From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Tue 10 Sep 2002 - 16:41:32 EEST
On Tue, 2002-09-10 at 14:43, Burak DAYIOGLU wrote:
>
> Merhaba,
> Tartismaya derinlik kazandirma cabaniz icin tesekkur ederim. Fikirlerimi
> genel olarak bir yanit teskil edecek bicimde sunmaya calisacagim.
>
> Google ile "Intrusion Prevention System" aramasi yaparak pek cok saldiri
> tespit sisteminin yeni yuzunu gorebilirsiniz. "Intrusion Detection and
> Prevention System" bir diger arama kriteri olabilir. Yani bu tur
> sistemler bugun zaten varlar ve kullaniliyorlar. Sadece yeterince yaygin
> degiller.
Intrusion Prevention System soylemi son 2 yilda yayginlasmaya basladi,
bu konuda ticari urunler gelistirip satan firmalar oldugu bircok kisi
tarafindan biliniyor.
Saldiri tespiti bir mimaridir, amaci saldirinin tespitidir, cikis
noktasi burasidir. Bazi kurum/kisilerin hazir saldiriyi tespit ediyoruz
bir "if" dongusu kuralimda tepki verelim adinida saldiri onleme koyalim
demesi bu amaci degistirmez bana gore. Arti bunun saglikli bir yontem
oldugunu da dusunmuyorum. Mimarinin ana amaci saldirinin tespiti
yorumlanmasi, raporlanmasidir. Henuz bunu bile varolan mimariler dogru
durust becermekte zorlaniyor iken sonraki adima nasil gectiklerini de
anlayamiyorum. Isim karsilastirmasini da bu mimarinin amaci
dogrultusunda yaptim, hala da savimin arkasindayim.
>
> Guvenlik duvari teknolojisinin oturmus olmasi konusunda haklisiniz ama
> takdir edersiniz ki konu saldiri tespiti ile kiyaslandiginda oldukca
> basittir. Yeni bir seyler yapilmadigi icin de gecen zaman zarfinda
> oturmus olmasi oldukca normaldir.
Yeni birseyler yapilmamasi dusuncesini benim tasvip etmem mumkun
degildir, hergun her teknoloji gelisir, eger boyle bir gelisim sozkonusu
degilse urunler (acik kaynak kodlu, ticari farketmez) niye hala yeni
surumler cikariyorlar ? niye yeni mimarileri deniyorlar ? Dagitik
Firewall teknikleri, Cluster sistemlerde davranislar, Proxy mimarisinde
iyilestirmeler, Firewall'larin yavas yavas kendi yapilandirma dillerine
sahip olmalari sizce gelisme degilmi ? Basit dediginiz firewall
mimarilerini sizin yazip yazamayacaginizi da ben sorma hakki elde ederim
bu kucumseme karsisinda, ben yazabilecegimi dusunmedigim icin belki de
bu kadar basit gorunuyorlar...
Saldiri tespiti basit degildir, firewall yani erisim denetimi de basit
degildir, bu tanimi hangisi icin kullaniyor olursaniz olun ben
karsinizda olurum. Saldiri tespitinin yeni olmasi ve halen dogum
sancilarini, ilkokula gitme, okulu asma gibi kavramlari yeni yasamaya
basladigini zaten ben bir onceki mailimde belirtmistim. Firewall'larin
ne kadar olgun bir teknoloji olduklarini da yine onceki mailimde
belirtmistim.
Iki teknoloji evlenecekse de ben ikisininde ayni olgunlukta olmasi
gerektigini dusunurum, aksi durumlar sistemin kararligini ve denge
duzeyini degistirecektir.
>
> Genel olarak karsilastirmalarinizi hatali bir zemin uzerine
> kuruyorsunuz. Inline calisan bir NIDS'i bir NIDS olarak
> dusunmemelisiniz. Klasik NIDS zayiflik ornegi olarak verdiginiz
> 'sniffer'da hata' inline bir NIDS icin gecerli degildir. Inline calisan
> ve uzerinden akan paketleri inceleyen bir sistemin sniffer'a ihtiyaci
> olmaz.
Boyle bir sisteminde alacagi paketleri yorumlayacagi ve bu yorumlama
asamasinda bahsedilen aciklarin ortaya cikabilecegini dusundunuzmu ?
sonucta bir ag protokolu paketi gelecek ve NIDS bunu inceleyecek, bu
incelemede tcpdump, ethereal gibi yazilimlarda cikan aciklardan nasil
etkilenilmeyecegini savunuyorsunuz ? Zayifliklar ethernet karti promis.
modda oldugu icin cikmiyorki, problem paket handle problemi yanlismiyim
?
>
> Benzer bicimde hata yapma karsilastirma kurgunuz da sorunlu..
> Firewall'un port 80 uzerinde durdurmadigi hatalar ile saldiri tespit
> sisteminin port 80 uzerinde durdurmadigi hatalari karsilastirin. Paket
> filtrelemede %0 hata yapiliyor olmasi ile NIDS'te yanlis alarm oraninin
> karsilastirilmasi en azindan "adil" degil...
>
> Gelismis uygulama duzeyi gecitlerinin kural temelli inline bir NIDS'ten
> bir farki yoktur. Ben bu anlamdaki 'convergence'a isaret etmeye
> calisiyorum. Firewall ve NIDS teknolojileri birlesecektir demiyorum;
> sadece inline bir NIDS, aslinda firewall'larin gelecegi yerdir diyorum.
>
Onceki mailinizde asagidaki cumleyi sarfetmissiniz
>"Ben firewall olmayacaktir diyerek daha radikal bir onermede
>bulunuyorum; siz beraber ve ayni makinada calistirilmali diyorsunuz ;)"
Yukarida ise dusunceniz degismis, yada ben oyle yorumluyorum, her iki
durumda da sizin kafanizdakini anladigimi soyleyemem.
Ben Firewall gidecek daha gelismis NIDS gelecek olarak yorumladim ilk
yazdiginiz cumlenizi, bu durumda erisim denetimi mekanizmasi olarak NIDS
kullanacaksiniz varsayimi beni bu karsilastirmaya itti. Ben de madem
NIDS'e erisim denetimi yaptiracaksiniz, hata oranlarini
karsilastirabilme hakki kazandim ve bunu yaptim. Durumun anlamsizligina
da asagidaki satirlarla degindim.
<fatih ozavci>
Son olarak Firewall versus NIDS gibi bir tartisma, yada bu iki urunun
Iktisat tabiriyle IKAME MALLAR olmasi bugun mumkun olmadigi gibi yarinda
mumkun olamayacaktir, sebepleri yukarida kismen aciklanmistir. Iki
urununde farkli amaclar icin gelistirildigi, farkli mimarilerde oldugu
unutulmamalidir.
</fatih ozavci>
Inline NIDS'e gelince benim karsi ciktigim durum bu zaten, IDS mimarisi
bugunku nokta da sorunludur, sorunlarin giderilmesi de kokten degisim
ile sarttir. Bilinen saldirilari saptamak yada normal kavraminin ne
oldugunun belirlenmesi icin ne kadar kaynak harcanacagi bilinmeyen
anormallik saptama mimarilerinin gelismesi oldukca zaman alacaktir.
Bu olgunlasmasinin ne kadar zaman alacagini kimsenin bilmedigi (varsa
bilen delikanli beri gelsin) mimarilerin olgun Firewall mimarisini
degistirecek sekilde kullanilmasini ben tasvip etmiyor. Zaten kararli
bir sistemi amacinin disinda kullanmak bircok guvenlik zaafiyetini
beraberinde getirecektir.
Ben tekrar soyluyorum, App. Proxy mimarisi gelisir, gelecekte proxy
mimarisi uzerine kurulur ise (ki benim tahminim bu yondedir)
gelistirmeler illaki yapilacaktir. Ancak sizin bahsettiginiz gibi inline
NIDS barindiran sistemler ne kalici olacaktir, ne de verimli. Olgun
Proxy mimarisini de bu acidan yumusatmak bana hala mantikli
gelmemektedir. App. Proxy mimarisinin gelisimi surecinde saldiri tespit
ozellikleri eklenirse o durum cok hassas bir noktadir, nasil
eklendigiyle alakali olarak yorumlanabilir. (Ki su anki saldiri tespit
mimarilari ile cok cok kotu bir verimlilik seviyesi ortaya cikar)
> Icinde hic kural olmayan bombos bir NIDS'in inline bicimde bir gateway
> uzerinde calistigini dusunun. Icine kurallari yazarken firewall
> kurallari ile (uygulama duzeyi gecitler ile) yapabileceginiz her turlu
> denetimi yapabilir misiniz? NIDS protokol cozumlemesini iyi bicimde
> yapabiliyor ise yapabilirsiniz; ama ornegin bugunku Snort ile
> yapamazsiniz. Inline calisan bir RealSecure ile yapabilirsiniz...
>
Ben ticari olsun olmasin MIMARILERI AYNI OLDUGU SURECE hicbir IDS'e
guvenmem ve sorunlarinin mimarilerinden kaynaklandigini gelisimleri
surecinde sadece ihtiyaca dair cikarildiklari (herkes kimin saldirdigini
bilmek istiyordu, bundan turediler) ve cok ilkel bir teknoloji
olduklarini ancak zamanla yeni mimariler ile gelisebileceklerini
soyluyorum. Ve sizin soylediginiz gibi protokol uyg. cok iyi olan bir
IDS ile bile Proxy yada erisim denetimi sistemi calistiramazsiniz, hala
sorunun mimarilerinde oldugunu anlatamadigimi dusunuyorum...
Siz saldiri tespit mimarilerinin gelisimi surecinde yeniden sifirdan
yazilmasi gerektigini, su anki mimarilerle bunun mumkun olmadigini,
hatta gelecekte mutlak yapay zekanin karismasi gerektigini kaubl
ediyormusun ? Eger bunu kabul ediyorsaniz zaten soylemlerinizin cogunun
cevabini alirsiniz.
> Kisacasi, bir teknoloji ongorusunde bulunuyorum. Gelecekte inline
> NIDS'ler ile firewall'larin bir farkinin kalmayacagini ve nihai urun
> kategorisinin bugunun inline NIDS'lerine daha cok benzeyecegini
> dusundugumu soyluyorum. Gorusumu degistirecek yorumlarinizi duymayi da
> arzu ediyorum...
>
> Mesajimda celiskili buldugunuz kismi anlayamadim; anlatirsaniz acmak ve
> fikirlerimi sunmak isterim.
Ben bu tur bir teknoloji birlesmesinin mimarilerin olgunluk seviyesi ve
verimlilik seviyesiyle cok ilgili oldugunu ve IDS mimarilerinin bastan
uretilmeden boyle birseyin yapilmasinin cok sacma oldugu
dusuncesiydeydim.
Celiskiniz ise sudur :
IDS'lerin Firewall'a kural eklemesine sicak bakmiyorsunuz....
Gelecekte ise Firewall'lara inline NIDS'ler eklenmesini
ongoruyorsunuz....
Eger IDS'lerin Firewall'a kural koymasina sicak bakmiyor (ki bence
haklisiniz) ve bu durumunda cok fazla hatali uyari uretmesinden oldugunu
soyluyor iseniz, bu mimarideki soruna isaret ediyor.
Mimariler'in gelecekte yeniden yazilmasi soz konusu oldugunda zaten
yukaridaki tartismaya donuyoruz, eger Mimariler'in sadece gelistirilmesi
gerektigini dusunuyor iseniz, Hatali kayit kaynaginin Mimari oldugunu
gormediginiz anlamina gelirki bu durumda hatali kayit sayisi azalmadan
Firewall'a entegrasyon soz konusu olur.
>
> Sundugum onermem ile baslayan tartisma ile ilgili olarak Computer
> Security Institute'un ALERT isimli newsletter'inda son iki aydir Marcus
> Ranum'un yazi dizisini okumanizi onerebilirim. Cok keyifli bir dizide,
> ilk guvenlik duvarinin bas mimari olan Ranum onumuzdeki 10 yilda guvenlik
> endustrisinden beklentilerini aktariyor; benim anlatmaya calistigim onerme
> de Ranum'un ongoruleri arasinda...
Bugune kadar cok sayida makale, arastirma, dokuman okudum, arac denedim,
bahis konusu yazilari ve gelecege yonelik bircok yaklasimida inceledim.
Ama bu o yaklasimlara yada dokumanlardaki tezlere katilacagim anlamina
gelmez, siz bir tez sundunuz (yada Ranum'a ait bir tez) bende antitez
sundum... teoride sonu SENTEZ ile baglanabilir...
-- ------------------------------------------------------------------------ Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr IT Security Consultantfrontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 fax: +90 212 356 68 96 ------------------------------------------------------------------------
-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQA9ffZUZICO0iJ1CfMRAorhAJ9RHMBHlZprL8qbHhsJdbwsKBY+ZwCfT/ve M0lZXSK9tmgPMWauou/mRH4= =1sAo -----END PGP SIGNATURE-----
----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------