محمد نصیری
بنیانگذار توسینسو ، هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و عاشق طبیعت

IDS یا سیستم تشخیص نفوذ چیست؟ اجزا ، انواع + HIDS و NIDS

IDS چیست؟ IPS چیست؟ تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ تفاوت HIDS و NIDS در چیست؟ سیستم تشخیص نفوذ شامل چه اجزایی است؟ سیستم های تشخیص نفوذ ( Intrusion Detection System ) یا IDS ها در حال حاضر جزء اصلی ترین و کاملترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

IDS ها فناوری های تقریبا جدیدی هستند و این نوید را به ما می دهند که به ما در جهت شناسایی نفوذ هایی که به شبکه انجام می شود کمک خواهند کرد . تشخیص نفوذ یا Intrusion Detection در واقع فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود.

یک نفوذ در واقع فعالیت یا عملی است که توسط آن محرمانگی ، صحت و تمامیت و یا دسترسی پذیری به منابع دچار اختلال و یا تعرض می شود . همانطوری که می دانید دیواره های آتش یا فایروال ها برای جلوگیری از دسترسی مهاجمین به منابع طراحی شده اند . یک IDS این فعالیت ها را گزارش و پایش می کند.

اجزای تشکیل دهنده سیستم های تشخیص نفوذ IDS

درک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم :

  • فعالیت یا Activity : فعالیت یا Activity در حقیقت یک عمل یا رویداد است که بر روی منبع داده انجام می شود ، این عمل برای انجام دهنده آن جذاب است و برای وی کارایی دارد. فعالیت می تواند هم درست باشد و هم نادرست ، بدین معنا که فعالیت های مشکوک می توانند مخرب بوده و باعث به خطر افتادن منبع داده شود ، برای مثال یک نوع درخواست ارتباط TCP که بصورت متناوب از سمت یک آدرس IP به سمت سرور برقرار می شود ، می تواند نمونه ای از فعالیت های مشکوک باشد.
  • رئیس یا Administrator : رئیس یا Administrator در حقیقت شخصی است که مسئول تدوین بیانیه های امنیتی مربوط به سازمان است . این اشخاص مسئول تصمیم گیری در خصوص شیوه پیاده سازی و انجام تنظیمات مربوط به IDS ها هستند .مدیر بر اساس سطح هشدارها ، تاریخچه لاگ ها و قابلیت های مانیتورینگ session تصمیم گیری ها را انجام می دهد. همچنین آنها مسئول تصمیم گیری در خصوص چگونگی پاسخگویی به نفوذ نیز هستند و اطمینان از موثر بودن پاسخگویی به حملات نیز هستند.

نکته : در بسیاری از سازمان ها یک چارت نردبانی یا Escalation chart وجود دارد ، بر این اساس مدیران امنیت یا مدیران شبکه در بیشتر موارد در راس این چارت سازمانی قرار ندارند ، اما همیشه در زمان پیاده سازی این نوع سیستم های امنیت وظایف به این افراد ارجاع می شود.

  • هشدار یا Alert : یک هشدار پیامی است که از طریق سیستم آنالیزگر برای اعلام وقوع یک رویداد مشکوک صادر می شود .این هشدار ضمن اینکه اطلاعاتی در خصوص نوع فعالیت انجام شده ارائه می دهد ، دقیقا رویدادی که اتفاق افتاده است را نیز شرح می دهد. برای مثال زمانی که بسته های اطلاعاتی حجیم و زیادی از نوع پروتکل ICMP به سرور وارد می شود و یا تعداد زیادی درخواست ورود ناموفق به سیستم بوجود می آید یک هشدار از طریق سیستم آنالیزور صادر می شود . همیشه یک مقدار ترافیک معمول برای یک شبکه وجود دارد . هشدارها زمانی صادر می شوند که این ترافیک از حد مجاز تعیین شده عبور کرده و زیادتر از حد معمول شوند. شما هیچوقت نمی خواهید که زمانی که هر شخصی از هر مکانی با استفاده از دستور Ping سرور را ping کرد یک هشدار ایجاد شده و به اطلاع شما برسد !!! اما زمانی که این حجم بسته های Ping از حد مجاز تعیین شده بر روی IDS عبور کرد شما حتما به ایجاد و صدور هشدار نیاز خواهید داشت .
  • تحلیل کننده یا Analyzer : تحلیل کننده یا Analyzer مولفه یا فرآیندی است که داده های بدست آمده از طریق حسگر یا Sensor را تجزیه و تحلیل می کند. این فرآیند داده ها را برای یافتن فعالیت های مشکوک واکاوی می کند. تحلیل کننده ها به وسیله مانیتور کردن رویداد ها و تشخیص اینکه آیا رویداد حال حاضر مشکوک است یا نه و همچنین بر اساس قوانینی که در IDS توسط فرآیند های مربوطه فعال می شود ، کار می کنند.
  • منبع داده یا Data Source : منبع داده اطلاعات خامی است که IDS از آنها برای تشخیص فعالیت های مشکوک استفاده می کند. منابع داده می تواند شامل فایل های بازرسی یا audit file ها ، لاگ های سیستم و یا ترافیک شبکه ای باشد که IDS در آن قرار دارد.
  • رویداد یا Event : رویداد اتفاقی است که در منبع داده روی می دهد و نمایانگر به وقوع پیوستن یک فعالیت مشکوک است . یک رویداد ممکن است باعث صدور هشدار شود . رویدادها همیشه برای ارجاع داده شدن در آینده لاگ برداری می شوند. رویدادها می توانند اخطارهایی مربوط به اتفاق های غیرمعمول در شبکه را گزارش دهند . یک IDS ممکن است زمانی که ارتباط داخلی ایمیل سرور قفل می شود شروع به ثبت رویدادها کند ، رویدادها ممکن است نمایانگر این باشند که یک نفر در حال جستجو و کشف اطلاعات از شبکه شما می باشد. رویداد می تواند در نهایت یک هشدار صادر کند مبنی بر اینکه حجم ترافیک عبوری از شبکه از حد معمولا و تعریف شده آن خارج شده است و نیازمند بررسی می باشد.
  • مدیر یا Manager : مدیر یا Manager ابزار یا فرآیندی است که اپراتور توسط آن IDS را مدیریت می کند. کنسول مدیریتی IDS در حقیقت Manager یا مدیر آن می باشد . اعمال تغییرات در تنظیمات IDS صرفا با برقراری ارتباط با Manager امکانپذیر است.
  • اطلاع رسانی یا Notification : اطلاع رسانی یا Notification فرآیند یا روشی است که Manager توسط آن به اپراتور اعلام هشدار می کند . اینگونه اطلاع رسانی ممکن است به روش برجسته کردن و یا تعویض رنگ یک قسمت از کنسول مدیریتی و یا ارسال ایمیل و پیامک به اپراتور انجام شود .
  • حسگر یا Sensor : حسگر یا Sensor یکی از اجزای IDS است که داده ها را از منبع داده جمع آوری و آنها را برای انجام شدن تحلیل ها به سمت تحلیل کننده عبور می دهد . حسگر ها هم می توانند بصورت یک درایور دستگاه ، و هم بصورت یک جعبه سیاه جدا از سیستم IDS در مدار شبکه قرار بگیرند ، این دستگاه گزارش های خود را به سمت IDS هدایت می کند.نکته مهم در خصوص حسگر ها این است که حسگر نقطه اصلی جمع آوری داده ها برای IDS محسوب می شود .
  • اپراتور : اپراتور شخصی است که مسئول کلی سیستم IDS محسوب می شود. این شخص می تواند ، رئیس و یا مدیر شبکه ، کاربر شبکه و یا هر شخصی دیگری باشد ، اما بایستی مسئولیت اینکار را بر عهده داشته باشد .

همانطوری که مشاهده کردید یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . شکل الف به شما اجزای مختلف این سیستم را در کنار هم برای تشکیل شدن یک سیستم کامل IDS را نمایش می دهد .

به خاطر داشته باشید که داده ها می توانند از منابع مختلفی جمع آوری شوند و تمامی این داده ها برای اینکه بتوانیم تشخیص دهیم که چه اتفاقی در شبکه در حال وقوع است بایستی کاملا تحلیل شوند . یک سیستم IDS ذاتا برای مسدود کردن ترافیک در شبکه ساخته نشده است ، اما برخی از انواع IDS هستند که این قابلیت را به آنها می دهد ، IDS ها داتا سیستم های مانیتورینگ ، بازرسی و پایش هستند .

طبقه بندی IDS ها بر اساس قابلیت ها

IDS ها بصورت کلی و بر اساس قابلیت هایی که به اپراتورهای خود می دهند به دو نوع اصلی تقسیم بندی می شوند:

  • سیستم های تشخیص نفوذ – تشخیص سوء استفاده ( Misuse Detection IDS ) : این نوع IDS بیشتر با استفاده از ارزیابی حملات بر اساس شناسه های حمله ( Attack – Signatures ) و اثرات آن ( Audit –Trails ) در شبکه فعالیت می کند. شناسه های حمله یا ویژگیهای حمله در واقع روشی است که مهاجم از آن برای حمله به سیستم استفاده می کند. برای مثال ، یک حمله از نوع TCP Flood با استفاده از تعداد بسیاری Session ناقص TCP کار خود را آغاز می کند . اگر MD-IDS ( مخفف Misuse IDS ) بداند که حمله TCP Flood چگونه کار می کند ، می تواند ضمن تشخیص دادن این جمله گزارش و یا عکس العمل مناسب را در برابر این حمله نشان بدهد .شکل ب به شما نقشه کامل سیوه فعالیت یک MD-IDS را نشان می دهد. به خاطر داشته باشید که اینگونه IDS ها برای مقایسه شیوه حملات ، در ساختار خود یک پایگاه داده از روشهای معمول انجام حملات یا Attack Signature Database دارا هستند . این ساختار را تا حد زیادی می توانید با ساختار آنتی ویروس ها مقایسه کنید.

سیستم های تشخیص نفوذ – تشخیص رفتارهای غیرمتعارف ( Anomaly Detection IDS ) :* اینو نوع IDS که به AD-IDS هم معروف است ، به رفتارهای غیرمتعارف بر روی شبکه توجه می کند ، یعنی اینکه خارج از محدوده پایگاه داده خود عمل می کند و به نوعی تصمیم گیری هوشمند دارد . این نوع IDS در واقع یک نوع برنامه آموزشی دارد ، ابتدا رفتارهای عادی شبکه و ترافیک معمول شبکه را تحلیل کرده و هرگاه ترافیکی باعث خارج شدن سیستم ها از این وضعیت تحلیل شده شود ، شروع به تولید و ارسال هشدار به اپراتور سیستم می کند .

اجزای تشکیل دهنده IDS

تصویر الف : اجزای مختلف یک IDS در کنار هم جمع می شوند تا یک سیستم مانیتورینگ شبکه جامع را ایجاد کنند

اجزای تشکیل دهنده IDS

تصویر ب : یک Misuse Detection – IDS در محیط عملیاتی

IDS ها بطور کلی بر روی گزارش های رویداد ها یا ترافیک های شبکه ای متمرکز می شوند که از الگو های قبلی شبکه که ترافیک و رفتارهای معمول شبکه را در خود نگه می دارد انحراف داشته باشد. برای اینکه این گزارش های موثر باشد مدیران بایستی یک الگو از ترافیک و رفتارهای عادی شبکه را به عنوان مبدا بررسی به IDS معرفی کنند .

این مبدا به عنوان پایگاه اصلی مقایسات و گزارش های این سیستم تشخیص نفوذ در آینده مورد استفاده قرار خواهد گرفت . برای مثال ممکن است IDS شما گزارشی مبنی بر دریافت تعداد بیشتری بسته اطلاعاتی ICMP در یک وهله زمانی معین در طول روز را به شما ارائه دهد.این نوع فعالیت ممکن است آغازی بر ایجاد یک حمله از نوع SYN FLOOD باشد.

این سیستم همچنین ، اگر کاربری که بصورت معمول فقط در طی ساعات کاری روز به سیستم ها دسترسی پیدا می کرده درخواست ورود به سیستم با دسترسی مدیریتی و در هنگام شب را داشته باشد ، اقدام به ارائه گزارش خواهد کرد. شکل ج به شما نحوه پیگیری و گزارش دهی این سیستم AD-IDS در مواقعی که از ترافیک معمول تضادی دیده می شود را نمایش می دهد . فرآیند سیستم های AD-IDS بصورت مداوم از فناوری های هوش مصنوعی و سیستم های خبره ( Expert Systems ) برای تجزیه تحلیل ترافیک معمول شبکه استفاده می کند.

  • نکته : هرگاه حمله ای وجود داشته باشد ، همیشه و همیشه چیزی برای شناسایی آن وجود دارد ، گزارش های ورود ، وجود خطا در لاگ ها و یا بسیاری از موارد دیگر. این موارد اثر یا signature یک نفوذ هستند و شما با استفاده از این اثرات می توانید تنظیمات مربوط به IDS خود را برای جلوگیری از بروز مجدد اینگونه حملات بکار ببرید.
سیستم های تشخیص نفوذ با استفاده از سیستم های خبره

شکل ج : یک سیستم تشخیص نفوذ با استفاده تکنولوژی های سیستم های خبره برای تشخیص نفوذ

در بسیاری از سیستم های تجاری AD-IDS ها و MD-IDS ها با یکدیگر ترکیب شده اند . آنها بهترین فرصت برای شناسایی و بی اثر کردن حملات و دسترسی های غیر مجاز به سیستم ها هستند. بر خلاف فایروال ها ، IDS ها به جای اینکه ترافیک مشکل دار و مشکوک را مسدود کنند ، آنها را شناسایی و گزارش می دهند و همچنین هرگونه فعالیت مشکوک در شبکه را نیز اطلاع رسانی می کنند.

بررسی تفاوت NIDS و HIDS

سیستم های تشخیص نفوذ تحت شبکه یا NIDS  : یک سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS که به اختصار NIDS نیز به آن می گوییم ، در حقیقت یک از انواع IDS ها می باشد که خود را به شبکه متصل کرده و از این طریق ترافیک شبکه را پایش کرده و گزارش های خود را ارائه می کند . شیوه قرار گیری اینگونه سیستم ها معمولا بصورت پشت یا روبروی فایروال شبکه می باشد. در شکل الف شیوه قرارگیری این سیستم تشخیص نفوذ تحت شبکه را مشاهده می کنید . همیشه بهترین محل قرارگیری یک سیستم تشخیص نفوذ تحت شبکه NIDS روبروی فایروال شبکه است .

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل الف : شیوه قرارگیری NIDS در شبکه نحوه تحلیل ترافیک در شبکه را نمایش می دهد

قرار دادن NIDS در مقابل فایروال شبکه ، این امکان را به IDS می دهد که بتواند کلی ترافیک های ورودی و خروجی به شبکه را بصورت کامل مانیتور و پایش کند. این راهکار باعث تحلیل شدن حجم عظیمی از داده های ورودی و خروجی شبکه خواهد شد و به شما امکان مشاهده تمامی اطلاعات منتقل شده در شبکه را می دهد.

قرار دادن NIDS در پشت فایروال ، فقط ترافیکی را به شما نمایش می دهد که قصد نفوذ به فایروال را دارند و قابلیت مانیتور کردن سایر ترافیک وارد شده به شبکه را نخواهد داشت . همچنین این راهکار ضمن اینکه داده های کمتری را در اختیار شما برای انجام تحلیل قرار می دهد باعث می شود که شما تعداد زیادی از حملاتی که در درون شبکه در حال شکل گیری هستند را مشاهده و تشخیص ندهید .

NIDS ها هم می توانند به پورت های سویچ یا هاب متصل شوند و یا اینکه به یک tap متصل شوند. بسیاری از هاب ها و سویچ ها پورت های خاصی را برای فعالیت های مانیتورینگ شبکه برای رفع ایراد و یا نظارت بر شبکه ، در خود تعبیه کرده اند . این پورت ها مشابه فعالیت tap را انجام می دهند .

مزیت وجود tap این است که صرفا دستگاه NIDS ترافیک ورودی و خروجی را دریافت می کند. شکل ب به شما اتصال یک NIDS با استفاده از دستگاه هاب را نمایش می دهد . این نکته را به یاد داشته باشید که همیشه سیستم های تشخیص نفوذ تنها ترافیکی را می توانند مانیتور کنند که به آن دسترسی دارند .

 

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل ب : استفاده از هاب برای متصل کردن NIDS به شبکه

انواع واکنش سیستم های تشخیص نفوذ

در واکنش به گزارش هایی که توسط سیستم های تشخیص نفوذ در سطح شبکه می شود ، دو نوع عکس العمل وجود دارد که به ترتیب عکس العمل های فعال یا Active و عکس العمل های غیرفعال یا Passive می باشد . در ادامه به بررسی این نوع عکس العمل ها در برخورد به گزارش های سیستم های تشخیص نفوذ تحت شبکه خواهیم پرداخت .

واکنش غیرفعال ( Passive Response )

واکنش غیر فعال یا passive response معمولترین واکنشی است که به بیشتر نفوذها در شبکه انجام می شود .در واقع واکنش های غیرفعال ساده ترین و راحت ترین واکنش در برخورد با نفوذ ها برای پیاده سازی و توسعه هستند .استراتژی های واکنش های غیر فعال شامل موارد زیر است :

  • لاگ برداری یا Logging : لاگ برداری شامل ضبط کردن کلیه رویدادهای شبکه است که اتفاق می افتند و همچنین چگونگی رخ دادن آنها را نیز نمایش می دهد . لاگ برداری بایستی به شکلی اطلاعات را در اختیار مدیران قرار دهند که آنها بتوانند از طریق این داده ها ذات حمله و چگونگی به وقوع پیوستن آن را ارزیابی کنند . این اطلاعات بعد های می توانند برای طراحی راهکارها برای مقابله با تهدیدات مورد استفاده قرار بگیرند.
  • آگاه سازی یا Notification : آگاه سازی در واقع ارتباطی است که از طریق آن اطلاعات مربوط به رویداد اتفاق افتاده به شخص مسئول آن ارسال می شود. این شامل هرگونه اطلاعاتی است که می تواند به مدیر سیستم کمک کند تا در مورد حادثه درک بهتری داشته باشد. اگر سیستم تشخیص نفوذ بصورت تمام وقت مشغول به فعالیت است ، پیام ها بر روی کنسول مدیریتی نمایش داده خواهد شد تا زمنیکه مسئول سیستم آنها را مشاهده و نظارت کند .
  • اجتناب کردن یا Shunning : اجتناب کردن یا چشم پوشی از حمله یک واکنش معمول است . برای مثال سیستم تشخیص نفوذ شما از بروز حمله از نوع حملات به وب سرور IIS به سیستمی گزارش می دهد که دارای وب سرور آپاچی می باشد ، در این حالت نیازی به انجام هیچگونه عمل متقابلی نخواهد بود زیرا حمله بطور یقین ناکارآمد خواهد بود . خوب در چنین شرایطی با توجه که مطمئن هستیم که حملاتی که بر روی IIS انجام می شوند بر روی آپاچی موثر نخواهند بود ، آیا نیازی به صرف وقت و هزینه برای مقابله با آن وجود دارد ؟ در یک شبکه بزرگ بسیاری از این نوع حلمات ممکن است بصورت همزمان بوجود بیایند ، نکته در اینجاست که اگر موفق بودن یا ناموفق بودن یک حمله در شبکه برای شما اهمیتی ندارد ، پی چرا برای کشف و شناسایی و اطلاع رسانی آن انرژی صرف کنیم ؟ در اینگونه موارد از این نوع حملات چشم پوشی کرده و به کارهای مهمتری در شبکه می پردازیم .

واکنش فعال یا (Active Response )

واکنش فعال بدین معناست که در مقابل حمله یا تهدید موجود عکس العمل نشان بدهیم . هدف واکنش فعال انجام دادن سریعترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است . این نوع از واکنش ها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویدادها ، خط مشی های واضح و صریح تبیین شده و همچنین هوشیاری خاصی می باشند. واکنش های فعال شامل عکس العمل هایی هستند که در ادامه بصورت خلاصه با برخی از آنها آشنا خواهیم شد :

  • پایان دادن Session یا فرآیند : اگر یک حمله از نوع Flood شناسایی شود ، IDS می تواند باعث شود که یک زیر سیستم مانند TCP تمامی Session های مربوط به حمله مذکور را ریست کند . این عمل باعث آزاد شدن منابع و ادامه فعالیت پروتکل TCP خواهد شد . البته در این نوع واکنش ممکن است session های معتبر و درست سایر کاربرانی که مشغول سرویس گیری از شبکه هستند نیز ریست شوند و می بایست مجددا این Session ها برقرار شوند ، اما در هر صورت این عمل باعث از بین رفتن تاثیر حمله Flood خواهد شد و تاثیر چندانی نیز بر روی فعالیت کاربران عادی شبکه نخواهد داشت . IDS رویدادها را ارزیابی و بر اساس آن روش برخود با آنها را تعیین می کند . شکل ج روش درخواست شدن فرمان ریست توسط پروتکل TCP از سمت IDS برای ریست کردن تمامی Session های فعال TCP با استفاده از دستور RST را نمایش می دهد .
پایان دادن به یک ارتباط

شکل ج : IDS به TCP دستور ریست شدن تمامی ارتباطات را صادر می کند

  • اعمال تغییرات در تنظیمات شبکه : اگر حملات بصورت دائمی از سمت یک آدرس IP مشخص انجام شود ، IDS این توانایی را دارا است که به فایروال یا مسیریاب شبکه دستور دهد که تمامی درخواست های ارتباط و ترافیکی که از این آدرس IP به سمت سرور روانه می شود را قطع ارتباط و رد کند . این نوع دستوراتی که از سمت IDS برای فایروال ها یا مسیریاب ها صادر می شود هم می تواند بصورت دائمی اعمال شود و هم اینکه می تواند در وهله های زمانی معین شده اعمال گردند. شکل د نمایانگر دستوری است که IDS به فایروال جهت مسدود کردن پورت 80 برای مدت زمان 60 ثانیه صادر کرده است ، این عمل برای جلوگیری از حمله به سرور IIS انجام شده است .

 

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل د : IDS به فایروال دستور می دهد که پورت 80 را به مدت 60 ثانیه مسدود کند

اگر IDS متوجه شود که یک پورت یا سوکت خاص مورد حمله قرار گرفته است ، می تواند به فایروال دستور بدهد که پورت مورد نظر را برای مدت زمان معینی مسدود کند. انجام اینکار باعث بر طرف کردن حمله می شود اما بصورت ناخواسته باعث بروز یک حمله از نوع DOS نیز بر روی شبکه خود خواهد شد .

  • فریب دادن یا Deception : فریب دادن یا Deception فرآیندی است که در حین آن به مهاجم اینطور القاء می شود که حمله وی موفقیت آمیز بوده است ، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی را به سمت یک سیستم که برای هک شدن ساخته شده است هدایت می کند. این روش به مدیر سیستم این امکان را می دهد که بتواند بر روی مهاجم متمرکز شده و روش ها و تکنیک هایی که مهاجم در حمله استفاده می کند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. به این فرآیند که مهاجم را فریب داده و به یک سیستم مجهول برای انجام مطالعات هدایت می کنیم به اصطلاح فرستادن وی به ظرف عسل یا هانی پات می گوییم ، در مورد هانی پات در مقالات بعدی مفصل توضیح خواهیم داد . شکل ه به شما نحوه فعالیت یک هانی پات در حالی که فرآیند فریب دادن به درستی انجام شده است را نمایش می دهد.

 

شیوه قرارگیری هانی پات در شبکه

شکل ه : یک هانی پات تحت شبکه هکر را فریب داده و اطلاعات حمله را جمع آوری می کند

مزیت این نوع واکنش این است که تمامی فعالیت هایی که هکر انجام می دهد پایش و تحلیل شده و برای انجام بررسی های بعدی در خصوص شیوه فعالیت هکرها نیز می تواند مورد استفاده قرار بگیرد. پیاده سازی این فرآیند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش می شود کار بسیار خطرناکی است .

معمولا اینگونه راهکارها را می توان در زمانی که قرار است اطلاعات را در مبحث کشف جرائم رایانه ای و انجام بررسی های فعال بدست بیاوریم مورد استفاده قرار می دهیم ، این کار برای اطمینان از شیوه عملکرد مهاجم نیز مورد استفاده قرار می گیرد .فریب دادن به شما این اجازه را می دهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید .

سیستم های تشخیص نفوذ تحت میزبان یا HIDS

یک سیستم تشخیص نفوذ تحت میزبان یا Host Based Intrusion Detection System به گونه ای طراحی شده است که بتواند بر روی سیستم عامل های میزبان ( شخصی ) افراد در قالب نرم افزار نصب شده و فعالیت کند . این سیستم ها معمولا دارای یک سرویس می باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می شود. HIDS ها لاگ های ماشین ، رویداد های سیستمی و فعل و انفعالات نرم افزارهای کاربردی را پایش می کنند و معمولا با ترافیک ورودی از طریق شبکه به سیستم میزبان کاری ندارند.

HIDS ها معمولا در میان سرور هایی که دارای کانال های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرورها هستند مورد استفاده قرار می گیرند. شکل ی یک HIDS را که بر روی یک سرور نصب شده است را نمایش می دهد . توجه کنید که HIDS ها با ممیزی ها یا Audit های ورود یه سیستم و فایل های پایش کرنل سیستم همیشه در حال تعامل هستند . فایل های ممیزی کرنل یا Kernel Audit Files برای پردازش و رابط های کاربری نرم افزارهای کاربردی مورد استفاده قرار می گیرند.

دو مشکل اساسی در HIDS ها وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل ، تغییر کردن ساختار سیستم هاست است ، اگر سیستم عامل هاست شما دچار تغییرات ناگهانی در تنظیمات شود ، فایل های لاگی که IDS از آنها گزارش تهیه می کند دچار مشکل شده و دیگر دارای صحت نمی باشند .

این باعث می شود که سیستم IDS دچار اختلال شده و تصمیاتی که اتخاذ می کند صحیح نباشند . مشکل دیگری که در HIDS های وجود دارد این است که بایستی برای تک تک سیستم هایی که نیاز به این سیستم دارند نصب و راه اندازی شود ، همین موضوع می تواند مشکلات مدیریتی و دردسرهای نگهداری خاصی خود را برای مدیران سیستم ایجاد کند.

یکی از مهمترین شاید بهتری قابلیت های HIDS ، قابلیت گرفتن Check-sum از فایل های موجود بر روی سیستم است ، این قابلیت به مدیر سیستم این امکان را می دهد که متوجه شود که آیا فایل های روی سیستم دستکاری شده اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده ای خواهد بود زیرا مدیر سیستم میداند که کدامیک از فایل ها دچار دستکاری و تغییر شده اند .

برخی از نرم افزارها نیز بصورت تخصصی بر روی این زمیه کار کرده اند و نام این قابلیت SIV یا System Integrity Verifier می باشد. به خاطر داشته باشید که سیستم های تشخیص نفوذ تحت میزبان یا HIDS ها دارای واکنش غیرفعال هستند و واکنش فعال معمولا در سیستم های تشخیص نفوذ تحت شبکه مورد استفاده قرار می گیرد.

  • سیستم تشخیص نفوذ ( IDS ) چیست؟

    سیستم تشخیص نفوذ یا IPS نرم افزار یا سخت افزاری است که با مکانیزم کاری تقریبا شبیه به آنتی ویروس با استفاده از تجزیه و تحلیل ترافیک شبکه یا ترافیک ورودی به سیستم عامل ، تشخیص می دهد که ترافیک آلوده است یا خیر و بر این اساس تشخیص می دهد که یک حمله هکری یا نفوذ در حال انجام شدن است و به شما اعلام می کند.
  • تفاوت IDS ( سیستم تشخیص نفوذ ) و IPS ( سیستم جلوگیری از نفوذ ) در چیست؟

    مهمترین تفاوت بین IPS و IDS در برخورد با نفوذ است ، در حالیکه IDS ها صرفا بحث اطلاع رسانی را بر عهده دارند ، سرویس های IPS اقدام هم انجام می دهند و جلوی ترافیک و نفوذ را نیز می توانند بگیرند.
  • اجزای سیستم تشخیص نفوذ ( IPS ) شامل چه چیزهایی می شود؟

    اجزای کلی یک سیستم تشخیص نفوذ شامل Activity یا فعالیت ، رئیس یا Administrator ، هشدار یا Alert ، تحلیل کننده یا Analyzer ، منبع داده یا Data Source ، رویداد یا Event ، مدیر یا Manager ، اطلاع رسانی یا Notification ، حسگر یا Sensor و اپراتور ( Operator ) می شود.

محمد نصیری
محمد نصیری

بنیانگذار توسینسو ، هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و عاشق طبیعت

هکر با کلاه ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

نظرات