From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Tue 10 Sep 2002 - 14:43:07 EEST
Merhaba,
Tartismaya derinlik kazandirma cabaniz icin tesekkur ederim. Fikirlerimi
genel olarak bir yanit teskil edecek bicimde sunmaya calisacagim.
Google ile "Intrusion Prevention System" aramasi yaparak pek cok saldiri
tespit sisteminin yeni yuzunu gorebilirsiniz. "Intrusion Detection and
Prevention System" bir diger arama kriteri olabilir. Yani bu tur
sistemler bugun zaten varlar ve kullaniliyorlar. Sadece yeterince yaygin
degiller.
Guvenlik duvari teknolojisinin oturmus olmasi konusunda haklisiniz ama
takdir edersiniz ki konu saldiri tespiti ile kiyaslandiginda oldukca
basittir. Yeni bir seyler yapilmadigi icin de gecen zaman zarfinda
oturmus olmasi oldukca normaldir.
Genel olarak karsilastirmalarinizi hatali bir zemin uzerine
kuruyorsunuz. Inline calisan bir NIDS'i bir NIDS olarak
dusunmemelisiniz. Klasik NIDS zayiflik ornegi olarak verdiginiz
'sniffer'da hata' inline bir NIDS icin gecerli degildir. Inline calisan
ve uzerinden akan paketleri inceleyen bir sistemin sniffer'a ihtiyaci
olmaz.
Benzer bicimde hata yapma karsilastirma kurgunuz da sorunlu..
Firewall'un port 80 uzerinde durdurmadigi hatalar ile saldiri tespit
sisteminin port 80 uzerinde durdurmadigi hatalari karsilastirin. Paket
filtrelemede %0 hata yapiliyor olmasi ile NIDS'te yanlis alarm oraninin
karsilastirilmasi en azindan "adil" degil...
Gelismis uygulama duzeyi gecitlerinin kural temelli inline bir NIDS'ten
bir farki yoktur. Ben bu anlamdaki 'convergence'a isaret etmeye
calisiyorum. Firewall ve NIDS teknolojileri birlesecektir demiyorum;
sadece inline bir NIDS, aslinda firewall'larin gelecegi yerdir diyorum.
Icinde hic kural olmayan bombos bir NIDS'in inline bicimde bir gateway
uzerinde calistigini dusunun. Icine kurallari yazarken firewall
kurallari ile (uygulama duzeyi gecitler ile) yapabileceginiz her turlu
denetimi yapabilir misiniz? NIDS protokol cozumlemesini iyi bicimde
yapabiliyor ise yapabilirsiniz; ama ornegin bugunku Snort ile
yapamazsiniz. Inline calisan bir RealSecure ile yapabilirsiniz...
Kisacasi, bir teknoloji ongorusunde bulunuyorum. Gelecekte inline
NIDS'ler ile firewall'larin bir farkinin kalmayacagini ve nihai urun
kategorisinin bugunun inline NIDS'lerine daha cok benzeyecegini
dusundugumu soyluyorum. Gorusumu degistirecek yorumlarinizi duymayi da
arzu ediyorum...
Mesajimda celiskili buldugunuz kismi anlayamadim; anlatirsaniz acmak ve
fikirlerimi sunmak isterim.
Sundugum onermem ile baslayan tartisma ile ilgili olarak Computer
Security Institute'un ALERT isimli newsletter'inda son iki aydir Marcus
Ranum'un yazi dizisini okumanizi onerebilirim. Cok keyifli bir dizide,
ilk guvenlik duvarinin bas mimari olan Ranum onumuzdeki 10 yilda guvenlik
endustrisinden beklentilerini aktariyor; benim anlatmaya calistigim onerme
de Ranum'un ongoruleri arasinda...
sevgiler, selamlar.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------