Şimdi Ara

Firewall ve IDS farkları

Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
3
Cevap
0
Favori
1.577
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
0 oy
Öne Çıkar
Sayfa: 1
Giriş
Mesaj
  • Başlıktada yazdığı gibi, Firewall ve IDS nin farklarını bana açıklayabilecek, konuda bilgisi olan biri bana yardımcı olursa sevinirim.



  • Güvenlik duvarının ne olduğunu zaten bildiğinizi düşünüyorum. IDS 'yi bende bilmiyordum. Şimdi araştırınca biraz öğrendim.
    Size şunu sunabilirim.





    IDS(intrusion detection system/saldırı tespit sistemi) integrated data store tarafından geliştirilmiştir.IDS ile sisteminize bir saldırı yapılıp yapılmadığını anlayabilir(DDoS,SYNFlood,trojan vs )ve engelleyebilrsiniz.Aslında IDS'in görevi firewallun eksikliğini gidermek diyebiliriz.(tabi öle deil : ) ) .Firewallar ile teşebbüsleri,paketleri bir oranda engelleyebilrsiniz.Ama saldırgan taraf yöntem değiştirdiğinde firewallar kendilerini buna göre ayarlayamazlar.Ahanda iş burada IDS e düşer.IDS router,firewall vb herhangi bir saldırı anında yeniden yapılandırarak mevcut saldırıyı bloke eder.O zaman da ne olmuş oluyor?Benzer saldırılar engelleniyor.IDS bunları nasıl yapar.IDS hatalı kullanım sezimleme (misuse detecton) ve anormallik denetleme(anomaly detection) kullanır.Hatalı kullanım sezimleme ezbercidir diyebiliriz : ) .veritabanında tanımlı saldırıları çeşitli kriterlere göre değerlendirir.Eğer saldırı olarak tanımlanmışsa hemen bloke eder.Anormallik denetleme ise daha farklıdır.Anormallik denetlemede durumlar göze alınır.Tıpkı insanların şüphelenmesi gibi.Birisinin önceleri az yaptığı hareketlerini zamanla arttırdığını gördüğünüzde bir şeylerden şüphelenirsiniz değil mi?Aynı mantık burda yatar.Sistem üzerinde ki bir kaynağa rutinden daha fazla bağlanırsa burda bir anormallik sezilir ve işlem bloklanabilir.Anormallik denetlemede bazı şeylerden (neylerden? ) protokollerden yararlanılır(Protokolden kastım TCP,UDP yan, web ve anlamında değil).

    Bunlar:

    • Threshold Detection : Hesapçıdır bu : ) .Bir işlem kaç kez yapılmış,kapatılmış hepsi bundadır.Anormallik sezilmemenin temelini oluşturtuyor.
    • Rule-Based Detection : Kurallara dayalıdır.Hafızasında(veritabanında ki) kurallara göre işlem yapar.
    • Static Measure : Üzerinde durulan objenin(genel de kullanıcı oluyor : ) ) hareketlerini kaydeder.


    IDS in iki temel bileşeni vardır.Network ve server sensörler.

    Network Sensör:Ağımızda ki tüm trafiği denetleyen sensördür.Veri tabanında saldırı olan işlemleri tesbit ettiği an bloklar.
    Server Sensör: Ana makineya kuruludurlar ve sadece kuruldukları makine üzerinde ki trafiği denetlerler.Sistem loglarını incelerler.Kimin ne yaptığı bundan sorulur.Silme,çalıştırma,kullanım işlemleri gibi.Server sensör networkle aynı veritabanını kullandığından network sensör gibi bloklama yeteneği de vardır.

    Yazar : AntiOksidan




    Ayrıca başka bir kaynakta ise IDS 'den şu şekilde bahsediyor.




    Paket Süzen Ateş Duvarı (Packet Filtering Firewall)


    Bu tip ateş duvarları IP iletişim kuralını (protocol), IP adresini ve port numarasını denetleyen eden bizim tarafımızdan belirlenen bazı kurallar (rule) içerirler. O yüzden ayarlarını çok iyi yapmamız gerekmektedir. Diğer türlere nazaran daha zahmetlidir. Bu tip ateş duvarları paketlerin uygulama olup olmadığıyla değil ağ tarafı ile ilgilenirler. IP paketini açıp IP başlığına yani kaynak (source) hedef (target), iletişim kuralı, port vs bakarlar.

    Bunun bir kötü tarafı vardır. Örneğin ağ sunucunuz var diyelim. Her şeyi engelleyip sadece web trafiğini açarsınız. Buraya kadar her şey güzel. Herkes web sunucunuza erişiyor. Başka hiçbir şey yapamıyorlar ama sizin web sunucunuza saldıran da erişiyor gezinti yapan da. Bunu ayırt edebilmesi için IDS (Intrusion Detection System - Saldırı Denetleme Sistemi) veya IPS (Intrusion Prevention System - Saldırı Önleme Sistemi) özelliginin olması gerekir. Paket süzen ateş duvarları bu farkı algılayamazlar. Ayrıca bu tip ateş duvarları stateful packet inspection (ip paket denetleme) yapamazlar. Yani paketlerin gerçekten istenilen iletişim kuralı (protocol), port ve ip den gelip gelmediğini anlayamazlar. Biraz daha açmak gerekirse paketin daha önceden kurulmuş bir bağlantıdan mı geldiğini anlayamazlar. Eklediğimiz kural ne diyorsa ona bakarlar. Yani bu tip ateş duvarına "sadece dışardan gelen paketlere izin ver ama bağlantı daha öncedenkurulmuş olsun" diyemiyoruz.

    Bu biraz kafa karıştırıcı olabilir. Burada şunu anlamamız gerekiyor. Mesela A ve B makinası TCP bağlantısı kurduğunda üç yollu el sıkışma (3-way handshake) diye bir işlem gerçekleşir. Basit olarak anlatacak olursak, bu işlemde A makinası B makinasına (1)SYN paketi gönderir. B makinası karşılık olarak (2)SYN/ACK gönderir. Ondan sonra A makinası B'ye (3)ACK paketi gönderir ve bağlantı kurulmuş olur. Siz bilgisayarınızda başlat/çalıştır a "cmd" yazıp komut isteminde "netstat -an" yazarsanız gördüğünüz "ESTABLISHED" bağlantılar bu işlemin gerçekleştigini göstermektedir. Daha fazla ayrıntıya girmek istemiyorum. Sonuç olarak herhangi bir A makinası böyle bir işlem olmadan paket süzen bir ateş duvarının zaafından yararlanabilir. Mesela saldıran biri durmadan SYN gönderebilir. IP yanıltma (spoofing) yapabilir.

    Kaynak :www.tcpsecurity.com






  • Verdiğiniz bilgiler için teşekkür ederim fakat benim az çok bir bilgim var her iki sistem hakkında. Benim öğrenmek istediğim
    IDS ile Firewall arasındaki farklılıklar nedir.
    Mesela benim gözüme çarpan ilk olay, IDS nin mevcut sensorleri ile, engine sayesinde log tutması ve bu logları cross-check yaparak incelemesidir.
    İkincisi ise, eski jenerasyon firewall larda, packet içeriği denetlenmiyordu bu durum izin verilen porttan giriş yapılıp sonra arkadan başka portalara erişim sağlayacak programları çalıştırmak mümkün oluyordu.
    Üçüncü olarakta, firewall lar, packet içeriğini genel olarak geldiği ve gideceği portları açığa çıkartıyordu.

    Daha başka göze çarpan farklılıklar mevcutmu acaba? Mevcutsa nelerdir?
  • 
Sayfa: 1
- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.