ids یا سیستم های مهاجم یاب چیست؟

واضح آرشیو وب فارسی:فان پاتوق: IDSها به نام اصلی Intrusion Detection System یا سیستم کشف و ردیابی نفوذگری هم اکنون به یکی از مهمترین اجزای ساختار امنیتی شبکه ها تبدیل شدند.
شاید اسم شون رو شنیده باشید یا چیزهایی در بارش بدونید اونوقت با خودتون بگید شبکه ما از چند فایروال خیلی مطمئن و قوی استفاده میکنه پس احتیاجی به این سیستم نباید داشته باشیم
در یک کلام IDS ها همینطور که از اسمشون پیداست کار یک سری نفوذگری ها و اخلال گری ها در شبکه رو ردگیری و کشف میکنند . اگر بخوام واضح تر بگم این سیستم ها سعی میکنند حملات و یا سو استفاده های انجام شده از شبکه یا کامپیوتر ها رو شناسایی کنند و به مسئولان اطلاع دهند.
اما این سیستم ها چه فرقی با فایروال ها دارند ؟؟
اگرچه میشه این دو ابزار رو کنار هم استفاده کرد ولی نباید با هم یکسان فرضشون کرد خب میگین چرا ؟ اگر فایروال رو نگهبان درخونتون فرض کنید حتما بهش گفتین که چه کسانی رو راه بده و چه کسانی رو راه نده.....
یا اگر ممکنه کیف و جیب مراجعین رو هم بگرد و اگر کسی چیز خطرناکی داشت راهش نده. حالا اگه یه مامور پست که توی کیفش 2 کیلو مواد منفجره یا چه میدونم اسلحه داشته باشه
چی ؟؟ نگهبان ممکنه کیف یه پستچی رو اصلا نگاه نکنه.....
یا نه اگر یه دزد بخواد از روی نرده , دیوار یا هر چیز دیگه مثله تونل زدن !! رو امتحان کنه چی ؟؟
درسته که فایروال ها درجه های هوشمند زیادی دارند اما در عمل در نحوه انجام عملیاتی خود انعطاف زیادی ندارند..........
همچنین اگر با ارائه یک دسته گزارش و ثبت تلاش های نفوذگری در فایل های لاگ شما رو آگاه میکنند ولی معمولا این گزارش ها واضح و دقیق نیستند و بحث IDS ها از اینجا شروع میشه.....

IDS ها , لزوم و کلیات

Computer Security یعنی شناسایی و جلوگیری از هرگونه دسترسی و استفاده غیر مجاز از یک کامپیوتر. تعریفی که بر دو مفهوم اساسی جلوگیری و ممانعت Prevention و کشف و شناسایی Detection بنا شده است!
اگر چه هم فایروال ها و هم IDS ها در هردو جنبه ای که گفتم کاربرد مشترکی پیدا میکنند اما باید توجه داشته باشید که وظیفه اصلی فایروال جلوگیری و وظیفه یک IDS در شناسایی هست برای همین از اینها دو مکمل هم نام میبرند و در عین حال با توجه به افزایش نفوذگری ها در عصر اینترنت و پیدایش روشهای جدید و پیچیده نفوذگری نیاز به IDS ها کم کم غیر قابل اجتناب میشود چون که IDSها می توانند انواع متنوع و پیچیده تری از نفوذها و اخلال هارو شناسایی کنند و در صورت امکان خودشون ازاین اقدامات جلوگیری کنند.

شاید براتون جالب باشه که بدونید در آمریکا تقریبا تمامی شرکت ها و سازمان های کوچیک و بزرگ از IDS ها استفاده می کنند و اینم بدونید که IDS ها خیلی گرون تر از فایروال ها هستند !!
IDS ها تا این لحظه بهترین وموثرترین اتتخاب برای شناسایی و پاسخگویی به حملات درونی و بیرونی یک شبکه به حساب میان.

البته: هیچ ابزار امنیتی و از جمله سیستم های IDS هرگز امنیت کامل شبکه شما رو تضمین نمیکنه ! اما وقتی در کنار اعمالی مثل تعیین خط مشی های امنیتی Security Policy , ارزیابی نقاط ضعف سیستم ها Vulnerability Assessment , رمز کردن دیتا ها و اطلاعات Data Encryption , اعتبار سنجی ومجوز دهی Authentication و Authorization و فایروال و سپس استفاده از یک IDS میشه گفت به میزان قابل توجهی امنیت شبکه رو بالا بردید.....

انواع IDS ها

IDS های موجود در دو نوع Host Based و Network Based موجودند گر چه بعضی از انواع جدیدشون ترکیبی از این دو مدل هستند
هرکدوم از این دو نوع متد های خودشون رو برای نظارت و حفاظت از اطلاعات دارند و هر کدوم هم مزایا و معایب خاص خودشون رو دارند به طور خلاصه Host Based ها داده های موجود روی هر کامپیوتر را به طورجداگانه برسی میکنند در حالی که Network Based ها اطلاعات رد بدل شده بین کامپیوتر های شبکه رو بازرسی میکنند

IDS های مبتنی بر میزبان ( Host Based IDS )

IDS های مبتنی بر میزبان یا HIDS ها معمولا بسته هایی هستند که روی کامپیوتری که قراره ازش محافظت کنند قرار میگیرند.
بیشتر این HIDS از System Log ها و Audit Log و Event Log های سیستم عامل و برنامه های کاربردی مختلف برای ارائه گزارش یا ارسال هشداری مبتنی بر عملکرد پردازش های سیستم/کاربر هستند, استفاده میکنند.
HIDS ها اعمال مختلفی برای برای کشف یک حمله به یک میزبان انجام میدهند یکی از معمولی ترین کارهایی که این نوع IDS برلی شنا انجام میدهد , بررسی و حصول اطمینان از درستی و سالم بودن فایل های سیستم میباشد ( File Integrity )
HIDS ها در امور مربوط به امنیت فایل ها عملکرد خوبی دارند , مواردی همچون تشخیص این که آیا فایل های مهم و حساس یک سیستم مورد دستکاری قرار گرفته یا نه و یا ردیابی دستیابی غیر مجاز یک کاربر که خارج از حیطه مجاز و سطح دسترسی داده شده به کاربر میباشد
یک HIDS بری اینکار یک بار فایلهای سیستم رو بازرسی و یک Signature یا نشانه رمز شده برای هر یک از فایل ها ایجاد می کنه ( Cryptographic Signature ) پس از این کار IDS هر چند وقت یک بار فایل هارو با ین نشانه مقایسه و بررسی می کنه و اگر تغییر و تفاوتی رو پیدا کنه سریعا گزارش میده

از مزایا و ویژگی های IDS های Host-Based می توان به موارد زیر اشاره کرد :

1-اطلاعات صریحی درمورد انکه چه کسی در چه زمانی چه کاری را به چه مقصدی انجام داده ارائه می کنند!! یعنی معمولا مبدا , مقصد , زمان و نوع عمل انجام شده را مشخص می کنند , در چنین شرایطی نیاز به محاسبه و مقایسه و ارزیابی برای فهمیدن یک هشدار یا گزارش نخواهید داشت و می توانید براحتی درباره فرد یا برنامه ای که مسبب انجام عملی هست تصمیم بگیرید.

HIDS 2-ها معمولا کمتر ممکن است به اشتباه اعلام خطر کنند , چرا که همان طور که گفته شد اطلاعاتشان مستقیما به افراد و برنامه های مشخص مربوط میشود

3-ترافیک شبکه ای کمتری نسبت به IDS های مبتنی بر شبکه ایجاد می کنند

در عین حال این نوع IDS ها نقاط ضعفی هم دارند از جمله این که قابلیت انتقال خوبی بر روی سیستم عامل های مختلف ندارند. معمولا برای هر نوع سیستم عامل باید یک نرم افزار IDS مبتنی برمیزبان نوشته شود همچنین از آنجایی که در یک شبکه بزگ با تعداد زیادی میزبان یا گره ( Node ) مواجه هستیم , جمع آوری انبوهی از اطلاعات جداگانه و خاص برای هر یک از کامپیوتر ها میتواند کاری سخت و ناکارامد باشد و نهایتا این که چنانچه یک مهاجم و نفوذگری به نحوی عمل جمع آوری اطلاعات روی یکی از کامپیوتر ها را غیر فعال سازد برنامه IDS موجود روی آن کامپیوتر عملا به هیچ کاری نمی اید.

IDS های مبتنی بر شبکه ( Network Based IDS )

بسته های نرم افزاری که ارائه کننده این نوع IDS می باشند معمولا سیستم هایی اختصاصی هستند که تمامی یک بخش یا Segment از شبکه را از بیرون و گاهی از درون یک فایروال مورد نظارت و بررسی قرار میدهند.
این سیستم ها معمولا از دو بخش ناظر ( Monitoring یا Sniffering یا Sensor ) و عامل (Agent) تشکیل شده اند.
ناظر Monitor یک دستگاه و یا یک پکیج نرم افزاری است که شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک مورد بررسی قرار میدهد.

عامل ( Agent ) که ترجمه درستش مامور یا جاسوس هست نرم افزاری است که معمولا به طور جداگانه روی هریک از کامپیوترهای مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را بصورت بازخورد به ناظر بر عهده دارد.

همچنین ممکن است بخش دیگری به نام کنسول مدیریت ( Management Console ) هم وجود داشته باشد که به شکلی مطمئن با اعتبار سنجی و رمزنگاری به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم و پیکر بندی سیستم می پردازد.

در بیشتر موارد کار اصلی IDS های مبتنی بر شبکه جمع آوری بسته های اطلاعاتی ورودی به شبکه و بررسی آن ها بر پایه دسته ای از عوامل است تا از این طریق بفهمند آیا این بسته ها ممکن است علت یکی از انواع حملات شناخته شده یا فعالیت های مشکوک باشند یا نه.
در حقیقت بر خلاف IDS های مبتنی بر میزبان و به جای بررسی اطلاعاتی که بر روی یک کامپیوتر قرار دارند و یا از آنجا سرچشمه میگیرند این نوع IDS ها با استفاده از تکنیک هایی مانند Packet Sniffing یا کالبد شکافی بسته ها دیتا ها را از درون بسته های اطلاعاتی TCP/IP ( و یا سایر پروتکل ها ) که در حال رفت و آمد در شبکه می باشند استخراج می کنند.
این مراقبت و نظارت بر ارتباط میان کامپیوتر ها باعث می شود که NIDS ها در کشف و تشخیص نفوذگری های انجام شده از محیط بیرونی شبکه مورد حفاظت عنصر موثر و کارامدی به حساب بیایند.

از مزایا و ویژگی های NIDS ها می توان به موارد زیر اشاره کرد :

1-کارایی خوب در برابر حملات مبتنی بر DOS و ربودن پهنای باند. این نوع حملات خارجی با هدف سو استفاده و یا استفاده بیش از حد ( Overload ) از منابع شبکه صورت میگیرند. بسته هایی که حاوی یا ایجاد کننده این نوع حملات هستند به خوبی توسط IDS های Network based شناسایی می شوند.

2-کارایی خوب در برابر دستیابی های غیر مجاز خارجی. هنگامی که یک کاربر غیر مجاز به یک کامپیوتر Login می کند و یا در این راستا تلاش می کند این IDS های مبتنی بر میزبان هستند که بهتر از هر عنصر امنیتی دیگری چنین رویدادی را تشخیص میدهند اما تشخیص کاربران غیر مجاز پیش از اقدام به ورود به سیستم بهتر از هر ابزار دیگری از عهده IDSهای مبتنی بر شبکه بر می اید.

3- به نوع سیستم عامل یا یک برنامه کاربردی خاص وابسته نیستند چرا که درسطح بسته ها عمل می کنند همچنین برای اجرا و گرفتن نتیجه از آن ها نیازی به داشتن مجوزها کلمات عبور سیستم عامل و همچنبن برنامه های کاربردی ندارید.

نقاط ضعف:

این نوع IDS ها نیز البته درای نقاط ضعفی هم هستند . مهمترین نقطه ضعف این IDSها به هنگام کار در شبکه های سریع ( 1000 Mbps و بالاتر ) و نیز مواجهه با بسته های رمز شده می باشد.
در مورد اول چنانچه NIDS برخی بسته ها و اطلاعات را به دلیل سرعت بالای انتقال شان از دست بدهد آن گاه از جمع آوری و تجزیه تحلیل صحیح آن ها باز می ماند و در مورد دوم چنانه ترافیک شبکه رمز شده باشد IDS نشانه های یک حمله را نمی تواند نمی تواند تشخیص بدهد ( قابل توجه هکرهای حرفه ای )
در ضمن NIDSها در شبکه های سوئیچ شده نیز دچار مشکل می شوند.

چگونگی قرار گرفتن IDS در شبکه

هر IDS مبتنی بر میزبان بر روی یک کامپیوتر سرویس دهنده در شبکه نصب و اجرا میشود.
IDS مبتنی بر شبکه , درون شبکه و بلافاصله پشت فایروال قرار دارد. البته باید توجه داشت که این راه حل تنها روش ممکن نیست مثلا میتوان یک IDS مبتنی بر شبکه را به گونه ای نصب کرد که بخش ناظر یا Sensor آن به ناحیه DMZ ( شبکه متصل به هر دو شبکه داخلی و خارجی ) و دیگر بخش های آن به شبکه داخلی متصل باشد. خیلی وقت ها یک IDS مبتنی بر شبکه را درون DMZ قرار می دهیم در این حالت فرض کرده ایم که یک فایروال داریم و یک DMZ نیز ایجاد کرده ایم . اگر IDS را پشت فایروال قرار دهیم آنگاه می توان حملات پروتکل ها و منابعی که از فایروال عبور می کنند و همچنین حملات کاربران داخلی شبکه را نیز شناسلیی و آشکار کرد.
اکنون IDS مبتنی بر شبکه می تواند برای آشکار سازی یا واکنش به یک حمله یا دسترسی غیر مجاز یکی از کارهای زیر را انجام دهد:
1-یک E-Mail , فراخوان ( Page ) یا SNMP Trap ارسال کند
2-یک ارتباط مبتنی بر TCP را بلوکه کند یا به کلی از بین ببرد
3- یک اسکریپت تعریف شده توسط کاربر یا برنامه خاصی را اجرا کند (مثلا برخی سریس های شبکه ای را به ترتیب اولویت ShutDown کند)

تکنیک های IDS

هر یک از دو نوع IDS ها Host-Based و Network-Based از 4 تکنیک اصلی برای کشف و ردیابی نفوذگران استفاده می کنند:

1- Anomaly Detection یا نمونه های غیر متعارف
2- Signature (Misuse) Detection یا کشف از روی نشانه یا سو استفاده
3- Target Monitoring یا نظارت بر هدف
4- Stealth Probes یا کاوش های نهایی.

و حالا یکی یکی توضیح میدم

1- تشخیص نمونه های غیر متعارف (Anomaly Detection)

IDS یک مرز نرمال از الگوهای متعارف استفاده از سیستم برای خود ترسیم و تعریف میکند. هر رفتار یا روادیدی که به میزان زیادی از این الگوها دور باشد , به عنوان یک اخلالگری محتمل بر شبکه در نظر گرفته می شود.
آن چه خلاف قاعده و غیر متعارف فرض می شود می تواند متغییر باشد اما معمولا رویدادی که با تناوبی بیشتر یا کمتر از دو مرتبه انحراف از آمار نرمال به وقوع بپیوندد غیر متعارف فرض میشود.

چند مثال برای این شرایط عبارتند از :
کاربری که به جای یک یا دو بار ورود و خروج نرمال از سیستم در طول یک روز 20 بار این این کار را انجام داده است
کامپیوتری که در ساعت 2 بعد از نیمه شب مورد استفاده قرار گرفته در صورتی که قرار نبوده پس از ساعت اداری روشن باشد
در یک سطح دیگر این تکنیک می تواند الگوهایی در مورد کاربران از جمله برنامه هایی که به اجرا در می آورند را مورد بررسی قرار دهند مثلا اگر کاربری از بخش گرافیک یک سازمان ناگهان شروع به دست یابی به برنامه های حسابداری یا کامپایل کردن کد بنماید سیستم می تواند یک هشدار به Administrator یا مسئول امنیتی شبکه ارسال کند

2- کشف از روی نشانه یا سو استفاده (Signature Or Misuse Detection)

این روش از دسته ای از الگوهای شناخته شده از رفتارهای غیر مجاز به منظور پیش بینی و کشف تلاش های مشابه بعدی استفاده می نماید. این الگوهای خاص Signature نامیده میشوند. برای IDS های مبتنی بر میزبان 3بار تلاش نا موفق برای Login میتواند یک Signature باشد. برای IDS های مبتنی بر شبکه Signature میتواند یک الگوی خاص باشد که با بخشی از یک بسته همخوانی داشته باشد. به عنوان مثال نشانه های مربوط به سربرگ یک بسته اطلاعاتی می تواند نشانه یک عمل غیر مجاز مثلا اجرای یک FTP غیر عادی باشد. بسته به میزان اهمیت و جدی بودن نشانه یا Signature ممکن است یک عکس العمل یا Response به عمل انجام شده و یا یک تذکر یا هشدار به افراد مسئول ارسال شود

3-نظارت بر هدف (Target Monitoring)

در این روش به جای جستجو برای یافتن یک مورد غیر متعارف یا یک نشانه, تغییر و دستکاری احتمالی بعضی فایل ها مورد بررسی قرار میگیرد. این تکنیک بیشتر یک شیوه کنترلی تصحیح کننده است یعنی برای آشکار سازی یک عمل غیر مجاز پس از به وقوع پیوستن آن و به منظور انجام عمل معکوس طراحی شده است
یکی از راه های کشف دستکاری شدن پنهانی فایل ها این است که کد های رمز شده ای برای آن ها ایجاد شود (Cryptographic Hash) و در فواصل زمانی معینی با Hashهای جدید هر فایل مقایسه شود. پیاه سازی چنین سیستمی آسان است زیرا به نطارت مستمر Administrator نیازی ندارد.
فواصل زمانی بررسی سالم بودن و جامعیت فایل ها و نیز اینکه آیا تمامی آن ها و یا صرفا برخی فایل های مهم سیستمی مورد بررسی قرار بگیرند به راحتی قابل تتظبم و کنترل می باشد.

4-کاوش نهایی (Stealth Probes)

این تکنیک برای ردیابی نفوذگرانی که سعی می کنند عملیاتشان را در دوره های زمانی طولای به انجام برسانند به کار می رود. مثلا یک نفوذگر در یک دوره زمانی دو ماهه به بررسی ضعف های امنیتی و پورت های باز یک سیستم می پردازد سپس دو ماه دیگر صبر می کند تا حمله اش را واقعا عملی کند. تکنیک کاوش های نهایی مجموعه متنوع و زیادی از داده ها را از سیستم جمع آوری می کند و بر پایه آن به دنبال آثار یک حمله ساخت یافته و اسلوب مند در یک زمان طولانی می گردد. در این روش نمونه گیری های زیادی از سیستم جهت کشف حملات مرتبط با این شواهد و نمونه ها صورت می پذیرد.
این روش از دو تکنیک رفتار غیر متعارف و سو استفاده برای آشکار سازی رفتارهای مشکوک استفاده می کند.

چند نکته پایانی

بی شک وجود سیستم های امنیتی یک سطح امنیتی بهبه شبکه شما می افزاید بخصوص اگر دلایلی دارید مبنی بر این که ییش از پیش هدف تهاجم هکرها قرار می گیرد , مثلا اگر نمونه های Port Scan بی شماری در لاگ فایل های فایروال مشاهده می کنید و یا اینکه مورد تهاجم واقعی قرار گرفته اید استفاده از IDS ضروری می نماید.

در عین حال فراموش نکنید که این ابزارهای امنیتی مانند هر وسیله دیگری می تواند معایبی نیز داشته باشد علاوه بر نقاط ضعفی که قبلا در مورد دو نوع مختلف IDS توضیح دادم به طور کلی همه آن ها می توانند دارای دو عیب زیر باشند:

False Positives -1یا اعلام خطر های اشتباه

اگرچه ممکن است ترجیح بدهید که IDS شما بیشتر حساس باشد تا این که اصلا بعضی موارد نفوذگری را تشخیص ندهد, اما یک False Positives گاه ممکن است برایتان گران تمام بشود , مثلا اگر IDS را طوری تنظیم کرده اید که هرگونه ارتباط یا Connection مشکوک را قطع کند چنین اشتباهی میتواند منجر به قطع ارتباط کاربر مشروع از سیستم شما شود اگر عامل زمان برای سرویسی که ارائه می کنید مهم باشد ( مثلا یک سایت ویژه تجارت الکترونیک ) این اشتباه مصیبت بار خواهد بود

2-کاهش کارایی سیستم

با پیدایش سیستم های جدیدتر و سریع تر این عامل از اهمیت کمتری برخوردار است البته فکر نمی کنم در ایران کم اهمیت باشه , اما به هر حال باید توجه داشت که آنالیز کردن بسته های شبکه و Audit Log های سیستم یک عمل زمان بر و به طور بالقوه مصرف کننده توان پردازنده می باشد بخصوص اگر ترافیک شبکه ای زیاد و یا سرویس دهنده ای که اطلاعات فراونی برای آنالیز تولید می کنند داشته باشید ممکن است که متوجه شوید که سرویس های شبکه ای یا سرویس های موجود روی میزبان ها به شکل غیر قابل قبولی کند شده است.
بهتر است در صورت امکان پیش از تهیه IDS اطلاع یابید که چه میزان فعالیت برای IDS مورد نظر زیاد محسوب می شود و یا اینکه ابتدا یک نسخه نمونه آزمایشی از محصول را روی شبکه خود امتحان کنید.

- چنان چه سیستم ها و شبکه شما به درستی پییکربندی و تنظیم شده باشد IDS با سایر اجزا و ادوات امنیتی شبکه از جمله فایروال تداخل وظیفه پیدا نخواهد کرد , در عین حال یک فایروال نباید به گونه ای تنظیم شده باشد که از عملکرد عادی IDS جلوگیری نماید چرا که IDS یک ابزار کشف و ردیابی است که انتظار می رود کلیه نفوذگری ها و اقدامات انجام شده در شبکه از جمله آن هایی که از سایر محصولات امنیتی موجود در شبکه سر چشمه می گیرند جمع آوری , بررسی و در صورت لزوم آشکار نمایند.

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فان پاتوق]

[مشاهده در: www.funpatogh.com]

[تعداد بازديد از اين مطلب: 1320]