antihook - Teknoloji ve Bilgisayar haberleri - pcpc bilgisayar

IGES - İZİNSİZ GİRİŞLERİ ENGELLEME SİSTEMİ

İzinsiz girişleri engelleme sistemi (IGES) teknolojisi, bilgisayarları izinsiz girişlerden ve açık suistimallerinden korumak amacıyla erişimleri denetleyen bir bilgisayar güvenlik aracıdır. Bu sistem kimilerince izinsiz girişleri saptama sisteminin (IGSS) genişletilmiş hali olarak görülür ancak tıpkı uygulama tabanlı güvenlik duvarları gibi erişim denetiminin bir diğer biçimidir. Yeni nesil güvenlik duvarları derin paket denetleme motorlarını izinsiz girişleri engelleme sistemleri ile desteklerler. Terim NetworkICE çalışanı, danışman ve teknik yazar Andrew Plato tarafından türetilmiştir.

İzinsiz girişleri önleme sistemi (Intrusion Prevention System), hatlara saptama sistemleri yerleştirerek pasif ağ izlemedeki belirsizlikleri çözmek amacıyla 90'ların sonlarında icat edilmiştir. Klasik güvenlik duvarlarının ip adresi ve port denetimleri ile uğraşmalarının aksine IGES uygulama içeriği temelli erişim kontrolü kararlarını verir ve bu kendilerini güvenlik duvarlarından bir adım öteye taşır. IGES'ler izinsiz girişleri saptama sistemlerden türediklerinden aralarında benzerliklerin ve bağlantıların olması doğaldır.

lk ticari IGES, NetworkICE şirketi tarafından üretilen BlackICE idi.1998 yılında kurumsal ve kişisel versiyonları piyasaya sunuldu. Bu program çekirdek denetleme tekniği olarak protokol analizini kullanıp, kullanıcı ve ağ içi IGES özelliklerinin etkin şekilde kullanımı sağlamıştır. Şirketin ilk ürünleri BlackICE Desktop ( HIPS), BlackICE Guard (NIPS) ve BlackICE Sentry ( pasif IGSS çözümleri)idi. NetworkICE, 2000 yılında İnternet Güvenlik Sistemleri (ISS) tarafından satın alındı. 2006 yılında ise ISS, IBM bünyesine katıldı. Birçok ISS ürününde hala BlackICE motoru kullanılmaktadır.

İzinsiz girişleri engelleme sistemleri potansiyel zararlı aktivitesini önlemek amacıyla ana makine (host) seviyesinde de hizmet verir. Ana makine tabanlı IGES'ler ( HIPS) ile ağ tabanlı IGES'ler (NIPS) karşılaştırıldıklarında birçok avatajlar ve dezavantajlar vardır. Çoğu durumda bu iki teknoloji birbirlerini tamamlayıcı niteliklere haizdir

İzinsiz girişleri engelleme sistemleri yanlış uyarıları (false positive) azaltmak maksadıyla bir izinsiz girişleri saptama sistemi olarak da işlev görebilir. Bazı IGES'ler tampon taşmasından (Buffer Overflow) kaynaklanan saldırılar gibi henüz tanımlanmamış saldırıları da önleyebilirler.

İzinsiz Girişleri Saptama Sistemlerinden Farklılıklar

IGES'lerin IGSS'lere oranla birçok avatajı vardır. Bunlardan biri şebeke yapısına entegre edilerek veri akışını ve gerçek zamanlı saldırıları önlemek için tasarlanmış olmalarıdır. Ayrıca çoğu IGES ürünü HTTP, FTP ve SMTP gibi katman 7 protokollerini çözümleme kabiliyetleri ile önemli bir farkındalık sağlarlar. NIPS ağa tesis edilirken , ağ bölümünün şifrelenip şifrelenmediğine dikkat edilmelidir çünkü birçok NIPS ürünü bu tür trafiği denetleme yetisinde değildir.

HIPS

HIPS ( host based intrusion prevention system) belli ip adresleri üzerine yerleşik ana makine (host) tabanlı izinsiz girişleri engelleme uygulamasıdır. İnternete bağlandığınız kişisel bilgisayarınızdaki izinsiz girişleri engelleme sistemi bir HIPS olarak kabul görür.

NIPS

NIPS (Network Based Intrusion Prevention System); ağ üstündeki ana makine ya da makinelere yönelen izinsiz girişleri önleme amaçlı yapılan bütün hareketlerin network önünde yer alan ve farklı IP sahibi başka bir ana makinece yönetildiği IGES'dir. NIPS ağ önü güvenlik duvarı aygıtına tesis edilebilir.

Ağlara izinsiz giriş önleme sistemleri (NIPS), güvenlikle ilgili olayları yakalama, analiz ve rapor etme amacı için dizayn edilmiş özel yazılım ve donanım platformlarıdır. NIPS, ağ trafiğini teftiş etmek ve güvenlik politikaları temel alınarak içinde zararlı buldukları trafiği işlemden çıkarmak için tasarlanmışlardır.

CBIPS

CBIPS'ler (Content Based Intrusion Prevention System) ağ paketlerinin içeriğini imza olarak nitelenen belirli dizilerin tespiti için denetlerler. Bu sayede bilinen solucan ve sızma saldırılarını saptamayı ve mümkünse engellemeyi amaçyan içerik bazlı IGES'lerdir.

RBIPS

RBIPS'lerin (Rate Based Intrusion Prevention System) öncelikli olarak Hizmetin Reddi ve Yaygın Hizmetin Reddi Saldırılarını engellemk amacıyla tasarlanmışlardı. Normal ağ davranışlarını izleyerek ve öğrenerek çalışırlar. Gerçek zamanlı ağ trafiği gözlemi ve elde edilen verilerin biriktirilmiş olan istatistikler ile mukayesesi sonucu, RBIPS'ler TCP, UDP ya da ARP paketleri, saniye başına bağlantılar, bağlantı başına düşen paketler, belirli portlara özel paketler vb. bell li trafiklerin anormal oranlarını tespit edebilir. Paketler, eşik seviyeleri aşıldığında yakalanırlar. Eşik değerleri arşiv istatistikleri kontrol edilerek dinamik olarak günün zamanına, haftanın gününe vb. bağlı bir şekilde ayarlanırlar.

Olağandışı fakat makul ağ trafiği davranışları yanlış uyarılar yaratabilirler. Sistemin etkinliği RBIPS'in kural tabanının öğe boyutuna ve arşiv istatistiklerinin kalitesine bağlıdır.

Bir saldırı bulunduğu andan itibaren, belli saldırılar ile ilişkilendiren trafik türlerinin oransal kısıtlaması, kaynak ve ya bağlantı izleme, kaynak adresi, port ya da protokol filtreleme ( kara listeleme) ya da doğrulama (beyaz listeleme) gibi birçok engelleme tekniği kullanılabilir.

HIPS ve NIPS Karşılaştırması

* HIPS tüm kodları analiz edebilir ve tüm şifreli ağlarla başa çıkabilir.

* NIPS ağa bağlı ana makinelerdeki işlemci ve hafızayı kullanmaz, kendine ait işlemci ve hafızaya sahiptir.

* NIPS tüm sistemin güvenlik kaderini belirleyen baş öğedir , kimilerince dezavantaj olarak nitelense de bu özellik NIPS'leri kolay idame edilir kılmaktadır.

Host Tabanlı Saldırı Nedir?

Host-tabanlı sistemler geliştirilmiş ve uygulanmış olan ilk IDS tipleridir. Bu sistemler, Web sunucusu ya da bilgisayar gibi orijinal olarak veri taşıyan hostlardan verileri toplar ve analiz ederler. Bu veriler gönderilecek bilgisayar için toplandığında, lokal olarak ve/veya ayrı bir analiz bilgisayarında analiz edilirler. Host-tabanlı programlara örnek olarak sistem üzerinde çalışan ve işletim sistemi ya da uygulamaların denetleme raporlarını toplayan yazılımlar verilebilir. Bu programlar sistemlere sızan ve suiistimal edenlerin tesbiti için oldukça kullanışlıdır.Kendi güvenli network sistemleri tarafında bulunanlar, yetkilendirilmiş network kullanıcılarına oldukça yakın durumdadırlar. Eğer bu kullanıcılardan biri yetkisiz bir aktivite girişiminde bulunursa, host-tabanlı sistemler genellikle en uygun olan veri en uygun yol ile tesbit eder ve toplarlar. Sistemdeki yetkisiz aktivitelerin tesbitine ek olarak, host-tabanlı sistemler yetkisiz dosya modifikasyonu tesbitinde de oldukça etkilidir. Arka planda ise host-tabanlı sistemler oldukça hantaldır.Büyük networkler deki binlerce çeşit muhtemel bitiş noktasından, her ayrı makineden her ayrı bilgisayar için bilgiler toplamak ve tamamlamak yetersiz ve etkisiz olabilir. Buna ilaveten, eğer saldırgan herhangi bir bilgisayar üstüne veri toplamayı pasif ederse, bu makine üstündeki IDS sistemi yedekleme olmadığı için kullanılmaz hale gelecektir. Uygun host-tabanlı IDS sistem uygulamaları, Windows NT/2000 Güvenlik Durum Loglarını, RDMS denetleme kaynaklarını, Enterprise Yönetim Sistemleri denetleme verilerini (Tivoli gibi)ve UNIX Sistem loglarını kendi ham formlarında ya da Solaris'in BSM'lerinde olduğu gibi kendi güvenli formlarında tutarlar; RealSecure, ITA, Squire, ve Entercept gibi ürünlerine kapsayan host-tabanlı ticari ürünlerde az bulunmaktadır.

HIPS Ne İşe Yarar?

HIPS (Host Tabanlı İzinsiz Giriş Saptama Sistemi): Güvenlik duvarı gibi savunma sistemlerinin kapılarını bloke eden sınırı atlayabilen araçların gelişmesiyle artık kuruluşların Host Tabanlı İzinsiz Giriş Saptama (HIDS) sistemlerini kurması zorunlu olmuştur. Bu sistem bilgi işlem yapan sistemin izlenmesi ve analizine odaklanmıştır. Host Tabanlı Izinsiz Giriş Saptama Sistemimimiz yanlışlıkla, kötü niyetle veya korsanlık sonucu ortaya çıkan sistemsel değişiklikler ve yapılandırma dosyalarındaki oynamaları buluşsal tarayıcılar, host günlük bilgileri ve sistemdeki aktivitelerin izlenmesi yoluyla saptanıp yerlerinin bulunmasında yardımcı olmaktadır. Değişikliklerin hızlıca saptanması potansiyel zarar riskini ayrıca arıza arama ve kurtarma süresini azaltıp böylece genel sistemsel etkileri azaltarak sistemin güvenlik ve çalışabilirliğini iyileştirir.

HIPS YAZILIMLARININ GENEL ÖZELLİKLERİ

Host-Based Intrusion Prevention ya da Protection Systems

Host Tabanlı Saldırı Önleme Sistemleri Ne Yapar?

HIPS Tanımlara Bağımlı Değildir.

Tanım dediğimiz şey, aslında yaptığımız çok büyük ahmaklıklardan birisiydi. Ama hem güven verici görünmesi hem de zamanla gelişmesi sayesinde şu an bilgisayarlarımızda kurulu anti-virüs yazılımlarımızın içinde listelediğimiz 400 000 e yakın tanım var. Bir dosyaya denk geldiğinde burdakilerle uyuşuyormu diye kontrol ediliyor, ve eğer tanımlarda varsa izin verilmiyor, yoksa geç deniyor vs... Halbuki listelenen 400 000 zararlı işlemin yanında sizin kullandığınız zararsız kaç işlem var bilgisayarlarınızda? 30, 40 bilemedin 50.. 400 000 işlemi listeleyeceğine, benim 40 tane zararsız işlemimi listeleyip geri kalan herşeyi reddetsen daha iyi olmaz mıydı?

Velhasıl uzatmadan, HIPS buna yakın birşeyi beceriyor. Sistemde normal dışı bir aktivite gördüğüne engelliyor ve uyarıyor.

Sizin Konfigürasyonunuz İle Birlikte Hareket Eder.

Bazı Hİps çözümleri, bazı yazılımlara karşı kısıtlamacı olabilirler, kullandığınız hips yazılımının popüler programların yanında ev yapımı fakat sizin severek kullandığınız bazı yazılımlarda uyum içinde çalışabilir olmasına dikkat etmelisiniz. Bu uç bir örnek olabilir ama en azından kullandığınız HIPS'in diğer kullandığınız programları koruyacağından emin olmalısınız.

Kural Yaratmanıza Olanak Sağlar.

Birçok HIPS yazılımı önceden belirlenmiş kurallar ile birlikte gelir. Bilinen açıklara ve zararlılara karşı korumayı bu şekilde sağlar. Ancak bilinmeyen sıfır günü saldırılarına karşı kural yaratılabilir bir HIPS kullanıp, kendi kurallarınızı mutlaka oluşturmalısınız. Zor görünse de büyük bir gerekliliktir.

Olayları Raporlar.

Ne kadar dikkatli olursanız olun, gözünüzden kaçan bazı şeyler olabilir.. HIPS yazılımınız aktiviteleri raporlar halinde saklamalı ve gerektiğinde siz bu raporları inceleyerek sıradışı bir işlem olup olmadığını kontrol edebilmelisiniz.

İşin özü, bir adet HIPS yazılımı kurup, bir iki haftanızı harcayarak ne işe yaradığına ve nasıl kullanıldığına kafa yormanız yakın gelecek için çok faydalı olacaktır.

Bazı HIPS Yazılımları:

AbuseShield - Abtrusion Protector - All-Seeing Eye - Anti exe - AntiHook - AppDefend - Blink - Coreforce - Cyberhawk - DefenseWall

DSA - Geek SuperHero - NeovaGuard - Online Armor - SafePC

ANTI HOOK PRO

AntiHook kötü niyetli yazılımlara karşı koruma sağlamak için üst seviye bir izinsiz giriş engelleme sistemidir.

Mevcut haliyle AntiHook bir HIPS yazılımıdır.

AntiHook dinamik yapısı ile gizliliğinizi korumakta, işletim sistemi ve uygulamalarınıza karşı kötü niyetli yazılımları, casus yazılımları (spyware), "rootkit"leri, klavye kayıt tutucularını (keylogger), bulaşıcı kodları ve truva atlarını (trojan) tanımlayabilmektedir.

Ayrıntılı gerçek-zamanlı koruma özelliği ile de anlık saldırıları algılayıp bunların önüne geçmektedir.

AntiHook yazılımı saldırılı olduktan sonra onarma işlemi yerine daha saldırı olmadan ve sistem zarar görmeden önüne geçerek tam koruma sağlamaktadır. Sistem üzerindeki güvenlik duvarı ve virüsten koruma yazılımına ek olarak kurulmaktadır. Güvenlik duvarı, virüsten koruma yazılımı ve casus engelleme sistemleri ile bütünleşerek tam bir sistem koruması sağlamaktadır. AntiHook kendiliğinden çalışır yapısı ile hiçbir yazılım güncellemesi ve tanımlama tabanı güncellemesine ihtiyaç duymamakta kendi yerel tabanına güvenmektedir.