From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Wed 11 Sep 2002 - 10:02:06 EEST
Sevgili Burak,
Bende senin dediklerine aynen katiliyorum. Hatta bu konuda gelismelerde var.
http://www.checkpoint.com/products/protect/smartdefense.html Adresinde
checkpoint'in yeni ürününü görebilirsiniz. Ilerki versiyonlarda bu ürünün
dahada gelisecegini düsünüyorum. Bir güvenlik devinin bu yönde hareket
etmesi trendlerin bizim günlerdeir bahsettigimiz konuya yöneldigini
gösterir. Burda zaten hiç bir sekilde NIDS ve Firewall kiyaslanmiyor.
Firewall artik NIDS gibi ataklari anliyabiliyor. Bu aslinda su demek, klasik
firewall'da 80. portu açtiginiz zaman dest. Portu 80 olan her türlü paket
size gelebilir demek. Ancak gelismis firewall'lar hedefi 80. port olan
paketlere izin vermeden paketin içinde zararli bir kod olup olmadiginida
inceleyecek.
-----Original Message-----
From: linux-guvenlik-bounce@linux.org.tr
[mailto:linux-guvenlik-bounce@linux.org.tr]On Behalf Of Burak DAYIOGLU
Sent: 10 Eylül 2002 Salı 17:43
To: linux-guvenlik@linux.org.tr
Subject: [linux-guvenlik] Re: snort
Merhaba,
Bir garip anlasmazlik icerisindeyiz. Anlasamama durumumuz surdukce sizin
mesajlarinizin tonunun degistigini dusunuyorum; belki benimki de
degismeye baslamistir. Kirici olmamak icin fikirlerimi ozetleme cabami
son ve goreli kisa bir mesajla sonlandirmaya calisacagim. Sizden de
(yanit yazarsaniz) ayni ozeni ve dikkati gostermenizi rica ediyorum.
Saldiri tespiti salt tespit amaci ile cikmis olsa da yarin saldirilari
durdurmak icin kullanilmamasi icin ozel bir neden yok. Saldiri tespit
sistemleri bugun cok hata yapiyor olabilir, cok problemli olaiblirler
ama bu yarin da boyle olmak zorunda degil; hatta olmamasi icin cok yogun
bir arastirma gayreti suruyor.
Guvenlik duvarlari paketlerin gecip gecmeyecegine karar verirken paket
ile ilgili belli alanlari inceler ve buna gore karar verirler. Bugun
erisebildiginiz bir NIDS, bir paketin, erisebildiginiz tipik bir
guvenlik duvarindan daha fazla alanina bakmaniza ve incelemenize izin
verecektir. Incelemenize imkan verilen alan sayisi arttikca saldirilari
tespit etmek ve durdurmak icin sahip oldugunuz imkanlar da artacaktir.
Savim, gelecegin guvenlik duvarlarinin kural dili olarak bugunun kural
temelli saldiri tespit sistemlerinin dilleri ile benzer (ya da ayni)
dilleri kullanacagidir. Kurallari tarif etmek icin kullandiginiz dil ve
paket uzerinde baktiginiz alanlar birbirlerine yakinsadikca inline
NIDS'ler ve firewall'lar arasindaki fark da giderek azalacaktir. Sonucta
ortaya cikacak urun (bence) NIDS'e benzer bir firewall'dan cok firewall
olarak da kullanilabilen bir NIDS olacaktir.
Bu nihai urun uzerinde ag katmaninda paket filtreleme kurallari
tanimlanabilecek, uygulama katmaninda paket filtreleme kurallari
tanimlayabilecek ve durum korumali inceleme yapilabilecektir. Bugun
Snort ile bile paket filtreleme kurallari tanimlayabilir, istenmeyen
iletisimlerin TCP-Kill, ICMP-Host-Unreachable vb. ile engellenmesini
saglayabilirsiniz.
Saldiri tespit sistemlerinin genel olarak cok hata yapmasini vb. bir
kenara birakin; altindaki kural temelli tespit motorunu dusunun
yalnizca... Hic kuralsiz bicimde bile elinizde olsa bugunku
firewall'lardan daha etkin bir firewall yapamaz miydiniz? En basit
bicimi ile bir web sunucusuna yonelik CGI saldirilarinin gecmesini
onleyemez miydiniz?
Butun bu vizyona ve imkanlara ragmen, inline NIDS ile yapilacak bir
firewall ile tum saldirilarin engellenebilecegini iddia etmiyorum.
Iddiam, nihai urunun bugun firewall diye bildigimiz ve ayarladigimiz
aletlerin bana sundugundan daha fazla imkanin emrime sunulacagidir.
Ayarlamasini bilirseniz bu imkan daha basarili bir guvenlik duvari
uygulamasi yapmaniza imkan verir...
Onceki mesajlarda anlatmaya calistigimi (belki de yanlis ifadeler
sectigim icin) anlatamadim; umarim bu mesajda derdimi anlatmayi
basarabilirim.
Ag temelli ve kural tabanli saldiri tespit sistemleri yazilimla gelen
genel kurallari kullanmaz ve kendi kurallarinizi kendiniz tanimlarsaniz
cok basarili sonuclar elde edebilirsiniz. Ben soz konusu mimarinin
oldugu gibi cope atilmasini ve yeniden/cok-farkli bir mimarinin ortaya
konmasini savunmuyorum.
selamlar, iyi calismalar.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------
----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------