در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

امن کردن شبکه با سیستم های تشخیص نفوذ IDS و IPS قسمت 1


سیستمهای تشخیص نفوذ چیست ؟

تلاش هكرها جهت نفوذ به شبکه از یک طرف و تلاش مدیران IT جهت جلوگیری و ایمن سازی شبکه از نفوذ آنها از طرف دیگر، از زمان پیدایش فضای سایبری وجود داشته و خواهد داشت. اما باید به این مورد اذعان داشت که نفوذگرها هميشه یک قدم از تحلیلگران امنیتی جلوتر هستند.متخصصین امنیت IT همواره به طرق مختلف از قبیل ايمن سازي تنظيمات سيستم، نصب ویروس یاب ها، آنتی اسپای ها ، سيستم هاي تشخیص نفوذ IDS و IPS ، فايروال ها ، UTM ها ، هاني پات و یا روشهای تست نفوذ و بکارگیری خط مشی های امنیتی از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند.

اما در این مقاله سعی بر این است در ارتباط با سیستم های تشخیص نفوذ ، مطالبی بیشتری را ارائه کنیم .يك IDS يا سيستم تشخيص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق می‌گردد که در یک سیستم رایانه‌یی که می‌تواند یک شبکه‌ی محلی یا گسترده باشد كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد را شناسایی و اعلام اخطار کند و این اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود .


يك IDS عملاً سه وظیفه‌ی پایش، تشخیص، واکنش را انجام می دهد و در واقع یک نوع Packet-Sniffer محسوب مي شود كه ترافیک شبکه را تجزيه و تحليل کرده و اگر بخواهد تلاشی برای نفوذ به شبکه انجام گیرد آن را شناسایی کرده(IDS)و اگر پس از تشخیص، حملات را از بین ببرد ، سیستم مربوطه به عنوان یک سیستم Intrusion Prevention System (IPS) مطرح می گردد.سیستم‌هایی نظیر IDSها در یک شبکه به کارآمدی کلیه تجهیزات، فرآیندها و کارکنانی وابسته می‌باشند که در مواقع لزوم به رخدادها پاسخ می‌دهند.

با توجه به این نکته که حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشکال، می‌توان هر یک از IDSها را برای یک Application خاص تخصیص داد.


روش هاي تشخيص نفوذ

بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند : 
  1. شناسايي امضاء يا ( Signature) : در اين روش، به محض اينكه سامانه، ترافيكي را تشخیص دهد آنرا با اطلاعات پايگاه داده خود مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند. 
  2. تشخيص رفتار غير عادي ( Anomaly ) : در اين روش، سامانه با رصد ترافیک شبکه و مقایسه بین رفتار عادی شبکه و رفتار غیر عادی که بر اثر عملی صورت گرفته پی به تشخیص نفوذ برده.
  3. تشخيص رفتار غير عادي پروتکل ها Protocol Anomely: تحلیل ترافیک و اطمینان از عدم وجود PACKET های غیر قانونی با مقایسه Protocol Portion

انواع سيستم هاي تشخيص نفوذ

در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی نمود :
  1. سيستم هاي تشخيص نفوذ تحت شبكه (NIDS ):در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌ها،به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند و ترافیک بصورت بلادرنگ بر روی خطوط ارتباطی، مورد نظارت قرار می گیرد. به عبارت دیگر معیار NIDSها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.مانند نرم افزار SNORT در سيستم عامل لينوكس. 
  2. سيستم هاي تشخيص نفوذ ميزبان (HIDS ) :معیار تشخیص حملات در این سیستم‌ها، اطلاعات جمع‌آوری شده بر روی کلاینت های شبکه است. در این سیستم ها نرم افزار بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود و بصورت مجزا فعاليت مي كنند .این سرویس کوچک (Agent) در ماشین مقصد (میزبان) می توانند کلیه تحرکات آنرا مورد نظارت قرار دهند. و با تحلیل عملیات انجام شده، سعی در تشخیص تلاش‌هایی که برای نفوذ به کلاینت مذکور انجام می شود دارند.در این سیستم حفاظتی، به هنگامیکه رخدادی خارج از روال عادی روی دهد، بلافاصله از طریق SNMP هشدارهایی بطور خودکار برای مسئولین شبکه ارسال می گردد.برای رسیدن به یک سیستم تشخیص نفوذ کامل، به‌ترین راه استفاده‌ی همزمان از هر دو نوع این ابزارهاست.

تفاوت میان IPS و IDS چیست؟

IDS شبکه را پایش کرده و درصورت تشخیص حمله اخطار می دهند و در واقع بیش از یک دستگاه گردآوری کننده اطلاعات و آگاه کننده اختلالات شبکه نیستند که تنها قادرند هر بسته ای را که قصد عبور دارد ارزیابی و تحلیل کنند.IPS از ورود بدون مجوز به شبکه یا سرویس دهنده جلوگیری به عمل می آورد. IPS نسل جدیدی از فن آوری IDS است که دارای مکانیسم پیشگیری هستند و نه فقط واکنش گه توانایی مسدود کردن حملات را داشته باشد و می‌تواند به بیرون راندن تراکم موجود در شبکه ، قطع و وصل ارتباط شبکه داخلی با شبکه خارجی و کنترل رفت و آمدها به داخل و خارج شبکه اشاره کرد.ذاتا تمام IPS ها IDS نیز هستند ما IDS ها IPS نیستند.

نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#انواع_IDS #سیستم_تشخیص_نفوذ_تحت_شبکه #انواع_سیستم_تشخیص_نفوذ_یا_ids #مکانیزم_کاری_سیستم_تشخیص_نفوذ #تشخیص_نفوذ #معرفی_انواع_ids #سیستم_تشخیص_نفوذ_تحت_وب #nids_چگونه_کار_می_کند #تفاوت_ips_و_ids #سیستم_تشخیص_نفوذ
عنوان
1 امن کردن شبکه با سیستم های تشخیص نفوذ IDS و IPS قسمت 1 رایگان
2 امن کردن شبکه با سیستم های تشخیص نفوذ IDS و IPS قسمت 2 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....