Saldırı Önleme Sistemi (IPS) Nedir?
Saldırı Önleme Sistemi (IPS), bir ağı kötü amaçlı etkinliklere ve saldırılara karşı sürekli olarak izleyen ve bu saldırı gerçekleştiğinde raporlama, engelleme veya devre dışı bırakma işlemleri dahil olmak üzere, bu saldırıyı önlemek için harekete geçen bir ağ güvenlik aracıdır (bu, bir donanım aygıtı veya yazılım olabilir). İzinsiz giriş sistemleri, birçok ağ güvenliği teknolojisi gibi ağ performansını düşürmeden yüksek hacimli trafiği tarayabilecek kadar güçlü olmalıdırlar.
IPS Nasıl Çalışır?
IPS, yönlendirilen ağ trafiğini kötü niyetli faaliyetler ve bilinen saldırı kalıpları için aktif olarak tarayarak çalışır. IPS motoru ağ trafiğini analiz eder ve bilinen saldırı kalıpları için bit akışını dahili imza veri tabanıyla sürekli olarak karşılaştırır. Bir IPS, kötü niyetli olduğu belirlenen bir paketi bırakabilir ve bu eylemi, saldırıyı yapan kişinin IP adresinden veya bağlantı noktasından gelecek tüm trafiği engelleyerek takip edebilir. Kötü niyetli olmayan normal trafik ise herhangi bir kesinti olmaksızın devam edebilir.
Saldırı Önleme Sistemleri, trafik kalıplarını veya paketlerini izlemek ve bunlara tepki vermek gibi daha karmaşık gözlem ve analizler de yapabilir. Algılama mekanizmaları şunları içerebilir:
- Adres değiştirme
- http dizesi ve alt dize eşleştirmesi
- Genel desen eşleştirme
- TCP bağlantı analizi
- Paket anormalliği algılama
- Trafik anormalliği algılama
- TCP/UDP bağlantı noktası eşleşmesi
Bir IPS tipik olarak gözlemlediği olaylarla ilgili bilgileri kaydeder, güvenlik yöneticilerini bilgilendirir ve raporlar üretir. Bir ağın güvenliğini sağlamaya yardımcı olmak için bir IPS, ortaya çıkan internet tehditlerini sürekli olarak izlemek ve engellemek için önleme ve güvenlik güncellemelerini otomatik olarak alabilir.
Vakit ayırdığınız için teşekkürler bir sonraki yazımızda görüşmek üzere 🙂