در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

(Host-based Intrusion Prevention System (HIPS چیست؟

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. یکی از اهداف اساسی در امنیت سیستم و کامپیوتر، تامین سلامت و یکپارچگی آن ها میباشد. HIPS یک عنصر با ارزش در شبکه است که در حفظ یکپارچگی Host استفاده میشود. در پیاده سازی های سازمانی، HIPS بصورت مرکزی مدیریت میشود و مدیران سیستم از این طریق پالیسی ها و رول های مختلف را روی تک تک Host ها اجرا میکنند. نسخه ای از هشدارهای ناشی از فعالیت خرابکارانه یا غیرعادی بر روی Host ها در سیستم مدیریت ذخیره میشود تا در آن جا بتوان آن ها را با یکدیگر Correlate (مرتبط) کرد. HIPS مستقیما بر روی سیستمی که قصد محافظت از آن را داریم، پیاده سازی میشود.

سیاست های HIPS میتواند طوری تنظیم شوند تا فعالیت های غیرعادی و یا خرابکارانه را لاگ انداخته و یا جلوی فعالیت آن ها را بگیرند . HIPS عموما شامل چهار تکنولوژی مختلف است:

1 .Host Firewall

2 .Registry Monitor

3 .File integrity monitor

4 . Process یا application behavior monitor

(Host-based Intrusion Prevention System (HIPS چیست؟

Host Firewall


فایروال های موجود بر روی Host مانعی را در بین مسیر یک کامپیوتر و دیگر سیستم های خارجی قرار میدهد. تمام اطلاعاتی که به سیستم و یا احیانا از سیستم وارد و یا خارج میشوند، باید قبل از آن که بطور کامل پردازش شوند، از فایروال عبور کنند. فایروال بر روی ترافیک ورودی به Host بازرسی کامل و همچنین عمل port-blocking را انجام میدهد. نوعا فقط پورت های مورد استفاده و لازم باز میمانند و پورت های بلا استفاده بسته خواهند شد. با این عمل احتمال آلوده شدن سیستم بواسطه پورت های غیر ضروری کاهش میابد. از آنطرف نیز، فایروال اپلیکیشن هایی را که مجاز به ارسال دیتا به بیرون از سیستم هستند را از طریق بررسی یک لیست سفیدی (چک لیست ترافیک مجاز) که در دست دارد، مدیریت میکند. با این عمل شانس موفقیت اکسپلویت ها و بدافزارها برای تماس معکوس از سیستم با سرورهای معروف به Command & Control کاهش میابد. توصیه میشود فایروال طوری تنظیم شود که در برابر هر دو ترافیک ورودی و خروجی، از لیست سفید (چک لیست ترافیک مجاز) استفاده کند.

Registry Monitor


اغلب اطلاعات ساختاری یک ویندوز در رجیستری یافت میشود. رجیستری اطلاعات مربوط به برنامه های نصب شده، ساختاربندی های سیستم عامل، لیست برنامه های اجرا شده و ... را درخود نگهداری میکند. وظیفه Registry Monitor مانیتور و محافظت از این بخش مهم در سیستم عامل است. برخی از این رصد ها از رجیستری یک snapshot گرفته و سپس بر طبق زمانبندی که برای آن صورت میگیرد، مقادیر فعلی در رجیستری را با snapshot گرفته شده مقایسه میکنند و در صورت وجود تغییرات ناخواسته، آن را شناسایی و هشدار میدهند.

نوعی دیگر از این رصدها به این گونه انجام میشود که هر برنامه ای را که بصورت غیرمجاز قصد ایجاد تغییرات در رجیستری را داشته باشد، بصورت لحظه ای بازرسی میکنند.

File Integrity Monitor


بمانند Registry Monitor، این بخش نیز تغییرات صورت گرفته در بخش های حساس سیستم و فایل های اپلیکیشن را گزارش میدهد. File Integrity Monitor پیچیده تر این قابلیت را دارد تا از ایجاد تغییرات در فایل های حساس سیستمی بدون دخالت مستقیم کاربر جلوگیری کند. در حقیقت اکثر مانیتورهایی که به منظور یکپارچگی سیستم صورت میپذیرند، قابلیت محافظت از رجیستری و file system را دارند.

Process//Application Behavior Monitor


این بخش به مطالعه رفتار فرآیندهایی که بروی سیستم اجرا میشوند می پردازند و در صورتی که اپلیکیشن رفتارهایی را از خود نشان دهد که خارج از عرف و یا رفتارهای مجاز باشد، هشدار خواهد داد. همچنین میتوان آن را طوری ساختاربندی کرد تا جلوی رفتارهای نامتعارف را بگیرد. این تلاش های غیر نرمال شامل دسترسی به شبکه، ایجاد فایل و تغییرات در دایرکتوری های محافظت شده، اضافه کردن اطلاعات به بخش های حساس رجیستری، خواندن فایل های حساس، دسترسی بیش از حد به مموری، اجرای یک اپلیکیشن جدید، فراخوانی توابع دارای سطح دسترسی، لود کردن کتابخانه هایی که Untrust هستند و .... میباشند.

(Host-based Intrusion Prevention System (HIPS چیست؟

برای آن که HIPS اثرگذاری خود را داشته باشد، باید دقت داشته باشیم که ذاتا خود HIPS دارای یک پالیسی منظم و خوب تعریف شده است. سازنده ها بطور پیش فرض بسیاری از رول ها در محصول خود گنجانده اند اما وظیفه مدیر سیستم است تا این رول ها را با توجه به شرایط محیطی و شبکه خود اولویت بندی کرده و ریسک هایی که با آن روبرو هستند را به محصول معرفی کند.

این احتمال وجود دارد که برخی از رول های از پیش تعریف شده با فعالیت های تجاری شما تضاد داشته باشند. در صورت بروز چنین رویدادی، باید با تعریف مجدد آن رول، موارد مختل کننده را جزو استثتائات آن رول بشمار آورد و یا آن که تا وقتی که لازم است رول مورد نظر را غیر فعال نمود.

سربلند و مانا باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#registry_monitor_چیست؟ #آموزش_امنیت_اطلاعات #file_integrity_monitor_چیست؟ #آموزش_امنیت_شبکه #hips_چیست؟ #host_firewall_چیست؟
عنوان
1 (Data Execution Prevention (DEP چیست؟ رایگان
2 (Address Space Layout Randomization (ASLR چیست؟ رایگان
3 (Host-based Intrusion Prevention System (HIPS چیست؟ رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....