Coslat IDS/IPS Modülü Yapılandırması

Giriş

Bu yazı dizisinde Coslat cihazına dışarıdan içeriye veya içeriden dışarıya karşı olaşacak saldırıları izleme ve koruma sağlayan Snort (IDS/IPS) modülünün yapılandırmasını inceliyor olacağız. IDS/IPS modülü ek olarak satın alındığı takdirde kullanılabilir.

Snort Nedir ?

Snort açık kaynak kodlu saldırı tespit ve engelleme sistemi yazılımıdır. Yaygın olarak kullanılan saldırı tespit ve engelleme sistemlerinden biridir. Genel olarak imza tabanlı olarak çalışan Snort, protokol ve trafiği analiz edebilme yeteğine sahiptir. Kullanıcıların kendi snort kurallarını yazmasına imkan sağlayacak esnek kural diline sahiptir. Ücretsiz ve açık kaynak kodlu olması ve açık kaynak dünyasının gücünü de arkasına alan Snort sürekli gelişen bir uygulamadır.

IDS : Saldırı tespit sistemidir ve sadece analiz ve izleme yapmaktadır. Herhangi bir engelleme özelliği yoktur.

IPS : IDS sistemleri ile aynı teknoloji ile çalışan IPS, sistemlerde ek olarak engelleme özelliği’de bulunmaktadır.

Snort Genel Ayarlar

Bu bölümde snort modülünün genel ayarlarını yapılandırıyor olacağız. Ana sekmede Servisler altında bulunan IDS/IPS menüsüne tıklayınız.

Bir sonraki adım Genel Ayarlar menüsüne girilir. Bu menü içerisinde saldırı tespit için kullanılabilecek kural kümeleri bulunmaktadır. VRT ve ETPro modülleri seçilirse kaydol denilip, ilgili web sitesinde kayıt işleminin tamamlanıp, kişiye özel bir parola alınması veya kodun ilgili alanlara girilmesi gerekiyor.

VRT modülünü ücretsiz olarak kullanabilmek için snort.org web sitesinde kayıt işlemini tamamlayıp OinkMaster kodu aldıktan sonra indirebilirsiniz.

Yine genel ayarlar menüsü içerisinde bulunan kural güncelleme ayarları bölümünde ise kuralların hangi sıklıklarla güncelleneceğini belirtebilirsiniz. Asla seçeneği seçilirse güncelleme hiçbir zaman gerçekleşmeyecektir. Güncelleme başlama saati bu güncellemelerin başlangıç saatidir. Örneğin başlangıç saati 00:00 seçilmişse ve güncelleme aralığı 12 saat seçilmişse bu kurallar saat 12:00 olarak 12 saatte bir güncellenir.

Aynı menü içerisinde, günlük log limitini aşağıdaki gibi belirtebilirsiniz. Ayrıca engellenmiş kullanıcıların, engellerini kaldırma vb. seçenekler buradan yönetilebilir.

Snort Güncelleme

Bu bölümde ise snort modülünün genel ayarlarını yaptıktan sonra seçmiş olduğumuz kural kümelerini güncelliyor olacağız. Bunu yapmak için Güncellemeler adlı menüye girilir. Bu menü içerisinde son güncelleme durumları görüntülenmektedir. Kontrol et ve güncelle butonu ile yeni güncelleme olup olmadığı kontrol edilip, varsa indirilebilir. Güncellemeye zorla butonu ile ise kontrol olmadan direkt güncellemeler indirilebilir.

Snort Arayüz Yapılandırma

Snort IDS/IPS’i aktif edebilmek için ilgili ana menüde IDS/IPS arayüzler bölümüne tıklayınız. Daha sonra IDS/IPS’e arayüz eklemek için sağ taraftaki mavi + butonuna tıklayabilirsiniz.

Karşımıza arayüz ayar penceresi gelecektir. Buradan snort ‘un korumaya alacağı ağ arabirimini belirtiyorsunuz ve hemen ardından en alt satırdan Kaydet butonuna tıklayarak ayarlar kaydedilir.

IDS/IPS arayüz bölümüne tekrar geldiğimizde seçip etkin ettiğimiz arayüzler görüntülenebilir. Kırmızı uyarı ve ünlem işaretinin anlamları ise aşağıdaki gibidir. Seçilen arayüz için kural tanımlamak için sağ tarafında bulunan kalem işaretine tıklayarak tanım oluşturulmalıdır.

Kırmızı Uyarı : Henüz IDS/IPS servisi başlamamıştır.

Ünlem İşareti : Arayüze hiçbir kural tanımlanmamıştır.

Daha sonra açılan sayfada alttaki sekmelerden Kategoriler menüsüne tıklanır. Bu bölümde istenilen VRT ve ETOpen modüllerinden oluşan kurallar seçilip, kural tablosu buna göre oluşturulabilir. Burada ilgili ağ arabirim için hangi kuralları aktif etmek istiyorsanız, ilgili kuralı işaretleyiniz ardından en alt satırdan Kaydet butonuna tıklayarak ayaları kaydediniz.

IPS ilkesi : IDS VRT kurallarını seçip yüklenmiş ise IPS ilkesini kullan seçerek şüpheli trafiği analiz edebilir. Bu seçenek aktif edildiğinde 3 seçenek mevcuttur. Bunlar; bağlanabilirlik, dengeli, güvenliktir.

Kurallar tanımlandıktan sonra IDS/IPS ‘i başlatmak için, tekrar IDS/IPS arayüze dönmek gerekmektedir. Bu sayfa içerisinde etkin adlı yazının hemen yanında bulunan kırmızı butona bir kez tıklayarak IDS/IPS servisi başlatılır. IDS/IPS servisi düzgün bir şekilde çalışmaya başladığında bu buton yeşil renge dönecektir. Tekrar bu servisi devre dışı bırakmak isterseniz ilgili buton üzerine bir kez tıklamak yeterlidir.

Aktif ağ arayüzün karşısındaki kalem işaretine tıklanır. Kurallar sekmesine tıklayarak, burada seçilen kuralları yönetmek mümkündür. Örneğin, ağdaki bir çok olaya yanlış olasılık dönen kuralları kapatmak mümkündür.

Kategori bölümünden yönetilmek istenilen kurallar kümesi seçilir. İstenilmeyen bir kuralı kapatabilir veya aktif edebilirsiniz. Bunu yapmak için kuralın hemen yanında bulunan butonlar kullanılabilir.

Özel kurallar yazmak isterseniz, Kategori bölümünden “custom.rules” seçeneğini seçtikten sonra ilgili boş kutucuğa yazmak istediğiniz snort kuralını yazabilirsiniz.

Değişkenler sekmesinde performansı korumak yada arttırmak için sunucular tanımlanabilir.

Snort Engelliler

Engelliler sekmesine IDS/IPS tarafından engellenen istemcileri görüntülenmektedir. Engellenen istemcileri İndir butonuna tıklayarak indirilebilir. Temizle butonuna tıklayarak engellenen istemcilerin engellerini kaldırabilirisiniz veya ilgili istemcini karşısındaki çarpı(X) butonuna tıklayarak ilgili kişinin engelini kaldırabilirsiniz.

Snort İzinliler

IDS/IPS tarafından engellenmesini istemediğiniz ip adreslerini ekleyebilirsiniz. Ana menüde Güvenlik Duvarı > Gruplar sekmesine girip, İzinli ip adreslerini tanımlamak için ilk önce grup oluşturulur. Daha sonra izinliler adlı menü içerisinde bir kural oluşturulur ve istenilen ip adreslerine izin verilir.

NOT: İzin listelerini IDS/IPS arayüz sekmesindeki İzinliler Listesine eklemek gerekmektedir.

Snort Baskıla

Bu seçenek ile alarmlara düşen kuralların yada iplerin engelleme vb. işlemlere takılmamasını sağlayabilirsiniz. Bu seçeneği kullabilmek için IDS/IPS arayüzler menüsünden filtrele veya baskıla seçeneğinde baskılama listesini seçmek gerekmektedir.

Snort Alarmlar

Bu sekme içerisinde alarmları listeleyebilir veya bunları indirebilirsiniz. SID alanından kuralları açıp/kapatabilir veya baskılama listesine ekleyebilirsiniz. Sadece kuralları değil aynı zamanda kaynak veya hedef ip adresleride baskılama listesine ekleyebilirsiniz. Bu alanda aynı zamanda hangi tarih, saat, protokol, kaynak ip, kaynak port, hedef ip, hedef port vb. bilgileri görebilirsiniz.

Snort Örnek Saldırı Girişimleri ve İzleme

Bu başlık altında ise Snort IDS/IPS test etmek için uygulamalı olarak örnek saldırı girişimlerinde bulunuyor ve bunları izliyor olacağız. Bu saldırılar örnektir, lütfen bu saldırı girişimlerini ne yaptığınızı bilmiyorsanız gerçek bir ortam üzerinde uygulamayınız.

Port Tarama Saldırısı ve Çözümü

Nmap aracı ile hedef coslat cihazının ip adresine örnek port taraması yapılmıştır ve bu port tarama girişimi IDS/IPS tarafından tespit edilip, engellenmiştir.

saldirgan# nmap -p- 192.168.100.254 

scanning.....

Port tarama saldırılarına karşı korunmak için IDS/IPS arayüz düzenlenir ve WAN Önişlemci menüsüne girilir. Aşağıdaki resimdeki gibi Port Tarama Tespiti adlı seçenek aktif edilir ve ayarlar kaydedilir.

Hola VPN Engellemek

IDS/IPS üzerinde aynı zamanda vpn araçlarının çalışmasını engelleyebilirsiniz. Bu örnerde Hola VPN aracının kullanımını istemciler için yasaklayacağız.

Hola VPN engellemek için IDS/IPS arayüz düzenlenir ve WAN Kategoriler menüsüne girilir. Daha sonra “snort_app-detect.rules” adlı küme seçilir ve en alt satırdan Kaydet butonuna tıklanır.

Bulunduğumuz sayfadan ayrılmadan önce “snort_app-detect.rules” adlı kümenin üzerine gelip bir kez tıklayın. Aşağıdaki resimdeki gibi sol tarafta bulunan kilit işaretine tıklayarak her bir kural aktif edilir. Adımları tamamladıktan sonra en üst satırdan “Uygula” butonuna tıklamayı unutmayınız.

Son olarak yukarıdaki her şeyi yaptıktan sonra Durum sekmesin altında bulunan Servisler adlı menüye girilir ve IDS/IPS servisi yeniden başlatılır.

Bir kullanıcı bu vpn aracını kullanarak güvenlik duvarını atlatmaya çalıştığı zaman engellenecektir. Aşağıdaki resimde görüldüğü gibi hola vpn sunucuların ip adresleri engellenmiştir.

Herhangi bir sorunuz olursa lütfen bizimle iletişime geçmekten çekinmeyiniz.

www.blog.coslat.com

www.coslat.com