Saldırı Tespit ve Önleme Sistemleri (IDS/IPS)

29 Temmuz 2024

Saldırı Tespit ve Önleme Sistemleri (IDS/IPS)

Siber güvenlik dünyasında, Saldırı Tespit Sistemleri (IDS - Intrusion Detection Systems) ve Saldırı Önleme Sistemleri (IPS - Intrusion Prevention Systems), ağları ve sistemleri zararlı aktivitelerden korumak için kritik öneme sahiptir.

IDS ve IPS Nedir?

IDS ve IPS, ağ ve sistem güvenliğini sağlamak için kullanılan iki ana teknolojidir:

  • Intrusion Detection System (IDS): IDS, ağ veya sistem üzerinde gerçekleşen trafiği ve aktiviteleri izler ve analiz eder. Potansiyel tehditleri ve saldırıları tespit ederek uyarılar oluşturur. IDS, sadece tespit işlevi görür, saldırıyı durdurmaz.
  • Intrusion Prevention System (IPS): IPS, IDS'in işlevlerini kapsar ancak bir adım ileri giderek tespit edilen tehditleri otomatik olarak engeller. IPS, saldırıları tespit etmekle kalmaz, aynı zamanda bu saldırıları durdurarak sistemi korur.

IDS Türleri

IDS sistemleri, çeşitli türlerde olabilir ve bu türler aşağıda detaylandırılmıştır:

  1. Ağ Tabanlı IDS (NIDS - Network-based IDS):
    • Ağ trafiğini izler ve analiz eder.
    • Ağdaki şüpheli aktiviteleri tespit eder.
    • Örnekler: Snort, Suricata.
  2. Ana Bilgisayar Tabanlı IDS (HIDS - Host-based IDS):
    • Bireysel cihazların veya sistemlerin aktivitelerini izler.
    • Sistem dosyalarındaki değişiklikleri ve anormal davranışları tespit eder.
    • Örnekler: OSSEC, Tripwire.

IPS Türleri

IPS sistemleri de benzer şekilde çeşitli türlerde olabilir:

  1. Ağ Tabanlı IPS (NIPS - Network-based IPS):
    • Ağ trafiğini gerçek zamanlı olarak izler ve analiz eder.
    • Zararlı trafiği tespit ettiğinde otomatik olarak engeller.
    • Örnekler: Cisco IPS, Palo Alto Networks IPS.
  2. Ana Bilgisayar Tabanlı IPS (HIPS - Host-based IPS):
    • Bireysel cihazları veya sistemleri izler ve korur.
    • Şüpheli aktiviteleri tespit ettiğinde bu aktiviteleri durdurur.
    • Örnekler: McAfee Host IPS, Symantec Critical System Protection.

IDS ve IPS Arasındaki Farklar

IDS ve IPS arasında bazı temel farklar bulunmaktadır:

  • Tespit ve Önleme: IDS, yalnızca tehditleri tespit eder ve uyarılar oluşturur, ancak müdahale etmez. IPS ise tehditleri tespit eder ve aynı zamanda bu tehditleri otomatik olarak engeller.
  • Reaktif ve Proaktif: IDS, reaktif bir yaklaşım sergiler, yani tehditler tespit edildikten sonra müdahale gerektirir. IPS ise proaktif bir yaklaşım sergiler, yani tehditleri önceden durdurarak müdahale eder.

IDS/IPS'in Önemi ve Kullanım Alanları

IDS ve IPS sistemleri, aşağıdaki nedenlerle siber güvenlikte kritik öneme sahiptir:

  • Ağ Güvenliği: Ağ trafiğini sürekli izleyerek zararlı aktiviteleri tespit eder ve engeller.
  • Veri Koruma: Sistem ve ağ verilerini korur, veri ihlallerini önler.
  • Uyumluluk: Birçok endüstri standardı ve düzenleyici gereksinimlere uyumluluğu sağlar (örneğin, PCI DSS, HIPAA).

Yazar: Asrın Haktan Şahin