Ağ Güvenliği

IDS (Saldırı Tespit Sistemi)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Güvenlik duvarınızı aşıp ağa sızan bir saldırgan içeride sessizce dolaşırken, IDS o şüpheli ayak seslerini duyup alarm çalan dijital bekçidir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta IDS (Intrusion Detection System / Saldırı Tespit Sistemi) terimini öğreneceğiz: ağ ya da bir sistem üzerindeki şüpheli ve kötü amaçlı etkinliği tespit edip yöneticiyi uyaran savunma katmanı.

Anlatım

NEDİR? IDS (Intrusion Detection System / Saldırı Tespit Sistemi), bir ağdaki veya tek bir bilgisayardaki trafiği ve olayları sürekli izleyerek şüpheli, politika dışı veya kötü amaçlı etkinlikleri TESPİT EDEN ve sorumlulara ALARM ÜRETEN bir güvenlik sistemidir. Kritik nokta şudur: IDS pasif bir gözlemcidir — saldırıyı tespit eder ve raporlar, ancak trafiği kendiliğinden DURDURMAZ. Trafiği aktif olarak engelleyen kardeş teknoloji IPS'tir (Saldırı Önleme Sistemi). NASIL ÇALIŞIR? 1) Veri toplama: IDS, izlediği kaynaktan veri alır. İki temel yerleşim vardır: - NIDS (Ağ tabanlı IDS): ağ segmentindeki paketleri bir SPAN/mirror port veya TAP üzerinden dinler; tüm ağ trafiğini görür. - HIDS (Host tabanlı IDS): tek bir sunucuda çalışır; sistem kayıtlarını (log), dosya bütünlüğünü ve işlem davranışını izler. 2) Analiz: Toplanan veri iki ana yöntemle değerlendirilir: - İmza tabanlı (signature-based): bilinen saldırıların parmak izleri (imzaları) ile karşılaştırır; bilinen tehditte çok doğru, ama yeni/bilinmeyen saldırıları kaçırabilir. - Anomali tabanlı (anomaly-based): önce 'normal' davranışın temel çizgisini (baseline) öğrenir, sapmaları işaretler; bilinmeyen tehditleri yakalayabilir ama yanlış alarm (false positive) üretme eğilimi yüksektir. 3) Alarm üretme: Şüpheli olay bulunduğunda IDS bir uyarı (alert) oluşturur ve genellikle bunu bir SIEM sistemine veya güvenlik ekibine iletir. NEDEN ÖNEMLİ / İŞ YERİNDE Güvenlik duvarı dış kapıyı tutar, ama içeri sızan veya yetkili erişimi kötüye kullanan tehditleri her zaman göremez. IDS, 'derinlemesine savunma' (defense in depth) katmanı olarak ağ içindeki anormal hareketi görünür kılar; bir ihlalin fark edilmeden geçen süresini (dwell time) kısaltır. Kurumlarda IDS uyarıları çoğu zaman bir SOC (Güvenlik Operasyon Merkezi) ekibi tarafından SIEM üzerinden incelenir. DİKKAT / İYİ UYGULAMA - İmzalar ve anomali profilleri düzenli güncellenmelidir; güncellenmeyen IDS yeni saldırıları kaçırır. - Yanlış alarmlar (false positive) ekibi yorar; eşikler ve kurallar ortamınıza göre ayarlanmalıdır (tuning). - IDS tek başına yeterli değildir; güvenlik duvarı, IPS, EDR ve günlük inceleme ile birlikte kullanılmalıdır.

📌 Senaryolar
📌 Örnek 1: Bir e-ticaret şirketinin ağ tabanlı IDS'i (NIDS), bir sunucuya 30 saniye içinde binlerce farklı port deneme (port tarama) trafiği gözlemler ve güvenlik ekibine 'olası keşif/tarama' alarmı gönderir. Açıklama: IDS trafiği durdurmaz; sadece şüpheli desenleri tespit edip uyarır. Ekip bu erken uyarıyla saldırının keşif aşamasını fark edip önlem alabilir.
📌 Örnek 2: Bir banka sunucusunda çalışan host tabanlı IDS (HIDS), kritik bir sistem dosyasının (örneğin yetki yapılandırma dosyasının) beklenmedik şekilde değiştiğini dosya bütünlüğü kontrolüyle saptar ve alarm üretir. Açıklama: HIDS ağ paketine değil, sunucu üzerindeki dosya/işlem davranışına bakar; bu sayede ağdan görünmeyen yerel kötüye kullanımı yakalar.
📌 Örnek 3: Anomali tabanlı bir IDS, normalde gündüz mesai saatlerinde 50 MB veri akışı olan bir kullanıcının gece yarısı dışarıya 5 GB veri gönderdiğini 'normal davranıştan sapma' olarak işaretler. Açıklama: İmza tabanlı yöntem bilinen bir saldırı imzası olmadığı için bunu kaçırabilirdi; anomali tabanlı analiz öğrenilen temel çizgiden sapmayı yakalayarak olası veri sızdırmayı görünür kılar.
Özet

• IDS (Saldırı Tespit Sistemi), şüpheli/kötü amaçlı etkinliği tespit edip ALARM üretir; trafiği kendiliğinden engellemez (engelleyen = IPS). • İki yerleşim: NIDS (ağ tabanlı) ve HIDS (host tabanlı). • İki analiz yöntemi: imza tabanlı (bilinen tehdit) ve anomali tabanlı (bilinmeyen tehdit + daha çok yanlış alarm). • Derinlemesine savunmanın bir katmanıdır; uyarılar genellikle SIEM/SOC ile incelenir, imzalar düzenli güncellenmelidir.

✅ Mini-Test (3)
1.IDS (Saldırı Tespit Sistemi) tehdit gördüğünde temel olarak ne yapar?
2.Ağ segmentindeki paketleri (örneğin SPAN/mirror port üzerinden) izleyen IDS türü hangisidir?
3.Anomali tabanlı IDS, daha önce hiç görülmemiş (bilinmeyen) saldırıları yakalayabilir ancak imza tabanlı yönteme göre daha fazla yanlış alarm (false positive) üretme eğilimindedir.
← Tüm sözlük terimleri · Farkındalık eğitimi