Salı, Kasım 4, 2025
Yeni :

Teknolojik Blog

"Teknolojik Bilgi Rehberiniz"

Bilişim Güvenlik 

IPS ve IDS Nedir? Nasıl Çalışır?

Aziz 0 Comments ,,

Siber güvenlik dünyasında tehditlerin her geçen gün daha karmaşık hale gelmesiyle birlikte, ağ güvenliğini sağlamak için kullanılan teknolojiler de sürekli gelişmektedir. Bu teknolojiler arasında en kritik iki bileşen IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) sistemleridir.
Peki IPS ve IDS tam olarak nedir, nasıl çalışırlar ve neden bu kadar önemlidir?

IDS (Intrusion Detection System) Nedir?

IDS, Türkçesiyle Saldırı Tespit Sistemi, ağ veya sistem üzerindeki trafiği analiz ederek kötü amaçlı faaliyetleri, yetkisiz erişimleri ve güvenlik ihlallerini tespit etmek için kullanılır.

IDS sistemleri temelde “dinleyici” gibi çalışır. Ağdan geçen paketleri inceler, log tutar ve şüpheli bir aktivite tespit ettiğinde yöneticiyi uyarır. Ancak IDS saldırıyı durdurmaz; sadece bildirir. Bu nedenle genellikle bir güvenlik bilgi sistemiyle (SIEM, firewall, SOC) entegre şekilde kullanılır.

IDS Çeşitleri:

  1. NIDS (Network-based IDS):
    Ağ trafiğini izler. Paketlerin içeriğini analiz ederek saldırı imzalarını arar.
  2. HIDS (Host-based IDS):
    Belirli bir sunucuda veya cihazda çalışır. Sistem logları, dosya bütünlüğü, kullanıcı aktivitelerini izler.

IPS (Intrusion Prevention System) Nedir?

IPS, Türkçesiyle Saldırı Önleme Sistemi, IDS’nin bir adım ötesidir. Yani sadece tespit etmekle kalmaz, aynı zamanda saldırıyı engeller.
IPS sistemleri genellikle ağın kritik geçiş noktalarına (örneğin firewall arkasına veya önüne) konumlandırılır ve gerçek zamanlı olarak trafiği analiz eder.

IPS bir saldırı tespit ettiğinde, şu eylemleri gerçekleştirebilir:

  • Kötü amaçlı trafiği engeller,
  • Zararlı IP adresini kara listeye alır,
  • Oturumları sonlandırır,
  • Güvenlik yöneticisine bildirim gönderir.

IDS ve IPS Arasındaki Farklar

ÖzellikIDSIPS
GöreviSaldırıları tespit ederSaldırıları tespit edip engeller
Trafik konumuGenellikle “pasif” dinleyicidirTrafiğin üzerinde aktif olarak çalışır
MüdahaleYalnızca uyarı üretirOtomatik olarak aksiyon alır
RiskYanlış alarmlar operasyonel yük oluşturabilirYanlış pozitifler trafiği kesebilir

Neden IDS ve IPS Kullanılır?

Siber güvenlikte amaç sadece saldırıları görmek değil, aynı zamanda önlem almak ve zararı minimize etmektir.
IDS ve IPS sistemlerinin kullanılmasının başlıca nedenleri şunlardır:

  1. Erken Tehdit Tespiti:
    Kötü amaçlı aktiviteler daha büyük bir saldırıya dönüşmeden önce fark edilir.
  2. Güvenlik Duvarını Tamamlar:
    Firewall’lar genelde port ve protokol bazlı çalışır, ancak IPS/IDS içerik tabanlı tehditleri analiz eder.
  3. Loglama ve Raporlama:
    Saldırı türleri, kaynak IP adresleri ve saldırı zamanları kayıt altına alınır.
  4. Zero-Day Saldırı Tespiti:
    Davranış analizi yapan sistemler, daha önce bilinmeyen saldırı kalıplarını bile fark edebilir.

IPS ve IDS Nasıl Çalışır?

Her iki sistem de genellikle üç temel analiz yöntemine dayanır:

  1. İmza Tabanlı (Signature-Based):
    Bilinen tehdit kalıplarını (örneğin bir exploit imzası) arar.
    → Avantaj: Hızlı ve etkili.
    → Dezavantaj: Yeni saldırıları tanıyamaz.
  2. Anomali Tabanlı (Anomaly-Based):
    Normal ağ davranışını öğrenir, sapmaları tespit eder.
    → Avantaj: Zero-day saldırılara karşı etkilidir.
    → Dezavantaj: Yanlış pozitif riski vardır.
  3. Davranış Tabanlı (Behavior-Based):
    Kullanıcı, cihaz veya sistemin normal davranış modeline göre hareket eder.
    → Avantaj: Gelişmiş tehditleri yakalar.
    → Dezavantaj: Öğrenme süresi gerektirir.

IPS ve IDS Nasıl Kurulur?

Kurulum ortamına göre değişiklik göstermekle birlikte genel adımlar şu şekildedir:

  1. Ağ Haritası ve Trafik Akışı Analizi:
    Öncelikle hangi segmentlerde IDS/IPS konumlandırılacağı belirlenir.
  2. Sensör Kurulumu:
    IDS genellikle “mirror port”a (SPAN port) bağlanır. IPS ise “inline” şekilde yerleştirilir.
  3. Kural ve İmza Güncellemeleri:
    Örneğin Suricata veya Snort gibi açık kaynaklı sistemlerde sürekli imza güncellemesi gerekir.
  4. Entegrasyon:
    SIEM, firewall, log yönetim sistemleriyle bütünleşik çalışması sağlanır.
  5. Test ve Tuning:
    Yanlış pozitiflerin azaltılması için sistem ince ayar yapılır.

Nerelerde Kullanılır?

IPS ve IDS sistemleri geniş bir kullanım alanına sahiptir:

  • Kurumsal Ağlar: Dış saldırılara karşı ana koruma hattı oluşturur.
  • Veri Merkezleri: Kritik sistemleri korur, lateral hareketleri engeller.
  • Bulut Ortamları: Sanal IPS/IDS çözümleri (örneğin AWS GuardDuty, Azure Defender) kullanılır.
  • Endüstriyel Ağlar (SCADA, IoT): Üretim ve otomasyon sistemlerini korur.
  • Kritik Altyapılar: Bankalar, hastaneler, enerji tesisleri gibi kurumlarda zorunlu hale gelmiştir.

Faydaları

  • Gerçek zamanlı saldırı tespiti ve önleme
  • Ağ trafiğinin detaylı analizi
  • Saldırı trendlerinin raporlanması
  • Zero-day tehditlere karşı erken uyarı
  • Yasal uyumluluk (ISO 27001, PCI-DSS, KVKK vb.)

Popüler IDS/IPS Çözümleri

  • Açık Kaynaklı: Snort, Suricata, Zeek (Bro)

Ticari: Cisco FirePOWER, Palo Alto Threat Prevention, FortiGate IPS, Trend Micro TippingPoint

İlginizi çekebilir

Facebook aramalarında birazcık da hayalet olun !

Aziz0

Kişisel Bilgi Güvenliği !

Aziz0

Siber Güvenlik Kurulu kuruldu

Aziz0

Bir yanıt yazın

Teknolojik Blog
Powered by  GDPR çerez uyumluluğu
Gizliliğe genel bakış

Bu web sitesi, size mümkün olan en iyi kullanıcı deneyimini sunabilmek için çerezleri kullanır. Çerez bilgileri tarayıcınızda saklanır ve web sitemize döndüğünüzde sizi tanımak ve ekibimizin web sitesinin hangi bölümlerini en ilginç ve yararlı bulduğunuzu anlamasına yardımcı olmak gibi işlevleri yerine getirir.