İLETİM ve DAĞITI M o Makale Şekil 3. Saldırı tespit sistemleri (IDS). güvenlik uzmanını bilgilendirir. Ayrıca arşiv kayıtları ve raporlar oluşturur. IDS bir data paketinin saldırı amaçlı olup olmadığını, kendi saldırı veritabanında bulunan saldırı türleriyle karşılaştırarak anlar[4]. 3.2.2. Sunucu tabanlı IDS Ağ tabanlı IDS'in yaptığı tüm işlemleri, üzerinde kurulu olduğu tek bir sunucu için yapar. İlgilendiği paketler, sadece o sunucuya gelen paketlerdir. Şekil 3'te, ağ tabanlı IDS'e bir örnek gösterilmektedir. IDS, sunucu-switch arasına konumlandırıldığı taktirde sunucu tabalı bir koruma yöntemi olacaktır. 3.3. Saldırı Koruma Sistemleri (IPS) Sadece güvenlik duvarı ile bir sisteme yapılan saldırıları tespit etmek veya engellemek mümkün değildir. Çünkü güvenlik duvarı, üzerinden geçen paketleri incelemez. Sadece tablosundaki kurallar yardımıyla bir paketin geçip geçmeyeceği ile ilgilenir. İşte bu noktada kendisine gelen paketi inceleyebilecek, gerektiği zaman önceki paketler ile bu paketi kıyaslayabilecek, şüpheli bir durum varsa geçişine izin vermeyerek sistemi koruyacak ikinci bir güvenlik uygulamasına ihtiyaç duyulacaktır. Network dünyasında bu işleri yapan uygulamalara Saldırı Önleme Sistemleri (IPS) denilmektedir. 4. Akıllı Şebekelerde Ağ Güvenliği Uygulamaları Yukarıda saldırı tespit ve koruma sistemlerinin temel özelliklerinden bahsedilmiştir. Bir güvenlik yöneticisi, sorumlu olduğu ağı korumak için bu temel özellikleri Şekil 4. Saldırı koruma sistemleri (IPS). kapsayan farklı yöntemler kullanabilir. Siemens olarak geliştirmekte olduğumuz iki farklı uygulama bu temel özellikleri kapsamaktadır. Alt bölümlerde bu uygulama deneyimlerinden bahsedilecektir. 4.1. NetSniffer Ağ güvenliği uygulamalarında, asıl amaç, paketlerin 5-TUPLE (kaynak ip-kaynak port- hedef ip-hedef portprotokol)[S] yöntemi ile oturum bütünlüğü sağlamak ve bu yöntem üzerinden her oturuma ait ağ paketlerini bir bütünlük içerisinde analiz ederek bir anormallik tespit edildiğinde gerekli önlemleri almaktır. NetSniffer uygulaması ile; • Her bir oturuma ait ip-port, protokol, gelen-giden paket sayısı gibi bilgiler kullanıcıya sunulur. • Kurulan her oturum önceden tanımlanmış kuralları baz alarak bilinen ve bilinmeyen olarak sınıflandırıl ır. • Daha önceden belirlenen kurallar göz önüne alınarak incelenen oturumun bir saldırı olduğu anlaşıldığında o oturuma ait paketler engellenir. • Kullanıcılar arayüz üzerinden engellenen oturumları görüntüleyebilir, mevcut engelleri kaldırabilirler. • Ağda bulunan bir bilgisayarın portlarını kontrol ederek açık port bilgisi kullanıcı arayüzünde gösteri l ir. • İncelenen oturumlara ait bilgiler HTML veya PDF formatında kaydedilebilir. NetSniffer bu özellikleri sunarken, ICMP, TCP, UDP protokollerini inceleyerek; DDOS, PINGFLOOD, PINGOFDEATH ve ARPSPOOFING saldırılarını önceden 80 ENERJİ ve ÇEVRE DÜNYASI Sayı 123 -OCAK / ŞUBAT 20 1 6
RkJQdWJsaXNoZXIy MTcyMTY=