SALDIRI ÖNLEME VE TESPİT SİSTEMLERİ
Saldırı önleme ve tespit sistemleri bilgisayarınıza, sistemlerinize, kurum yapılarınıza izinsiz yani korsan bir şekilde girip veri güvenliğini riske atacak durumların veya mevcut işleyişi bozmaya yönelik kötü niyetli hareketlerin önüne geçmek için kullanılan firewall cihazlarının bir özelliğidir.
İşler basitçe şu şekilde yürür; Güvenlik duvarı (Firewall) cihazı ağ yapınızı korurken ağ sisteminize dâhil olmak isteyenlere cevap verir, burada bazı şifrelemeler ve güvenlik protokolleri işler, bu noktada firewall cihazı izinsiz girişleri belli bir kurala göre bloke eder. Bu işlemler hayati önem taşır çünkü kötü niyetli kişiler genelde bankalar, büyük kuruluşlar ve kamu kuruluşlarını hedef alır, bahsi geçen bu kuruluşlardan çalışılacak en ufak bir bilginin bile nelere mal olduğunu kimse kestiremez. Böyle bir durumla karşılaşmamak için alabileceğimiz bazı önlemler vardır.
Bu noktada, Güvenlik duvarı (Firewall) cihazları edinmek, bu cihazları lisanslı ve güncel kullanmak, bu cihazları iyi programa gerekli ayarları uzman kişiler tarafınca yapılması gerekmektedir çünkü ihmal edilecek en ufak aksaklık çok büyük maliyetler doğurabilir.
Bir ağ saldırı tespit sisteminin temel işlevleri şunları içerir:
Saldırı tespiti: Gerçek zamanlı ağ izlemesi yaparak gerçekleştiği andan itibaren güvenlik tehditlerini ve saldırıları tespit eder.
Saldırı bilgisi: Eğer bu sistem bir saldırı tespit ederse saldırı hakkında bilgi verir.
Düzeltici adımlar: Sistem tarafından bir saldırı tespit edildiğinde, aktif sistemler saldırıyı çözmek için önlemler alırlar.
Depolama: Olayları yerel olarak ya da saldırı olması durumunda da depolar.
Bir ağ saldırı tespit sistemi çoğunlukla bir ağdaki stratejik noktalardadır, böylece o ağdaki farklı cihazlardan gelen trafiği izleyebilir. Bu tür sistemlerin başlıca iki türü vardır. Birincisi imza tabanlı sistem, diğeri anormalliğe dayalı bir sistemdir. İmza tabanlı algılama, her bir saldırı kodunda benzersiz olarak tanımlanabilen kalıpların (veya imzaların) bir sözlüğüne dayanır. Bir exploit keşfedildiğinde imza kaydedilir ve sürekli büyüyen imza sözlüğünde saklanır. İstatistiksel anormallik tespiti, ağ trafiğinin örneklerini rastgele alır ve önceden hesaplanmış temel performans seviyesiyle karşılaştırır. Ağ trafiği aktivitesi örneği temel performans parametrelerinin dışındaysa, saldırı önleme sistemi (IPS) durumu halletmek için harekete geçer.