məlumatlar əvvəlcə IPS-in özündən keçməlidir. Bu yerləşmə forması IPS-ə trafiki təkcə izləmək deyil, real zamanlı müdaxilə etmək imkanı verir: zərərli trafiki bloklaya, əlaqəni kəsə, və ya tamamilə ataraq sistemə daxil olmasını əngəlləyə bilər.
Bəsit nümunə: Təsəvvür edin ki, şirkətin girişində elektron turniket sistemi qurulub. Bu turniketdən keçmədən heç kim binaya daxil ola bilməz. Hər bir işçinin əlində giriş kartı var və bu kartı turniketə yaxınlaşdıraraq içəri daxil olur.
Bu vəziyyətdə:
Turniket trafikin keçdiyi fiziki məntəqədir.
Giriş kartı – şəxsin identifikasiyasıdır (trafik paketi).
Turniketin içindəki yoxlama mexanizmi, kiminsə girişə icazəsinin olub-olmadığını yoxlayır.
Əgər şəxs qara siyahıdadırsa, turniket açılmır – giriş bloklanır.
Inline IPS-lər adətən şəbəkədə mənbə ilə təyinat nöqtəsi arasında, yəni trafikin keçid xəttində qurulur. Beləliklə, IPS trafikin üzərində filtrləmə, bloklama, qaydalar tətbiqi və hücumların qarşısını alma kimi tədbirləri aktiv şəkildə icra edə bilir. Yəni, Inline yerləşdirmə, IPS-in təhlükəsizlik sistemində fiziki və məcburi nəzarət nöqtəsi rolunu oynamasını təmin edir. Passiv yerləşdirmədən fərqli olaraq, yalnız müşahidə etməklə kifayətlənmir, real müdaxilə edə bilir. Yuxarıdakı sxemdən göründüyü kimi, IPS şəbəkə yolunun düz ortasında yerləşdirilib, yəni internetdən gələn bütün trafik əvvəlcə firewall, sonra IPS-in içindən keçir. IPS şəbəkəyə daxil olmamışdan əvvəl trafiki yoxlayır. Trafik, IPS-dən keçməsə, korporativ şəbəkəyə daxil ola bilməz.
Əlavə olaraq IDS isə paralel qoşulub (yan bağlantı ilə). Bu o deməkdir ki, trafik onun üzərindən keçmir, o sadəcə trafiki izləyir. IDS məlumat toplayır və analiz edir, amma trafiki bloklamır – bu passiv yerləşmə nümunəsidir.
IPS, aşağıdakı fəaliyyətləri həyata keçirə bilər:
Şəbəkədə hər hansısa bir anormal trafik aşkarlansa siqnal yaradır.
Şəbəkə fəaliyyətlərinin real vaxtlı log-larını daim qeyd edir.
Zərərli trafiki bloklayır və filtrləyir.
Əməliyyat şəbəkəsində inline olaraq yerləşdiyi üçün təhdidləri sürətlə aşkarlayır və aradan qaldırır.
False pozitiv nəticələr yaratmadan təhdidləri düzgün formada müəyyən edir.
IPS, ona konfiqurasiya edilmiş müəyyən qaydalara və siyasətlərə əsaslanan fəaliyyətləri həyata keçirir. Başqa sözlə, IPS şəbəkədəki hər hansısa müdaxiləni və ya hücumu müəyyənləşdirə, jurnala yaza (log) və önləyə bilər. IPS, həm də korporativ təhlükəsizlik siyasətlərindəki kritik problemləri aşkarlamaq üçün istifadə edilə bilər. Bunlara misal olaraq:
Notorious Insider Threats - Bədniyyətli Şirkətdaxili Təhdid. Şirkətin mövcud və keçmiş əməkdaşlarının qəsdən və ya bilməyərəkdən şirkətə zərər verməsi, məxfi məlumatları sızdırması, zərərli yazılımları yayması halıdır.
Malicious Network Guests - Zərərli Şəbəkə Qonaqları. Wi-Fi şəbəkəsinə bağlanmış icazəsiz cihazların zərər vermək halıdır.
IPS-lərin iki növü var:
Host əsaslı IPS
Şəbəkə əsaslı IPS
IPS-in IDS-dən üstünlüyü:
IDS-dən fərqli olaraq, IPS, şəbəkədəki qeyri-qanuni paketləri bloklaya və buraxa (drop) bilər.
IPS, vahid bir təşkilatda baş verən fəaliyyətləri izləmək üçün istifadə oluna bilər.
IPS, şəbəkə trafikinin miqdarına nəzarət edərək şəbəkədə birbaşa hücumların meydana gəlməsini önləyə bilər.
IDS müdaxilələri necə aşkarlayır?
IDS, şəbəkədəki müdaxilələri aşkarlamaq üçün üç üsul istifadə edir:
1. Signature Recognition - İmza tanıma
Signature recognition, həmçinin misuse detection (sui-istifadə aşkarlama) kimi də tanınır və bir sistemin və ya şəbəkənin sui-istifadə edildiyini göstərən event-ləri müəyyən etməyə çalışır. Belə ki, bu texnika aşağıdakı prinsiplə işləyir:
Əvvəlcə potensial hücum modelləri yaradılır.
Sonra, bu modellər şəbəkəyə daxil olan event-lərlə müqayisə edilir.
Əgər daxil olan event, bu modellə üst-üstə düşərsə, hücum kimi qəbul edilir.
IDS üçün yaradılan imzalar, bu prinsiplə işləyir. Model yalnız həqiqi hücumları aşkarlamalıdır, normal şəbəkə trafikinə müdaxilə etməməlidir. Əks halda, false alarm yaranma ehtimalı var.
İmza əsaslı IDS, şəbəkəyə daxil olan və ya çıxan paketləri analiz edərək, məlum hücumları imzaları ilə müqayisə edir. Bu müqayisə, sadə nümunə uyuşması (pattern matching) texnikası ilə edilir. Hakerlər, TCP flag-ləri kimi paketin müəyyən hissələri üçün ikili imzalar təyin edə bilər.
Signature recognition, məlum hücumları aşkarlaya bilər. Ancaq, bəzi zərərsiz şəbəkə paketləri də eyni imza ilə uyuşa bilər, bu da false positive siqnallarını işə sala bilər.
Müdaxilələri daha yaxşı aşkarlamaq üçün böyük sayda imzalar lazımdır. Nə qədər çox imza olarsa, IDS-in müdaxilələri aşkarlama ehtimalı bir o qədər yüksək olur. Lakin trafikdə imzalarla uyuşma yanlış ola bilər, bu da sistem performasını zəiflədə bilər.
İmza datalarının həcmi nə qədər çox olarsa, şəbəkədə daha çox bant genişliyi (bandwidth) tələb olunur. IDS, data paketlərinin imzalarını imza databazasında yoxlayır. Databazadakı imza sayının artması, müəyyən paketləri buraxılması (drop) ilə nəticələnə bilər.
URSNIF və VIRLOCK kimi yeni virus hücumları, vahid bir hücum üçün daha çox imzaya ehtiyac yaranmasına səbəb oldu. Bəzi hücumlarda hakerlər tək bir biti dəyişərək həmin hücum üçün yaradılmış imzanı yararsız edə bilir. Buna görə də, oxşar bir hücumu aşkarlamaq üçün tamamilə yeni imzalar lazım gəlir.
İmza əsaslı IDS-lər, bəzi problemlərə baxmayaraq, hələ də populyardır. Düzgün qurulub mütəmadi olaraq izləndikdə (monitoring), yaxşı nəticələr verir.
2. Anomaly Detection - Anomaliya Aşkarlama
Anomaliya aşkarlama və ya "non-use detection", imza tanıma prosesindən fərqlidir. Anomaliya Aşkarlama, şəbəkə trafikinə və sistem fəaliyyətinə normaldan kənar olan istənilən davranışı anomaliya kimi qəbul edir. Bu sistem anomaliyalarını tanıyan bir databazaya əsaslanır.
Normal şəbəkə istifadəsinin müəyyən bir tolerantlıq səviyyəsi var. Yəni, sistem müəyyən qədər dəyişiklikləri normal sayır. Əgər bir event bu tolerantlıq səviyyəsindən kənara çıxarsa, hücum və ya anormal fəaliyyət kimi qəbul edilir. Amma bu səviyyədən kənara çıxarsa, xəbərdarlıq edir.
Anomaliya, normaldan kənar olan istənilən davranışdır. Məsələn, bir işçi hər gün saat 9-da işə gəlir, e-poçtlara baxır, fayl köçürmür və serverə daxil olmur. Bu işçi, gecə saat 3-də sistemə bağlanır, serverdən müəyyən bir həcmdə fayl endirməyə çalışırsa, sistem bunu anomaliya olaraq qiymətləndirir və siqnal verir.
Anomaliya aşkarlaması, kompüter sistemindəki istifadəçilərin və komponentlərin sabit davranış xüsusiyyətlərinə əsaslanır. Normal istifadə modelinin yaradılması anomaliya detektorunun qurulmasında ən çətin addımdır.
Ənənəvi anomaliya aşkarlama üsulunda təməl datalar, şəbəkə trafikindəki dəyişiklikləri yoxlamaq üçün saxlanılır. Ancaq reallıqda, şəbəkə trafikində bəzi gözlənilməz hallar və çox statistik dəyişikliklər var ki, bu da bu modelləri qeyri-dəqiq hala gətirir. Anomaliya olaraq etiketlənən bəzi event-lər, əslində normal şəbəkə istifadəsindəki qeyri-müntəzəm hallar ola bilər.
Bu metodun əsas problemi, normal şəbəkə fəaliyyətinə tam uyğun bir model qurmağın çətin olmasıdır. Bu tip modellər, ancaq xüsusi şəbəkələri yoxlamaq üçün istifadə olunmalıdır. Əgər model düzgün qurulmazsa, həqiqi təhlükələri aşkar etmək çətin ola bilər və ya çoxlu yalnış siqnallar (false positives) yaranar.
3. Protocol Anomaly Detection - Protokol Anomaliya Aşkarlaması
Protokol anomaliya aşkarlaması, müəyyən olunmuş protokol qaydalarından və ya gözlənilən davranışlardan hər hansısa kənaraçıxmaları aşkarlamaq üçün şəbəkə trafikinin analiz edilməsidir. Bu yanaşmada, əksər şəbəkə protokollarının müəyyən qaydaları, strukturları və davranış nümunələri olduğu qəbul olunur. Əgər trafik bu qaydalara əməl etmirsə, bu hal, zərərli fəaliyyət və ya yanlış konfiqurasiyanın göstəricisi ola bilər. Protokol Anomaliya Detektorunun işləmə prinsipi:
Baseline behaviour: Normal protokol davranışını müəyyən etmək üçün bir baza (baseline) yaradılır. Çünki sistem “normal davranış nədir?” sualını bilmirsə, heç vaxt “bu anormaldır” deyə bilməz. Məsələn, bir şəxs hər gün eyni saatda ofisə gəlir, sistem bunu öyrənir. Həmin şəxs bir gün gecə saat 3-də gəlsə, sistem deyir: bu normaldan kənardır – anomaly. Ümumilikdə bu proses, şəbəkə trafikinin gözlənilən quruluşunu, ardıcıllığını, vaxtını və məzmununu öyrənməyi əhatə edir. Nəticə etibarilə, baza qurulmasa, sistem hansı davranışın normal və ya anormal olduğunu müəyyən edə bilməz.
Anomaly Identification: Baseline qurulduqdan sonra IDS, şəbəkə trafikindəki kənaraçıxmaları izləyir. Anomaliyalar aşağıdakı halları əhatə edə bilər:
Qeyri-adi paket strukturları - məsələn, TCP paketində lazımsız və ya qəribə başlıqlar
Gözlənilməz ardıcıllıqlar (unexpected sequence orders) - məsələn, cavab gəlmədən ikinci sorğu gedir
Anormal cavab vaxtları - cavab çox gec və ya çox tez gəlir
Protokol pozuntuları (protocol violations) - məsələn, HTTP-də GET metodu düzgün istifadə olunmur
Detection Rules: Bir hadisənin anomaliya olub-olmadığını müəyyən etmək üçün qaydalar təyin edilir. Bu qaydalar protokol xüsusiyyətlərinə və normal davranış nümunələrinə əsaslanır. Bu qaydalar, IDS-in hansı halları anomaliya kimi qəbul edəcəyini müəyyən edir. Yəni sistem qərar verməyə çalışır ki, "Bu gördüyüm davranış həqiqətən anomaliyadırmı, yoxsa normal dəyişiklikdir?".
Yekun
Baseline
Normal davranışı öyrənmək
“Hər şeyin necə getməli olduğunu başa düşürəm”
Identification
Kənaraçıxmaları tapmaq
“Bu davranış normadan fərqlidir mi?”
Rules
Qərar vermək
“Bu davranış təhdiddir, yoxsa sadəcə normal bir eventdir?”
Ümumi Hücum Göstəriciləri
Şəbəkələrə, sistemlərə və ya fayl sistemlərinə hücum cəhdləri aşağıdakı ümumi göstəricilərlə aşkarlana bilər:
Fayl sisteminə müdaxilələr
Sistem fayllarını müşahidə edərək, bir müdaxilənin varlığı müəyyən edilə bilər. Sistem faylları sistemin fəaliyyətlərini qeyd edir. Fayl atributlarında və ya faylın özündə edilən istənilən dəyişiklik və silinmə halı, hücumun göstəricisidir:
Sisteminizdə yeni, bilinməyən faylların/proqramların tapılması, sistemə icazəsiz müdaxilə olduğunu bildirir. Həmçinin sistem, digər şəbəkə sistemlərini də təhlükə altında qoya bilər.
Bir haker, sistemə müraciət əldə etdikdə, inzibatçı səlahiyyətlərini əldə etmək üçün imtiyazları yüksəltməyə çalışır. İnzibatçı səlahiyyətini əldə etdikdə, həssas faylların icazələrinə dəyişiklik edə bilər.
Fayl həcmində, sahibliyində və müraciət icazələrindəki izahı olmayan dəyişikliklər də bir hücumun simptomlarıdır. Bütün sistem fayllarının analiz edildiyinə əmin olmaq lazımdır.
Linux sisteminizdəki əsas suid və sgid fayllarınızla uyuşmayan saxta suid və sgid fayllarının varlığı da, bir hücumun göstəricisi ola bilər.
Qovluqlardakı qəribə ada və ya uzantıya sahib çalışdırıla bilən fayllar və cüt uzantılı fayllar da, hücumun varlığına işıq tuta bilər.
İtmiş fayllar, potensial hücumun göstəricisi ola bilər.
İzahı olmayan disk sahəsi istifadəsi və əlçatan anbar sahəsinin anidən tükənməsi.
Yavaş performans və ya tez-tez fayl çökmələri kimi anormal sistem davranışları.
Şəbəkə müdaxilələri
Oxşar olaraq şəbəkə müdaxilələrinin ümumi göstəriciləri bunlardır:
Bant genişliyi sərfiyyatında ani bir artım
Maşınlardakı mövcud xidmətlərin təkrarlanan incələmələri (probe)
Şəbəkə aralığındakı IP-lər xaricindəki IP-lərdən gələn bağlantı istəyi, kimliyi doğrulanmamış istifadəçinin (intruder) şəbəkəyə bağlanmağa çalışdığını göstərə bilər
Remote host-lardan təkrarlanan giriş (login) cəhdləri
DoS hücumləri, bant genişliyi sərfiyyatı və DDoS hücumları üzrə cəhdləri üzə çıxara biləcək log datasındakı ani artım
Şəbəkə konfiqurasiyalarında və ya firewall qaydalarındakı gözlənilməz dəyişikliklər
Şəbəkə yükünün artmasına görə gözlənilməz sistem çökmələri və ya performansda yavaşlama
Normal olmayan outbound bağlantıları və ya zərərli domenlərə yönəlmiş trafik
Sistem müdaxilələri
Qısa (short) və ya əskik (incomplete) log-lar kimi log fayllarında ani dəyişikliklər
Sistem performansının qeyri-adi şəkildə yavaşlaması
İtmiş log faylları və ya yanlış icazələrə və ya sahibliyə malik log faylları
Sistem yazılımı və konfiqurasiya fayllarında edilən dəyişikliklər
Qrafikanın qeyri-adi nümayişi və mətn mesajları
Sistem accounting üzrə boşluqlar
Sistem çökməsi və ya yenidən başlaması
Tanış olmayan proseslər
Intrusion detection və ya antivirus üzrə siqnallar
Sistemə icazəsiz proqramların quraşdırılması
Shell history faylları, müvəqqəti fayllar və ya hakerin istifadə etdiyi alətlərin qalıqları kimi faylların mövcudluğu
IDS növləri
Müdaxilə aşkarlama sistemlərinin iki növ var: Şəbəkə əsaslı və Host əsaslı.
Şəbəkə əsaslı IDS
Network-based IDS (NIDS), şəbəkəyə daxil olan hər bir paketi anomaliyalara və yanlış məlumatların mövcudluğuna görə yoxlayır. Firewall həddən artıq çox data paketini buraxa (drop) bilər, ancaq NIDS hər bir paketi hərtərəfli yoxlayır. NIDS, bütün trafiki yaxalayıb incələyir. Məzmuna görə IP və ya application səviyyəsində alert-lər yaradır. NIDS, host əsaslı IDS-ə nisbətən daha geniş yayılmışdır, çünki bütün şəbəkə trafikini analiz edə bilir.
NIDS, anomaliyaları ruter və host səviyyəsində müəyyən edir. Data paketlərinin içindəki məlumatları yoxlayır və zərərli paketlərə aid məlumatları qeyd edir. Data paketlərini qəbul etdikdən sonra, hər risk üçün təhdid səviyyəsi təyin edir. Təhdid səviyyəsi, təhlükəsizlik qruplarının xəbərdar olmasını təmin edir.
NIDS sistemləri adətən "qara qutu" (black box) kimi şəbəkəyə yerləşdirilir. Bu sistem "promiscuous mode" rejimində işləyir, yəni bütün şəbəkə trafiki dinlənilir və təhlil edilir. NIDS-in aşkarlaya bildiyi təhlükəli fəaliyyətlərə bunları misal gətirmək olar: DoS hücumları, port scan hücumları, şəbəkə trafikini izləyərək kompüterlərə icazəsiz müraciət cəhdləri.
Host əsaslı IDS
Host-based IDS (HIDS), sistemin hər bir davranışını təhlil edir. HIDS, masaüstü kompüterdən serverə qədər hər növ sistemə qurula bilər. NIDS-ə nisbətən daha çox yönlüdür. Insider fəaliyyətini aşkar etməklə yanaşı, icazəsiz fayl dəyişikliklərini aşkarlamaqda da effektivdir.
HIDS, lokal sistemlərin dəyişən yönlərinə fokuslanır. Həmçinin daha çox platforma mərkəzlidir, daha çox Windows əməliyyat sisteminə diqqət yetirir. Bununla belə, UNIX platformaları üçün digər HIDS-lər mövcuddur. Bu mexanizmlər adətən müəyyən hostda baş verən audit event-lərini əhatə edir. Hər bir sistem event-ini izləmək məcburiyyətində qaldığına görə geniş yayılmayıb.
IDS Alert növləri
IDS dörd növdə siqnal verə bilər: True Positive, False Positive, False Negative və True Negative.
True Positive (Attack - Alert)
IDS real bir hücumu aşkar edir və bir siqnal verir. Məsələn, bir haker şəbəkəyə sızmağa çalışa bilər. Ya da bu hal, haker alətlərindən istifadə edərək hücum simulyasiyası qurulduqda baş verə bilər. Bu, IDS-in düzgün işlədiyini göstərən ideal vəziyyətdir.
False Positive (No attack - Alert)
Real bir hücum olmadığı zaman, IDS-in siqnal verməsi halıdır. IDS normal bir fəaliyyətə səhvən hücum kimi baxır və xəbərdarlıq edir. Bu problemə görə, istifadəçilər tez-tez xəbərdarlıq siqnallarını ciddiyə almaya bilərlər. IDS tənzimlənərkən, inzibatçılar test məqsədilə False Positive siqnallarını istifadə edərək, sistemin real hücumları ayırd edib-etməyəcəyini yoxlayırlar.
False Negative (Attack - No Alert)
Təhlükəli vəziyyətdir, çünki hücum baş verir, lakin IDS onu aşkarlaya bilmir. IDS-in əsas məqsədi hücumları aşkar edib reaksiya verməkdir, bu baş vermədikdə, sistem uğursuz olur. Bu cür səhvlər, hücumçuların aşkarlanmayaraq şəbəkəyə zərər verməsinə imkan yaradır.
True Negative (No attack - No Alert)
IDS, normal bir fəaliyyəti düzgün tanıyır və xəbərdarlıq vermir. Bu, sistemin gözlənildiyi kimi işlədiyini göstərir. Yəni, sistem yalnız anormal halları aşkarlamalıdır, adi fəaliyyətləri isə gözardı etməlidir.
✅ True Positive
✔️ Bəli
✔️ Bəli
İdeal – IDS düzgün işləyir
🚨 False Positive
❌ Xeyr
✔️ Bəli
Səhv xəbərdarlıq – Normal fəaliyyət hücum kimi qəbul edilir
❌ False Negative
✔️ Bəli
❌ Xeyr
Ən təhlükəli vəziyyət – IDS hücumu aşkar edə bilmir
✅ True Negative
❌ Xeyr
❌ Xeyr
Normal vəziyyət – IDS düzgün işləyir
IDS və IPS həlləri
IDS və IPS-lərin tətbiq olunması üçün bir sıra həll yolları mövcuddur.
Yara qaydaları ilə müdaxilə aşkarlama
Yara, zərərli yazılım araşdırma alətidir. Təhlükəsizlik analitiklərinin rule-based yanaşması ilə zərərli yazılımları və ya digər zərərli kodları aşkarlayıb sinifləndirməsinə imkan verir. Həmçinin, Windows, macOS və Linux OS kimi əməliyyat sistemlərində çalışan çox platformalı alətdir. Bu alət, təhlükəsizlik analitiklərinin mətn və ya binary modellər formatında zərərli yazılım ailələrinin "qaydalarını" və ya açıqlamalarını yaratmasına imkan verir. Yaradılmış qaydalar, fayldakı müəyyən modelləri təhlil edir və faylın zərərli olub-olmadığını təhlükəsizlik analitikinə bildirir. Açıqlama və ya qayda, bunun ardındakı məntiqi quran Boolean ifadəsi və string-lərdən ibarətdir.
Təhlükəsizlik analitikləri, bir təşkilat daxilində özəl bir databazanı və ya zərərli binary faylları incələmək və hücumları aşkarlamaq üçün YARA qaydaları yaza bilər. Həm də analitiklər, YARA qaydalarında hex və plain mətn kimi fərqli modelləri, digər xüsusi operatorlar və string-lərlə istifadə edərək müxtəlif növ zərərli yazılım imzalarını effektiv şəkildə aşkarlaya bilər.
Last updated