Vebende Akademi - ids-vs-ips
Vebende Akademi
Uzmanla Konuşun
Blog
MAKALE

IDS vs IPS — İzleme mi, Engelleme mi? IDS ve IPS Karşılaştırması, Mimarisi ve En İyi Uygulamalar

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~60–140 dk

IDS vs IPS — İzleme mi, Engelleme mi? IDS ve IPS Karşılaştırması, Mimarisi ve En İyi Uygulamalar

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~60–140 dk

1. GİRİŞ

Network ve host tabanlı tehditlerin artmasıyla birlikte IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) kavramları, ağ güvenliği stratejilerinin temel taşlarından biri haline geldi. Ancak pratikte IDS ile IPS arasındaki fark, kullanım amaçları, yerleştirme modelleri ve operasyonel yükler doğru anlaşılmadan birini seçmek çoğu zaman yanlış kararlarla sonuçlanır. Bu makale IDS ve IPS'in ne olduğunu, nasıl çalıştığını, hangi senaryolarda tercih edilmesi gerektiğini, operasyonel etkilerini ve uygulama örneklerini mühendis bakış açısıyla ele alır.

Bu neden bugün önemli?

  • Şifreli trafik, bulut benimsemesi ve lateral hareketler geleneksel savunma yüzeyini değiştirdi; görünürlük ve etkin yanıt ihtiyacı arttı.
  • OT/IoT ve kritik altyapı gibi alanlarda yanlış engelleme (false positive) operasyonel kesintiye yol açabileceği için doğru teknolojinin seçilmesi kritik.
  • Detection (tespit) ve prevention (engelleme) arasındaki doğru denge kurumsal riskleri minimize ederken hizmet sürekliliğini korur.

Kimler için önemli?

  • Güvenlik mimarları ve network mühendisleri
  • SOC analistleri ve detection engineering ekipleri
  • DevOps/SRE ekipleri — operasyonel etki ve otomasyon entegrasyonları için
  • BT yöneticileri — maliyet, SLA ve risk değerlendirmesi için

2. KAVRAMSAL TEMELLER

2.1 Temel tanımlar

  • IDS (Intrusion Detection System): Ağ veya host üzerinde meydana gelen olayları izleyip anormallikleri, tanınmış saldırı imzalarını ve şüpheli davranışları tespit eden sistem. IDS tipik olarak uyarı (alert) üretir; müdahaleyi otomatik olarak yapmaz.
  • IPS (Intrusion Prevention System): IDS ile aynı tespit yeteneklerine sahip olabilir ancak tespitin ötesinde aktif olarak müdahale eder: trafiği engelleme, oturumu sonlandırma veya paketleri düşürme gibi önlemler alır.
  • Host‑based (HIDS/HIPS): Host seviyesinde process, file ve sistem çağrılarını izleyen ve (HIPS için) müdahale eden ajan tabanlı çözümler.
  • Network‑based (NIDS/NIPS): Ağ trafiğini gözlemleyen ve network katmanında detection/prevention yapan çözümler.

2.2 Terminoloji ve yaklaşımlar

  • Signature‑based detection: Bilinen saldırı kalıplarına (imza) göre eşleşme. Düşük false positive, ama zero‑day'e karşı zayıf.
  • Anomaly‑based detection: Normal davranış modellerine göre sapma arar; zero‑day ve bilinmeyen saldırılara karşı daha etkilidir, ancak false positive riski yüksektir.
  • Stateful inspection: Trafiğin oturum durumunun takip edilmesi; IPS kararlarını verirken bağlantı bağlamını kullanır.
  • Inline vs Passive: IPS genelde inline konumlandırılır (trafiğin üzerinden geçer) ve aktif müdahale eder; IDS çoğunlukla passive modda mirror/port‑span ile izler ve SIEM/SOC'a uyarı gönderir.

3. NASIL ÇALIŞIR?

3.1 Sistem mimarisi

IDS/IPS mimarisi üç ana katmandan oluşur: veri toplama katmanı (sensor/agent), analiz & detection motoru (signature, anomaly, ML katmanları) ve yönetim & entegrasyon katmanı (console, SIEM, SOAR). Network tabanlı sensor'lar TAP veya SPAN port ile trafik kopyasını alırken, IPS cihazları genellikle trafik yoluna (inline) yerleştirilir.

3.2 Bileşenler

  • Sensor/Agent: Trafiği yakalar, paketleri parse eder ve özet/flow üretebilir.
  • Detection Engine: Signature, protocol analysis, anomaly detection ve sandbox entegrasyonu içerir.
  • Policy Engine: Karar verme mantığı: hangi eylemlerin (log, alert, block, reset, rate‑limit) alınacağını belirler.
  • Management Console: Kural yönetimi, alert yönetimi, olay görüntüleme ve entegre raporlama.
  • Integration Layer: SIEM, SOAR, EDR, NDR ile veri ve aksiyon entegrasyonu sağlar.

3.3 Veri akışı — örnek senaryo

  1. Sensor paketleri yakalar ve session/flow bilgisi oluşturur.
  2. Detection engine paket ve oturum seviyesinde signature ve anomali kurallarını uygular.
  3. UID/score hesaplanır; eşik aşılırsa alert üretilir veya IPS inline ise block kararı uygulanır.
  4. Event SIEM'e iletilir; SOAR playbook tetiklenebilir (ör. firewall block, user disable, ticket create).

3.4 Signature vs Anomaly vs Hybrid

Signature tabanlı detection hızlıca gerçek ihlalleri yakalayabilir ama yeni varyantlara karşı etkisiz olabilir. Anomaly tabanlı sistemler bilinmeyen saldırılarda daha etkili olsa da yüksek false positive oluştururlar. Bu yüzden modern IDS/IPS çözümleri genellikle hibrit yaklaşım kullanır: signature ile hızlı yakalama, anomaly/ML ile bilinmeyen pattern'leri yakalama ve sandbox ile şüpheli örnekleri doğrulama.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Büyük ölçekli veri merkezleri ve servis sağlayıcılar

Büyük veri merkezleri genellikle NIDS'i (passive) geniş telemetri toplama için kullanır ve kritik trafiğe yönelik NIPS (inline) ile aktif önlem uygular. Sağlayıcılar DDoS mitigasyon sistemleri, rate limiting ve global policy orchestration ile entegre ederek IPS kararlarını daha akıllı hale getirir.

4.2 Finans, sağlık ve regüle sektörler

Bu sektörlerde yanlış bloklama kritik iş akışını etkileyebileceği için genellikle passive IDS + manual SOC triage + orchestration tabanlı yarı‑otomatik müdahale tercih edilir. Ancak kritik alanlarda (Örn. ödeme altyapıları) inline IPS ve khusus test edilmiş kurallar ile engelleme uygulanır.

4.3 Cloud‑native ve konteyner ortamları

Bulut ortamlarında geleneksel network TAP/SPAN kullanımı zor olabilir; burada cloud provider flow logs, VPC traffic mirroring ve host‑based agent'lar (HIDS/HIPS) ile telemetry sağlanır. Service mesh ve eBPF tabanlı NDR/IPS çözümleri, microsegmentation ile kombine edilerek uygulama‑düzeyinde gerçek zamanlı müdahale sağlar.

4.4 Örnek şirketler ve uygulamalar

  • Bankalar: transaction path'leri üzerinde inline IPS ile yüksek riskli trafik engellenir, geri kalan için IDS bazlı ayrıntılı kayıt tutulur.
  • Bulut servisleri (AWS, Azure): native GuardDuty/Network Watcher logları ve partner IPS çözümleri ile telemetri toplanır.
  • Teknoloji şirketleri: EDR+NDR+IDS entegrasyonu ile detection engineering süreçlerini geliştirir ve SOAR ile otomasyon uygular.

5. AVANTAJLAR VE SINIRLAMALAR

5.1 IDS avantajları

  • Düşük operasyonel risk: passive konumlandırma nedeniyle yanlış bloklama hizmet kesintisine sebep olmaz.
  • Geniş telemetri: mirror edilmiş tüm trafiği inceleyerek adli analiz için veri sağlar.
  • Uyumluluk ve forensics desteği: uzun dönem loglama ile keşif ve korelasyon için uygun.

5.2 IDS sınırlamaları

  • Müdahale yeteneği sınırlıdır; otomatik engelleme yoktur veya sınırlıdır.
  • Yüksek veri hacminde analiz maliyeti ve false positive triage yükü artar.

5.3 IPS avantajları

  • Aktif engelleme ile saldırıyı anlık durdurabilir ve zarar önlenebilir.
  • Otomasyon ile hızlı containment sağlayarak SOC yükünü azaltır.

5.4 IPS sınırlamaları

  • Inline yerleştirme nedeniyle false positive'ler kritik hizmetleri kesintiye uğratabilir.
  • Yüksek performans gerektirir; TLS inspection ve yüksek throughput ortamında maliyet artar.
  • Complex protocol parsing ve state management, scalability zorlukları getirir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

ÇözümAvantajDezavantaj
Passive NIDSDüşük kesinti riski, geniş visibilityMüdahale yok, manuel triage gerektirir
Inline NIPSReal‑time prevention, otomatik containmentFalse positive riski, performans maliyeti
HIDS / HIPSHost‑level görünürlük ve engellemeAgent yönetimi, host performans etkisi
NDR + EDR entegrasyonuSignal fusion ile yüksek doğrulukEntegrasyon ve operasyonel karmaşıklık

7. EN İYİ PRATİKLER

7.1 Doğru teknolojiyi seçme

  • Risk‑based yaklaşım: kritik sistemler için inline prevention; kullanıcı ve genel trafik için passive detection tercih edilebilir.
  • Hybrids approach: signature + anomaly + sandbox ile hibrit detection sağlayın.

7.2 Deployment ve operasyon

  • Canary deploy: yeni IPS kuralları geniş ağda uygulanmadan önce küçük segmentlerde test edilmelidir.
  • Policy as code: kuralların versiyonlanması, test otomasyonu ve CI/CD ile dağıtımı hata riskini azaltır.
  • Telemetry ve observability: sensor loglarının, flow verilerinin ve packet capture'ların merkezi toplanması gerekir.

7.3 Detection engineering

  • False positive yönetimi: threshold, suppression ve context‑aware enrichment ile uyarı kalitesi artırılmalı.
  • Use case driven rules: belirli tehdit senaryolarına odaklı, test edilmiş kural setleri oluşturun.

7.4 Entegrasyon ve otomasyon

  • SOAR ile repeatable containment adımlarını otomatikleştirin (bloklama, izolasyon, stakeholder notification).
  • EDR/NDR/SIEM ile signal fusion: host ve network sinyalleri birleştirilerek daha güvenilir tespit yapılır.

8. SIK YAPILAN HATALAR

  • Inline IPS kuralları doğrudan production'a uygulamak ve rollback mekanizması olmaması.
  • Yetersiz telemetry: sensor konfigürasyonlarının eksik olması tespit yeteneğini kısıtlar.
  • Detection mühendisliği eksikliği: generic, test edilmemiş kuralların yüksek false positive üretmesi.
  • Cloud ortamlarında TAP/SPAN yerine sadece kontrol panellerine güvenmek — gerçek trafik görünürlüğü azalır.

9. GELECEK TRENDLER

9.1 AI/ML tabanlı detection ve context‑aware prevention

Makine öğrenmesi ile anomaly detection geliştirilecek; model tabanlı scoring sayesinde inline kararlar context‑aware olarak alınabilecek. Ancak model governance, explainability ve adversarial robustness konuları kritik olacaktır.

9.2 eBPF ve programmable dataplane ile yüksek performanslı inline prevention

eBPF ve P4 tabanlı veri düzlemi çözümleri, kernel seviyesinde yüksek performanslı detection/prevention imkânı sunacak; bu sayede NIPS işlevleri host veya edge seviyesinde çok düşük gecikmeyle yürütülebilecek.

9.3 Signal fusion ve otomatik remediation

EDR, NDR, HIPS, cloud audit ve threat intel'in birleştiği platformlar gerçek zamanlı korelasyon ile daha az false positive ve daha etkili otomatik remediation sağlayacak. SOAR playbook'larının maturity'si bu trendin merkezinde olacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

  1. 1. IDS mi IPS mi almalıyım?

    Seçim risk profilinize, iş kritikliğine ve operasyonel toleransınıza bağlıdır. Kritik sistemlerde inline IPS tercih edilebilir; genel ortamda önce IDS ile görünürlük sağlayıp sonrasında kademeli IPS uygulamaları denemek daha güvenlidir.

  2. 2. IPS yanlış pozitif yaparsa ne olur?

    Inline IPS yanlış pozitif yaparsa hizmet kesintisi yaşanabilir. Bu nedenle canary testleri, suppression listeleri ve hızlı rollback yolları oluşturulmalıdır.

  3. 3. Cloud ortamında IDS/IPS nasıl uygulanır?

    Cloud'da VPC flow logs, traffic mirroring, host agent (HIDS/HIPS) ve cloud‑native NDR/IDS çözümleri kullanılır. Ayrıca service mesh politikaları ile uygulama‑düzeyinde kontrol sağlanabilir.

  4. 4. Anomali tabanlı detection yanlış pozitifleri nasıl azaltır?

    Context enrichment, baselining, feature engineering ve feedback loop ile model sürekli eğitilip yanlış pozitifler azaltılabilir.

  5. 5. Hangi metrikleri takip etmeliyim?

    Alert doğruluk oranı, false positive rate, mean time to detect (MTTD), mean time to respond (MTTR), blocked attacks ve policy hit rate önemli metriklerdir.

  6. 6. IPS performans sorunlarını nasıl yönetirim?

    Hardware offload, connection tracking optimizasyonu, flow sampling ve selective TLS inspection ile performans iyileştirilir.

  7. 7. NIDS ile packet capture'ı nerede saklamalıyım?

    Adli analiz ihtiyaçları için merkezi, immutable ve şifrelenmiş bir telemetry lake tercih edin; hot/warm/cold retention politikaları uygulayın.

  8. 8. Küçük ekipler için başlangıç yaklaşımı nedir?

    Önce passive visibility (flow logs, NIDS mirror), ardından kritik path'lerde inline prevention testleri ve SOAR ile sınırlı otomasyon önerilir.

Anahtar Kavramlar

  • IDS: Tespit odaklı sistem, genellikle passive.
  • IPS: Tespit ve aktif müdahale sağlayan inline sistem.
  • NIDS/HIDS: Network vs host tabanlı detection.
  • eBPF: Kernel seviyesinde programlanabilir veri düzlemi.
  • SOAR: Olay yanıt otomasyonu ve orkestrasyon.

Öğrenme Yol Haritası

  1. 0–1 ay: TCP/IP, packet structure, temel ağ kavramları ve log toplama yöntemlerini öğrenin.
  2. 1–3 ay: Signature bazlı detection, Snort/suricata gibi açık kaynak IDS'leri kurup test edin.
  3. 3–6 ay: Anomaly detection, ML tabanlı modelleme, flow analysis ve SIEM entegrasyonları üzerinde çalışın.
  4. 6–12 ay: Inline IPS deployment, canary testleri, SOAR playbook'ları ve eBPF/P4 tabanlı dataplane teknolojileri ile deneyim kazanın.