Saldırı engelleme sistemleri
Saldırı Engelleme Sistemleri (İngilizce: Intrusion Prevention Systems (IPS)), ağlara ve/veya sistemlere karşı yapılan kötü niyetli aktiviteleri yarayan cihaz ya da yazılımlara verilen isimdir.
Saldırı Tespit Sistemleriyle (Intrusion Detection Systems) Saldırı Engelleme Sistemleri (Intrusion Prevention Systems) arasındaki temel fark; saldırı tespit sistemlerinin, saldırıları sadece tespit edip raporlamasına karşılık saldırı engelleme sistemlerinin, yapılan saldırıları önleme yeteneğine sahip olmasıdır.
Sınıflandırma
Saldırı Engelleme Sistemleri; saldırıları engelledikleri ortama ve engelleme yöntemlerine göre ikiye ayrılmaktadır.
Ortam
Saldırı Engelleme Sistemleri kuruldukları ortama göre; Ağ Tabanlı Saldırı Engelleme Sistemleri (Network Intrusion Prevention Sytems) ve Sunucu Tabanlı Saldırı Engelleme Sistemleri (Host-based Intrusion Detection Systems) olarak ikiye ayrılmaktadır. Ağ Tabanlı Saldırı Engelleme Sistemleri (NIPS), kuruldukları ağlarda yer alan saldırıları engellerken, Sunucu Tabanlı Saldırı Engelleme Sistemleri (HIPS) kurulmuş oldukları sunucuya/bilgisayara yapılan saldırıları engellemektedirler.
Engelleme Yöntemi
Saldırı Engelleme Sistemleri, saldırı engelleme yöntemlerine göre de; İmza Tabanlı (signature-based) Saldırı Engelleme Sistemleri ve Anomali Tabanlı (anomaly-based) Saldırı Engelleme Sistemleri olarak ikiye ayrılmaktadır.
İmza Tabanlı
İmza Tabanlı Saldırı Engelleme Sistemleri, saldırıları engellerken bir saldırı imza veri tabanında yer alan saldırı imzalarını kullanırlar. İmza Tabanlı Saldırı Engelleme Sistemleri sadece saldırı veri tabanında yer alan saldırıları engelleyebilirler. Yeni saldırıları engelleme şansları yoktur.
Anomali Tabanlı
Anomali Tabanlı Saldırı Engelleme Sistemleri ise, saldırı imzaları kullanmadan ağ trafiğindeki anomalileri göz önünde bulundurarak saldırı engellerler. Anomali Tabanlı Saldırı Engelleme Sistemleri herhangi bir saldırı imzası kullanmadıkları için bu sistemlerin yanlış alarm (false positive) üretme ihtimali vardır. Anomali Tabanlı Saldırı Engelleme Sistemleri ile yeni saldırıları engellemek de mümkün olabilmektedir.
Saldırı Engelleme Sistemi Yazılımları
- Snort
- Suricata
Dış bağlantılar
- Common Vulnerabilities and Exposures (CVE) by Product
- NIST SP 800-83, Guide to Malware Incident Prevention and Handling
- NIST SP 800-31, Intrusion Detection Systems
- Study by Gartner "Magic Quadrant for Network Intrusion Prevention System Appliances"
- Guide to Intrusion Detection and Prevention Systems (IDPS)