Ağ Güvenliği

IPS (Saldırı Önleme Sistemi)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Bir saldırı tespit edildiğinde alarmın çalması yetmez; IPS o saldırıyı sen fark etmeden, milisaniyeler içinde otomatik olarak durdurur — tıpkı tehlikeli paketi kapıda durduran bir güvenlik görevlisi gibi.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta IPS (Saldırı Önleme Sistemi / Intrusion Prevention System) terimini öğreniyoruz. IPS, ağ trafiğini gerçek zamanlı inceleyen ve şüpheli/zararlı trafiği yalnızca tespit etmekle kalmayıp aktif olarak engelleyen bir güvenlik kontrolüdür. Kardeş teknolojisi IDS sadece alarm üretirken, IPS bir adım öteye geçip saldırıyı durdurur.

Anlatım

NEDİR? IPS (Intrusion Prevention System / Saldırı Önleme Sistemi), ağ veya host üzerindeki trafiği sürekli izleyip bilinen saldırı imzalarını, protokol ihlallerini ve anormal davranışları tespit ettiğinde bu trafiği OTOMATİK olarak engelleyen aktif bir güvenlik sistemidir. IDS'ten temel farkı buradadır: IDS pasiftir, yalnızca tespit edip alarm üretir (out-of-band, trafiğin bir kopyasını inceler); IPS ise aktiftir ve trafiğin tam üzerinde (in-line) konumlanarak zararlı paketi hedefe ulaşmadan düşürebilir. NASIL ÇALIŞIR? 1) Konumlanma (in-line): IPS, trafiğin geçtiği yolun TAM ÜZERİNE yerleştirilir; her paket IPS'ten geçmek zorundadır. 2) İnceleme: Gelen her paket/akış üç temel yöntemle analiz edilir: • İmza tabanlı (signature-based): Bilinen saldırı kalıplarıyla (ör. belirli bir exploit dizisi) eşleşme aranır. • Anomali tabanlı (anomaly-based): Normal trafik temel çizgisinden (baseline) sapmalar tespit edilir. • Politika tabanlı (policy-based): Kurum kurallarına aykırı trafik (ör. yasaklı protokol) yakalanır. 3) Karar ve aksiyon: Eşleşme bulunursa IPS anında aksiyon alır: paketi düşürme (drop), bağlantıyı sıfırlama (TCP reset), kaynak IP'yi bloklama, oturumu sonlandırma veya alarm üretme. 4) Loglama: Olay, SIEM/SOC gibi merkezi sistemlere kayıt için iletilir. NEDEN ÖNEMLİ / İŞ YERİNDE IPS, savunma derinliği (defense-in-depth) mimarisinin kritik bir katmanıdır. Güvenlik duvarı port/IP düzeyinde karar verirken, IPS paket İÇERİĞİNE (payload) bakarak güvenlik duvarının izin verdiği trafikteki saldırıları yakalar. Pratik faydaları: yeni çıkan bir açığa yama uygulanana kadar geçen sürede saldırıyı engelleyen 'sanal yama' (virtual patching) sağlar; sıfırıncı gün ve otomatik saldırılara karşı insan müdahalesi beklemeden anında tepki verir; uyum gereksinimlerini (ör. PCI-DSS) destekler. Modern güvenlik duvarları (NGFW) IPS modülünü zaten içinde barındırır. DİKKAT / İYİ UYGULAMA • Yanlış pozitif (false positive) riski yüksektir: yanlış kurulmuş bir IPS meşru trafiği bloklayıp hizmet kesintisine yol açabilir. Bu yüzden yeni kurallar önce 'sadece tespit/alarm' modunda izlenir, doğrulandıktan sonra 'engelle' moduna alınır. • İmza veritabanı düzenli güncellenmelidir; güncel olmayan IPS yeni saldırıları kaçırır. • In-line olduğu için tek hata noktası (single point of failure) oluşturabilir; bypass/HA (yüksek erişilebilirlik) tasarımı önemlidir. • Şifreli trafikte (TLS) içeriği göremez; ya TLS inspection ya da uç nokta korumasıyla tamamlanmalıdır.

📌 Senaryolar
📌 Örnek 1 (İmza tabanlı engelleme): Bir saldırgan, web sunucusuna bilinen bir SQL enjeksiyon dizesi içeren istek gönderir. Açıklama: IPS, trafiği in-line incelerken paket içeriğinde bilinen SQLi imzasını yakalar; isteği hedefe ulaşmadan düşürür (drop) ve TCP bağlantısını sıfırlar. IDS olsaydı yalnızca alarm üretir, istek yine de sunucuya ulaşırdı. IPS aktif olarak saldırıyı önler.
📌 Örnek 2 (Sanal yama / virtual patching): Kullanılan bir yazılımda kritik bir açık açıklanır ama satıcı yamasını henüz yayınlamamıştır. Açıklama: Güvenlik ekibi açığı hedefleyen exploit kalıbı için IPS'e bir kural ekler. Yama gelene kadar IPS, o açığı sömürmeye çalışan tüm trafiği engeller. Böylece açık kapatılana dek geçen 'pencere' süresinde sistem korunmuş olur — buna sanal yama denir.
📌 Örnek 3 (Anomali tabanlı engelleme): Bir kullanıcı hesabından, normalde dakikada birkaç istek gelirken aniden saniyede yüzlerce başarısız oturum açma denemesi başlar. Açıklama: IPS, öğrenilmiş normal trafik temel çizgisinden bu ani sapmayı (kaba kuvvet saldırısı belirtisi) tespit eder ve kaynak IP'yi otomatik olarak belirli bir süre bloklar. Anomali tabanlı yöntem, henüz imzası olmayan saldırı davranışlarını da yakalayabildiği için sıfırıncı gün senaryolarında değerlidir.
Özet

• IPS (Saldırı Önleme Sistemi), zararlı trafiği yalnızca tespit etmez, aktif olarak ENGELLER. • IDS pasiftir (alarm üretir, out-of-band); IPS aktiftir ve trafiğin TAM ÜZERİNDE (in-line) durur. • İmza, anomali ve politika tabanlı yöntemlerle paket içeriğini inceler; paketi düşürme, bağlantı sıfırlama, IP bloklama gibi aksiyonlar alır. • Sanal yama (virtual patching) ile yama gelene kadar açıkları korur; savunma derinliğinin kritik katmanıdır. • Dikkat: yanlış pozitif hizmet kesintisi yapabilir — önce tespit modunda izlenip sonra engelleme moduna alınmalıdır.

✅ Mini-Test (3)
1.IPS'in IDS'ten temel farkı nedir?
2.IPS, trafiğin tam üzerinde (in-line) konumlanır ve zararlı bir paketi hedefe ulaşmadan engelleyebilir.
3.Bir açık için satıcı yaması henüz çıkmamışken IPS'in o açığı sömüren trafiği engellemesine ne ad verilir?
← Tüm sözlük terimleri · Farkındalık eğitimi