در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

درک مفهوم سیستم های تشخیص نفوذ شبکه – قسمت دوم

سیستم های تشخیص نفوذ تحت شبکه یا NIDS


یک سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS که به اختصار NIDS نیز به آن می گوییم ، در حقیقت یک از انواع IDS ها می باشد که خود را به شبکه متصل کرده و از این طریق ترافیک شبکه را پایش کرده و گزارش های خود را ارائه می کند . شیوه قرار گیری اینگونه سیستم ها معمولا بصورت پشت یا روبروی فایروال شبکه می باشد. در شکل الف شیوه قرارگیری این سیستم تشخیص نفوذ تحت شبکه را مشاهده می کنید . همیشه بهترین محل قرارگیری یک سیستم تشخیص نفوذ تحت شبکه NIDS روبروی فایروال شبکه است .

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل الف : شیوه قرارگیری NIDS در شبکه نحوه تحلیل ترافیک در شبکه را نمایش می دهد

قرار دادن NIDS در مقابل فایروال شبکه ، این امکان را به IDS می دهد که بتواند کلی ترافیک های ورودی و خروجی به شبکه را بصورت کامل مانیتور و پایش کند. این راهکار باعث تحلیل شدن حجم عظیمی از داده های ورودی و خروجی شبکه خواهد شد و به شما امکان مشاهده تمامی اطلاعات منتقل شده در شبکه را می دهد. قرار دادن NIDS در پشت فایروال ، فقط ترافیکی را به شما نمایش می دهد که قصد نفوذ به فایروال را دارند و قابلیت مانیتور کردن سایر ترافیک وارد شده به شبکه را نخواهد داشت . همچنین این راهکار ضمن اینکه داده های کمتری را در اختیار شما برای انجام تحلیل قرار می دهد باعث می شود که شما تعداد زیادی از حملاتی که در درون شبکه در حال شکل گیری هستند را مشاهده و تشخیص ندهید .

NIDS ها هم می توانند به پورت های سویچ یا هاب متصل شوند و یا اینکه به یک tap متصل شوند. بسیاری از هاب ها و سویچ ها پورت های خاصی را برای فعالیت های مانیتورینگ شبکه برای رفع ایراد و یا نظارت بر شبکه ، در خود تعبیه کرده اند . این پورت ها مشابه فعالیت tap را انجام می دهند .مزیت وجود tap این است که صرفا دستگاه NIDS ترافیک ورودی و خروجی را دریافت می کند. شکل ب به شما اتصال یک NIDS با استفاده از دستگاه هاب را نمایش می دهد . این نکته را به یاد داشته باشید که همیشه سیستم های تشخیص نفوذ تنها ترافیکی را می توانند مانیتور کنند که به آن دسترسی دارند .

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل ب : استفاده از هاب برای متصل کردن NIDS به شبکه

انواع واکنش سیستم های تشخیص نفوذ


در واکنش به گزارش هایی که توسط سیستم های تشخیص نفوذ در سطح شبکه می شود ، دو نوع عکس العمل وجود دارد که به ترتیب عکس العمل های فعال یا Active و عکس العمل های غیرفعال یا Passive می باشد . در ادامه به بررسی این نوع عکس العمل ها در برخورد به گزارش های سیستم های تشخیص نفوذ تحت شبکه خواهیم پرداخت .

واکنش غیرفعال ( Passive Response )


واکنش غیر فعال یا passive response معمولترین واکنشی است که به بیشتر نفوذها در شبکه انجام می شود .در واقع واکنش های غیرفعال ساده ترین و راحت ترین واکنش در برخورد با نفوذ ها برای پیاده سازی و توسعه هستند .استراتژی های واکنش های غیر فعال شامل موارد زیر است :

  • لاگ برداری یا Logging : لاگ برداری شامل ضبط کردن کلیه رویدادهای شبکه است که اتفاق می افتند و همچنین چگونگی رخ دادن آنها را نیز نمایش می دهد . لاگ برداری بایستی به شکلی اطلاعات را در اختیار مدیران قرار دهند که آنها بتوانند از طریق این داده ها ذات حمله و چگونگی به وقوع پیوستن آن را ارزیابی کنند . این اطلاعات بعد های می توانند برای طراحی راهکارها برای مقابله با تهدیدات مورد استفاده قرار بگیرند.
  • آگاه سازی یا Notification : آگاه سازی در واقع ارتباطی است که از طریق آن اطلاعات مربوط به رویداد اتفاق افتاده به شخص مسئول آن ارسال می شود. این شامل هرگونه اطلاعاتی است که می تواند به مدیر سیستم کمک کند تا در مورد حادثه درک بهتری داشته باشد. اگر سیستم تشخیص نفوذ بصورت تمام وقت مشغول به فعالیت است ، پیام ها بر روی کنسول مدیریتی نمایش داده خواهد شد تا زمنیکه مسئول سیستم آنها را مشاهده و نظارت کند .
  • اجتناب کردن یا Shunning : اجتناب کردن یا چشم پوشی از حمله یک واکنش معمول است . برای مثال سیستم تشخیص نفوذ شما از بروز حمله از نوع حملات به وب سرور IIS به سیستمی گزارش می دهد که دارای وب سرور آپاچی می باشد ، در این حالت نیازی به انجام هیچگونه عمل متقابلی نخواهد بود زیرا حمله بطور یقین ناکارآمد خواهد بود . خوب در چنین شرایطی با توجه که مطمئن هستیم که حملاتی که بر روی IIS انجام می شوند بر روی آپاچی موثر نخواهند بود ، آیا نیازی به صرف وقت و هزینه برای مقابله با آن وجود دارد ؟ در یک شبکه بزرگ بسیاری از این نوع حلمات ممکن است بصورت همزمان بوجود بیایند ، نکته در اینجاست که اگر موفق بودن یا ناموفق بودن یک حمله در شبکه برای شما اهمیتی ندارد ، پی چرا برای کشف و شناسایی و اطلاع رسانی آن انرژی صرف کنیم ؟ در اینگونه موارد از این نوع حملات چشم پوشی کرده و به کارهای مهمتری در شبکه می پردازیم .

واکنش فعال یا (Active Response )


واکنش فعال بدین معناست که در مقابل حمله یا تهدید موجود عکس العمل نشان بدهیم . هدف واکنش فعال انجام دادن سریعترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است . این نوع از واکنش ها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویدادها ، خط مشی های واضح و صریح تبیین شده و همچنین هوشیاری خاصی می باشند. واکنش های فعال شامل عکس العمل هایی هستند که در ادامه بصورت خلاصه با برخی از آنها آشنا خواهیم شد :

  • پایان دادن Session یا فرآیند : اگر یک حمله از نوع Flood شناسایی شود ، IDS می تواند باعث شود که یک زیر سیستم مانند TCP تمامی Session های مربوط به حمله مذکور را ریست کند . این عمل باعث آزاد شدن منابع و ادامه فعالیت پروتکل TCP خواهد شد . البته در این نوع واکنش ممکن است session های معتبر و درست سایر کاربرانی که مشغول سرویس گیری از شبکه هستند نیز ریست شوند و می بایست مجددا این Session ها برقرار شوند ، اما در هر صورت این عمل باعث از بین رفتن تاثیر حمله Flood خواهد شد و تاثیر چندانی نیز بر روی فعالیت کاربران عادی شبکه نخواهد داشت . IDS رویدادها را ارزیابی و بر اساس آن روش برخود با آنها را تعیین می کند . شکل ج روش درخواست شدن فرمان ریست توسط پروتکل TCP از سمت IDS برای ریست کردن تمامی Session های فعال TCP با استفاده از دستور RST را نمایش می دهد .

پایان دادن به یک ارتباط

شکل ج : IDS به TCP دستور ریست شدن تمامی ارتباطات را صادر می کند

  • اعمال تغییرات در تنظیمات شبکه : اگر حملات بصورت دائمی از سمت یک آدرس IP مشخص انجام شود ، IDS این توانایی را دارا است که به فایروال یا مسیریاب شبکه دستور دهد که تمامی درخواست های ارتباط و ترافیکی که از این آدرس IP به سمت سرور روانه می شود را قطع ارتباط و رد کند . این نوع دستوراتی که از سمت IDS برای فایروال ها یا مسیریاب ها صادر می شود هم می تواند بصورت دائمی اعمال شود و هم اینکه می تواند در وهله های زمانی معین شده اعمال گردند. شکل د نمایانگر دستوری است که IDS به فایروال جهت مسدود کردن پورت 80 برای مدت زمان 60 ثانیه صادر کرده است ، این عمل برای جلوگیری از حمله به سرور IIS انجام شده است .

شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه

شکل د : IDS به فایروال دستور می دهد که پورت 80 را به مدت 60 ثانیه مسدود کند

اگر IDS متوجه شود که یک پورت یا سوکت خاص مورد حمله قرار گرفته است ، می تواند به فایروال دستور بدهد که پورت مورد نظر را برای مدت زمان معینی مسدود کند. انجام اینکار باعث بر طرف کردن حمله می شود اما بصورت ناخواسته باعث بروز یک حمله از نوع DOS نیز بر روی شبکه خود خواهد شد .

  • فریب دادن یا Deception : فریب دادن یا Deception فرآیندی است که در حین آن به مهاجم اینطور القاء می شود که حمله وی موفقیت آمیز بوده است ، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی را به سمت یک سیستم که برای هک شدن ساخته شده است هدایت می کند. این روش به مدیر سیستم این امکان را می دهد که بتواند بر روی مهاجم متمرکز شده و روش ها و تکنیک هایی که مهاجم در حمله استفاده می کند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. به این فرآیند که مهاجم را فریب داده و به یک سیستم مجهول برای انجام مطالعات هدایت می کنیم به اصطلاح فرستادن وی به ظرف عسل یا هانی پات می گوییم ، در مورد هانی پات در مقالات بعدی مفصل توضیح خواهیم داد . شکل ه به شما نحوه فعالیت یک هانی پات در حالی که فرآیند فریب دادن به درستی انجام شده است را نمایش می دهد.

شیوه قرارگیری هانی پات در شبکه

شکل ه : یک هانی پات تحت شبکه هکر را فریب داده و اطلاعات حمله را جمع آوری می کند

مزیت این نوع واکنش این است که تمامی فعالیت هایی که هکر انجام می دهد پایش و تحلیل شده و برای انجام بررسی های بعدی در خصوص شیوه فعالیت هکرها نیز می تواند مورد استفاده قرار بگیرد. پیاده سازی این فرآیند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش می شود کار بسیار خطرناکی است . معمولا اینگونه راهکارها را می توان در زمانی که قرار است اطلاعات را در مبحث کشف جرائم رایانه ای و انجام بررسی های فعال بدست بیاوریم مورد استفاده قرار می دهیم ، این کار برای اطمینان از شیوه عملکرد مهاجم نیز مورد استفاده قرار می گیرد .فریب دادن به شما این اجازه را می دهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید .

سیستم های تشخیص نفوذ تحت میزبان یا HIDS


یک سیستم تشخیص نفوذ تحت میزبان یا Host Based Intrusion Detection System به گونه ای طراحی شده است که بتواند بر روی سیستم عامل های میزبان ( شخصی ) افراد در قالب نرم افزار نصب شده و فعالیت کند . این سیستم ها معمولا دارای یک سرویس می باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می شود. HIDS ها لاگ های ماشین ، رویداد های سیستمی و فعل و انفعالات نرم افزارهای کاربردی را پایش می کنند و معمولا با ترافیک ورودی از طریق شبکه به سیستم میزبان کاری ندارند. HIDS ها معمولا در میان سرور هایی که دارای کانال های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرورها هستند مورد استفاده قرار می گیرند. شکل ی یک HIDS را که بر روی یک سرور نصب شده است را نمایش می دهد . توجه کنید که HIDS ها با ممیزی ها یا Audit های ورود یه سیستم و فایل های پایش کرنل سیستم همیشه در حال تعامل هستند . فایل های ممیزی کرنل یا Kernel Audit Files برای پردازش و رابط های کاربری نرم افزارهای کاربردی مورد استفاده قرار می گیرند.

دو مشکل اساسی در HIDS ها وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل ، تغییر کردن ساختار سیستم هاست است ، اگر سیستم عامل هاست شما دچار تغییرات ناگهانی در تنظیمات شود ، فایل های لاگی که IDS از آنها گزارش تهیه می کند دچار مشکل شده و دیگر دارای صحت نمی باشند . این باعث می شود که سیستم IDS دچار اختلال شده و تصمیاتی که اتخاذ می کند صحیح نباشند . مشکل دیگری که در HIDS های وجود دارد این است که بایستی برای تک تک سیستم هایی که نیاز به این سیستم دارند نصب و راه اندازی شود ، همین موضوع می تواند مشکلات مدیریتی و دردسرهای نگهداری خاصی خود را برای مدیران سیستم ایجاد کند.

یکی از مهمترین شاید بهتری قابلیت های HIDS ، قابلیت گرفتن Check-sum از فایل های موجود بر روی سیستم است ، این قابلیت به مدیر سیستم این امکان را می دهد که متوجه شود که آیا فایل های روی سیستم دستکاری شده اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده ای خواهد بود زیرا مدیر سیستم میداند که کدامیک از فایل ها دچار دستکاری و تغییر شده اند . برخی از نرم افزارها نیز بصورت تخصصی بر روی این زمیه کار کرده اند و نام این قابلیت SIV یا System Integrity Verifier می باشد. به خاطر داشته باشید که سیستم های تشخیص نفوذ تحت میزبان یا HIDS ها دارای واکنش غیرفعال هستند و واکنش فعال معمولا در سیستم های تشخیص نفوذ تحت شبکه مورد استفاده قرار می گیرد. ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#روش_کار_IDS #انواع_IDS #روش_کار_سیستمهای_تشخیص_نفوذ #سیستم_تشخیص_نفوذ_تحت_شبکه #اجزای_IDS #سیستم_تشخیص_نفوذ #انواع_سیستم_های_تشخیص_نفوذ
عنوان
1 درک مفهوم سیستم های تشخیص نفوذ شبکه - قسمت اول رایگان
2 درک مفهوم سیستم های تشخیص نفوذ شبکه – قسمت دوم رایگان
زمان و قیمت کل 0″ 0
1 نظر
معین وفایی

سلام خدمت مهندس عزیز

مقالتون رو مطالعه کردم بسیار مناسب بود متشکرم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....