معرفی IDS و IPS و معرفی انواع سیستم های تشخیص نفوذ

IDS به معنای سیستم کشف یا تشخیص نفوذ و یک تجهیز نرم افزاری و یا سخت افزاری است که میتواند حملات و یا نفوذهایی که در حال اتفاق بر روی شبکه و سیستم وجود دارند را شناسایی نموده و همچنین گزارشی را از نحوه عملکرد آنها ایجاد نماید. ( IPS ( Intrusion Prevension System چیست ؟ IPS به معنای سیستم ممانعت یا جلوگیری از نفوذ و یک تجهیز نرم افزاری و یا سخت افزاری است که تلاش می نماید جلوی حملات و نفوذهایی که توسط IDS شناسایی شده را بگیرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

معرفی انواع IDS  ( سیستم تشخیص نفوذ )

  • ( Host Base IDS ( HIDS
  • ( Network Base IDS ( NIDS
  • File Integrity Checker
  • ( Distributed IDS ( DIDS

HIDS چیست؟

این نوع از IDS برای شناسایی و تشخیص حملات ، نفوذ و فعالیت های غیر مجاز بر روی سیستم های میزبان ( Host ) می باشد و در این نوع با توجه IDS مورد استفاده ، در برخی موارد نیاز هست که Agentی را بر روی سیستم های مورد نیاز نصب ، تا بواسط Agent حملات ، نفوذ و فعالیت های غیر مجاز را بروی سیستم های مذکور شناسایی و گزارش نماییم.

NIDS چیست؟

در این نوع IDS ترافیک های شبکه را Capture و بررسی نموده و در صورت وجود حملات ، نفوذ و یا ترافیک مخرب آنها را شناسایی و گزارش می نماید.در این نوع IDS نیاز هست که کارت شبکه سیستم IDS در حالتPromiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.

File Integrity Checker چیست؟

در این نوع IDS در ابتدا برای تمامی فایل های سیستم Signatureهایی را ایجاد و آنها را در پایگاه داده ای ذخیره می نماید سپس در بازه های زمانی که ما مشخص می نماییم وضعیت جاری فایل های سیستم را با Signature های موجود در پایگاه داده مقایسه می نماید و در صورت وجود تغییرات در فایلها و یا ایجاد و حذف فایلی آنها را گزارش می نماید.

DIDS چیست؟

در این نوع IDS از چندین نوع NIDS یا HIDS و یا بصورت ترکیبی استفاده و همچنین از یک ایستگاه مرکزی برای مدیریت آنها استفاده می شود.IDS بطور کل از دو تکنیک برای شناسایی نفوذ استفاده می نماید که عبارتند از :

  • Signature (misuse) Base Detection
  • Behavior Anomaly Detection

Signature Base Detection : در این تکنیک در ابتدا الگوهایی در قالب Rule ها ایجاد و ترافیک های شبکه را با این Ruleها بررسی و چک می نمایند و در صورت مطابقت با آنها میتواند گزارشی را ایجاد نماید.

Behavior Anomaly Detection : در این تکنیک در ابتدا الگوها و قواعدی را از رفتار عادی ( Normal ) ترافیک های شبکه و یا سیستم ایجاد نموده و در صورت مشاهده نمودن رفتاری غیر عادی آن را گزارش می نماید.

Snort چیست ؟

Snort قدرتمند ترین NIDS ، NIPS نرم افزاری متن باز و رایگان که دارای توانایی انجام سریع تجزیه و تحلیل ترافیک های شبکه در جهت تشخیص و جلوگیری از نفوذ این ترافیک ها می باشد.Snort در سال 2009 به عنوان بهترین برنامه متن باز در زمان خود شناخته شد.Snort توسط توسعه دهندگان Sourcefire که متعلق به کمپانی معروف سیسکو هستند توسعه داده می شوند.Snort در چهار Mode میتواند مورد استفاده قرار گیرد که عبارتند از :

  • Sniffer Mode : در این حالت Snort به Sniff نمودن ترافیک های شبکه می پردازد.در این حالت نیاز هست که کارت شبکه سیستمی که Snort بر روی آن نصب هست در حالت Promiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.
  • Packet Logger Mode : در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی ( Logی ) از آنها ایجاد می نماید.
  • IDS Mode : در این حالت Snort در حالت IDS قرار گرفته و میتواند ترافیک هایی که Sniff شده اند را بررسی و تجزیه و تحلیل نماید و در صورت وجود حملات ، نفوذ و یا رفتارهای غیرعادی آنها را شناسایی و گزارشی از آنها ایجاد نماید.
  • Inline Mode : در این حالت Snort در حالت IPS قرار گرفته و تلاش می نماید جلوی حملات ، نفوذ و یا رفتارهای غیر عادی شناسایی شده را بگیرد.

پکیج های مهم برای نصب Snort عبارتند از :

  • Pcre : مجموعه از Library هایی است که برای پیاده سازی الگوهای با قاعده برای Rule های Snort از آنها استفاده می شود.
  • Libpcap : توسط این پکیج میتوان Packetهای شبکه را Capture نمود.
  • Tcpdump : یک ابزار Sniffer می باشد که برای Sniff نمودن ترافیک های شبکه از آن استفاده می شود.
  • Libdnet : یک ابزار ساده برای تجزیه و تحلیل و دستکاری Packetهای شبکه می باشد.
  • DAQ : مجموعه از  API Library که به جمع آوری اطلاعات برای Snort می پردازد. DAQ از پکیج Libdnet برای جمع آوری اطلاعات استفاده می نماید.
  • اسنورت ( SNORT ) چیست؟

    اسنورت یک سیستم یا بهتر بگوییم یک نرم افزار امنیتی است که در شبکه های کامپیوتری مورد استفاده قرار می گیرد و با تجزیه و تحلیل کردن ترافیک شبکه ، می تواند حملات هکری و نفوذ به شبکه را تشخیص و به متخصصین امنیت گزارش کند به زبان عامی تر SNORT یک IDS یا سیستم تشخیص نفوذ است.

نظرات