From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Tue 10 Sep 2002 - 12:34:36 EEST
On Mon, 2002-09-09 at 11:35, Burak DAYIOGLU wrote:
>
> Ben firewall olmayacaktir diyerek daha radikal bir onermede bulunuyorum;
> siz beraber ve ayni makinada calistirilmali diyorsunuz ;)
>
>
Saldiri tespiti kolay bir konu degildir, teknolojisi de maalesef
Firewall'lar ile karsilastirildiginda cok yeni bir teknolojidir.
Firewall'lardan bagimsiz olarak gelistirilir ve onlarin saglamliklarini
tamamlayici olarak kullanilmayi hedefler. Yani bir agda kurulu NIDS
saldiriyi tespit ederek raporlar, Firewall'un islevselligini
(saldirganin gecisini yada saldiriya Firewall'un tepkisini) raporlar,
Firewall'a tepki uretebilmesi icin haber verir ve savunma hattini
guclendirmeyi hedefler. Kisaca Firewall gibi bir savunma hatti bileseni
olarak savunma hattini guclendirmeyi hedefler, Firewall'un yerine
gecmeyi hedeflemez.
Firewall erisim denetimi ve bunu uygulama gorevi ustlenir, NIDS ise bu
erisimlerin iceriklerini yorumlayarak bilgi vermeyi hedefler. Isminden
de bu durum yeterince anlasilir, Intrusion Detection System ismi
secilmistir, oysa Intrusion Prevention System ismi de secilebilirdi.
Her guvenlik urunu amacina uygun kullanildiginda guvenlik zincirinin
guclu olmasini saglar, Firewall'lar uzerinde de port scan saptama
modulleri vardir, ama bu onlarin saldiri tespiti yapabilecekleri
anlamina gelmez, tersi NIDS icinde gecerlidir, onlarinda isterse TCP
RST, ICMP Error, Firewall/Router'a rule ekleme ozellikleri olsa da esas
amaclari bu degildir.
Amacin disindaki kullanim bugun olmayacagi gibi yarinda olmayacaktir
(benim ongorumdur... katilmayabilirsiniz..)
Amacin disinda kullanima ek olarak bir diger sorunda NIDS mimarilerinden
kaynaklanmaktadir. Anomaly Detection yada Rule Based Detection yada
karma sistem bugun hala kararli duruma gelebilmis degillerdir. Oysa
Firewall'lar mimarilerileri ile (ozellikle Application Proxy) oldukca
guclu ve oturakli bir yapiya kavusmustur. Bir zamanlarin Stateful
Inspection fanatigi olan Checkpoint bile bugun kismen bu teknolojiye
gecis yapmistir.Gelecegin de bu teknolojinin guclendirilmesi ve
dogrulama/paket kontrolu yonunun guclendirilmesi ile Firewall'lari daha
guclu yapacagini dusunuyorum.
Gelelim NIDS sorunlarina ; siz bile Firewall'a rule koyulmasini bugun
tasvip etmiyorsunuz (ki bu noktada hem fikir sayilabiliriz) nasil
gelecekte olabilmesini tasvip edebilirsiniz ? (bence celiskidir)
Teknolojinin gelisecegini soyleyecek ve yanlis/hatali sonuclar
uretiminin azalacagini soylerseniz celiski iyice belirginlesir.
NIDS'ler amaclari geregi bircok kritik islem yapmaktadir ; Cok yogun
miktarda paket icerigi inceleme, anormallik tespitinde normal kavraminin
belirlenmesinde ki zorluklar, saldirilarin bilinmesi zorunlulugu, su ana
kadar olan tepkisiz olmalarindan kaynaklanan saptanamama (yada daha az
belirgin olma) avantajlarini yitirebilecekleri gozonune alinmismidir bu
sav icerisinde ?
Firewall'larin yillardir saldirganlar tarafindan zorlandigi ve bu
zorlamalar sirasinda yeterince guclendikleri artik cok daha az sayida
zayifliklarinin (belirli periyotlarda) ciktigi gorunmektedir. Ancak NIDS
aciklari yada By-pass teknikleri oldukca genisleyen bir yelpazeye
yayilmis ve gittikce buyuyem bir tehlike olmaktadir.
Cok paket incelemeden kaynaklanan yogun islemci kullanimi (islemci
miktari artsada aglar genisleyecek ve paket miktarida artacaktir, oran
sabittir esasiyla bu cumle sarfedilmistir) DOS ataklari daha da cekici
kilacaktir. Bu durum agin iletisiminin kesilmesi yada saldiri tespitinin
mumkun olmamasi anlamina gelecektir, gelecekteki durumda (Mimarilerinde
cok cok cok cok koklu degisiklikler olmadigi surece) ayni olacaktir.
TCPDUMP, Ethereal gibi bircok sniffer'da (ki pasif calisirlar agda
etkileri yoktur) bellek tasmasi yada benzeri aciklar cikmaktadir.
Saldiri tespit mimariside bu mimari uzerine bina edildigi icin ayni
aciklarin kopyalarinin yogun oranda cikabilecegi goz onune alinmalidir.
Sebep programlama hatasi olabilecegi gibi (bu kacinilmazdir her
yazilimda olur) ag katmanindaki (tum katmanlarda) farkli protokollerin
farkli yapilari ve bunlarin uygulamasindaki zorluklarda bir diger
sebeptir. Mimarinin de bu duruma oldukca musait oldugu, icine bakmadan
paket gecirilemeyecegi dusuncesi bu durumu daha da korukleyecegi
aciktir. (Bu sorun Firewall'lardaki Proxy mimarisi ile de
yasanabilmektedir, ancak bu mimarinin oldukca gelismis oldugu, yapisinin
paket incelemek olmadigi veri aktarimi oldugu dusunulunce daha az riskli
oldugu gorulmektedir.)
Son olarak NIDS'lerin bir diger eksikligi ise HATA ORANIDIR !!! En
kritik durum ise bu durumdur.Eger bir Firewall kullaniliyorsa hata orani
%0-1 arasinda oynamalidir, kurallara uygun paketler gecmeli uymayanlar
gecmemelidir, oysa saldiri tespit mimarisinde niyet(iyi yada kotu
olabilir), pakette bozulma, yanlis yorumlama, eksik tasarimdan
kaynaklanabilen eksiklikle hata oraninini gelecekte %10'un bile altina
cekilmekte zorlanacaktir. Tabiki Erisim denetimi amacli kullanilacak
sistemin bu oranda hata orani barindirmasi ne ticari, ne lab
kurumlarinin kaldirabilecegi bir risk degildir.
Son olarak Firewall versus NIDS gibi bir tartisma, yada bu iki urunun
Iktisat tabiriyle IKAME MALLAR olmasi bugun mumkun olmadigi gibi yarinda
mumkun olamayacaktir, sebepleri yukarida kismen aciklanmistir. Iki
urununde farkli amaclar icin gelistirildigi, farkli mimarilerde oldugu
unutulmamalidir.
Kisisel ongorumdur, kimseyi baglamaz ; Gelecekte kullanilacak erisim
denetimi sistemleri daha gelismis PROXY (vekil, aktarim, araci) temelli
Firewall'lardir, onlari yakin gelecekte (2-3 yil) alternatif bir
mimarinin zorlayabilecegine inanmiyorum. Gerek bugune kadar varolan
mimarilerin bu yillar icerisinde o kadar gelisemeyecek olmasi gerekse de
2-3 yil icerisinde benzer bir mimarinin gelisip OLGUNLASAMAMASI bu
fikrin kafamda olusmasinin sebebidir.
Karma urunlere gelince, bugune kadar karma urunler sadece KOBI'lerde,
LAB ortamlarinda yada yerel agda kritik olmayan noktalarda kullanildir,
hicbiri gercekten GOREV KRITIK uygulamalarda kullanilmadi, bu yuzden su
an karsilastirma ihtiyaci hissetmiyorum, gelecekte bu ihtiyaci duyarsam
fikirlerimi o zamana saklamak isterim.
Iyi Calismalar...
-- ------------------------------------------------------------------------ Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr IT Security Consultantfrontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 fax: +90 212 356 68 96 ------------------------------------------------------------------------
-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQA9fbysZICO0iJ1CfMRAh2dAKCJNbKKOTIbpvZ+zfNnWvBrMt3NDgCfTvSX DVLYn+HkUC1L5A4qT6+b1QI= =8JyO -----END PGP SIGNATURE-----
----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------