معرفی انواع سیستم های تشخیص نفوذ IDS

در سالهای گذشته مقوله امنیت شبکه مورد توجه اغلب سازمان ها، شرکت های کوچک و بزرگ و حتی کشورها بوده است، از این رو دائما ابزار های مختلفی جهت افزایش امنیت، شناسایی تهدیدها و جلوگیری از این تهدیدها توسط شرکت ها و سازمان های فعال در زمینه امنیت به بازار ارائه میشود. بی شک Firewall و IDS/IPS از مهمترین این ابزارها هستند.هر دو ابزار هدف مشترکی را دنبال میکنند اما تفاوت هایی نیز دارند، در جدول زیر به مقایسه این دو ابزار پرداخته ایم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

جدول مقایشه فایروال و IDS

انواع سیستم های IDS


سیستم های IDS را از نظر نوع جستجو برای شناسایی تهاجم به سه دسته تقسیم میکنند.

(Network-base Intrusion Detection (NIDS


در این سیستم ها، بدنه اصلی شبکه (ترافیک عبوری بر روی میزبان های مختلف) مورد بررسی قرار میگیرد. در HIDS با اتصال سرور IDS به شبکه از طریق Switch یا Hub و بررسی Packet های ورودی و خروجی میزبان ها، حملات را مورد بررسی قرار میدهند. از سیستم های نرم افزاری موجود میتوان از Snort نام برد.

(Host-base Intrusion Detection (HIDS


در این دسته، سیستم به بررسی فعالیت ها و ترافیک یک میزبان میپردازد. و دارای دو تفاوت اساسی با سیستم HIDS است. بدلیل اینکه در HIDS ترافیک یک میزبان مورد بررسی قرار میگیرد از سرعت و اطمینان بیشتری نسبت به HIDS برخوردار است. ویژگی بعدی HIDS کمتر بودن تعداد قوانین ان است، بطور مثال سروری که سرویس DNS را ارائه نمیدهد هیچ لزومی ندارد که قوانین شناسایی تهدیدات مربوط به این سرویس را بداند در نتیجه مصرف CPU کمتر و کارایی سیستم بیشتر میشود. از جمله سیستم های معروف این دسته میتوان به OSSEC و Tripwire اشاره کرد.

(Distributed Intrusion Detection (DIDS


این گروه از IDS ها از چند HIDS یا NIDS یا ترکیبی از این دو بهمراه یک سیستم مدیریت مرکزی تشکیل میشود. بدین صورت که هر IDS موجود در شبکه گزارش های خود را برای مدیریت مر کزی ارسال میکند و سیستم مرکزی وظیفه بررسی کردن گزارش ها، اخطار در صورت نیاز و دیگر اقدامات لازم را دارد. این سیستم همچنین وظیفه بروز رسانی بانک قوانین شناسایی را نیز دارا میباشد. در شکل زیر پیاده سازی یک DIDS را مشاهده میکنید.

سیستم های تشخیص نفوذ IDS

روش های شناسایی حملات


برای شناسایی حملات از دو روش اصلی استفاده میشود

(Anomaly Base (Statically


بطور کلی در این روش فعالیت ها و ترافیک شبکه را به دو دسته معمول و غیر معمول تقسیم بندی میکنند، این روش مبتنی بر میانگین فعالیت های موجود درون یک شبکه است (مانند حجم ترافیک، پروتکل ها و پورت هایی که بطور معمول استفاده میشود ). بطور مثال در نظر میگیرند اجرای چند بار از یک دستور، توسط کاربری مشخص، در یک تماس با یک سرویس دهنده یا میزبان طبیعی است و در صورت تکرار بیشتر دستور سیستم در مقابل ان عکس العمل نشان میدهد.در این روش پیکربندی سیستم بصورت دستی (Statically) با توجه به نیاز و موقعییت شبکه و توسط مدیر شبکه صورت میگیرد.امروزه حملات به گونه ای پیچیده، طراحی و اجرا میشوند که نمیتوان تنها از روش Anomaly برای شناسایی و جلوگیری از ان استفاده کرد.

Signature Base


منظور از Signature مجموعه قواعدی است که وقوع یک نفوذ یا حمله را شناسایی میکند، از مجموعه این Signature ها در نهایت الگویی برای شناسایی حملات بوجود می اید. در این روش سیستم ترافیک موجود در شبکه را مورد بررسی قرار میدهد و ان را با Data Base خود مقایسه میکند. و در صورت یافتن تطابق با ان نسبت به اخطار به مدیر شبکه و دیگر تصمیم گیری ها اقدام میکند.در روش Signature Base پیکر بندی دستگاه بصورت Dynamic صورت میگیرد، مانند Anti Virus ها. تجربه نشان داده است که استفاده از هر دو روش برای شناسایی و جلوگیری از حملات بهترین نتیجه را در بر خواهد داشت.

محل قرار گیری سیستم های IDS در شبکه


علاوه بر موارد فوق، سوال مهمی که در هنگام استفاده از سیستم IDS مطرح میشود، محل قرار گیری این سیستم ها درون شبکه میباشد.بطور کلی بهترین مکان برای قرار گیری این سیستم ها بین Firewall و Router میباشد. باید توجه داشت، در صورت قرار دادن این سیستم در بین Firewall و شبکه بیرونی حجم زیادی از اطلاعات بسمت IDS سرازیر میشود که علاوه بر کاهش بازدهی سیستم امکان بوجود امدن خطاهای بیشماری را فراهم میکند.

سیستم های تشخیص نفوذ IDS

و در صورتی که شبکه دارای محیط DMZ یا زیر مجموعه های متعدد باشد، معماری شبکه برای قرار دادن IDS ها نیز متفاوت خواهد بود. بطور کلی در یک شبکه برای قرار دادن این سیستم ها در محل مناسب باید به موارد زیر توجه کرد :

  • از یک IDS بین Router و Firewall استفاده شود.
  • برای هر زیر مجموعه از شبکه نیز از یک IDS استفاده شود.

در شکل زیر نمونه ای از معماری شبکه و محل قرار گیری ان را مشاهده میکنید.

سیستم های تشخیص نفوذ IDS

محدودیت های استفاده از IDS


  • پارازیت، اطلاعات تولید شده از باگ نرم افزارها، معیوب بودن اطلاعات DNS و اطلاعات ناقص تولید شده توسط سیستم میزبان از عوامل عمده اخطارهای بی مورد توسط IDS میباشد.
  • در صورت پیکربندی نامناسب سیستم اخطارهای صحیح مربوط به حملات نسبت به اخطارهای بی اساس نسبت کمتری خواهد داشت.
  • در صورتی که بروز رسانی به موقع انجام نشود، سیستم در شناسایی حملات جدید ناتوان خواهد بود.

چند نمونه از سیستم های تشخیص نفوذ متن باز


  1. AIDE : از سیستم های شناسایی تهاجم گروه DIDS میباشد. این سیستم برروی سیستم عامل Unix نصب میشود.
  2. ACARM-ng : این IDS دارای قابلیت های کارکرد بعنوان HIDS و NIDS میباشد، برروی سیستم عامل Linux قابل اجراست و از جمله ویژگی های ان میتوان به سرعت بالا، استفاده کمتر از CPU و تحلیل لحظه ای ترافیک شبکه اشاره کرد.
  3. Bro NIDS :این سیستم شناسایی حملات بر روی سیستم عامل Linux اجرا میشود و همانطور که از اسم ان مشخص است در گروه NIDS ها قرار میگیرد.
  4. OSSEC NIDS : این IDS که از گروه HIDS ها میباشد دارای نسخه هایی برای همه سیستم های عامل میباشد. و از ویژگی های دیگر ان میتوان به تحلیل Log سیستم، بررسی فعالیت های ان، چک کردن Registry و شناسایی Rootkit ها اشاره کرد.
  5. Prelude Hybrid IDS :این سیستم شناسایی تهاجم برروی سیستم عامل Linux نصب میشود و نسخه ویندوز ان نیز به تازگی منتشر شده است.
  6. Samhain :این IDS که Host-base میباشد دارای قابلیت های متعددی از جمله خواندن و تحلیل Log سیستم، چک کردن فایل ها و فعالیت های میزبان، توانایی بالا در شناسایی Rootkit ها، Port Scanning و بررسی پردازش های پنهان سیستم دارد. این نرم افزار که رایگان است بر روی سیستم عامل های Windows, Linux و Unix قابل راه اندازی است.
  7. Snort : این سیستم که Network-base میباشد، از جمله نرم افزارهای محبوبی است که برای شناسایی حمله و خطرات شبکه مورد استفاده قرار میگیرد.دارای قابلیت تحلیل Log و پروتکل ها میباشد. شناسایی حملات سرریز بافر و Port scanning توسط این نرم افزار بخوبی انجام میشود و دارای نسخه هایی برای Windows و Linux میباشد.
  8. Suricate : این IDS از جمله سیستم هایی است که دارای نسخه های متعدد برای هر نوع سیستم عامل میباشد.

نویسنده :

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#روش_کار_IDS #انواع_IDS #سیستم_تشخیص_نفوذ_تحت_شبکه #انواع_سیستم_تشخیص_نفوذ_یا_ids #نوشتن_rule_در_snort #معرفی_انواع_ids #سیستم_تشخیص_نفوذ_تحت_وب #سیستم_تشخیص_نفوذ

محسن نیک نژاد
محسن نیک نژاد

متخصص و علاقمند حوزه امنیت نرم افزار عاشق لینوکس و ابزارهای متن باز

نظرات