IDS-IPS Mimarisi ve Atlatma Teknikleri

Merhaba arkadaşlar,

Güvenlik ürünleri atlatma serimizde bu sefer hedefimizde IPS sistemlerinin çalışma mantığı bu saldırı esnasında bunları nasıl Bypass edeceğimiz hakkında genel bilgiler veriyor olacağım.Tabiki her zaman ki gibi bir örnek ile çalışmayı pekiştirerek tamamlamayı planlıyorum.

Öncelikle bir sisteme saldırmak veya zafiyeti bulabilmek için IPS ve IDS mantığını ve mimarisini tanımamız gerekiyor.

IPS ve IDS Mimarisi Nedir? Nasıl Çalışır?

Öncelikle IDS dediğimiz mimarinin ana odak noktası sistem içerisindeki haberleşme ağında bulunan zararlı bağlantıların hareketlerini tespit eden uygulama sistemlerine verilen genel tanımdır.

Intrusion Detection Systems(IDS) kelimelerinin kısaltması olarak kullanılır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır. Bu kurum içerisindeki istemcilerinizin veya sunucularınızın öngörülemeyen farklı reaksiyonlarını izlemek için gayet yararlı bir sistemdir.

IPS ise biraz daha farklı networksel bir alanda gerçekleşen aktiviteler için analiz ve tespit eden akabinde gerekli kurallar ile engelleyen güvenlik ile alakalı sistemler içerisinde yer alır.IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.

IDS ile IPS arasındaki fark IDS saldırıları tespit etme üzerine yoğunlaşır iken IPS bu gelen saldırıları bertaraf etme üzerine planlanmıştır.

Küresel Siber Güvenlik ile ilgilenen Güvenlik ürünleri satan kuruluşlar artık hem IDS hemde IPS ile bütünleşik yapıda sistemler üretmekte.IDS tarafında derinlemesine paket analizinde saldırıyı tespit ederek loglama işlevi yürütürken, IPS sistemleri saldırıları öğrenerek veya kural listesi üzerinden tespit ederek engellemektedir.Bu da kurumlara daha ekonomik bir siber güvenlik katmanı olarak kullanması ile beraber uçtan uça IPS/IDS entegrasyon konusunda iyi bir altyapı sunmaktadır.

IDS Mimarisi ve Güvenlik Katmanları

IDS mimarisinde bilmeniz gereken ön önemli husus 2 türlü sensor özelliğine sahip olmasıdır.

1-Network Sensor: Network sensor sistemindeki temel çalışma mantığı IDS tarafında ağı dinlemeye alır ve hedef sisteme gelen ve giden paketleri bloklar.Kendi imza altyapısındaki imzalar ile eşleştirme yaparak gelen paketlerin bu imzalara göre değerlendirir ve bloklar.

 2-Server Sensor:Bu ise genelde Sunucu tarafında kullanılan özelliktir.Eğer siz bu mimariyi sunucularınız üzerinde kullanıyor iseniz Sunucu üzerindeki interface’leri dinleyerek veri akışını control eder ve anomali olarak nitelenen ağ ve yetkisiz denemeler neticesinde loglar ve bunu engellenmesi için gerekli alarmaları tetikleri.Server Sensorler Network Sensor ile aynı veritabanını kullanırlar.

Saldırı tespit sistemi, kullanılan algılama yönteminde IDS’in kullanıldığı mimarilerden bahsetmek gerekir ise;

Signature-Based IDS: İmza tabanlı IDS, ağ trafiğindeki bayt dizileri veya kötü amaçlı yazılım tarafından kullanılan veya bilinen kötü amaçlı komut dizileri gibi belirli kalıpları arayarak saldırıların tespitini ifade eder. Bu terminolojinin mantığı ise algılanan kalıplara imza olarak atıf yapan antivirüs yazılımından kaynaklanmaktadır. İmza tabanlı IDS bilinen saldırıları kolayca tespit edebilmesine rağmen, hiçbir paterni olmayan yeni saldırıları tespit etmek zordur. Daha hızlı olmasının sebebi ise daha önceden tanımlanmış kural seti ile karşılaştığı durumu eşleştirdiğinden geri dönüş reaksiyonu yüksektir.Fakat bunun en kötü yanı eğer IDS veritabanında kayıtlı bir saldırı türü yok ise eşleştirme yapamayacağından koruma sağlaması imkansızdır. Signature-Based IDS mimarisini kullanan yapıların çoğunluğu bu noktada saldırıya açık şekildedir.

Anomaly-Based IDS: Bu IDS imarisi Signature-Based IDS mimarisine göre kayıt altındakileri değil davranışsal analize dayalı bir yaklaşım sergiler.Burada temel yaklaşım, makine öğrenmeyi güvenilir bir etkinlik modeli oluşturmak için kullanmak ve ardından bu davranışı bu modelle karşılaştırmaktır. Bu modeller uygulamalara ve donanım konfigürasyonlarına göre eğitilebildiklerinden, makine öğrenmeye dayalı metot geleneksel imza bazlı IDS ile karşılaştırıldığında daha iyi bir genel özellik taşır. Bu yaklaşım daha önce bilinmeyen saldırıların tespitini mümkün kılsa da, yanlış pozitiflerden muzdarip olabilme riski yüksektir.Özellikle önceden bilinmeyen meşru faaliyet de kötü niyetli olarak sınıflandırılabilir. Mevcut IDS’lerin çoğu, IDS’lerin performansını düşüren tespit sürecinde zaman alıcılardan muzdariptir. Verimli özellik seçim algoritması, algılamada kullanılan sınıflandırma sürecini daha güvenilir kılmaktadır.

Pattern Matching IDS: Şüpheli paketleri bulmak için, IDS’lerin çoğu model eşleştirme algoritması kullanır. Algoritma, gelen paket dizisindeki bir imzanın varlığını kontrol eder ve dizinin paket içindeki yerini gösterir. Algoritma, kötü niyetli davranışı tespit edecek kadar hızlı olmalı ve hem imza sayısındaki hem de bağlantı hızındaki artışı karşılamak için ölçeklenebilir olmalıdır.

Dize eşleştirme algoritmaları, tekli ve çoklu model eşleştirme algoritmaları olarak kategorize edilebilir. Tek örüntü eşlemede, bir kerede tüm metne karşı bir örüntü eşleştirilir. Buna karşılık, çoklu desen eşleştirme yaklaşımı, metin dizisini aynı anda tüm imzalara karşı karşılaştırır. Açıkçası, çoklu eşleştirme yaklaşımı paketi birçok kez süpürmekten kaçınmak için izinsiz giriş tespiti için daha iyi bir seçimdir. Ancak, daha fazla bellek tüketir ve eşleştirme başlamadan önce kalıpları programlamak için bir ön işleme aşaması gerektirir.

Stateful Pattern Matching IDS: Örüntü eşleme, izinsiz giriş tespit cihazının şebekeden geçen paketler içinde sabit bir bayt dizisi aradığı bir metodolojidir. Genel olarak, desen ilgili bir servisle ilgili olan veya özellikle bir kaynak ve hedef port ile ilişkili olan bir paket ile hizalanır. Bu yaklaşım, her pakette yapılan inceleme miktarını azaltır. Ancak, iyi tanımlanmış bağlantı noktalarıyla ilişkilendirilmiş hizmetler ve protokollerle sınırlıdır. Katman 4 bağlantı noktası bilgilerini kullanmayan protokoller kategorilere ayrılmaz.Tabi diğer mimarilere kıyasla donanımsal olarak çok ciddi şekilde sistem kaynağı kullanması nedeni ile Pattern Matching IDS mimarisine göre yavaştır.

 Protocol Decode-Based Analysis:Bu mimaride IDS, RFC’ler tarafından tanımlanan protokol ihlallerini arar ve belirli bir alan için pattern eşleşmelerini içerebilir. Bu yöntem, iyi tanımlanmış protokoller için false-positive azaltmada etkili olmasına rağmen, protokol belirsiz veya gevşek tanımlanmış ise IDS tarafından kolayca gözden kaçırılır.

Heuristic-Based Analysis:Sezgisel analiz, şüpheli özellikler için kodları inceleyerek virüsleri tespit etmek için bir yöntemdir.Geleneksel virüs algılama yöntemleri, bir programdaki kodu, daha önce karşılaşılan, analiz edilen ve bir veritabanında imza tespiti olarak bilinen, bilinen virüs türlerinin kodlarıyla karşılaştırarak kötü amaçlı yazılımların tanımlanmasını içerir.

Sezgisel analiz, birçok farklı teknik kullanabilir. Statik sezgisel analiz olarak bilinen bir sezgisel yöntem, şüpheli bir programın kodunu çözmeyi ve kaynak kodunu incelemeyi içerir. Bu kod daha sonra zaten bilinen ve sezgisel veritabanında bulunan virüslerle karşılaştırılır. Kaynak kodun belirli bir yüzdesi buluşsal veritabanındaki herhangi birşeyle eşleşirse, kod olası bir tehdit olarak işaretlenir.

Başka bir yöntem dinamik sezgisel buluş olarak bilinir. Network ortamında şüpheli bir şeyi analiz etmek istediklerinde, ilgiliyi karantinaya alarak güvenli ve kontrollü bir ortamda tutulur ve testleri yapılabilir.

Şüpheli programı veya kod parçasını özel bir sanal makine veya sanal alan içinde izole eder ve virüsten koruma programına, kodu test etme ve şüpheli dosyanın çalışmasına izin verilirse ne olacağını taklit etme şansı verir. Etkinleştirildiği gibi her komutu inceler ve kendi kendini çoğaltma, dosyaların üzerine yazma ve virüsler için ortak olan diğer eylemler gibi şüpheli davranışları arar.

IDS ve IPS ler ortamdaki duruma göre ürettiği 4 çeşit alarm tipi vardır.

False-positive: En sık karşılaşılan alarm tipidir.Normal faliyetler içerisinde tetiklenen faliyetler bütünüdür.

False-negative:IDS/IPS tarafında eğer ortamda farklı bir davranış gösteren anomali bir durum mevcut ise (Örneğin bir kullanıcının bilgisayarının sürekli olmayan bir siteye yönelmesi gibi) bu sistemler tarafından imza tetiklemesi oluşmadan oluşturulan alarm tipidir.

 True-positive:Ortamda gelen herhangi bir saldırı durumunda IDS/IPS sistemlerinin kendi veritabanlarındaki imza ile karşılaştırdıktan sonra eğer gerçekten bir saldırı olduğunu teyit ettiğinde imzayı tetikleyip oluşturduğu alarmdır.

 True-negative: IDS/IPS sistemlerinde olağan dışı gibi görünen ama imzası olmadığından eşleşme olmayan saldırı sonucu oluşan alarm türüdür.

IPS Mimarisi ve Çalışma Mantığı

IPS mimarisinde temel mantık eğer ortamda kötü niyetli bir bağlantı isteği mevcıt ise bunları kayıt altına alarak bloklar ve gelen IP adreslerine filter uygulayabilir. Saldırıları bloklar ve IP adreslerini kayıt altına altına alır.Konfigürasyona bağlı olarak IP’lere ban atabilir.

 IPS/IDS sistemleri her ne kadar sistemimizi korumak için canla başla çalışsada bazı konularda her hizmet türüne yetişemeyebilir.Özellikle Botnet saldırıları DDOS türevi saldırılara karşı oldukça zayıflardır diyebilirim.Yoğun bir saldırı vektörü geliştiğinde bırakın imza eşleştirmesi veya bağlantı korumayı eğer çok hard şekilde yapılandırdı ve donanımsal olarak zorlayan bir mimariyi seçti iseniz dışarıdan gelen atakları analiz etmeye çalışırken yüksek ihtimal servisleri durabilir ve hizmet kesintilerine sebep olabilirler.DDOS için farklı önlemler alınabilir lakin veri çalma zararlı paketler gibi kötü amaçlı saldırılar için kurumlar genelde bu iki sistemden vazgeçmezler.

 IDS ve IPS sistemleri firewallar ile kullanılmak zorundadırlar,bu sayede performans sorunundan kaçınılmış olunur.

IPS sisteminin yerleştirilme ve çalışma mantığından bahsetmek gerekir ise karşımızda neyin olduğunu daha kolay algılayabileceğimizi umuyorum.IPS ler genelde Intranet ve Extranet yolunun tam ortasına konumlandırımış ve flow based(trafiği bölmeden)çalışırlar,giden gelen paketlerin içeriğini okurlar ve onlar hakkında bilgiye sahip olup hangisinin zararlı veya zararsız,hangi girişin yetkili veya yetkisiz olup olmadığını kontrol ederler.IDS ve IPS sistemlerinde en çok tercih edilen türü Tipping Point teknolojisidir.Tercih edilmesinin nedeni de günümüz dünyasında gün geçtikçe yeni saldırı türleri çıkıyor ve bunlardan sistemlerin etkilenmemesi için her yeni saldırı keşfedildiğinde veritabanı güncelleniyor ve koruma sistemi bundan haberdar oluyor.Böylece saldırıya karşı önlem alınmış olunuyor.

IPS/IDS atlama noktasında saldırganı en fazla zorlayan teknoloji tipi ASIC mimarisidir.Bu mimaride IPS gelen ve giden paketleri derinlemesine inceleyerek performans ve bağlantı ile alakalı yükü arttırmayarak sistem üzerindeki denetimini arttırır iken hizmet kesintisini çok fazla hissetirmemektedir.Bu bizim beyaz taraf için iyi ama siyah taraf için aşılması zor bir husustur.

IDS ve IPS Atlatma Teknikleri Nelerdir ?

Evet bu makalemizin en önemli kısmına geldik.Bir IPS veya IDS (artık bütünleşik biryapıda olduğunu Kabul edersek) nasıl atlatabiliriz bunun yöntemleri ile alakalı bir kaç örnek paylaşmak istiyorum.

Bu tarz güvenlik ürünlerini atlatmanın bir çok yolu mevcut ama ben bir kaç atak mimarisinden bahsetmek istiyorum.

Insertion Attack

Bir IDS, bir uç sistemin reddettiği bir paketi kabul edebilir. Bunu yapan bir IDS, uçtaki sistemin gerçekten almadığı zaman paketi kabul ettiğine ve işlediğine inanma hatasını yapar. Bir saldırgan hedef sisteme göndereceği paketleri reddettiği ancak IDS’nin geçerli olduğunu düşüneceği bir uç sisteme paketler göndererek bu durumdan yararlanabilir.Buna “adding (ekleme)” saldırısı diyoruz ve kendilerini ekleme saldırılarına yol açan koşullar, genelde izinsiz giriş algılama sistemindeki en yaygın güvenlik açıklarıdır. Saldırgan, imza analizini yenmek için ekleme saldırılarını kullanabilir ve bu sayede saldırıları IDS’den geçirebilir.

Insertion Attack saldırılarının neden imza analizine dayandığını anlamak için, tekniğin gerçek kimlik sistemlerinde nasıl kullanıldığını anlamak önemlidir. Çoğunlukla, “ imza analizi ”, bir veri akışı içindeki belirli bir dizgiyi tespit etmek için desen eşleme algoritmaları kullanır. Örneğin, bir PHF saldırısını algılamaya çalışan bir IDS, bir HTTP `GET ” isteğinde bulunan` `phf ” dizesini arayacaktır; bu, kendisinin` GET / cgi-bin / phf? ” gibi buna gören IDS, basit bir alt dize araması kullanarak bu HTTP isteğindeki “ phf ” dizesini kolayca tespit edebilir. Bununla birlikte, saldırgan aynı web sunucusuna aynı isteği gönderebildiği zaman sorunu çözmek daha zorlaşır.

Yukarıdaki saldırı mimarisinde saldırıya basit bir örnek vermektedir. Saldırgan, IDS’yi, karakterlerden birinin (X harfi) yalnızca IDS tarafından kabul edileceği 1 karakterlik bir paket akışıyla (saldırgan kaynaklı veri akışı) karşı karşıya getirir. Sonuç olarak, IDS ve son sistem iki farklı dizgiyi yeniden yapılandırır. Genel olarak, ekleme saldırıları bir IDS bir paketi işlemede bir uç sistemden daha az katı olduğunda gerçekleşir. Bu soruna bariz bir tepki, IDS’yi okunan paketlerin işlenmesinde mümkün olduğunca sıkı hale getirmek olabilir; bu ekleme saldırılarını en aza indirir. Ancak, bu tasarım yaklaşımı alındığında bir başka ciddi problem (“kaçırma” saldırıları) ortaya çıkar.

Intranet içerisinde veya Extranet üzerindeki sistem bir IDS’nin reddettiği bir paketi kabul edebilir. Böyle bir paketi yanlışlıkla reddeden bir IDS, içeriğini tamamen analiz etmemişte olabilir. Bu durum, bu kez, IDS’nin işlem konusunda çok katı olduğu paketlerde IDS’den geçen önemli bilgileri kaydırarak da kullanılabilir. Bu paketler, IDS’nin incelemesini gözden kaçırma hususunun üzerinde tutabilir.

Bu tarz atak denemelerine  “Evasion(kaçırma)” saldırıları diyoruz ve bir IDS’in doğruluğuna göre en yıkıcı saldırı türlerinden bir tanesidir. Tüm sessionlar  IDS’den kaçınan paketlerde gerçekleştirilebilir ve bu tür sesionlarda yapılan saldırılar, en karmaşık analiz motorunun bile paketleri kaçırması ile neticelenebilir.

Evasion saldırıları örtülü  eşleştirme saldırılarına oldukça benzer bir şekilde eşleşir. Yine, saldırgan, IDS’nin son sistemden farklı bir veri akışı görmesine sebep olabilir. Ancak son sistem IDS’den daha fazlasını görür ve IDS’nin istediği bilgilerin tespit edilmesinde kritik öneme sahiptir.

Yukarıda bahsettiğimiz Evasion saldırısında, saldırgan bir HTTP isteği gönderir  ancak IDS’deki içeriğini isteğin zararsız görünmesini sağlayan ek verilerle karıştırır. Bir Evasion saldırısında, saldırgan, IDS’nin yanlışlıkla reddettiği paketlere aynı isteğin bölümlerini gönderir ve böylece akışın bölümlerini Kimlik sistemi görünümünden çıkarmasına izin verir.

IP Fragmentation Attack

IP Fragmentation  tarzındaki saldırılar saldırganın datagram parçalanma mekanizmalarından yararlanarak bir ağı ele geçirdiği yaygın bir hizmet reddi saldırısı biçimidir.Saldırıyı anlamak oldukça zordur IP parçalanma sürecini, IP datagramlarının küçük paketlere bölündüğü, bir ağ üzerinden iletilip tekrar orijinal veri programına birleştirildiği bir iletişim prosedürünü anlamamız gerekiyor.

Her ağın işleyebileceği datagramların boyutu için benzersiz bir sınırı olduğundan, veri iletimi için parçalanma gereklidir. Bu sınır, maksimum iletim birimi (MTU) olarak bilinir. Alıcı sunucunun MTU’sundan daha büyük bir datagram gönderiliyorsa, tamamen iletilmesi için parçalanması gerekir.

Her datagramdaki IP başlığı, parçalanmaya izin verilip verilmeyeceğini belirten bayraklar(flag) içerir. IP başlığına “parçalanmadı” işaretinin takıldığı durumlarda, paket düşürülür ve sunucu ICMP datagramının iletmek için çok büyük olduğunu söyleyen bir mesaj gönderir. Ofset, alıcı cihaza, parçaların yeniden birleştirilmesi için yerleştirilmesi gereken tam sırayı açıklar.

IP parçalanma saldırıları birkaç şekilde olabilir. Hepsi hedef ağları aşmak için datagramların bozulmasından istifade ederken, farklı saldırı vektörlerinin nasıl yürüdüğü konusunda bazı önemli farklılıklar vardır.

UDP and ICMP fragmentation Saldırıları:Bu saldırılar, ağın MTU’sundan daha büyük olan sahte (genellikle ~ 1500 bayt) sahte UDP veya ICMP paketlerinin iletimini içerir. Bu paketler sahte olduğundan ve tekrar birleştirilemediğinden, hedef sunucunun kaynakları hızla tüketilir ve bu da sunucunun kullanılamamasına neden olur.

TCP fragmentation(Teardrop) Saldırıları:Bu saldırılar, parçalanmış veri paketlerini bir araya getirmelerini engelleyerek TCP / IP yeniden birleştirme mekanizmalarını hedefler. Sonuç olarak, veri paketleri mağdurun sunucularına yayılır ve bunlara hızlı bir şekilde saldırır;

Teardrop saldırıları eski nesil sistemlerde olmak üzere Windows’un eski sürümlerinde yaygın olan bir OS güvenlik açığının bir sonucudur. Yamaların bu saldırılara bir son verdiğini düşünürken, Windows 7 ve Windows Vista’da ortaya çıkan bir güvenlik açığı, Teardrop saldırılarını bir kez daha uygulanabilir bir saldırı vektörü haline geldiğini göstermektedir.Tabi bu saldırı tipinin tıpkı virüsler gibi genetiği değişip şimdiki sistemlere uyarlanır ise sıkıntının dahada büyüyeceği tahminleri yapılmaktadır.,

IDS/IPS Bypass Teknikleri ile alakalı bir çok teknoloji bir arada kullanılmaktadır.Bu makalemizde saldırı örneklerinden ziyade saldırı mimarisinden bahsetmeye çalıştım.Bir sonraki makalede görüşmek üzere hoşçakalın…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!