Rehber

IDS/IPS Nedir? Saldırı Tespit ve Önleme Sistemleri

IDS/IPS, ağ ve uç nokta trafiğini analiz ederek saldırıları tespit eder ve (IPS) uygun durumlarda engeller. Bu rehberde türleri, yerleşim seçenekleri, kural setleri ve SIEM entegrasyonunu özetliyoruz.

Ücretsiz Güvenlik DeğerlendirmesiIDS/IPS Danışmanlığı

IDS/IPS Nedir?

IDS (Intrusion Detection System), zararlı etkinlikleri tespit edip uyarı üretir; IPS (Intrusion Prevention System), trafiği satır içinde değerlendirerek saldırıları otomatik engelleyebilir.

Nasıl Çalışır?

  • İmza Tabanlı: Bilinen saldırı kalıplarını eşleştirir (Snort/Suricata kuralları).
  • Anomali Tabanlı: Normal davranıştan sapmaları algılar; sıfır gün ve yeni tehditlerde etkilidir.
  • Davranışsal Analiz: Trafik akışları, zaman ve istatistiksel anormallikler değerlendirilir.

Türler ve Yerleşim

NIDS / NIPS

Ağ tabanlı tespit/önleme; TAP/SPAN ile pasif, gateway’de inline yerleşim.

HIDS / HIPS

Sunucu/istemci üzerindeki olayları izler; süreç, dosya bütünlüğü, kernel arayüzleri.

Bulut / Sanal

VPC/Tenant bazlı sensörler; yatay ölçeklenebilir mimari.

Inline / Pasif

Inline engelleme gecikme ekleyebilir; pasif mod görünürlük sağlar ancak engellemez.

Kural Setleri ve Tuning

Kural setlerini güncel tutun, yanlıș pozitifleri azaltmak için istisnalar tanımlayın; kritik varlıklar için özel kurallar ekleyin. Performans için GPU/DPDK/SR‑IOV gibi hızlandırmalar değerlendirilebilir.

SIEM/SOAR Entegrasyonu

IDS/IPS loglarını SIEM’e ileterek korelasyon ve tehdit görünürlüğünü artırın; SOAR ile otomatik izolasyon/engelleme akışları tetikleyin.

Avantajlar ve Sınırlamalar

Avantajlar

  • Görünürlük ve hızlı tespit
  • Inline engelleme ile risk azaltımı
  • Geniş kural ekosistemi (Snort/Suricata)

Sınırlamalar

  • Yanlış pozitif/negatif ihtimali
  • Inline gecikme ve kapasite planlama
  • Şifreli trafik analiz sınırlamaları

En İyi Uygulamalar

  • Kritik segmentlerde inline IPS, genel izleme için NIDS
  • EDR, WAF ve DLP ile tamamlayıcı kullanım
  • Log zaman senkronizasyonu ve değişmez saklama

Sık Sorulanlar

IDS mi IPS mi seçmeliyim?

Kritik akışlarda IPS, geniş görünürlük için IDS uygundur; çoğu ortamda hibrit yaklaşım tercih edilir.

Şifreli trafik nasıl analiz edilir?

TLS termination veya TLS inspection ile sınırlı görünürlük sağlanabilir; gizlilik ve uyum koşulları dikkate alınmalıdır.