Knowledgebase: IDS/IPS
Eğitim-IDS/IPS
Posted by Murat BÜLBÜL on 26 January 2015 10:18 AM

LABRİS IDS/IPS

Labris IDS/IPS sistemi çok güçlü bir sistem olmakla birlikte, çok kullanışlı bir imza yapısı sunmaktadır. Sistem Labris FW sistemini IPS olarak kullanmaktadır. Bu sebeple trafik kontrol etme sırasında herhangi bir trafik yavaşlığına sebebiyet vermez. IDS/IPS sisteminin bileşenleri aşağıdaki gibidir.

  • IDS/IPS değişkenleri

  • Bloklanmayacak liste

  • Arabirim Ayarları

  • Kural Setlerini Yönetme

  • Mail ile bildirim ayarları

Büyük topolojilerde IDS/IPS sistemi trafiği ilk karşılayan servis olmalıdır. Aşağıdaki topolojide IDS/IPS sistemi L2 olarak sisteme dahil edilmiştir.



Resim: IDS/IPS Layer 2

IDS/IPS Devreye Alma

Devreye alma işlemine IDS/IPS değişken tanımlamaları ile başlayacağız. İlk olarak değişkenlerin ne anlam ifade ettiğini açıklayalım.

$HOME_NET: Sisteminizde yer alan local ve Wan IP bloğu olarak düşünülebilir.

  

$EXTERNAL_NET: “any” olarak tutulması gerekir. (!$HOME_NET)


Değişken ayarları “/opt/labris/etc/labris-ids/labris-ids.conf” dosyasında tutulmaktadır.



Labris IDS/IPS Unblock Listesi:

Bu listeye eklenen IP adresleri bloklanmayacaktır. Ağ bloğu olarakda ekleme yapılabilir. Bloklanmayacak listesi “/opt/labris/etc/labris-ids-block/labris-ids-block.conf” dosyasında tutulmaktadır.



Labris IDS/IPS sensörü birden fazla arabirimi aynı anda kontrol edebilmektedir. Arabirim ayarları “/etc/sysconfig/labris-ids” dosyasından düznlenebilir.

Labris IDS/IPS Kural Setleri:

Kural setleri default olarak kapalı gelmektedir. Aşağıda görüldüğü gibi kural setleri aktif edilebilir.

Kural setleri içerisindeki imzaların görünümü aşağıdaki gibidir.

Buradaki en önemli nokta “Olaylar” kısmıdır. Burada bulunan simgelerin eylemleri aşağıdaki gibidir.

 

“Yeşil” Işık kuralın aktif olduğunu göstermektedir.

 

“Kırmızı” Işık kuralın devre dışı bırakıldığını göstermektedir.



Aktif Kural:

Pasif Kural:

Kuralın aktif olması blok işlemi yapılacağı anlamına gelmemektedir. Sadece uyarı verici olarak çalışmaktadır. Raporlama tarafında “Saldırı Uyarıları” kısmında ilgili kuralla ilgili uyarılar görülebilir. Bu uyarıları inceledikten sonra ilgili kurallar için blok işlemi yapılabilir. Devrede olan bir kural için blok işlemi aşağıdaki gibi yapılabilir.



Blok Modda Çalışan Kural:





Kırmızı el işareti, kuralla ilgili bir blok işlemi olduğunu belirtmektedir. Blok detayları aşağıdaki gibidir. Aşağıdaki işlem, böyle bir saldırı olur ise, source(src) adresinin 1 dakika boyunca bloklanacağını belirtmektedir. “Kaldır” seçeneği ile, kural için oluşturulan blok işlemi iptal edilir.



Bu kurallara “/opt/labris/etc/labris-ids/rules/” dizininden ulaşmanız mümkün. Kuralla ilgili detaylara bu dizinden bakılabilir.





Mail İle Bildirim:

Herhangi bir Saldırı Bilgisi geldiğinde mail ile bildirim yapmak mümkün. Aşağıdaki kural üzerinde mail ile bildirim yapma işlemi aktif edilmiş.

Mail ile bildirim yapma iptal:

Mail ile bildirim yapmak için “E-Posta Uyarı Ayarları” yapılmalıdır. Örnek bir yapılandırma aşağıdaki gibidir.

Uyarı Veritabanı

IDS Uyarıları mysql de tutulmaktadır. Tutulma süresi aşağıdaki bölümden değiştirilebilir.

Uyarı veri tabanı tablolarında herhangi bir bozulma olması durumunda, aşağıdaki adımları takip ederek tablolar onarılır.

# service labris-ids stop

# mysqlcheck -r -u root -plabris alert_view

# service labris-ids start



Labris IPS blok işlemleri ile ilgili loglar, “/var/log/labris/operational” dosyasında tutulmaktadır.

(0 vote(s))
This article was helpful
This article was not helpful

Comments (0)
Post a new comment
 
 
Full Name:
Email:
Comments:
Help Desk Software by Kayako Fusion