Bilgi Güvenliği ve Saldırı Tespit Sistemleri

Bilişim Güvenliği Tanımı

  • Güvenlik : iyi durumdaki bilgi ve yapının hırsızlık, veri değişikliği, bilgiyi bozma, servislerin açıklarına karşı korunmasını sağlamaktır.
  • Bilişim Güvenliği Gizliliğe, Orijinalliğe, Güvenilirliğe ve Kullanılabilirliğe dayanır.

Gizlilik(Confidentiality): Bilgi yada kaynakların gizlenmesi.

Orijinallik(Orginality): Bilginin kaynağından emin olmak.

Güvenilirlik(Reliability): Veri yada kaynağın uygunsuz ya da yetkisiz ce değiştirilmediğinden emin olmaktır.

Kullanılabilirlik(Usability): İstenildiği zaman veri ve kaynakların ulaşılabilir durumda olmasıdır.

ITU (International Telecommunication Union) Siber Güvenlik Temel Hedefler

ITU – T X.1205 sayılı tavsiye kararında tanımlanan siber güvenliğin temel hedefleri, bilginin ;

  • Erişilebilirlik,
  • Bütünlük,
  • Gizlilik

unsurlarını güvence altına almaktır.

Erişilebilirlik(Accessibility)

Bilginin, sistemlerin ve hizmetlerin; enerji kesintileri, doğal afetler, sistem hataları, beklenmeyen olaylar ve kötücül saldırılar gibi olası durumlara rağmen, her ihtiyaç duyulduğunda erişilebilir, kullanıma hazır ve tam işlevsel halde bulunmalarını ifade eder. Bilgi ve İletişim Şebekelerinde yaşanabilecek arızaların diğer kritik altyapıların işleyişinde aksaklıklara yol açabileceği durumlarda, erişilebilirliğin korunması hayati önem taşımaktadır.

Bütünlük(integrity)

Bilgi ve İletişim Şebekeleri üzerinden gönderilen, alınan veya Bilgi ve İletişim Sistemlerinde saklanan verilerin eksiksiz ve değiştirilmemiş halde bulunmalarını ifade eder. Paylaşılan verilerin doğruluğuna karşı çok hassas olan sağlık, endüstriyel tasarım gibi sektörler için veri bütünlüğünün sağlanması büyük önem taşımaktadır .

Gizlilik(Confidentiality)

Bilgi ve İletişim Şebekeleri üzerinden yapılan haberleşmenin veya Bilgi ve İletişim Sistemlerinde saklanan verilerin yetkili olmayan taraflarca ele geçirilmekten korunmasını ifade eder. Hassas verilerin iletimi ve haberleşme esnasında kişisel mahremiyetin korunmasında gizlilik esastır.

Saldırı Tipleri Nelerdir?

Ağ Üzerinden Yapılan Saldırı Tipleri Genel Olarak 4 tanedir.

1.Bilgi Tarama (Probe yada Scan): Bu saldırılar bir sunucunun yada herhangi makinanın, geçerli IP adreslerini, aktif portlarını veya işletim sistemini öğrenmek için yapılan saldırılardır. Bilinen saldırılardan bazı örnekler:

–İpsweep: Belirli bir portu sürekli tarama saldırısı

–Portsweep : Bir sunucu üzerindeki hizmetleri bulmak için tüm portları tarama

2.Hizmet Engelleme (Denial of Service – DoS): Bu saldırılar genelde TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek onu tıkamaya sebep olan saldırılardır. DoS saldırıları kendi içinde gruplara ayrılırlar.

–Protokol Hatalarına Dayalı (Örn: Ping Of Death,TCP SYN)

–Devamlı Paket Göndermeye Dayalı

  • Çok Kaynak Kullanarak

–Zombi Kullanarak

–Yansıtıcı Kullanarak

  • Tek Kaynak Kullanarak

Bazı Saldırı Türleri :

smurf: ICMP mesajlarının broadcast ile tüm ağa dağıtılmasıyla oluşur.

Selfping: Kullanıcının makineyi sürekli ping lemesi ile gerçekleşir.

Tcpreset: Saldırgan kurbanın kurmaya çalıştığı bağlantılar için kurban adına reset göndererek bağlantısını engeller.

Mailbomb: Saldırgan sunucuya sürekli mail gönderir.

3.Yönetici Hesabı ile Yerel Oturum Açma (Remote to Local – R2L) : Kullanıcı haklarına sahip olunmadığı durumda misafir yada başka bir kullanıcı olarak izinsiz erişim yapılmasıdır. Örneğin:

–Sshtrojan: Unix üzerinde çalışan bir trojan saldırısıdır.

–Guest: Tahmini kolay şifreleri bularak sisteme girilmesidir.

4.Kullanıcı Hesabının Yönetici Hesabına Yükseltilmesi(User to Root- U2R) : Bu tip saldırılarda sisteme girme izni olan fakat yönetici olmayan bir kullanıcının yönetici izni gerektirecek işler yapmaya çalışmasıdır. Örneğin:

–Eject:Solaris üzerinde eject programı ile tampon taşmasına yol açıp, yönetici haklarına sahip olunmasıdır.

–Sqlattack: sql veritabanı kurulu Linux makinalarda sunucuya bağlanan kullanıcının belirli komutlarla yönetici hakları ile komut satırı elde etmesidir.

Saldırı Tespit Sistemleri Nedir?
(Intrusion Detection Systems)

Saldırı tespit ve önleme sistemleri olarak da bilinen ağ ve/veya sistemi; kötü niyetli aktivitelerden korumak için izleyen ağ güvenlik cihazıdır. Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek , kötü niyetli saldırıları durdurmak ve saldırının türünü rapor etmektir.

  Saldırı Önleme Sistemleri, Saldırı Tespit sistemlerin uzantısı olarak değerlendirilirler. Çünkü bu sistemlerin her ikisi de ağ trafiğini ve/veya sistem aktivitelerini kötü niyetli saldırılardan koruma amacıyla izleyen sistemlerdir.

Saldırı Tespit Sistemleri (STS), ağ üzerinden yapılan saldırılara karşı bilgi sistemlerinin korunmasında “alarm” niteliği taşıyan yazılım ve/veya donanım bileşenleridir.

  STS’lerin kullanılması ile sistemlere yapılan yetkisiz erişimler ve kötüye kullanımlar tespit edilerek, saldırganların sistemlere sızma girişimleri engellenebilmektedir. Bilgisayar sistemlerinde STS’lerin kullanılması ile birlikte, sisteme ne tür saldırıların yapıldığı, mevcut açıklar ve saldırgan profili gibi önemli bilgiler elde edilebilmektedir.

Saldırı Tespit Sistemleri

Saldırı Tespit Tekniğine -Yaklaşımına Göre

  • Anomali Tespiti(Anomaly Detection)

Statistical models

Immune system approach

Protocol Verification

File Checking

Taint Checking

Neural nets

Whitelisting

  • Kötüye Kullanım Tespiti(Misuse detection)

Expression matching

State transition analysis

Dedicated Languages

Genetic algorithms

Burglar Alarms

Saldırı Tespit Yapılan Sisteme Göre

  • Ağ tabanlı
  • Host Tabanlı
  • Uygulama Tabanlı

Mimarilerine Göre

  • Merkezi
  • Dağıtık