در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

درک مفهوم سیستم های تشخیص نفوذ شبکه - قسمت اول

سیستم های تشخیص نفوذ ( Intrusion Detection System ) یا IDS ها در حال حاضر جزء اصلی ترین و کاملترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند. IDS ها فناوری های تقریبا جدیدی هستند و این نوید را به ما می دهند که به ما در جهت شناسایی نفوذ هایی که به شبکه انجام می شود کمک خواهند کرد . تشخیص نفوذ یا Intrusion Detection در واقع فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود. یک نفوذ در واقع فعالیت یا عملی است که توسط آن محرمانگی ، صحت و تمامیت و یا دسترسی پذیری به منابع دچار اختلال و یا تعرض می شود . همانطوری که می دانید دیواره های آتش یا فایروال ها برای جلوگیری از دسترسی مهاجمین به منابع طراحی شده اند . یک IDS این فعالیت ها را گزارش و پایش می کند.

اجزای تشکیل دهنده سیستم های تشخیص نفوذ IDS


درک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم :

  • فعالیت یا Activity : فعالیت یا Activity در حقیقت یک عمل یا رویداد است که بر روی منبع داده انجام می شود ، این عمل برای انجام دهنده آن جذاب است و برای وی کارایی دارد. فعالیت می تواند هم درست باشد و هم نادرست ، بدین معنا که فعالیت های مشکوک می توانند مخرب بوده و باعث به خطر افتادن منبع داده شود ، برای مثال یک نوع درخواست ارتباط TCP که بصورت متناوب از سمت یک آدرس IP به سمت سرور برقرار می شود ، می تواند نمونه ای از فعالیت های مشکوک باشد.
  • رئیس یا Administrator : رئیس یا Administrator در حقیقت شخصی است که مسئول تدوین بیانیه های امنیتی مربوط به سازمان است . این اشخاص مسئول تصمیم گیری در خصوص شیوه پیاده سازی و انجام تنظیمات مربوط به IDS ها هستند .مدیر بر اساس سطح هشدارها ، تاریخچه لاگ ها و قابلیت های مانیتورینگ session تصمیم گیری ها را انجام می دهد. همچنین آنها مسئول تصمیم گیری در خصوص چگونگی پاسخگویی به نفوذ نیز هستند و اطمینان از موثر بودن پاسخگویی به حملات نیز هستند.

نکته : در بسیاری از سازمان ها یک چارت نردبانی یا Escalation chart وجود دارد ، بر این اساس مدیران امنیت یا مدیران شبکه در بیشتر موارد در راس این چارت سازمانی قرار ندارند ، اما همیشه در زمان پیاده سازی این نوع سیستم های امنیت وظایف به این افراد ارجاع می شود.

  • هشدار یا Alert : یک هشدار پیامی است که از طریق سیستم آنالیزگر برای اعلام وقوع یک رویداد مشکوک صادر می شود .این هشدار ضمن اینکه اطلاعاتی در خصوص نوع فعالیت انجام شده ارائه می دهد ، دقیقا رویدادی که اتفاق افتاده است را نیز شرح می دهد. برای مثال زمانی که بسته های اطلاعاتی حجیم و زیادی از نوع پروتکل ICMP به سرور وارد می شود و یا تعداد زیادی درخواست ورود ناموفق به سیستم بوجود می آید یک هشدار از طریق سیستم آنالیزور صادر می شود . همیشه یک مقدار ترافیک معمول برای یک شبکه وجود دارد . هشدارها زمانی صادر می شوند که این ترافیک از حد مجاز تعیین شده عبور کرده و زیادتر از حد معمول شوند. شما هیچوقت نمی خواهید که زمانی که هر شخصی از هر مکانی با استفاده از دستور Ping سرور را ping کرد یک هشدار ایجاد شده و به اطلاع شما برسد !!! اما زمانی که این حجم بسته های Ping از حد مجاز تعیین شده بر روی IDS عبور کرد شما حتما به ایجاد و صدور هشدار نیاز خواهید داشت .
  • تحلیل کننده یا Analyzer : تحلیل کننده یا Analyzer مولفه یا فرآیندی است که داده های بدست آمده از طریق حسگر یا Sensor را تجزیه و تحلیل می کند. این فرآیند داده ها را برای یافتن فعالیت های مشکوک واکاوی می کند. تحلیل کننده ها به وسیله مانیتور کردن رویداد ها و تشخیص اینکه آیا رویداد حال حاضر مشکوک است یا نه و همچنین بر اساس قوانینی که در IDS توسط فرآیند های مربوطه فعال می شود ، کار می کنند.
  • منبع داده یا Data Source : منبع داده اطلاعات خامی است که IDS از آنها برای تشخیص فعالیت های مشکوک استفاده می کند. منابع داده می تواند شامل فایل های بازرسی یا audit file ها ، لاگ های سیستم و یا ترافیک شبکه ای باشد که IDS در آن قرار دارد.
  • رویداد یا Event : رویداد اتفاقی است که در منبع داده روی می دهد و نمایانگر به وقوع پیوستن یک فعالیت مشکوک است . یک رویداد ممکن است باعث صدور هشدار شود . رویدادها همیشه برای ارجاع داده شدن در آینده لاگ برداری می شوند. رویدادها می توانند اخطارهایی مربوط به اتفاق های غیرمعمول در شبکه را گزارش دهند . یک IDS ممکن است زمانی که ارتباط داخلی ایمیل سرور قفل می شود شروع به ثبت رویدادها کند ، رویدادها ممکن است نمایانگر این باشند که یک نفر در حال جستجو و کشف اطلاعات از شبکه شما می باشد. رویداد می تواند در نهایت یک هشدار صادر کند مبنی بر اینکه حجم ترافیک عبوری از شبکه از حد معمولا و تعریف شده آن خارج شده است و نیازمند بررسی می باشد.
  • مدیر یا Manager : مدیر یا Manager ابزار یا فرآیندی است که اپراتور توسط آن IDS را مدیریت می کند. کنسول مدیریتی IDS در حقیقت Manager یا مدیر آن می باشد . اعمال تغییرات در تنظیمات IDS صرفا با برقراری ارتباط با Manager امکانپذیر است.
  • اطلاع رسانی یا Notification : اطلاع رسانی یا Notification فرآیند یا روشی است که Manager توسط آن به اپراتور اعلام هشدار می کند . اینگونه اطلاع رسانی ممکن است به روش برجسته کردن و یا تعویض رنگ یک قسمت از کنسول مدیریتی و یا ارسال ایمیل و پیامک به اپراتور انجام شود .
  • حسگر یا Sensor : حسگر یا Sensor یکی از اجزای IDS است که داده ها را از منبع داده جمع آوری و آنها را برای انجام شدن تحلیل ها به سمت تحلیل کننده عبور می دهد . حسگر ها هم می توانند بصورت یک درایور دستگاه ، و هم بصورت یک جعبه سیاه جدا از سیستم IDS در مدار شبکه قرار بگیرند ، این دستگاه گزارش های خود را به سمت IDS هدایت می کند.نکته مهم در خصوص حسگر ها این است که حسگر نقطه اصلی جمع آوری داده ها برای IDS محسوب می شود .
  • اپراتور : اپراتور شخصی است که مسئول کلی سیستم IDS محسوب می شود. این شخص می تواند ، رئیس و یا مدیر شبکه ، کاربر شبکه و یا هر شخصی دیگری باشد ، اما بایستی مسئولیت اینکار را بر عهده داشته باشد .

همانطوری که مشاهده کردید یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . شکل الف به شما اجزای مختلف این سیستم را در کنار هم برای تشکیل شدن یک سیستم کامل IDS را نمایش می دهد . به خاطر داشته باشید که داده ها می توانند از منابع مختلفی جمع آوری شوند و تمامی این داده ها برای اینکه بتوانیم تشخیص دهیم که چه اتفاقی در شبکه در حال وقوع است بایستی کاملا تحلیل شوند . یک سیستم IDS ذاتا برای مسدود کردن ترافیک در شبکه ساخته نشده است ، اما برخی از انواع IDS هستند که این قابلیت را به آنها می دهد ، IDS ها داتا سیستم های مانیتورینگ ، بازرسی و پایش هستند .

طبقه بندی IDS ها بر اساس قابلیت ها


IDS ها بصورت کلی و بر اساس قابلیت هایی که به اپراتورهای خود می دهند به دو نوع اصلی تقسیم بندی می شوند:

  • سیستم های تشخیص نفوذ – تشخیص سوء استفاده ( Misuse Detection IDS ) : این نوع IDS بیشتر با استفاده از ارزیابی حملات بر اساس شناسه های حمله ( Attack – Signatures ) و اثرات آن ( Audit –Trails ) در شبکه فعالیت می کند. شناسه های حمله یا ویژگیهای حمله در واقع روشی است که مهاجم از آن برای حمله به سیستم استفاده می کند. برای مثال ، یک حمله از نوع TCP Flood با استفاده از تعداد بسیاری Session ناقص TCP کار خود را آغاز می کند . اگر MD-IDS ( مخفف Misuse IDS ) بداند که حمله TCP Flood چگونه کار می کند ، می تواند ضمن تشخیص دادن این جمله گزارش و یا عکس العمل مناسب را در برابر این حمله نشان بدهد .شکل ب به شما نقشه کامل سیوه فعالیت یک MD-IDS را نشان می دهد. به خاطر داشته باشید که اینگونه IDS ها برای مقایسه شیوه حملات ، در ساختار خود یک پایگاه داده از روشهای معمول انجام حملات یا Attack Signature Database دارا هستند . این ساختار را تا حد زیادی می توانید با ساختار آنتی ویروس ها مقایسه کنید.

سیستم های تشخیص نفوذ – تشخیص رفتارهای غیرمتعارف ( Anomaly Detection IDS ) :* اینو نوع IDS که به AD-IDS هم معروف است ، به رفتارهای غیرمتعارف بر روی شبکه توجه می کند ، یعنی اینکه خارج از محدوده پایگاه داده خود عمل می کند و به نوعی تصمیم گیری هوشمند دارد . این نوع IDS در واقع یک نوع برنامه آموزشی دارد ، ابتدا رفتارهای عادی شبکه و ترافیک معمول شبکه را تحلیل کرده و هرگاه ترافیکی باعث خارج شدن سیستم ها از این وضعیت تحلیل شده شود ، شروع به تولید و ارسال هشدار به اپراتور سیستم می کند .

اجزای تشکیل دهنده IDS

تصویر الف : اجزای مختلف یک IDS در کنار هم جمع می شوند تا یک سیستم مانیتورینگ شبکه جامع را ایجاد کنند


اجزای تشکیل دهنده IDS

تصویر ب : یک Misuse Detection – IDS در محیط عملیاتی

IDS ها بطور کلی بر روی گزارش های رویداد ها یا ترافیک های شبکه ای متمرکز می شوند که از الگو های قبلی شبکه که ترافیک و رفتارهای معمول شبکه را در خود نگه می دارد انحراف داشته باشد. برای اینکه این گزارش های موثر باشد مدیران بایستی یک الگو از ترافیک و رفتارهای عادی شبکه را به عنوان مبدا بررسی به IDS معرفی کنند . این مبدا به عنوان پایگاه اصلی مقایسات و گزارش های این سیستم تشخیص نفوذ در آینده مورد استفاده قرار خواهد گرفت . برای مثال ممکن است IDS شما گزارشی مبنی بر دریافت تعداد بیشتری بسته اطلاعاتی ICMP در یک وهله زمانی معین در طول روز را به شما ارائه دهد. این نوع فعالیت ممکن است آغازی بر ایجاد یک حمله از نوع SYN FLOOD باشد. این سیستم همچنین ، اگر کاربری که بصورت معمول فقط در طی ساعات کاری روز به سیستم ها دسترسی پیدا می کرده درخواست ورود به سیستم با دسترسی مدیریتی و در هنگام شب را داشته باشد ، اقدام به ارائه گزارش خواهد کرد. شکل ج به شما نحوه پیگیری و گزارش دهی این سیستم AD-IDS در مواقعی که از ترافیک معمول تضادی دیده می شود را نمایش می دهد . فرآیند سیستم های AD-IDS بصورت مداوم از فناوری های هوش مصنوعی و سیستم های خبره ( Expert Systems ) برای تجزیه تحلیل ترافیک معمول شبکه استفاده می کند.

نکته : هرگاه حمله ای وجود داشته باشد ، همیشه و همیشه چیزی برای شناسایی آن وجود دارد ، گزارش های ورود ، وجود خطا در لاگ ها و یا بسیاری از موارد دیگر. این موارد اثر یا signature یک نفوذ هستند و شما با استفاده از این اثرات می توانید تنظیمات مربوط به IDS خود را برای جلوگیری از بروز مجدد اینگونه حملات بکار ببرید.

سیستم های تشخیص نفوذ با استفاده از سیستم های خبره

شکل ج : یک سیستم تشخیص نفوذ با استفاده تکنولوژی های سیستم های خبره برای تشخیص نفوذ

در بسیاری از سیستم های تجاری AD-IDS ها و MD-IDS ها با یکدیگر ترکیب شده اند . آنها بهترین فرصت برای شناسایی و بی اثر کردن حملات و دسترسی های غیر مجاز به سیستم ها هستند. بر خلاف فایروال ها ، IDS ها به جای اینکه ترافیک مشکل دار و مشکوک را مسدود کنند ، آنها را شناسایی و گزارش می دهند و همچنین هرگونه فعالیت مشکوک در شبکه را نیز اطلاع رسانی می کنند. در قسمت بعدی در خصوص IDS های تحت شبکه یهNetwork-Based و همچنین IDS های میزبان یا Host-Based و امکانات هر یک از آنها صحبت خواهیم کرد.ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#روش_کار_IDS #انواع_IDS #روش_کار_سیستمهای_تشخیص_نفوذ #سیستم_های_تشخیص_نفوذ #انواع_سیستم_های_تشخیص_نفوذ
عنوان
1 درک مفهوم سیستم های تشخیص نفوذ شبکه - قسمت اول رایگان
2 درک مفهوم سیستم های تشخیص نفوذ شبکه – قسمت دوم رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....