Güvenlik Yazılımları
Firewall, cloudflare vb yazılımlar yakuzaları uzak tutmak için kullanılır. Ama firewall aşmak yetiyor mu? Hayır. Bir yakuzayı yıldıramazlar.
Yakuzalar bu konuyu okuduktan sonra keskin klavye darbeleriyle network trafiğini alt edecek.
IDS & IPS Nedir ?
Intrusion Detection Systems kelimelerinin kısaltması olarak kullanılır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır.
IPS ise ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile birlikte önlenmesi için kullanılan güvenlik sistemleridir. Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.
Kısaca tanımlamak gerekirse IDS ( Intrusion Detection System) saldırıları tespit etmeyi amaçlarken IPS (Intrusion Prevention System) sistemleri saldırıyı durdurma, önleme üzerine kurgulanmıştır.
Gördüğünüz üzre firewalldan sonra geliyor. Firewalldan farkı şu ki firewall paketleri filtreleyebilir. Ama bunları loglayıp duruma göre hareket etmez.
IDS IPS de biraz daha yapay zekanın meyvelerini görüyoruz. Bu durumu ortadan kaldırmak için genel olarak IPS ve IDS özellikleri ile birlikte gelirler. Intrusion Detection Sistem (IDS) teknolojisi sayesinde hem korumak istediğiniz kurum ağına saldırı gerçekleştirildiğini anlayabilir, hem de Intrusion Prevention Systems (IPS) sistemleri sayesinde saldırıyı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.
Saldırı tespit, analiz ve engelleme sistemleri genel olarak aşağıdaki özelliklere sahiptirler;
IDS güvenlik sistemleri aşağıdaki araçları kullanmaktadır.
Network sensörleri ağ üzerindeki sensörlerimizdir. Ağ trafiğimiz bu sensörler sayesinde dinlemeye alınarak kayıt edilir. Kötü amaçlı paketler ve bağlantılar bu sensörlerle tespit edilerek bloke edilir. Yalnızca kural listesine göre hareket eder ve bu listede bulunmayan ağ trafiği geçişine izin verilmez.
Server sensörleri ise ana bilgisayarımız üzerindeki sensörlerdir. Sunucu üzerinde konumlandırılan bu sensörler yalnızca sunucunun trafiğini izleme amaçlıdır. Sunucuya gelen trafik üzerindeki yetkisiz işlemleri veya zararlı aktivitelerin tespiti yapılarak engelleme yapılır. Bu sensörler Network sensörleri ile aynı veritabanını kullanmaktadır.
TESPİT AŞAMASI
Bypass etmemiz için önce tespit etmemiz gerek. Giden paketlerin dönüş sayısına ve çeşidine göre bu işi manuel yapabilirsiniz ama kali reposundaki WAFW00F
benim tavsiyemdir.
BYPASS AŞAMASI
Yakuzaları ilgilendiren konuya geldik. Tespitini yaptığınız ıds ıps ya da firewall'u webde arattığınızda ona uygun scriptler bulabilirsiniz.
Mesela imperva firewallunu tespit etmiş isek ./imperva.sh scriptini calıştırarak ceşitli testler otomatik olarak firewall üzeirnde uygulanır.
Şeklinde de deneyebilirsiniz. Daha fazla sonuç alabilirsiniz.
Sql açığında ise union select kullanabilir sqlmapte iseniz --tamper parametresiyle tamper seçebilirsiniz.
Ama spesifik başlıklar için buraya bunu bırakıyorum
www.prismacsi.com
Firewall, cloudflare vb yazılımlar yakuzaları uzak tutmak için kullanılır. Ama firewall aşmak yetiyor mu? Hayır. Bir yakuzayı yıldıramazlar.
Yakuzalar bu konuyu okuduktan sonra keskin klavye darbeleriyle network trafiğini alt edecek.
IDS & IPS Nedir ?
Intrusion Detection Systems kelimelerinin kısaltması olarak kullanılır. IDS güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır.
IPS ise ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile birlikte önlenmesi için kullanılan güvenlik sistemleridir. Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.
Kısaca tanımlamak gerekirse IDS ( Intrusion Detection System) saldırıları tespit etmeyi amaçlarken IPS (Intrusion Prevention System) sistemleri saldırıyı durdurma, önleme üzerine kurgulanmıştır.
Gördüğünüz üzre firewalldan sonra geliyor. Firewalldan farkı şu ki firewall paketleri filtreleyebilir. Ama bunları loglayıp duruma göre hareket etmez.
IDS IPS de biraz daha yapay zekanın meyvelerini görüyoruz. Bu durumu ortadan kaldırmak için genel olarak IPS ve IDS özellikleri ile birlikte gelirler. Intrusion Detection Sistem (IDS) teknolojisi sayesinde hem korumak istediğiniz kurum ağına saldırı gerçekleştirildiğini anlayabilir, hem de Intrusion Prevention Systems (IPS) sistemleri sayesinde saldırıyı yapan kaynağın sisteminize tekrar erişmesini engelleyebilirsiniz.
Saldırı tespit, analiz ve engelleme sistemleri genel olarak aşağıdaki özelliklere sahiptirler;
- Güvenlik yöneticilerine saldırı anında uyarı göndermek
- Kötü amaçlı kodların tespiti
- Kötü amaçlı bağlantı kaynaklarının kesilmesi
- Zararlı paketlerin bırakılması ve sıfırlanması
- CRC hatalarının düzeltilmesi
- Bir yazılım veya kullanıcıdan kaynaklanan saldırıların tespiti
- Savunmayı güçlendirmek ve iyileştirmek için saldırı kalıplarının kayıt edilmesi
- Adli bilişim uzmanları için adli kayıtların tutulması
- Veri bütünlüğünün ve erişilebilirliğinin sağlanması
- Güvenlikle beraber gizliliğin sağlanması
IDS güvenlik sistemleri aşağıdaki araçları kullanmaktadır.
- Network Sensor
- Server Sensor
Network sensörleri ağ üzerindeki sensörlerimizdir. Ağ trafiğimiz bu sensörler sayesinde dinlemeye alınarak kayıt edilir. Kötü amaçlı paketler ve bağlantılar bu sensörlerle tespit edilerek bloke edilir. Yalnızca kural listesine göre hareket eder ve bu listede bulunmayan ağ trafiği geçişine izin verilmez.
Server sensörleri ise ana bilgisayarımız üzerindeki sensörlerdir. Sunucu üzerinde konumlandırılan bu sensörler yalnızca sunucunun trafiğini izleme amaçlıdır. Sunucuya gelen trafik üzerindeki yetkisiz işlemleri veya zararlı aktivitelerin tespiti yapılarak engelleme yapılır. Bu sensörler Network sensörleri ile aynı veritabanını kullanmaktadır.
TESPİT AŞAMASI
Bypass etmemiz için önce tespit etmemiz gerek. Giden paketlerin dönüş sayısına ve çeşidine göre bu işi manuel yapabilirsiniz ama kali reposundaki WAFW00F
benim tavsiyemdir.
BYPASS AŞAMASI
Yakuzaları ilgilendiren konuya geldik. Tespitini yaptığınız ıds ıps ya da firewall'u webde arattığınızda ona uygun scriptler bulabilirsiniz.
Mesela imperva firewallunu tespit etmiş isek ./imperva.sh scriptini calıştırarak ceşitli testler otomatik olarak firewall üzeirnde uygulanır.
Kod:
nmap -p 21 --script http-waf-detect.nse (site)Sql açığında ise union select kullanabilir sqlmapte iseniz --tamper parametresiyle tamper seçebilirsiniz.
Ama spesifik başlıklar için buraya bunu bırakıyorum
10 - IPS/IDS/WAF Atlatma Teknikleri • PRISMA CSI
IPS/IDS/WAF Atlatma Teknikleri eğitiminde ağ üzerinde ve web uygulamaları üzerindeki anomali tespiti yapan cihazların nasıl atlatıldığı anlatılmaktadır.
www.prismacsi.com
