آشنایی با سیستم های تشخیص نفوذ- قسمت اول
در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.
پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.
مقدمه
برای ایجاد امنیت کامل در یک سیستم کامپیوتری، علاوه بر دیواره های آتش و دیگر تجهیزات جلوگیری از نفوذ، سیستم های دیگری به نام سیستم های تشخیص نفوذ (IDS) مورد نیاز می باشند تا بتوانند در صورتی که نفوذگر از دیواره ی آتش، آنتی ویروس و دیگر موارد امنیتی عبور کرد و وارد سیستم شد، آن را تشخیص داده و چاره ای برای مقابله با آن بیندیشند.
سیستم های تشخیص نفوذ را می توان از سه جنبه ی روش تشخیص، معماری و نحوه ی پاسخ به نفوذ طبقه بندی کرد. انواع روش های تشخیص نفوذ عبارتنداز: تشخیص رفتار غیرعادی و تشخیص سوء استفاده (تشخیص مبتنی بر امضا).
انواع مختلفی از معماری سیستم های تشخیص نفوذ وجود دارد که به طور کلی می توان آن ها را در سه دسته ی مبتنی بر میزبان(HIDS )، مبتنی بر شبکه(NIDS ) و توزیع شده (DIDS ) تقسیم بندی نمود.
سیستم های تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله، به کار گرفته می شوند.
هدف این سیستم ها، جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه ی کامپیوتری و اعلام آن به مدیر سیستم است.
عموما سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.
سیستم تشخیص نفوذ چیست؟
با یک مثال شروع می کنیم:
فرض کنیم برای کنترل ورود و خروج به ساختمان یک اداره، یک در داریم.
پس از شناسایی فرد مورد نظر، در را برای او باز می کنیم؛ این در حالی است که تا قبل از این که در باز نشده است نمی توان تشخیص داد که طرف مجاز به ورود هست یا خیر!
به منظور ایجاد امنیت، ما یک نگهبان خیلی قوی برای در ساختمان استخدام می کنیم.
(firewall ) و قوانین و مقررات ورود و خروج، مشخصات افراد مجاز به عبور و سیاست های امنیتی مورد نظرمان را با او هماهنگ می کنیم تا از ورود و خروج افراد غیرمجاز جلوگیری نماییم.
حال مشکل زمانی به وجود می آید که مثلا احتمال دارد پشت در ۱۰ نفر آدم خیلی قوی (حتی قوی تر از نگهبان ما) وجود داشته باشند که وقتی در باز شود دیگر نگهبان نتواند جلوی ورود آن ها را بگیرد (حمله ی DoS ).
برای حل این مشکل در خیلی جاها از یک سیستم آیفون تصویری و یا چشمی پشت در یا مانند این ها، استفاده می کنند.
تا قبل از این که در باز شود پشت در را ببینند و به صورت نسبی تشخیص بدهند که آیا در را باز کنند یا خیر.
منظور از واژه ی نسبی این است که امکان دارد با وجود داشتن این امکانات (چشمی در، آیفون تصویری و… ) باز هم مشکلاتی به وجود آید و تشخیص اشتباه داده شود، مانند:
- ممکن است فرد یا افرادی را که از چشمی در یا آیفن تصویری مشاهده می کنیم، به ظاهر مشخصات افراد مجاز را داشته باشند ولی با ورود به ساختمان و عبور از فیلتر نگهبان، به خرابکاری دست بزنند.
- ممکن است فرد یا افراد مشاهده شده پشت در، ظاهرا و از دید سیاست های امنیتی تعریف شده ی ما، خرابکار و غیرمجاز تلقی شوند اما در اصل، افراد مفیدی برای اداره باشند.
معادل این مثال در شبکه
عاملی بر سر راه مسیرهای ورودی (مانند اینترنت) به شبکه قرار می دهیم که ترافیک های آزاردهنده برای شبکه (مانند حمله های DoS ) را قبل از ورود به شبکه شناسایی کند و جلوی ورود آن ها را به شبکه بگیرد.
نام این عامل سیستم تشخیص نفوذ یا IDS – Intrusion Detection System است که موضوع این نوشتار است.
یک سیستم ساده IDS که host-based باشد، می تواند شما را از تغییرات ناخواسته در فایل های مهم سیستمی آگاه کند.
(براساس checksum مربوط به فایل ها، کارش را انجام می دهد)
یک سیستم IDS مبتنی بر شبکه (Network IDS ) می تواند شما را از یک حمله ی بالقوه خبر کند.
مبنای کار آن می تواند بر پایگاه داده ای از حمله های شناخته شده یا حتی تفاوت های بین وضعیت جاری شبکه و وضعیت طبیعی و عادی شبکه باشد.
IDS درواقع یک نوع سیستم پیشرفته ی دزدگیر است.
برخی از این حمله ها (مخصوصا آن هایی که در لایه ی application هستند، مثل web exploit ) ممکن است از طریق firewall صورت گیرد.
تفاوت firewall با IDS
حال این سوال مطرح می شود که نقش firewall چیست؟
در حقیقت باید گفت که خیلی روش ها هستند که می توانند خود firewall را هم از کار بیندازند ( افراد قوی پشت در ).
دیوار آتش معمولا ابزار امنیتی است که برای اعمال سیاست های عبور و مرور بسته ها بین شبکه ی محلی و شبکه ی عمومی استفاده می شود.(درواقع سیاست هایی را که ما برای آن تعریف کرده ایم).
دیوار آتش برای حمله هایی که در لایه ی ۳ و۴ TCP/IP هستند، طراحی شده است و بسته ها را از لحاظ مبدا، مقصد و… بررسی می کند و کنترلی بر محتوای بسته ها ندارد.
لذا بسته هایی که از لایه ی ۳ و ۴ عبور می کنند و به لایه ی application می رسند، کنترلی در دیواره ی آتش روی آن ها صورت نمی گیرد. بنابراین برای کنترل محتوای بسته ها از این جهت که نفوذ و حمله ای از طریق آن ها صورت می گیرد یا خیر، به IDS نیاز است.
فایروال ها درجه های هوشمند زیادی دارند اما در عمل در نحوه ی انجام عملیاتی خود انعطاف زیادی ندارند.
هم چنین اگر با ارائه یک دسته گزارش و ثبت تلاش های نفوذگری در فایل های لاگ ، شما را آگاه می کنند ولی معمولا این گزارش ها واضح و دقیق نیستند.
بحث تشخیص نفوذ (یا intrusion detection )، تشخیص شرایطی را می دهد که از قبل مدل تعریف شده ی صرف برای آن وجود ندارد و فقط یک سری تعریف در مورد وضعیت غیر طبیعی برای آن موجود است که شاید در نهایت موردهای اشتباهی هم در تشخیص داشته باشد: مانند مواردی که گفته شد(توجه به کلمه ی نسبی ).
مکمل های سیستم های تشخیص نفوذ در برقراری امنیت
به دلیل تفاوت در ماهیت عملکرد دو ابزار firewall و IDS ها، تلفیقی از استفاده از هر دو ابزار می تواند امنیت کلی سیستم را بالا ببرد.
IDS یکی از مهم ترین مباحث امنیت شبکه است که وجود آن در کنار سیستم جلوگیری از نفوذ، باعث بالا رفتن درجه ی امنیت سیستم خواهد شد.
امنیت کامپیوتری (computer security ) یعنی شناسایی و جلوگیری از هرگونه دسترسی و استفاده ی غیرمجاز از یک کامپیوتر؛ این تعریف بر دو مفهوم اساسی جلوگیری و ممانعت prevention و کشف و شناسایی detection دلالت دارد.!
اگرچه هم فایروال ها و هم IDS ها در هر دو جنبه ی ذکر شده، کاربرد مشترکی پیدا می کنند اما باید توجه داشت که وظیفه ی اصلی فایروال، جلوگیری و وظیفه ی یک IDS در شناسایی است؛ به همین منظور این دو ابزار مکمل هم محسوب می شوند.
با توجه به افزایش نفوذگری ها در عصر اینترنت و پیدایش روش های جدید و پیچیده ی نفوذگری، نیاز به IDS ها، کم کم غیرقابل اجتناب می شود، به این دلیل که IDS ها می توانند انواع متنوع و پیچیده تری از نفوذها و اختلال ها را شناسایی کنند و در صورت امکان، خود از این اقدامات جلوگیری نمایند.
توجه: در برخی کشورها تقریبا تمامی شرکت ها و سازمان های کوچک و بزرگ از IDS ها استفاده می کنند و IDS ها خیلی گران تر از فایروال ها هستند.
توجه: IDS ها تا این لحظه بهترین و مؤثرترین انتخاب برای شناسایی و پاسخ گویی به حملات درونی و بیرونی یک شبکه به حساب می آیند.
نکته: هیچ ابزار امنیتی حتی سیستم های IDS ، هرگز امنیت کامل شبکه را تضمین نمی کنند؛ اما زمانی که در کنار اعمالی مانند تعیین خط مشی های امنیتی (security policy ) ، ارزیابی نقاط ضعف سیستم ها (vulnerability assessment ) ، رمزکردن داده ها و اطلاعات (data encryption ) ، اعتبارسنجی و مجوزدهی (authorization و authentication ) و فایروال و سپس استفاده از یک IDS ، میزان امنیت شبکه به طور قابل توجهی افزایش یافته است.
تعریف نفوذ (Intrusion )
فرآیند حمله و رخنه ی ناشی از آن، به عنوان یک نفوذ شناخته می شود.
در دنیای واقعی، اثر انگشت یک دلیل قانونی برای مجرمرخ شناختن فرد می باشد.
مشابه این موضوع در دنیای شبکه های کامپیوتری اتفاق می افتد، بدین شکل که یک حمله با اثر انگشت منحصربه فرد خود صورت می گیرد که به آن signature یا امضا می گویند.
با شناسایی این اثر انگشت یا امضا، می توان به وجود حمله پی برد. قوانین شناسایی نفوذ هم از روی همین اثر انگشت های منحصربه فرد هر حمله شناخته می شوند.
تعریف تشخیص نفوذ
تشخیص نفوذ عبارت است از فرآیند نظارت بر وقایع رخ داده در یک کامپیوتر و یا شبکه در جهت کشف موارد انحراف از سیاست های امنیتی.
در واقع هر زمان که از تشخیص یا کشف نفوذ بحث می شود، منظور این است که کامپیوتر مورد نظر ما تشخیص دسترسی غیرمجاز می دهد.
سیستم های تشخیص نفوذ (سیستم های دخول سرزده – IDS )
سیستم هایی (سخت افزار، نرم افزار یا تلفیقی از هردو) هستند که با بررسی و نظارت یک شبکه یا کامپیوتر، موارد و رخدادهای مشکوکی را که برخلاف سیاست های امنیتی تعریف شده برای آن کامپیوتر یا شبکه است را کشف و در صورت لزوم به آن ها پاسخی مناسب می دهند.
سیستم های تشخیص نفوذ سخت افزاری یا نرم افزاری؟
هر کدام از این سیستم ها مزایا و معایب خود را دارند؛
- سرعت و دقت و عدم شکست امنیتی توسط نفوذگران از مزایای سیستم های سخت افزاری است.
- استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت های سیستم عامل های مختلف، عمومیت بیش تری را به سیستم های نرم افزاری می دهد و معمولا این سیستم ها انتخاب مناسب تری هستند.
این سیستم ها، لاگ فایل های سرورها و روترها را می خوانند و آن ها را با ساختار حملات ممکن مطابقت می دهند.
پس از تطابق حاصله، IDS ، تصمیم های متفاوتی می گیرد از جمله : اخطار می دهد، دسترسی را قطع می کند، سرور را خاموش می کند و یک سری کارها انجام می دهد تا به شواهد بیش تری از وجود نفوذگر پی ببرد.
روش های هوشمند در تشخیص نفوذ به شبکه های کامپیوتری
- سیستم تشخیص نفوذ، یک سیستم محافظتی است که خرابکاری های در حال وقوع در شبکه را شناسایی می کند.
- در این سیستم ها با استفاده از اطلاعاتی مانند پایش پورت ها و تشخیص ترافیک غیرمتعارف، نفوذ خرابکاری ها را می توان کشف و مسئول شبکه گزارش داد.
- برای آن که IDS ها قدرت کشف و تشخیص نفوذهای از قبل تعریف نشده را داشته باشند، به نوعی هوشمندی نیاز دارند. در این حالت، این سیستم ها قابلیت یادگیری دارند و می توانند روی بسته های وارد شده به شبکه تحلیل انجام داده و کاربران عادی و غیرعادی را تشخیص دهند. روش های هوشمند متداول شامل شبکه های عصبی، منطق فازی، تکنیک های داده کاوی و الگوریتم های ژنتیک می باشند.
سه وظیفه ی اصلی IDS ها
- نظارت، ارزیابی و پایش (Scan )
- تشخیص(کشف)
- واکنش (عموما اخطار)
(دسته ای مشابه از ابزارهای امنیتی به نام IPS وجود دارد که پس از پایش و تشخیص، بسته های حمله ی احتمالی را حذف می کنند).
آرایش قرارگیری IDS در شبکه
معماری یک IDS
در قسمت بعد به تاریخچه ی سیستم های تشخیص نفوذ می پردازیم…
منابع:
- امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
- حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
- سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
- پیبراه امیرحسین، intrusion detection system
- پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
- • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
• (۴shir.com)
- David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
- Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
- سایت wikipedia.org
- موتورهای جست وجوی google و duckduckgo
