سیستم تشخیص نفوذ چیست؟ تلاش هكرها جهت نفوذ به شبکه از یک طرف و تلاش مدیران IT جهت جلوگیری و ایمن سازی شبکه از نفوذ آنها از طرف دیگر، از زمان پیدایش فضای سایبری وجود داشته و خواهد داشت. اما باید به این مورد اذعان داشت که نفوذگرها هميشه یک قدم از تحلیلگران امنیتی جلوتر هستند.

متخصصین امنیت IT همواره به طرق مختلف از قبیل ايمن سازي تنظيمات سيستم، نصب ویروس یاب ها، آنتی اسپای ها ، سيستم هاي تشخیص نفوذ IDS و IPS ، فايروال ها ، UTM ها ، هاني پات و یا روشهای تست نفوذ و بکارگیری خط مشی های امنیتی از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند.

اما در این مقاله سعی بر این است در ارتباط با سیستم های تشخیص نفوذ ، مطالبی بیشتری را ارائه کنیم .يك IDS يا سيستم تشخيص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق می‌گردد که در یک سیستم رایانه‌یی که می‌تواند یک شبکه‌ی محلی یا گسترده باشد كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد را شناسایی و اعلام اخطار کند و این اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود .

يك IDS عملاً سه وظیفه‌ی پایش، تشخیص، واکنش را انجام می دهد و در واقع یک نوع Packet-Sniffer محسوب مي شود كه ترافیک شبکه را تجزيه و تحليل کرده و اگر بخواهد تلاشی برای نفوذ به شبکه انجام گیرد آن را شناسایی کرده(IDS)و اگر پس از تشخیص، حملات را از بین ببرد ، سیستم مربوطه به عنوان یک سیستم Intrusion Prevention System (IPS) مطرح می گردد.

سیستم‌هایی نظیر IDSها در یک شبکه به کارآمدی کلیه تجهیزات، فرآیندها و کارکنانی وابسته می‌باشند که در مواقع لزوم به رخدادها پاسخ می‌دهند.با توجه به این نکته که حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشکال، می‌توان هر یک از IDSها را برای یک Application خاص تخصیص داد.

روش هاي تشخيص نفوذ

بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند : 

  1. شناسايي امضاء يا ( Signature) : در اين روش، به محض اينكه سامانه، ترافيكي را تشخیص دهد آنرا با اطلاعات پايگاه داده خود مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند. 
  2. تشخيص رفتار غير عادي ( Anomaly ) : در اين روش، سامانه با رصد ترافیک شبکه و مقایسه بین رفتار عادی شبکه و رفتار غیر عادی که بر اثر عملی صورت گرفته پی به تشخیص نفوذ برده.
  3. تشخيص رفتار غير عادي پروتکل ها Protocol Anomely: تحلیل ترافیک و اطمینان از عدم وجود PACKET های غیر قانونی با مقایسه Protocol Portion

انواع سيستم هاي تشخيص نفوذ

در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی نمود :

  1. سيستم هاي تشخيص نفوذ تحت شبكه (NIDS ):در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌ها،به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند و ترافیک بصورت بلادرنگ بر روی خطوط ارتباطی، مورد نظارت قرار می گیرد. به عبارت دیگر معیار NIDSها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.مانند نرم افزار SNORT در سيستم عامل لينوكس. 
  2. سيستم هاي تشخيص نفوذ ميزبان (HIDS ) :معیار تشخیص حملات در این سیستم‌ها، اطلاعات جمع‌آوری شده بر روی کلاینت های شبکه است. در این سیستم ها نرم افزار بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود و بصورت مجزا فعاليت مي كنند .این سرویس کوچک (Agent) در ماشین مقصد (میزبان) می توانند کلیه تحرکات آنرا مورد نظارت قرار دهند. و با تحلیل عملیات انجام شده، سعی در تشخیص تلاش‌هایی که برای نفوذ به کلاینت مذکور انجام می شود دارند.در این سیستم حفاظتی، به هنگامیکه رخدادی خارج از روال عادی روی دهد، بلافاصله از طریق SNMP هشدارهایی بطور خودکار برای مسئولین شبکه ارسال می گردد.برای رسیدن به یک سیستم تشخیص نفوذ کامل، به‌ترین راه استفاده‌ی همزمان از هر دو نوع این ابزارهاست.

تفاوت میان IPS و IDS چیست؟

IDS شبکه را پایش کرده و درصورت تشخیص حمله اخطار می دهند و در واقع بیش از یک دستگاه گردآوری کننده اطلاعات و آگاه کننده اختلالات شبکه نیستند که تنها قادرند هر بسته ای را که قصد عبور دارد ارزیابی و تحلیل کنند.IPS از ورود بدون مجوز به شبکه یا سرویس دهنده جلوگیری به عمل می آورد.

IPS نسل جدیدی از فن آوری IDS است که دارای مکانیسم پیشگیری هستند و نه فقط واکنش گه توانایی مسدود کردن حملات را داشته باشد و می‌تواند به بیرون راندن تراکم موجود در شبکه ، قطع و وصل ارتباط شبکه داخلی با شبکه خارجی و کنترل رفت و آمدها به داخل و خارج شبکه اشاره کرد.ذاتا تمام IPS ها IDS نیز هستند ما IDS ها IPS نیستند.

در بخش قبل سیستمهای تشخیص نفوذ IDS و IPS و تفاوت کارکردی بین آنها و همچنین تکنیکهای عملکردی و رفتاری این سیستمها و انواع آنها که شامل NIDS و HIDS ها می شود توضیح داده شد .در ادامه مبحث سیستمهای تشخیص نفوذ و تلاش هكرها به سطح بندی عملکرد تست نفوذ می پردازیم .

سطح یک

در این سطح از نفوذ، پویش آسیب پذیری­ها (Vulnerability Scanning) صورت می پذیرد که برخی از آنان شامل موارد زیر می گردد :
1. بررسی آسیب های ناشی از امکان تزریق فیزیکی اطلاعات به سیستم ها از روشهایی همچون:

  • درگاه های USB
  • پورت های موازی
  • CD/DVD Rom
  • برررسی وجود برخی از درگاه های خاص

2. بررسی آسیب های ناشی از امکان سرقت اطلاعات از سیستم ها از روشهایی همچون:

  • کنترل تردد گوشی هوشمند
  • کنترل تردد افراد مجاز و غیر مجاز
  • کنترل سرقت اطلاعات از طریق امواج الکترومغناطیس
  • کنترل جداسازی فیزیکی شبکه محلی از اینترنت
  • کنتزل جداسازی فیزیکی شبکه محلی از صنعتی

3. بررسی آسیب های مرتبط با خراب کاری های فیزیکی

  • تهدیدات مرتبط با قطع کابل¬ها و خطوط ارتباطی
  • تخریب فیزیکی تجهیزات سخت افزاری مانند دیسک سخت

4. انجام مهندسی اجتماعی جهت کسب اطلاعات ارزشمند

  • جستجوی سوابق کارمندان و مدیران در فضای مجازی و شبکه­های اجتماعی
  • بدست آوردن اطلاعات شناسنامه­ای برای کارکنان و مدیران

سطح دو

در این سطح از نفوذ حملات EXPLOIT صورت می پذیرد که شامل موارد زیر می گردد:

  1. حملات SQL Injection
  2. حملات تحت شبکه DoS ، ARP Spoofing و ...
  3. پویش آسیب پذیری­های تحت شبکه Network Base Vulnerability Scanning با استفاده از ابزارهای بومی و ابزارهای خارجی مانند فازرها، GFI Lan Guard و ...
  4. پویش سیستم­ عامل­های سامانه­ های کامپیوتری و همراه OS Base Vulnerability Scanning
  5. پویش سامانه های سخت افزاری و نرم افزاری
  6. پویش وب سایت ها
  7. تست نفوذ در شبکه­های موجود
  8. تست نفوذ به بانک های اطلاعاتی
  9. ست نفود در دستگاه­های ورودی / خروجی
  10. تست نفوذ به دیوارههای آتش با استفاده از حملات IP Fragmentation
  11. حملات Brute Force به منظور شکست رمز عبور مدیران
  12. انجام حملات Buffer over Flow / Heap Smashing بروی سامانه­های نرم افزاری مورد استفاده
  13. آزمون جعبه سیاه

سطح سه

در این سطح از نفوذ حملات از انواع زیر است:

  1. حملات بدافزاری Virus Attack
  2. تولید بدافزارهای خاص منظوره
  3. استفاده از بدافزارهای عمومی
  4. چندریخت سازی بدافزارهای موجود برای حمله روز صفرم Metamorphic Engine for Zero day Attack
  5. نصب جاسوس­افزارها برای شنود و سرقت اطلاعات و حمله Man in the Middle
  6. نصب Key logger برای ثبت کلید­های فشرده شده توسط کاربران
  7. نصب Screen Recorder برای تصویر برداری از صفحات نمایش سیستم­ها
  8. امکان نفوذ به سیسیتم های صنعتی
  9. تزریق بدافزارهای صنعتی
  10. طراحی بدافزار خاص منظوره با هدف ایجاد اختلال در سامانه گردش مکاتبات
  11. حملات تزریق کد
  12. حملات تزریق کتابخانه پیوند پویا DLL به منظور منحرف سازی برنامه­ های کاربردی مورد استفاده

نتایج زیر از اجرای طرح پیش بینی می گردد

  1. کاهش آسیب پذیری های موجود در سامانه های مبتنی بر فناوری اطلاعات در هر یک از حوزه های زیرساخت، نرم افزار، اطلاعات، منابع انسانی، سرویس ها، نرم افزارهای با ارائه راهکارهای کوتاه مدت، میان مدت و بلند مدت.
  2. ارتقاء امنیت در فضای سایبری به سطح قابل قبول.
  3. پیشگیری از بروز حوادث جبران ناپذیر و تخریب تجهیزات به دلایل وجود آسیب پذیری ها.
  4. افزایش پایداری و تداوم چرخه خدمات فناوری اطلاعات و ارتباطات در برابر تهاجم احتمالی
  5. تنظیم شناسنامه آسیب پذیری ها