در سالهای گذشته مقوله امنیت شبکه مورد توجه اغلب سازمان ها، شرکت های کوچک و بزرگ و حتی کشورها بوده است، از این رو دائما ابزار های مختلفی جهت افزایش امنیت، شناسایی تهدیدها و جلوگیری از این تهدیدها توسط شرکت ها و سازمان های فعال در زمینه امنیت به بازار ارائه میشود. بی شک Firewall و IDS/IPS از مهمترین این ابزارها هستند.هر دو ابزار هدف مشترکی را دنبال میکنند اما تفاوت هایی نیز دارند، در جدول زیر به مقایسه این دو ابزار پرداخته ایم.
سیستم های IDS را از نظر نوع جستجو برای شناسایی تهاجم به سه دسته تقسیم میکنند.
در این سیستم ها، بدنه اصلی شبکه (ترافیک عبوری بر روی میزبان های مختلف) مورد بررسی قرار میگیرد. در HIDS با اتصال سرور IDS به شبکه از طریق Switch یا Hub و بررسی Packet های ورودی و خروجی میزبان ها، حملات را مورد بررسی قرار میدهند. از سیستم های نرم افزاری موجود میتوان از Snort نام برد.
در این دسته، سیستم به بررسی فعالیت ها و ترافیک یک میزبان میپردازد. و دارای دو تفاوت اساسی با سیستم HIDS است. بدلیل اینکه در HIDS ترافیک یک میزبان مورد بررسی قرار میگیرد از سرعت و اطمینان بیشتری نسبت به HIDS برخوردار است. ویژگی بعدی HIDS کمتر بودن تعداد قوانین ان است، بطور مثال سروری که سرویس DNS را ارائه نمیدهد هیچ لزومی ندارد که قوانین شناسایی تهدیدات مربوط به این سرویس را بداند در نتیجه مصرف CPU کمتر و کارایی سیستم بیشتر میشود. از جمله سیستم های معروف این دسته میتوان به OSSEC و Tripwire اشاره کرد.
این گروه از IDS ها از چند HIDS یا NIDS یا ترکیبی از این دو بهمراه یک سیستم مدیریت مرکزی تشکیل میشود. بدین صورت که هر IDS موجود در شبکه گزارش های خود را برای مدیریت مر کزی ارسال میکند و سیستم مرکزی وظیفه بررسی کردن گزارش ها، اخطار در صورت نیاز و دیگر اقدامات لازم را دارد. این سیستم همچنین وظیفه بروز رسانی بانک قوانین شناسایی را نیز دارا میباشد. در شکل زیر پیاده سازی یک DIDS را مشاهده میکنید.
برای شناسایی حملات از دو روش اصلی استفاده میشود
بطور کلی در این روش فعالیت ها و ترافیک شبکه را به دو دسته معمول و غیر معمول تقسیم بندی میکنند، این روش مبتنی بر میانگین فعالیت های موجود درون یک شبکه است (مانند حجم ترافیک، پروتکل ها و پورت هایی که بطور معمول استفاده میشود ). بطور مثال در نظر میگیرند اجرای چند بار از یک دستور، توسط کاربری مشخص، در یک تماس با یک سرویس دهنده یا میزبان طبیعی است و در صورت تکرار بیشتر دستور سیستم در مقابل ان عکس العمل نشان میدهد.در این روش پیکربندی سیستم بصورت دستی (Statically) با توجه به نیاز و موقعییت شبکه و توسط مدیر شبکه صورت میگیرد.امروزه حملات به گونه ای پیچیده، طراحی و اجرا میشوند که نمیتوان تنها از روش Anomaly برای شناسایی و جلوگیری از ان استفاده کرد.
منظور از Signature مجموعه قواعدی است که وقوع یک نفوذ یا حمله را شناسایی میکند، از مجموعه این Signature ها در نهایت الگویی برای شناسایی حملات بوجود می اید. در این روش سیستم ترافیک موجود در شبکه را مورد بررسی قرار میدهد و ان را با Data Base خود مقایسه میکند. و در صورت یافتن تطابق با ان نسبت به اخطار به مدیر شبکه و دیگر تصمیم گیری ها اقدام میکند.در روش Signature Base پیکر بندی دستگاه بصورت Dynamic صورت میگیرد، مانند Anti Virus ها. تجربه نشان داده است که استفاده از هر دو روش برای شناسایی و جلوگیری از حملات بهترین نتیجه را در بر خواهد داشت.
علاوه بر موارد فوق، سوال مهمی که در هنگام استفاده از سیستم IDS مطرح میشود، محل قرار گیری این سیستم ها درون شبکه میباشد.بطور کلی بهترین مکان برای قرار گیری این سیستم ها بین Firewall و Router میباشد. باید توجه داشت، در صورت قرار دادن این سیستم در بین Firewall و شبکه بیرونی حجم زیادی از اطلاعات بسمت IDS سرازیر میشود که علاوه بر کاهش بازدهی سیستم امکان بوجود امدن خطاهای بیشماری را فراهم میکند.
و در صورتی که شبکه دارای محیط DMZ یا زیر مجموعه های متعدد باشد، معماری شبکه برای قرار دادن IDS ها نیز متفاوت خواهد بود. بطور کلی در یک شبکه برای قرار دادن این سیستم ها در محل مناسب باید به موارد زیر توجه کرد :
در شکل زیر نمونه ای از معماری شبکه و محل قرار گیری ان را مشاهده میکنید.
نویسنده :
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#روش_کار_IDS #انواع_IDS #سیستم_تشخیص_نفوذ_تحت_شبکه #انواع_سیستم_تشخیص_نفوذ_یا_ids #نوشتن_rule_در_snort #معرفی_انواع_ids #سیستم_تشخیص_نفوذ_تحت_وب #سیستم_تشخیص_نفوذمتخصص و علاقمند حوزه امنیت نرم افزار عاشق لینوکس و ابزارهای متن باز
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود