From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Mon 09 Sep 2002 - 11:09:14 EEST
Burak Hocam,
Kusura bakmak nedemek senin bilginde bir insanin bizim yazdiklarimiz üzerine
bile konusmasi benim için büyük mutluluk.
Burada benim asil kasdettigim NIDS sistemleri. Gerçi Host based IDS
konusunda da çok iç açici düsünmüyorum. Milyonlarca dolarlik database vs
serverlarin üzerine 1-2 bin dolarlik bir agent yüklemek beni her zaman
korkutuyor.
Firewall'lari sadece paket filitrelemesi yapan yazilimlar olarak düsünürüsek
dediginde haklisin. Gerçi daha fazlasini düsünürsekte dediginde haklisin.
Gelcegin firewall'u en azindan network bazinda güvenlik ihtiyaçlarimizin
büyük bir bölümünü tek basina karsilamali. NIDS yazilimlari atak tespitinde
degisik mekanizmalar kullaniyorlar, ve pek çogu paketleri ortami sniff
ederek yakaliyor. Bunun pek çok dez avantaji olabiliyor. Yakaladigi paket
çoktan hedefine ulasmis olabiliyor veya degisik problemlerden dolayi paketi
kaçirabiliyor. Buda bize NIDS lerden yeteri kadar verim alamamiza yol
açiyor. Eger gateway seklinde bir yapi kullanirsak yani ID islemini paketin
üzerinden geçtigi gateway'de yaparsak veya paketi NIDS üzerinden geçmeye
zorlarsak süpheli aktiviteyi yakalamakta daha basarili olacagimiza
inaniyorum. Networkümde iki adet gateway kullanmak benim single point of
failure noktalarini artiracagi için NIDS in firewall üzerinde olmasi daha
yararli olacaktir diye düsünüyorum. Zaten firewall'lar gelen paket, açip
belirli bölgelerine bakiyor data kisminada bakmasi çok fazla yük
getirmeycektir.
Aslinda bu düsüncemi destekleyen ürünler önümüzdeki aylarda release olacak.
Çok mu yanlis düsünüyorum acaba?
Saygilar
-----Original Message-----
From: linux-guvenlik-bounce@linux.org.tr
[mailto:linux-guvenlik-bounce@linux.org.tr]On Behalf Of Burak DAYIOGLU
Sent: 09 Eylül 2002 Pazartesi 10:45
To: linux-guvenlik@linux.org.tr
Subject: [linux-guvenlik] Re: snort
On Mon, 2002-09-09 at 10:25, Deniz CEVIK wrote:
> ID islemi firewall ile ayni noktada
> yapilmali. Performans gerektiren bir islem olmasina ragmen supheli
> aktivitenin kesinlikle yakalanacagina inaniyorum.
Merhaba,
Deniz Hocam kusura bakmaz ise cumlelerinin yanlis anlamaya cok musait
oldugunu dusunuyorum.
Agin sinir noktalarinda 'inline' (tum trafigin uzerinden aktigi) bir
saldiri tespit sistemi yapilabiliyor ise (ki mumkundur) guvenlik
duvarina ihtiyac kalmayacagini dusunuyorum. Saldiri tespit kurallari ile
de pek ala guvenlik duvari islevselligini saglamak mumkun. Dolayisi ise
saldiri tespiti ag sinirinda guvenlik duvarina bir alternatiftir; onu
tamamlayan bir islevsellik degil... Bugun bir arada kullaniliyor olmasi
performans problemleri nedeniyle olabilir (Turkiye'de ag sinirinda
100Mbps'in uzerinde kac yer vardir?) ama gelecekte sinirdaki saldiri
tespit sistemlerinin guvenlik duvarlarinin yerini alacagini dusunuyorum.
Sinirda saldiri tespiti guvenlik duvarlarinin gelismis bir halinden
baska bir sey degildir...
Saldiri tespitini yalnizca ag sinirinda da gormemek lazim. Hepimizin
bildigi gibi agin guvenlik duvarlarinin oldukca arkalarinda kalan
bolumlerinde de saldiri tespit sistemi calistirmak anlamli olabilir; bu
anlamda da "ID ve firewall islemi ayni noktada yapilmalidir" cok dogru
bir ifade degil.
Bu konularda Deniz Hoca ile de ayni fikirde olacagimizi dusunuyorum...
sevgiler, selamlar.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------
----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------