09211692790



دوشنبه , 27 فروردین 1397


سیستم تشخیص نفوذ یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی میکند. این خرابکاریها جهت دسترسی غیر مجاز به شبکه یا کاهش کارآیی آن انجام میشود.

Alternate Text

 

هر روز که میگذرد بر علم گسترده و بزرگ کامپیوتر و شبکه اطلاعات بیشتری اضافه میشود.هر روز حفره های گوناگون کشف میشود و پچ های جدید ساخته میشود و...در دنیای امروز دیگر هکرها فکر و ذهن خودشان را به هک کردن سایتها مشغول نمی کنند. هدف امروز هکرها سرورها و شبکه های گسترده میباشند.با خک کردن یک سرور میزبان میتوان صدها سایت را هک کرد.

وقتی یک شبکه مثلا شبکه لن یک دانشگاه هک میشود٬ می توان با استفاده از ابزار گوناگون به هزار کامپیوتر نفوذ کرد. با توجه به این موارد باید برای محافظت از سرورهای خود کارهایی انجام داد.سیستم   یکی از اقداماتی است که در این زمینه

میتوان انجام داد.       (IDS) تشخیص نفوذ

امنيت اطلاعات در اينترنت

امروزه شبكة جهاني اينترنت و خدمات متنوع آن به عنوان يك ابزار نوين جهت اطلاع رساني و تجارت الكترونيكي شناخته شده است. بسياري از سازمان ها و مؤسسات دولتي و خصوصي، تلاش گسترده اي را براي ورود به دنياي ارتباطات و استفاده از خدمات وسيع اينترنت آغاز نموده اند. با توجه به خدمات متنوع و مختلفي كه اينترنت به كاربران خود ارائه مي دهد، تعداد كاربران آن روز به روز رو به  افزايش مي باشد، طوري كه در حال حاضر ميليون ها رايانه در سطح اينترنت به يكديگر متصل مي باشند و خدمات مختلفي را در اختيار كاربران خود قرار مي دهند. با توجه به گستردگي بيش از حد شبكه جهاني اينترنت و عدم امكان استفاده از كنترل مركزي بر كاربران آن، حفظ امنيت اطلاعات در اينترنت يكي از مسائل مهم و اساسي مي باشد زيرا همواره افرادي در دنيا پيدا مي شوند كه بنا به دلايل مختلفي از جمله ارضاي حس كنجكاوي خود، مايل به حمله به اطلاعات موجود در سايت هاي اينترنت مي باشند.

با گسترش تجارت الكترونيكي و استفاده از  اينترنت به عنوان ابزار نوين براي تجارت جهاني، مسئله  امنيت اطلاعات در اينترنت اهميت خود را به خوبي نشان مي دهد. سازمان ها و اداراتي كه به اينترنت متصل مي باشند، براي حفظ اطلاعات خود بايد از سيستم هاي امنيتي خاصي استفاده كنند. در اين زمينه اولين قدم، تعيين يك سياستگذاري و شيوة امنيتي مناسب مي باشد. مديريت حفاظت اطلاعات در شبكه هاي رايانه اي، از سه بخش اصلي تشكيل شده است كه عبارتند از: حفاظت اطلاعات در مقابل دسترسي هاي غيرمجاز، اطمينان از صحت و درستي اطلاعات و اطمينان از در دسترس بودن به موقع اطلاعات.

يكي از روش هاي حفاظت شبكه هاي رايانه اي متصل به اينترنت، كنترل دسترسي داخلي و خارجي به خدمات خاص شبكه مي باشد. در اين روش با استفاده از يك سيستم خاص به نام ديواره آتشين، سياستگذاري حفاظتي يك سازمان كه به اينترنت متصل مي باشد، پياده سازي مي شود. با استفاده از يك ديواره آتشين، مدير شبكه امكان دسترسي كاربران غيرمجاز و نفوذگران از بيرون شبكه را به خدمات داخلي شبكه، محدود مي سازد. هر چند استفاده از سيستم هاي امنيتي، سهولت و دسترسي اطلاعات را براي كاربران مجاز شبكه تا حدي با مشكل روبرو مي سازد، ولي جهت حفظ اطلاعات و جلوگيري از دسترسي هاي غيرمجاز، امري لازم و ضروري مي باشد.

 

انواع مختلف حملات و ابزار كار مخربين در اينترنت

براي مقابله با نفوذ افراد مخرب در شبكه اينترنت، شناخت و بررسي دقيق انواع مختلف و روش هاي گوناگوني كه نفوذ گران براي حملات خود استفاده مي كنند، از اهميت خاصي برخوردار مي باشد. يكي از ساده ترين روش هاي حمله در اينترنت جعل آدرس IP مبدأ،  بسته هايي را به درون  شبكه ارسال مي دارد كه آدرس مبدأ آنها جعلي مي باشد و نشان دهنده آدرس يك سيستم داخلي است. روش مقابله با اين نوع حملات آن است كه هر بستة ورودي كه حاوي يك آدرس مبدأ داخلي است، ولي از درگاه خارجي مسيرياب دريافت شده است، دور انداخته شود. علاوه بر جعل آدرس IP مبدأ، روش هاي ديگري از حمله وجود دارند كه عبارتند از : حملات مسيريابي مبدأ و حمله به بسته هاي تكه شده بسته هاي IP2.

نفوذگران به شبكه، در اولين قدم نگاه دقيقي به نقاط ضعف هر ميزبان از لحاظ امنيتي دارند. براي اين كار از ابزار و نرم افزارهاي خاصي استفاده مي شود و بعد از آن كه موفق به نفوذ و حمله به يك سيستم حفاظت شده گرديدند، مدارك و مستندات مربوط به حمله خود را از بين مي برند و سپس با استفاده از مكنده هاي بسته اقدام به جمع آوري نام حساب ها و كلمات رمز مربوط به خدمات FTP و TELNER ، مي كنند كه اين امر امكان گسترش حمله و نفوذ به ساير سيستم ها را فراهم مي آورد. چنانچه نفوذ گر بتواند به قابليت دسترسي خاصي دست يابد، آنگاه مي تواند به پيام هاي پستي دسترسي يافته  و فايل هاي خصوصي را بدزدد و داده هاي پراهميتي را خراب نمايد. در ادامه، برخي از مهم ترين جعبه ابزارها و نرم افزارهايي را كه نفوذگران به شبكه براي حملات خود استفاده مي كنند، كه حتي برخي از آنها به صورت رايگان بر روي اينترنت وجود دارد، معرفي مي گردند.

 

 سیستم تشخیص نفوذ چیست؟

 

سیستم تشخیص نفوذ یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی میکند. این خرابکاریها جهت دسترسی غیر مجاز به شبکه یا کاهش کارآیی آن انجام میشود. یک سیستم تشخیص نفوذ ترافیک شبکه و فعالیتهای  را   مطلع (Alarm) را با تولید اخطار (Administrator) مشکوک را کنترل میکند و در صورت لزوم سیستم یا مدیرشبکه

میکند. در برخی موارد سیستم تشخیص نفوذ در مقابل ترافیک مخرب عکس العمل نشان داده و آن را با بلاک کردن دسترسی  به شبکه کنترل میکند. IPکاربر یا منبع آدرس 

 

 انواع حملات شبكه اي با توجه به طريقه حمله

يك نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار یادسترسی غیر مجاز به منابع شبکه است. (DOS يا Denial of Service) سرويس انداختن

حملات از كار انداختن سرويس-1

 در اين نوع حملات ، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواستهاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران واقعي باز مي ماند.

حملات دسترسي به شبكه-2

در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا مي كند و از اين امكان براي انجام فعاليتهاي  خود استفاده میکند تا در DOS غيرمجاز و حتي غيرقانوني خود استفاده مي كند. براي مثال از شبكه به عنوان مبدا حملات

صورت شناسایی مبدا خود گرفتار نشود. دسترسی به شبکه را می توان به دو گروه تقسیم کرد:

 

الف دسترسي به داده : در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي كند. حمله كننده مي تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده هاي ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرار مي گيرد و سايرين حق دسترسي به آنها را ندارند. در واقع سايرين امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما مي توان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين مشهور است. Privilege Escalation روش به تعديل امتياز يا

 

ب- دسترسي به سيستم : اين نوع حمله خطرناكتر و بدتر است و طي آن حمله كننده به منابع سيستم و دستگاهها دسترسي پيدا مي كند. اين دسترسي مي تواند شامل اجراي برنامه ها بر روي سيستم و به كار گيري منابع آن در جهت اجراي دستورات حمله كننده باشد. همچنين حمله كننده مي تواند به تجهيزات شبكه مانند دوربينها ، پرينترها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب ترواها ، و يا استفاده از ابزارهايي جهت تشخيص نقاط ضعف يك نرم افزار نصب شده بر روي سيستم از جمله نمونه هاي قابل ذكر از اين نوع حملات هستند.

 

: انواع حملات شبكه اي با توجه به حمله كننده

حملات شبكه اي را مي توان با توجه به حمله كننده به چهار گروه تقسيم كرد:

1- حملات انجام شده توسط كاربر مورد اعتماد (داخلي) : اين حمله يكي از مهمترين و خطرناكترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياستهاي امنيتي معمولا محدوديتهاي كافي درباره اين كاربران اعمال نمي كنند..

 

2- حملات انجام شده توسط افراد غير معتمد (خارجي) : اين معمولترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار مي دهد. اين افراد معمولا سخت ترين راه را پيش رو دارند زيرا بيشتر سياستهاي امنيتي درباره اين افراد تنظيم شده اند.

 

3- حملات انجام شده توسط هكرهاي بي تجربه : بسياري از ابزارهاي حمله و نفوذ بر روي اينترنت وجود دارند. در واقع بسياري از افراد مي توانند بدون تجربه خاصي و تنها با استفاده از ابزارهاي آماده براي شبكه ايجاد مشكل كنند.

 

4- حملات انجام شده توسط كاربران مجرب : هكرهاي با تجربه و حرفه اي در نوشتن انواع كدهاي خطرناك متبحرند. آنها از شبكه و پروتكلهاي آن و همچنين از انواع سيستم هاي عمل آگاهي كامل دارند. معمولا اين افراد ابزارهايي توليد مي كنند كه توسط گروه اول به كار گرفته مي شوند. آنها معمولا پيش از هر حمله ، آگاهي كافي درباره قرباني خود كسب مي كنند.

 

چرا سیستم تشخیص نفوذ؟

بر خلاف نظر عمومی که معتقدند هر نرم افزاری را میتوان به جای سیستم تشخیص تفوذ به کار برد٬ دسنگاههای امنیتی زیر نمیتوانند به جای سیستم تشخیص نفوذ به کار روند:

1- سیستم هایی که برای ثبت وقایع شبکه مورد استفاده قرار میگیرند:مانند دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سزویس و یا حملات مورد استفاده قرار میگیرند.

2- ابزارهای ارزیابی آسیب پذیری که خطاها و یا نقاط ضعف در تنظیمات را گزارش میدهند.

(FIREWALL) 3- دیواره های آتش

                        برای تشخیص کرم و ویروس و به طور کلی نرم افزارهای خطرناک(Anti viruses) ویروس یاب ها-4

 

ساختار و معماری سیستم تشخیص نفوذ

سیستم تشخیص نفوذ از سه قسمت اصلی تشکیل شده است:

1- بخش جمع آوری اطلاعات             

2- هسته مرکزی(موتور تشخیص)        

3- بخش پاسخ دهی (عکس العمل) مناسب

در بخش اول سیستم تشخیص نفوذ به جمع آوری اطلاعات بر اساس سیاستهای تعریف شده می پردازد. در این قسمت جمع    

   با استفاده از آثار ترافیک عبوری و دیده بانی شبکه اطلاعات لازم را جمع آوری (Event Generator)کننده اطلاعات

میکند. در هسته مرکزی٬ اطلاعات رسیده از بخش اول با اطلاعات بانک اطلاعاتی سیستم تشخیص نفوذ و اطلاعات فایل ثبت  همراه  میشود. هم چنین هسته مرکزی با فیلتر کردن اطلاعات رسیده از بخش اول٬ داده های غیر (Sys log)وقایع سیستم

مرتبط را حذف میکند.سپس تمامی اطلاعات جمع آوری شده را به بخش پاسخ دهی ارسال میکند. در بخش آخر٬ سیستم با تحلیل نکات رسیده از قسمتهای قبل و با استفاده از سیاستهای تعریف شده٬ پاسخ مناسب را ارائه میکند.

 

 

 

دو روش اصلی برای تشخیص نفوذ به شبکه :

 

       (Anomaly IDS) 1- سیستم تشخیص نفوذ مبتني بر خلاف قاعده آماری

روش اول مبتني بر تعيين آستانه انواع فعاليتها بر روي شبكه است، مثلا چند بار يك دستور مشخص توسط يك كاربر در يك     تماس با يك ميزبان اجرا مي شود. لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونه اي هستند كه نمي توان براحتي و با كمك اين روش آنها را تشخيص داد. متن[1]

مزایا:

        دزدی را یافت(account)  1- میتوان حملات داخلی یا اشتراکهای

 کار میکند برای حمله کننده فهمیدن اینکه چه فعالیتی (customize profile) 2- چون سیستم بر پایه پرونده اختصاصی

میتواند بکند بدون اینکه هشدار به وجود آید مشکل است.

3- این روش مبتنی بر یک ترافیک خاص نیست و بنابراین یک سیستم تشخیص نفوذ مبتنی بر خلاف قاعده آماری میتواند چنین حمله ای را در اولین بار تشخیص دهد.

معایب:

1- سیستم باید برای هر کاربر یک پرونده اختصاصی ایجاد کند.

2- در زمانی که سیستم آموزش داده میشود تا ترافیک نرمال در شبکه شما چیست٬ شبکه از حمله ها در امان نیست.

3- محافظت و نگهداری از پرونده ها کاری وقت گیر است.

4- مهم ترین مشکل این روش٬ پیچیدگی آن و مرتبط کردن هشدار تولید شده با واقعه ای است که آن را تولید کرده است. هم چنین تضمینی برای اینکه یک حمله ی خاص تولید هشدار کند نیست.

(Signature Base IDS) 2- سیستم تشخیص نفوذ مبتني بر امضا يا تطبيق الگو

در واقع روشي كه در بيشتر سيستمهاي موفق تشخيص نفوذ به كار گرفته مي شود، سیستم تشخیص نفوذ مبتني بر امضا يا تطبيق الگو است.منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص مي دهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود.هر امضا داراي اطلاعاتي است كه نشان مي دهد در داده هاي در حال عبور بايد به دنبال چه فعاليتهايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي شود و مدير شبكه را از وقوع يك نفوذ آگاه مي كند. در بسياري ازموارد سیستم تشخیص نفوذ علاوه بر آگاه كردن مدير شبكه، اتصال با هكر را بازآغازي مي كند و يا با كمك يك دیواره آتش و انجام عمليات كنترل دسترسي با نفوذ بيشتر مقابله مي كند. اما بهترين روش براي تشخيص نفوذ ، استفاده از تركيبي از دو روش فوق است.

 

مزایا :

1- سیستم تشخیص نفوذ مبتنی بر امضا بلافاصله بعد از نصب از شبکه محافظت میکند.

2- سیستم ساده است. زمانی که یک هشدار تولید میشود٬ کاربر به راحتی میتواند بین آن و فعالیتی که باعث ایجاد آن شده است ارتباط برقرار کند.

معایب :

سیستم تشخیص نفوذ مبتنی بر امضا باید برای تمام حمله های احتمالی یک نمونه امضا تعریف شده داشته باشد. این امر نیازمند این است که سیستم تشخیص نفوذ مرنبا به روز رسانی شود.

 

انواع سیستم های تشخیص نفوذ

: شامل سنسورهایی میباشد که در نقاط استراتژیک در داخل شبکه (NIDS)1- سیستم تشخیص نفوذ مبتنی بر شبکه

قرار میگیرد و ترافیک ورودی- خروجی را کنترل میکند. به طور نمونه یک سیستم تشخیص نفوذ مبتنی بر شبکه سنسورهایی را در نقاط ورود به شبکه(در کنار دیواره آتش) یا در مرز بین زیر شبکه ها با سطوح امنیتی مختلف قرار میدهد.

 های داخلی و خارجی را کنترل میکند و در (Packet) ): بستهHIDS2- سیستم تشخیص نفوذ مبتنی بر میزبان (

صورت دیدن فعالیت مشکوک تولید اخطار میکند.

  مشابه اسکنر ویروس به اسکن کردن امضاها :(NHIDS)3- سیستم تشخیص نفوذ مبتنی بر شبکه و میزبان

پرداخته و به دنبال نشانه هایی که حاکی از انواع حمله ها باشند٬ میگردد.

  این سیستم نه تنها با دیدن ترافبک مشکوک :(Reactive IDS) 4- سیستم تشخیص نفوذ مبتنی بر عکس العمل

تولید اخطار میکند٬ بلکه در صورت مشاهده نسبت به آن عکس العمل نشان میدهد و هر نوع ترافیک اضافی را مسدود میکند.

 این سیستم با دیدن ترافیک مشکوک تولید اخطار میکند :(Passive IDS) 5- سیستم تشخیص نفوذ مبتنی بر انفعال

و اخطار را به مدیر شبکه می فرستد تا فعالیت را مسدود یا به طریقی در مقابل آن واکنش نشان دهد.

 این سیستم شامل یک نرم افزار کنترلی است که تمام :(MIDS)6- سیستم تشخیص نفوذ مبتنی برچند لایه بودن

دسترسی ها به شبکه  و ثبت اطلاعات از طریق دیواره آتش و ... را در یک مرکز کنترل و آنالیز٬ متراکم میکند. زمانی که اطلاعات را متراکم میکنیم ٬ فایلهای اطلاعاتی مختلف با فرمتهای متنوع را از قسمتهای مختلف در یک قسمت و با یک فرمت فایل جمع آوری میکنیم.

در برخی سیستم ها٬ چند سیستم تشخیص نفوذ با هم ترکیب شده و با استفاده از خصوصیات خاص از سیستم محافظت میکند.به  می گویند.(Hybrid system) این سیستم ها سیستم های هیبرید

 

  این پست دارای فایل ضمیمه می باشد.لطفا برای مطالعه ادامه موضوع آن را دانلود فرمایید

نظرات کاربران

کاربر گرامی لطفا جهت ارسال نظر ثبت نام کنید و یا وارد شوید

نظرات شما


کلیه حقوق مادی و معنوی برای گروه سی تپ محفوظ می باشد . هر گونه کپی برداری از محتوای آموزشی با ذکر منبع مجاز می باشد.


طراحی شده توسط گروه برنامه نویسی سی تپ مهر ماه 95