Ağ trafiğindeki şüpheli aktiviteleri ve bilinen saldırı kalıplarını tespit etmek ve durdurmak, siber savunmanın en dinamik parçalarından biridir. Bu amaçla kullanılan IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) teknolojileri, geleneksel firewall kurallarının (L3/L4 engelleme) yetersiz kaldığı uygulama katmanı (L7) saldırılarına karşı koruma sağlar.

Bu yazımızda, IDS/IPS sistemlerinin mimari temellerini inceleyecek ve kurumsal bir FortiGate firewall üzerinde adım adım IPS profil yapılandırmasını ele alacağız.

1. IDS ve IPS Arasındaki Mimari Farklar

Her iki sistem de ağ paketlerini derinlemesine inceler (Deep Packet Inspection - DPI), ancak konumlandırılma biçimleri ve tepki mekanizmaları farklıdır:

IDS (Saldırı Tespit Sistemi)

IDS, ağ trafiğinin bir kopyasını alarak çalışır (Out-of-band / Promiscuous mod). Genellikle switch üzerinde yapılan Port Mirroring (SPAN) veya ağa yerleştirilen fiziksel Network TAP cihazları ile beslenir.

  • Çalışma Şekli: Pasiftir. Trafiği geciktirmez veya doğrudan engellemez.
  • Amaç: Saldırıyı veya anomaliyi tespit edip sistem yöneticisine alarm göndermek.

IPS (Saldırı Önleme Sistemi)

IPS, ağ trafiğinin doğrudan geçiş yolu üzerine (In-line mod) konumlandırılır. Paketler hedefe ulaşmadan önce IPS modülünden geçmek zorundadır.

  • Çalışma Şekli: Aktiftir. Trafiği gerçek zamanlı analiz eder.
  • Amaç: Saldırı paketini tespit ettiği anda bağlantıyı kesmek, paketi düşürmek (drop) ve saldırgan IP’yi karantinaya almak.

2. Tespit Yöntemleri: İmza ve Anomali Analizi

Modern IDS/IPS cihazları tehditleri tanımlamak için iki temel yöntem kullanır:

  1. İmza Tabanlı (Signature-Based): Bilinen zararlı yazılımların, exploit kodlarının veya saldırı kalıplarının veri tabanındaki imzalarla karşılaştırılmasıdır. Çok hızlıdır ve yanlış alarm (false-positive) oranı düşüktür ancak sıfırıncı gün (Zero-Day) saldırılarını tespit edemez.
  2. Anomali Tabanlı (Anomaly-Based): Ağın normal çalışma trafiği profilini (baseline) çıkarır. Bu normalin dışındaki ani trafik artışlarını, olağan dışı protokol kullanımlarını veya port taramalarını “şüpheli” olarak işaretler. Zero-Day tespiti yapabilir ancak yanlış alarm verme ihtimali yüksektir.

3. FortiGate Üzerinde IPS Profil (Sensor) Yapılandırması

FortiGate firewall cihazlarında ağ trafiğine IPS koruması uygulamak için bir IPS Sensor oluşturmalı ve bunu ilgili firewall politikasına bağlamalıyız.

Adım 1: Yeni Bir IPS Sensörü Oluşturma (CLI)

CLI üzerinden “Kurumsal_IPS” adında yeni bir sensör tanımlayalım:

config ips sensor
    edit "Kurumsal_IPS"
        set comment "Kurumsal ag ve sunucu koruma profili"
    next
end

Adım 2: IPS Filtresi ve Aksiyon Ekleme

Oluşturduğumuz sensörün içerisine kritik seviyedeki (critical ve high) saldırı imzalarını engelleyecek (block) bir filtre ekleyelim:

config ips sensor
    edit "Kurumsal_IPS"
        config entries
            edit 1
                set action block
                set severity critical high
                set location server client
                set status enable
            next
        end
    next
end

Adım 3: Protokol Ayrıntıları ve Anomali Koruması

Özellikle web sunucularına yönelik SQL Injection, Cross-Site Scripting (XSS) gibi saldırıları engellemek için HTTP protokolü denetimlerini sıkılaştırabiliriz. Ayrıca, port tarama (port scan) aktivitelerine karşı anomali kuralları belirleyebiliriz:

config ips sensor
    edit "Kurumsal_IPS"
        config entries
            edit 2
                set action block
                set protocol HTTP
                set application all
                set status enable
            next
        end
    next
end

Adım 4: IPS Profilini Firewall Politikasına Bağlama

Oluşturduğumuz bu IPS profilini aktif olarak çalışması için iç ağdan dış ağa (veya DMZ/Sunucu bölgesine) giden kurallara dahil etmeliyiz.

config firewall policy
    edit 10
        set utm-status enable
        set ips-sensor "Kurumsal_IPS"
        set ssl-ssh-profile "deep-inspection"
    next
end

💡 Önemli İpucu: IPS’in şifrelenmiş HTTPS trafiğini de tarayabilmesi için firewall politikasında mutlaka SSL/SSH denetimi (Deep Inspection) aktif edilmelidir. Aksi takdirde, HTTPS üzerinden gelen zararlı kodlar IPS tarafından görülemez.

IPS Sorun Giderme ve CLI İzleme Komutları

IPS motorunun durumunu ve engellenen saldırı loglarını CLI üzerinden anlık izlemek için:

! IPS motorunun CPU/RAM durumunu ve istatistiklerini kontrol etme
diagnose ips share status

! IPS motorunu yeniden başlatma (Trafikte kesinti yapmadan motoru yeniler)
diagnose test application ipsmonitor 99

! IPS paket analizi durumunu izleme
diagnose ips packet list

Sisteminizde yüksek CPU kullanımı tespit ederseniz, IPS imzalarını kategorize edip sadece kullanmakta olduğunuz işletim sistemlerine (örneğin sadece Windows veya Linux sunucularınız varsa ona göre) filtre uygulamak performansı ciddi oranda artıracaktır.