From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Tue 10 Sep 2002 - 18:15:58 EEST
On Tue, 2002-09-10 at 17:43, Burak DAYIOGLU wrote:
>=20
> Merhaba,
> Bir garip anlasmazlik icerisindeyiz. Anlasamama durumumuz surdukce sizin
> mesajlarinizin tonunun degistigini dusunuyorum; belki benimki de
> degismeye baslamistir. Kirici olmamak icin fikirlerimi ozetleme cabami
> son ve goreli kisa bir mesajla sonlandirmaya calisacagim. Sizden de
> (yanit yazarsaniz) ayni ozeni ve dikkati gostermenizi rica ediyorum.
Anlasmazlik icerisinde oldugumuz dogrudur ve bu tartisma anlasabilmek
icin yapilmaktadir, ancak uslubun sertlesmesi yonunde birseyi kabul
etmiyorum. Ben son satirlarim asagidaki gibiyse kirici oldugum
soylenemez, eminim ki bu maili okuyan bircok insanda benimle ayni
fikirdedir. Yanlis birsey soyledigimi dusunmuyorum.Son mesajiniz olmasi
konusuna gelince de bu sizin tercihinizdir, bu duruma uzulmek gibi bir
gaflet icerisine dusecegimi zannetmiyorum.
<Fatih =D6zavci>
Ama bu o yaklasimlara yada dokumanlardaki tezlere katilacagim anlamina
gelmez, siz bir tez sundunuz (yada Ranum'a ait bir tez) bende antitez
sundum... teoride sonu SENTEZ ile baglanabilir...
</Fatih =D6zavci>
>=20
> Saldiri tespiti salt tespit amaci ile cikmis olsa da yarin saldirilari
> durdurmak icin kullanilmamasi icin ozel bir neden yok. Saldiri tespit
> sistemleri bugun cok hata yapiyor olabilir, cok problemli olaiblirler
> ama bu yarin da boyle olmak zorunda degil; hatta olmamasi icin cok yogun
> bir arastirma gayreti suruyor.
>=20
Bu konuda hem fikir oldugumuzu dusunuyorum. Onceki maillerimden de bu
durum anlasilmaktadir. Ben beyhude olarak yorumluyorum bu cabalari,
mimarinin degismesi gerektigini soyluyorum, siz olumlu yorumluyorsunuz
fark budur; yorumda yapana aittir. Sonu=E7ta tartistigimiz Gunes'in
dogu'dan dogmasi degildir, esnek ve goreceli bir konudur.
> Guvenlik duvarlari paketlerin gecip gecmeyecegine karar verirken paket
> ile ilgili belli alanlari inceler ve buna gore karar verirler. Bugun
> erisebildiginiz bir NIDS, bir paketin, erisebildiginiz tipik bir
> guvenlik duvarindan daha fazla alanina bakmaniza ve incelemenize izin
> verecektir. Incelemenize imkan verilen alan sayisi arttikca saldirilari
> tespit etmek ve durdurmak icin sahip oldugunuz imkanlar da artacaktir.
>=20
Bu nokta da hemfikiriz bu sebeple Proxy sisteminin dogrulugunu ve
gelismesinin faydali oldugunu dusunuyorum. Siz ise Firewall'un gelecekte
NIDS'e yakin olacagini dusunuyorsunuz. Buradada fikir ayriligi soz
konusu.
> Savim, gelecegin guvenlik duvarlarinin kural dili olarak bugunun kural
> temelli saldiri tespit sistemlerinin dilleri ile benzer (ya da ayni)
> dilleri kullanacagidir. Kurallari tarif etmek icin kullandiginiz dil ve
> paket uzerinde baktiginiz alanlar birbirlerine yakinsadikca inline
> NIDS'ler ve firewall'lar arasindaki fark da giderek azalacaktir. Sonucta
> ortaya cikacak urun (bence) NIDS'e benzer bir firewall'dan cok firewall
> olarak da kullanilabilen bir NIDS olacaktir.
>=20
Bkz. bir onceki cumle.. sebeplerini aciklamistim onceki maillerimde
tekrarlamayacagim
> Bu nihai urun uzerinde ag katmaninda paket filtreleme kurallari
> tanimlanabilecek, uygulama katmaninda paket filtreleme kurallari
> tanimlayabilecek ve durum korumali inceleme yapilabilecektir. Bugun
> Snort ile bile paket filtreleme kurallari tanimlayabilir, istenmeyen
> iletisimlerin TCP-Kill, ICMP-Host-Unreachable vb. ile engellenmesini
> saglayabilirsiniz.
>
> Saldiri tespit sistemlerinin genel olarak cok hata yapmasini vb. bir
> kenara birakin; altindaki kural temelli tespit motorunu dusunun
> yalnizca... Hic kuralsiz bicimde bile elinizde olsa bugunku
> firewall'lardan daha etkin bir firewall yapamaz miydiniz? En basit
> bicimi ile bir web sunucusuna yonelik CGI saldirilarinin gecmesini
> onleyemez miydiniz?
>=20
Siz saldirilarin kural temelli olarak yada anormallik temelli olarak
saptanabilecegini ve bugunku teknolojilerin dogru ama eksik, gelismekte
oldugunu dusunuyorsunuz (yada ben yukaridakinden boyle birsey cikardim)
Ben ise bu teknolojilerin hataya acik, tamamen anti-virus sistemleri
gibi islevselligi az, gorev kritik uygulamalarda kullanilamayacak
mimariler oldugunu dusunuyorum. Anormallik temelli saptama daha cok yol
katetmeli, kural temelli olan ise zaten ideal saldiri tespit mimarisi
degil. Bu mimarilerin Firewall'lar ile birlesmesi Firewall'lari
patlamaya hazir bir bomba yapmaktan baska bir amaca hizmet etmez....Yeni
mimariler olusturulmali, olgunlastirilmali ve butunlestirilmeli, bugunku
mimariler cok ciddi eksiklikler iceriyor, yine benim fikrim...=20
> Butun bu vizyona ve imkanlara ragmen, inline NIDS ile yapilacak bir
> firewall ile tum saldirilarin engellenebilecegini iddia etmiyorum.
> Iddiam, nihai urunun bugun firewall diye bildigimiz ve ayarladigimiz
> aletlerin bana sundugundan daha fazla imkanin emrime sunulacagidir.
> Ayarlamasini bilirseniz bu imkan daha basarili bir guvenlik duvari
> uygulamasi yapmaniza imkan verir...
Elbetteki guvenlik duvari gelecekte daha cok imkani yoneticisine sunan
bir urun olacaktir, belki saldiri tespit mimarisinde esinlenilebilecek
yonlerde vardir, ancak bu kadar eksigini goz onune almadan yapilan
hareketler olgun sistemlerin mimarisini de zor durumda birakir.
Esinlenilerek olusan bir Firewall ise NIDS ozellikleri barindirabilir,
ben tehlikenin bu mimaride bugunku IDS mimarilerinden izler olmasi
durumundaki tehlikeleri irdelemek istiyorum. Yeterince de irdeledigimi
dusunuyorum.
>=20
> Onceki mesajlarda anlatmaya calistigimi (belki de yanlis ifadeler
> sectigim icin) anlatamadim; umarim bu mesajda derdimi anlatmayi
> basarabilirim.
Birbiriyle celisen cumleleriniz vardi, bu durum sizin anlasilmanizi
engeller, onceki mailimde bunlari alt alta yazmistim, celiskinizi
soylemistim. Dogru kelime yada cumleleri secmek elinizde, biz sadece
yazdiklarinizi okuyoruz, kafanizin icindekileri bilemeyiz...
Simdi ise bir miktar daha anlasilir oldugunuzu da belirteyim...
>=20
> Ag temelli ve kural tabanli saldiri tespit sistemleri yazilimla gelen
> genel kurallari kullanmaz ve kendi kurallarinizi kendiniz tanimlarsaniz
> cok basarili sonuclar elde edebilirsiniz. Ben soz konusu mimarinin
> oldugu gibi cope atilmasini ve yeniden/cok-farkli bir mimarinin ortaya
> konmasini savunmuyorum.
Ben hala bugunun kural temelli mimarisinde, yada gelismesi cok uzun
zaman alacak olan anormallik temelli saptama mimarisinde gelecek
gormuyorum. Bugun icin faydalilar, bazen yanlista olsa saldirilari
bildiriyorlar, atlatilabiliyorlar ama cogu durumda ise yararda
olabiliyorlar (dogru kullanilirlarsa)
Ancak hala benim mantigim bu mimarilerin, olgunlasmasi yillar alan
Firewall mimarileriyle kolayca kaynasacagini soylemiyor....
Fikirleriniz farkli olabilir, benimkilerde sizinkinden farkli,
tez/anti-tez kavrami buradan cikiyor. Kimseyi sert uslubuyla suclamaya
da yukaridaki ilk cumlemden anlayacaginiz uzere hakkiniz yoktur.
Dusunce vardir paylasilir, alternatif yada karsit dusunceler olur. Durum
budur.
--=20
------------------------------------------------------------------------
Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr=20
IT Security Consultant =20
frontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 =20
fax: +90 212 356 68 96 =20
------------------------------------------------------------------------
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------