درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
مجتبی اسمائی
امتیاز: 24183
رتبه:28
118
4
0
39
هیچ ادعایی ندارم اما میدانم که میتوانم ... آیدی تلگرام : MojtabaAsmaei@ آیدی اینستاگرام : Mojtaba_Asmaei@ پروفایل کاربر

سیستم تشخیص و جلوگیری از نفوذ Snort

تاریخ 17 ماه قبل
نظرات 0
بازدیدها 579
( IDS ( Intrusion Detection System چیست ؟
IDS به معنای سیستم کشف یا تشخیص نفوذ و یک تجهیز نرم افزاری و یا سخت افزاری است که میتواند حملات و یا نفوذهایی که در حال اتفاق بر روی شبکه و سیستم وجود دارند را شناسایی نموده و همچنین گزارشی را از نحوه عملکرد آنها ایجاد نماید.

( IPS ( Intrusion Prevension System چیست ؟
IPS به معنای سیستم ممانعت یا جلوگیری از نفوذ و یک تجهیز نرم افزاری و یا سخت افزاری است که تلاش می نماید جلوی حملات و نفوذهایی که توسط IDS شناسایی شده را بگیرد.

انواع IDS :
  • ( Host Base IDS ( HIDS
  • ( Network Base IDS ( NIDS
  • File Integrity Checker
  • ( Distributed IDS ( DIDS

HIDS :
این نوع از IDS برای شناسایی و تشخیص حملات ، نفوذ و فعالیت های غیر مجاز بر روی سیستم های میزبان ( Host ) می باشد و در این نوع با توجه IDS مورد استفاده ، در برخی موارد نیاز هست که Agentی را بر روی سیستم های مورد نیاز نصب ، تا بواسط Agent حملات ، نفوذ و فعالیت های غیر مجاز را بروی سیستم های مذکور شناسایی و گزارش نماییم.

NIDS :
در این نوع IDS ترافیک های شبکه را Capture و بررسی نموده و در صورت وجود حملات ، نفوذ و یا ترافیک مخرب آنها را شناسایی و گزارش می نماید.
در این نوع IDS نیاز هست که کارت شبکه سیستم IDS در حالتPromiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.

File Integrity Checker :
در این نوع IDS در ابتدا برای تمامی فایل های سیستم Signatureهایی را ایجاد و آنها را در پایگاه داده ای ذخیره می نماید سپس در بازه های زمانی که ما مشخص می نماییم وضعیت جاری فایل های سیستم را با Signature های موجود در پایگاه داده مقایسه می نماید و در صورت وجود تغییرات در فایلها و یا ایجاد و حذف فایلی آنها را گزارش می نماید.

DIDS :
در این نوع IDS از چندین نوع NIDS یا HIDS و یا بصورت ترکیبی استفاده و همچنین از یک ایستگاه مرکزی برای مدیریت آنها استفاده می شود.

IDS بطور کل از دو تکنیک برای شناسایی نفوذ استفاده می نماید که عبارتند از :
  • Signature (misuse) Base Detection
  • Behavior Anomaly Detection

Signature Base Detection :
در این تکنیک در ابتدا الگوهایی در قالب Rule ها ایجاد و ترافیک های شبکه را با این Ruleها بررسی و چک می نمایند و در صورت مطابقت با آنها میتواند گزارشی را ایجاد نماید.

Behavior Anomaly Detection :
در این تکنیک در ابتدا الگوها و قواعدی را از رفتار عادی ( Normal ) ترافیک های شبکه و یا سیستم ایجاد نموده و در صورت مشاهده نمودن رفتاری غیر عادی آن را گزارش می نماید.

Snort چیست ؟

Snort قدرتمند ترین NIDS ، NIPS نرم افزاری متن باز و رایگان که دارای توانایی انجام سریع تجزیه و تحلیل ترافیک های شبکه در جهت تشخیص و جلوگیری از نفوذ این ترافیک ها می باشد.
Snort در سال 2009 به عنوان بهترین برنامه متن باز در زمان خود شناخته شد.
Snort توسط توسعه دهندگان Sourcefire که متعلق به کمپانی معروف سیسکو هستند توسعه داده می شوند.

Snort در چهار Mode میتواند مورد استفاده قرار گیرد که عبارتند از :
  • Sniffer Mode
  • Packet Logger Mode
  • IDS Mode
  • ( Inline Mode ( IPS

Sniffer Mode :
در این حالت Snort به Sniff نمودن ترافیک های شبکه می پردازد.
در این حالت نیاز هست که کارت شبکه سیستمی که Snort بر روی آن نصب هست در حالت Promiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.

Packet Logger Mode :
در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی ( Logی ) از آنها ایجاد می نماید.

IDS Mode :
در این حالت Snort در حالت IDS قرار گرفته و میتواند ترافیک هایی که Sniff شده اند را بررسی و تجزیه و تحلیل نماید و در صورت وجود حملات ، نفوذ و یا رفتارهای غیرعادی آنها را شناسایی و گزارشی از آنها ایجاد نماید.

Inline Mode :
در این حالت Snort در حالت IPS قرار گرفته و تلاش می نماید جلوی حملات ، نفوذ و یا رفتارهای غیر عادی شناسایی شده را بگیرد.

پکیج های مهم برای نصب Snort عبارتند از :
  • Pcre
  • Libpcap
  • Tcpdump
  • Libdnet
  • ( DAQ ( Data Acquisition

Pcre :
مجموعه از Library هایی است که برای پیاده سازی الگوهای با قاعده برای Rule های Snort از آنها استفاده می شود.

Libpcap :
توسط این پکیج میتوان Packetهای شبکه را Capture نمود.

Tcpdump :
یک ابزار Sniffer می باشد که برای Sniff نمودن ترافیک های شبکه از آن استفاده می شود.

Libdnet :
یک ابزار ساده برای تجزیه و تحلیل و دستکاری Packetهای شبکه می باشد.

DAQ :
مجموعه از API Library که به جمع آوری اطلاعات برای Snort می پردازد.
DAQ از پکیج Libdnet برای جمع آوری اطلاعات استفاده می نماید.


فیلم آموزشی دوره تخصصی Snort


برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید