IDS چیست؟ IPS چیست؟ تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ تفاوت HIDS و NIDS در چیست؟ سیستم تشخیص نفوذ شامل چه اجزایی است؟ سیستم های تشخیص نفوذ ( Intrusion Detection System ) یا IDS ها در حال حاضر جزء اصلی ترین و کاملترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند.
IDS ها فناوری های تقریبا جدیدی هستند و این نوید را به ما می دهند که به ما در جهت شناسایی نفوذ هایی که به شبکه انجام می شود کمک خواهند کرد . تشخیص نفوذ یا Intrusion Detection در واقع فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود.
یک نفوذ در واقع فعالیت یا عملی است که توسط آن محرمانگی ، صحت و تمامیت و یا دسترسی پذیری به منابع دچار اختلال و یا تعرض می شود . همانطوری که می دانید دیواره های آتش یا فایروال ها برای جلوگیری از دسترسی مهاجمین به منابع طراحی شده اند . یک IDS این فعالیت ها را گزارش و پایش می کند.
درک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم :
نکته : در بسیاری از سازمان ها یک چارت نردبانی یا Escalation chart وجود دارد ، بر این اساس مدیران امنیت یا مدیران شبکه در بیشتر موارد در راس این چارت سازمانی قرار ندارند ، اما همیشه در زمان پیاده سازی این نوع سیستم های امنیت وظایف به این افراد ارجاع می شود.
همانطوری که مشاهده کردید یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . شکل الف به شما اجزای مختلف این سیستم را در کنار هم برای تشکیل شدن یک سیستم کامل IDS را نمایش می دهد .
به خاطر داشته باشید که داده ها می توانند از منابع مختلفی جمع آوری شوند و تمامی این داده ها برای اینکه بتوانیم تشخیص دهیم که چه اتفاقی در شبکه در حال وقوع است بایستی کاملا تحلیل شوند . یک سیستم IDS ذاتا برای مسدود کردن ترافیک در شبکه ساخته نشده است ، اما برخی از انواع IDS هستند که این قابلیت را به آنها می دهد ، IDS ها داتا سیستم های مانیتورینگ ، بازرسی و پایش هستند .
IDS ها بصورت کلی و بر اساس قابلیت هایی که به اپراتورهای خود می دهند به دو نوع اصلی تقسیم بندی می شوند:
سیستم های تشخیص نفوذ – تشخیص رفتارهای غیرمتعارف ( Anomaly Detection IDS ) :* اینو نوع IDS که به AD-IDS هم معروف است ، به رفتارهای غیرمتعارف بر روی شبکه توجه می کند ، یعنی اینکه خارج از محدوده پایگاه داده خود عمل می کند و به نوعی تصمیم گیری هوشمند دارد . این نوع IDS در واقع یک نوع برنامه آموزشی دارد ، ابتدا رفتارهای عادی شبکه و ترافیک معمول شبکه را تحلیل کرده و هرگاه ترافیکی باعث خارج شدن سیستم ها از این وضعیت تحلیل شده شود ، شروع به تولید و ارسال هشدار به اپراتور سیستم می کند .
![اجزای تشکیل دهنده IDS](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="595" height="472"></svg>)
تصویر الف : اجزای مختلف یک IDS در کنار هم جمع می شوند تا یک سیستم مانیتورینگ شبکه جامع را ایجاد کنند
![اجزای تشکیل دهنده IDS](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="600" height="476"></svg>)
تصویر ب : یک Misuse Detection – IDS در محیط عملیاتی
IDS ها بطور کلی بر روی گزارش های رویداد ها یا ترافیک های شبکه ای متمرکز می شوند که از الگو های قبلی شبکه که ترافیک و رفتارهای معمول شبکه را در خود نگه می دارد انحراف داشته باشد. برای اینکه این گزارش های موثر باشد مدیران بایستی یک الگو از ترافیک و رفتارهای عادی شبکه را به عنوان مبدا بررسی به IDS معرفی کنند .
این مبدا به عنوان پایگاه اصلی مقایسات و گزارش های این سیستم تشخیص نفوذ در آینده مورد استفاده قرار خواهد گرفت . برای مثال ممکن است IDS شما گزارشی مبنی بر دریافت تعداد بیشتری بسته اطلاعاتی ICMP در یک وهله زمانی معین در طول روز را به شما ارائه دهد.این نوع فعالیت ممکن است آغازی بر ایجاد یک حمله از نوع SYN FLOOD باشد.
این سیستم همچنین ، اگر کاربری که بصورت معمول فقط در طی ساعات کاری روز به سیستم ها دسترسی پیدا می کرده درخواست ورود به سیستم با دسترسی مدیریتی و در هنگام شب را داشته باشد ، اقدام به ارائه گزارش خواهد کرد. شکل ج به شما نحوه پیگیری و گزارش دهی این سیستم AD-IDS در مواقعی که از ترافیک معمول تضادی دیده می شود را نمایش می دهد . فرآیند سیستم های AD-IDS بصورت مداوم از فناوری های هوش مصنوعی و سیستم های خبره ( Expert Systems ) برای تجزیه تحلیل ترافیک معمول شبکه استفاده می کند.
![سیستم های تشخیص نفوذ با استفاده از سیستم های خبره](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="626" height="497"></svg>)
شکل ج : یک سیستم تشخیص نفوذ با استفاده تکنولوژی های سیستم های خبره برای تشخیص نفوذ
در بسیاری از سیستم های تجاری AD-IDS ها و MD-IDS ها با یکدیگر ترکیب شده اند . آنها بهترین فرصت برای شناسایی و بی اثر کردن حملات و دسترسی های غیر مجاز به سیستم ها هستند. بر خلاف فایروال ها ، IDS ها به جای اینکه ترافیک مشکل دار و مشکوک را مسدود کنند ، آنها را شناسایی و گزارش می دهند و همچنین هرگونه فعالیت مشکوک در شبکه را نیز اطلاع رسانی می کنند.
سیستم های تشخیص نفوذ تحت شبکه یا NIDS : یک سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS که به اختصار NIDS نیز به آن می گوییم ، در حقیقت یک از انواع IDS ها می باشد که خود را به شبکه متصل کرده و از این طریق ترافیک شبکه را پایش کرده و گزارش های خود را ارائه می کند . شیوه قرار گیری اینگونه سیستم ها معمولا بصورت پشت یا روبروی فایروال شبکه می باشد. در شکل الف شیوه قرارگیری این سیستم تشخیص نفوذ تحت شبکه را مشاهده می کنید . همیشه بهترین محل قرارگیری یک سیستم تشخیص نفوذ تحت شبکه NIDS روبروی فایروال شبکه است .
![شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="735" height="339"></svg>)
شکل الف : شیوه قرارگیری NIDS در شبکه نحوه تحلیل ترافیک در شبکه را نمایش می دهد
قرار دادن NIDS در مقابل فایروال شبکه ، این امکان را به IDS می دهد که بتواند کلی ترافیک های ورودی و خروجی به شبکه را بصورت کامل مانیتور و پایش کند. این راهکار باعث تحلیل شدن حجم عظیمی از داده های ورودی و خروجی شبکه خواهد شد و به شما امکان مشاهده تمامی اطلاعات منتقل شده در شبکه را می دهد.
قرار دادن NIDS در پشت فایروال ، فقط ترافیکی را به شما نمایش می دهد که قصد نفوذ به فایروال را دارند و قابلیت مانیتور کردن سایر ترافیک وارد شده به شبکه را نخواهد داشت . همچنین این راهکار ضمن اینکه داده های کمتری را در اختیار شما برای انجام تحلیل قرار می دهد باعث می شود که شما تعداد زیادی از حملاتی که در درون شبکه در حال شکل گیری هستند را مشاهده و تشخیص ندهید .
NIDS ها هم می توانند به پورت های سویچ یا هاب متصل شوند و یا اینکه به یک tap متصل شوند. بسیاری از هاب ها و سویچ ها پورت های خاصی را برای فعالیت های مانیتورینگ شبکه برای رفع ایراد و یا نظارت بر شبکه ، در خود تعبیه کرده اند . این پورت ها مشابه فعالیت tap را انجام می دهند .
مزیت وجود tap این است که صرفا دستگاه NIDS ترافیک ورودی و خروجی را دریافت می کند. شکل ب به شما اتصال یک NIDS با استفاده از دستگاه هاب را نمایش می دهد . این نکته را به یاد داشته باشید که همیشه سیستم های تشخیص نفوذ تنها ترافیکی را می توانند مانیتور کنند که به آن دسترسی دارند .
![شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="727" height="410"></svg>)
شکل ب : استفاده از هاب برای متصل کردن NIDS به شبکه
در واکنش به گزارش هایی که توسط سیستم های تشخیص نفوذ در سطح شبکه می شود ، دو نوع عکس العمل وجود دارد که به ترتیب عکس العمل های فعال یا Active و عکس العمل های غیرفعال یا Passive می باشد . در ادامه به بررسی این نوع عکس العمل ها در برخورد به گزارش های سیستم های تشخیص نفوذ تحت شبکه خواهیم پرداخت .
واکنش غیر فعال یا passive response معمولترین واکنشی است که به بیشتر نفوذها در شبکه انجام می شود .در واقع واکنش های غیرفعال ساده ترین و راحت ترین واکنش در برخورد با نفوذ ها برای پیاده سازی و توسعه هستند .استراتژی های واکنش های غیر فعال شامل موارد زیر است :
واکنش فعال بدین معناست که در مقابل حمله یا تهدید موجود عکس العمل نشان بدهیم . هدف واکنش فعال انجام دادن سریعترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است . این نوع از واکنش ها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویدادها ، خط مشی های واضح و صریح تبیین شده و همچنین هوشیاری خاصی می باشند. واکنش های فعال شامل عکس العمل هایی هستند که در ادامه بصورت خلاصه با برخی از آنها آشنا خواهیم شد :
![پایان دادن به یک ارتباط](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="674" height="596"></svg>)
شکل ج : IDS به TCP دستور ریست شدن تمامی ارتباطات را صادر می کند
![شیوه قرارگیری سیستم تشخیص نفوذ تحت شبکه](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="720" height="643"></svg>)
شکل د : IDS به فایروال دستور می دهد که پورت 80 را به مدت 60 ثانیه مسدود کند
اگر IDS متوجه شود که یک پورت یا سوکت خاص مورد حمله قرار گرفته است ، می تواند به فایروال دستور بدهد که پورت مورد نظر را برای مدت زمان معینی مسدود کند. انجام اینکار باعث بر طرف کردن حمله می شود اما بصورت ناخواسته باعث بروز یک حمله از نوع DOS نیز بر روی شبکه خود خواهد شد .
![شیوه قرارگیری هانی پات در شبکه](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="696" height="491"></svg>)
شکل ه : یک هانی پات تحت شبکه هکر را فریب داده و اطلاعات حمله را جمع آوری می کند
مزیت این نوع واکنش این است که تمامی فعالیت هایی که هکر انجام می دهد پایش و تحلیل شده و برای انجام بررسی های بعدی در خصوص شیوه فعالیت هکرها نیز می تواند مورد استفاده قرار بگیرد. پیاده سازی این فرآیند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش می شود کار بسیار خطرناکی است .
معمولا اینگونه راهکارها را می توان در زمانی که قرار است اطلاعات را در مبحث کشف جرائم رایانه ای و انجام بررسی های فعال بدست بیاوریم مورد استفاده قرار می دهیم ، این کار برای اطمینان از شیوه عملکرد مهاجم نیز مورد استفاده قرار می گیرد .فریب دادن به شما این اجازه را می دهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید .
یک سیستم تشخیص نفوذ تحت میزبان یا Host Based Intrusion Detection System به گونه ای طراحی شده است که بتواند بر روی سیستم عامل های میزبان ( شخصی ) افراد در قالب نرم افزار نصب شده و فعالیت کند . این سیستم ها معمولا دارای یک سرویس می باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می شود. HIDS ها لاگ های ماشین ، رویداد های سیستمی و فعل و انفعالات نرم افزارهای کاربردی را پایش می کنند و معمولا با ترافیک ورودی از طریق شبکه به سیستم میزبان کاری ندارند.
HIDS ها معمولا در میان سرور هایی که دارای کانال های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرورها هستند مورد استفاده قرار می گیرند. شکل ی یک HIDS را که بر روی یک سرور نصب شده است را نمایش می دهد . توجه کنید که HIDS ها با ممیزی ها یا Audit های ورود یه سیستم و فایل های پایش کرنل سیستم همیشه در حال تعامل هستند . فایل های ممیزی کرنل یا Kernel Audit Files برای پردازش و رابط های کاربری نرم افزارهای کاربردی مورد استفاده قرار می گیرند.
دو مشکل اساسی در HIDS ها وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل ، تغییر کردن ساختار سیستم هاست است ، اگر سیستم عامل هاست شما دچار تغییرات ناگهانی در تنظیمات شود ، فایل های لاگی که IDS از آنها گزارش تهیه می کند دچار مشکل شده و دیگر دارای صحت نمی باشند .
این باعث می شود که سیستم IDS دچار اختلال شده و تصمیاتی که اتخاذ می کند صحیح نباشند . مشکل دیگری که در HIDS های وجود دارد این است که بایستی برای تک تک سیستم هایی که نیاز به این سیستم دارند نصب و راه اندازی شود ، همین موضوع می تواند مشکلات مدیریتی و دردسرهای نگهداری خاصی خود را برای مدیران سیستم ایجاد کند.
یکی از مهمترین شاید بهتری قابلیت های HIDS ، قابلیت گرفتن Check-sum از فایل های موجود بر روی سیستم است ، این قابلیت به مدیر سیستم این امکان را می دهد که متوجه شود که آیا فایل های روی سیستم دستکاری شده اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده ای خواهد بود زیرا مدیر سیستم میداند که کدامیک از فایل ها دچار دستکاری و تغییر شده اند .
برخی از نرم افزارها نیز بصورت تخصصی بر روی این زمیه کار کرده اند و نام این قابلیت SIV یا System Integrity Verifier می باشد. به خاطر داشته باشید که سیستم های تشخیص نفوذ تحت میزبان یا HIDS ها دارای واکنش غیرفعال هستند و واکنش فعال معمولا در سیستم های تشخیص نفوذ تحت شبکه مورد استفاده قرار می گیرد.
سیستم تشخیص نفوذ یا IPS نرم افزار یا سخت افزاری است که با مکانیزم کاری تقریبا شبیه به آنتی ویروس با استفاده از تجزیه و تحلیل ترافیک شبکه یا ترافیک ورودی به سیستم عامل ، تشخیص می دهد که ترافیک آلوده است یا خیر و بر این اساس تشخیص می دهد که یک حمله هکری یا نفوذ در حال انجام شدن است و به شما اعلام می کند.
مهمترین تفاوت بین IPS و IDS در برخورد با نفوذ است ، در حالیکه IDS ها صرفا بحث اطلاع رسانی را بر عهده دارند ، سرویس های IPS اقدام هم انجام می دهند و جلوی ترافیک و نفوذ را نیز می توانند بگیرند.
اجزای کلی یک سیستم تشخیص نفوذ شامل Activity یا فعالیت ، رئیس یا Administrator ، هشدار یا Alert ، تحلیل کننده یا Analyzer ، منبع داده یا Data Source ، رویداد یا Event ، مدیر یا Manager ، اطلاع رسانی یا Notification ، حسگر یا Sensor و اپراتور ( Operator ) می شود.
![محمد نصیری](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="120" height="120"></svg>)