Saldırı Tespit ve Önleme Sistemleri
- Firewall Cihazları ve Özellikleri
- Firewall Cihazları
- Saldırı Tespit ve Önleme Sistemleri: IPS, IDS
- Hotspot, VPN ve Loglama Özellikleri
- Antivirüs Yazılımları
- Sandbox
- Honeypot
- SIEM Sistemleri
Firewall Cihazları ve Özellikleri
Firewall kelimesi Türkçe'de “güvenlik duvarı” olarak ifade edilir.
Firewall sistemleri donanım ve yazılım tabanlı olarak ikiye ayrılırlar. Yazılım tabanlı olan Firewall uygulamaları genelde istemci veya sunucular üzerindeki işletim sistemlerine kurulur. Donanım tabanlı firewall cihazları ise özel donanımlar üzerinde çalışan sistemlerdir.
Güvenlik duvarları yani firewall sistemleri, gelen ve giden tüm ağ trafiğini kontrol ederek belirli filtrelerden geçirip, ağ trafiği içerisindeki zararlı eylemleri durdurmayı amaçlar. Bu sayede ağ güvenliği sağlanır. Şirket içi ağ veya ağlar üzerindeki cihaz ve bilgisayarlarınızı diğer ağlar (internet) üzerinden gelecek saldırılara karşı koruyan, iç ve dış ağlar arası ağ trafiğini (network) belirli kurallara göre denetleyen bir güvenlik mekanizmasıdır.
Günümüz teknoloji dünyasında firewall cihazları gelişerek karmaşık bir çözüm halinde sunulmaktadır. Firewall (Unified Threat Management) şeklinde isimlendirilen “Birleşik Tehdit Yönetimi” olarak adlandırdığımız güvenlik cihazları son dönemin popüler güvenlik duvarları
haline gelmiştir. Artık bu güvenlik duvarları IPS, IDS, Web Filtreleme, Uygulama Filtreleme, Hotspot, VPN, 5651 Log Yönetimi gibi özelliklere de sahip olarak karşımıza gelmektedir.
Saldırı Tespit ve Önleme Sistemleri
Donanımsal ve yazılımsal olarak ikiye ayrılırlar. Bir kural tablosunda ağa gelen giden paket trafiğini kontrol eden donanım veya yazılım tabanlı ağ güvenliği sistemlerine saldırı tespit ve önleme sistemleri denilmektedir.
Birçok farklı filtreleme özelliği ile bilgisayar ağına gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutulmasını sağlarlar. IP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme bu cihazların özelliklerinden birkaçıdır.
IDS Sistemleri ve Özellikleri
IDS saldırı tespit sistemidir. IDS networkteki paketleri incelerler ve bu paketlerin içeriğine bakarak bir saldırgan sisteme girmeye çalışıyor mu sorusuna cevap arayarak networkteki kötü hareket izlerini ararlar. Virüs hareketi, siber saldırgan davranışı gibi bir network paketi yakaladıkları zaman sistem adminlerine uyarı gönderilir.
IDS, ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti için kullanılan sistemlerdir. Intrusion Detection Systems kelimelerinin kısaltması olarak IDS adı ile kullanılırlar. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama, uyarı oluşturma ve loglama yapmaktır.
IPS Sistemleri ve Özellikleri
IPS, ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile önlenmesi için kullanılan güvenlik sistemleridir. IDS sistemlerinden farkı tespit ettikleri saldırıyı bloke edebilmeleridir.
«IPS, Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.»
Gelişmiş sistemlerde IPS ve IDS sistemleri bütünleşik olarak kullanılmaktadır.
Firewall cihazları paketlerin geçmesini kısıtlayabildikleri halde, bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendilerini yeniden programlama yeteneğine sahip değildirler. Bu durumu ortadan kaldırmak için genel olarak IPS ve IDS özellikleri ile gelirler. Intrusion Detection Sistem (IDS) teknolojisi sayesinde hem korumak istediğiniz kurum ağına saldırı
gerçekleştirildiğini anlayabilir, hem de Intrusion Prevention Systems (IPS) sistemleri sayesinde saldırıyı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.
VPN Kavramı
VPN, Sanal özel ağlar olarak tanımlanır. Virtual Private Network kelimelerinin kısaltması olarak kullanılır. Genel olarak şirketlerin şubeleri arasındaki iletişimi şifreleyerek güvenli iletişim sağlamasını amaçlamaktadır. VPN, birçok farklı protokol ve teknolojiyi bir arada kullanmaktadır. Bir bilgisayardan karşı taraftaki diğer bilgisayar arasındaki iletişim kriptolama yapılarak güvenli bir tünel kurulması sağlanır.
Bu tünel içerisinden geçen veri şifrelendiği için araya giren veya girmeye çalışan kişiler yalnızca kriptolu veriyi görebileceği için güvenliğiniz sağlanmıştır. Aynı zamanda tüm veri akışınızı (DNS istekleriniz de dahil olmak üzere) bu tünel içerisine aldığınız takdirde tam bir koruma sağlamış olursunuz.
Hotspot
Hotspot, belirli bir lokasyon içerisinde kablosuz erişim protokolleri yardımıyla sunulan internet bağlantısıdır. İnternete bağlantımızın bir kablosuz yönlendirici aracılığı ile (WLAN) genellikle Wi-Fi kullanarak sağladığımız fiziksel bir bağlantı türüdür. Genel olarak “Açık Wi-Fi noktası” şeklinde de kullanılır.
Hotspot terimi ilk defa 1993 yılında NetWorld+Intercop konferansında Brett Stewart tarafından kullanılmıştır. Bazı tahminlere göre bugün itibari ile dünya çapında yaklaşık 200 milyon Hotspot noktası olduğu söylenmektedir. Oteller, kafeler, restoranlar, meydanlar, otobüsler ve diğer birçok alanda geniş bir kullanıma sahiptir.
Hotspot bağlantıları, kablosuz bir modem, router veya Berqnet gibi Firewall cihazları yardımıyla sunulur. Sunulan bu internet bağlantısı radyo dalgaları yardımıyla iletilerek diğer cihazlar arasında sürdürebilir ve geniş menzillere yayılabilir.
Loglama
Log İngilizce bir terimdir ve Türkçeye çevrildiği zaman kayıt, kütük kelimelerine karşılık gelir. Loglama ise log kayıtları aracılığı ile dijital hareketlerin saklanması işlemine denir. Log tutmak anlamına da gelmektedir.
Özellikle de siber saldırıların tespiti ve olay yönetimi için loglama kritik önem taşımaktadır. Bir siber saldırının tespiti ve aydınlatılması için log kayıtları siber güvenlik uzmanları tarafından incelenerek ortaya çıkartılır. Log kayıtları siber saldırının niteliğinden, güvenlik açığının tespitine kadar birçok noktada siber güvenlik uzmanlarına yön gösterir nitelikte olmalıdır.
Berqnet Firewall güvenlik cihazları hem KVKK hem de 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlemesine Dair Usul ve Esaslar Hakkındaki Yönetmelik Kanununa uygun bir şekilde doğru formatta log çıktısı sunmaktadır. Bu sayede herhangi bir siber olayla karşılaşıldığı zaman hem 5651 sayılı kanuna hem de ISO 27001 gibi güvenlik standartlarına uyumlu log kayıtları ile doğru analizler gerçekleştirebilirsiniz.
Antivirüs Yazılımları
Siber güvenliğin ilk kuralı her zaman farkında olabilmektir. Sonrasında ise antivirüs, firewall cihazları, SIEM, EDR gibi birçok ürün siber güvenliğin sağlanmasında çözüm olarak kullanılabilir. Bu yazılımlar kutu halinde donanımsal olarak hazır kurulmuş bir şekilde karşımıza çıkabildiği gibi, bir donanıma veyahut işletim sistemi üzerine kurularak aktif edilebilen türleri de vardır.
Antivirüs yazılımları da bu cihazların günümüz teknoloji dünyasında vazgeçilmez modüllerinden biri haline gelerek bütünleşik güvenlik mekanizmasının en önemli defans araçlarından biri olarak karşımıza gelmektedirler.
Antivirüs yazılımları bilgisayarınızda bir kalkan oluşturarak gerçek zamanlı koruma sağlayan özel uygulamalardır. Virüslerin sisteminize bulaşmasını engelleyebildikleri gibi ağ üzerindeki zararlı aktiviteleri durduran veyahut davranışsal analizler gerçekleştirerek zararlı aktiviteleri tespit edebilme kabiliyetlerine de sahiptirler.
Önceleri imza tabanlı güvenlik sistemleri kullanan antivirüs yazılımları bugünkü dünyada çok daha etkili güvenlik teknolojileri kullanmaktadırlar. İmza tabanlı güvenlik bilinen zararlı yazılımları listeleyen tarama sistemleri olarak çalışıyordu. Bilinen bir zararlı yazılım tespit edildiğinde engellenmekteydi. Ancak bir zararlının tespit edilerek imzasının alınması günler hatta aylar alabilecek durumdaydı.
Her gün binlerce saldırı aldığımız teknoloji çağında, günümüz zararlılarının tespit edilmesi güç olduğu gibi imzalarını da değiştirdikleri sıkça görülmektedir. Bu sebeple güvenlik yazılımı üreticileri sezgisel tespit, emülasyon, davranış analizleri gibi çeşitli karmaşık teknolojiler kullanmaya başladılar.
Sandbox Cihazları
Sandbox, kullanıcıların üzerinde çalıştıkları uygulamayı, sistemi veya platformu etkilemeden programları çalıştırmasına veya dosyaları yürütmesine olanak tanıyan yalıtılmış bir test ortamıdır.
Belli başlı sandbox’lar ekranda gösterilmektedir.
· BitBox (Web Browsing için)
· BufferZone (Endpoint Sandbox tool)
· Sandboxie (Windows ortamında kullanılan en popüler sandbox)
· SHADE Sandbox (Sandboxie’ye göre kullanıcı arayüzü daha basit)
· Toolwiz Time Freeze
· Shadow Defender
· Cuckoo sandbox
Ayrıca belli başlı online sandbox’larda bulunmaktadır.
· JoeSandbox
· Run
· Hybrid Analysis
· CodeSandbox
· IObit Cloud
Honeypot Sistemleri
Honeypot, siber saldırıların olası hedeflerini taklit etmeyi amaçlayan bir bilgisayar veya bilgisayar sistemidir. Saldırıları tespit etmek veya onları meşru bir hedeften saptırmak için kullanılabilir. Ayrıca siber suçluların nasıl işlediği hakkında bilgi edinmek için de kullanılabilir.
· SSH Honeypotları
o Kippo
o Cowrie
· HTTP Honeypotları
o Glastopf
o Nodepot
o Google Hack Honeypot
· WordPress Honeypotları
o Formidable Honeypot
o Blackhole for Bad Bots
o Wordpot
· Veritabanı Honeypotları
o ElasticHoney
o HoneyMsql
o MongoDB-HoneyProxy
· Email Honeypotları
o Honeymail
o Mailoney
o SpamHat
· IOT Honeypotları
o HoneyThing
o Kako
· Diğer Honeypotlar (Dionaea, Miniprint, Honeypot-ftp, HoneyNTP)
SIEM Sistemleri
SIEM, ilk olarak log yönetimiyle başlayan ve zamanla tehdit izleme, olay korelasyonu, olay tepkisi gibi log ve event verilerini gerçek zamanlı analiz eden Security Event Management (SEM) ile log verilerini toplayıp analiz eden ve raporlayan Security Information Management (SIM) birleşimi olarak ifade edilebilir. Belli başlı SIEM ürünleri şunlardır:
· SolarWinds Security Event Manager
· Datadog Security Monitoring
· ManageEngine EventLog Analyzer
· Splunk Enterprise Security
· OSSEC
· LogRhythm NextGen SIEM Platform
· AR&T Cybersecurity AlienVault Unified Security
· RSA NetWitness
· IBM Qradar
· McAfee Enterprise Security Manager
