مشکل در خصوص مفاهیم مربوط به Application Layer IDS ها
سلام ، من سمینارم روی سیستم تشخیص نفوذ در لایه وب است. از دوستان کسی هست که در این زمینه اطلاعاتی داشته باشه؟ مقالات ای براش پیدا کردم ولی توی این مقالات هیچکس نیومده راجع به کلیتش حرف بزنه و اومدند راه ها و شیوه های جدید خودشون رو در حداکثر 10 صفحه ، مطرح کردند که سرشار از اصطلاحات بدون تعریف است و این باعث گیج شدن منی که هیچ پیش زمینه ای راجع بهش ندارم شده..... حالا جدا از همه این حرفا سوالات زیر هم مطرح است اگه کسی از دوستان جواب بده خیلی ممنون میشم.
- کلیت Web IDS با IDS لایه شبکه یکی است؟؟؟؟؟؟
- من خیلی جاها بیش تر از اینکه حرفی از IDS برای لایه وب مطرح باشه از WAF دیدم که برای امنیت لایه وب استفاده می کنند. آیا WAF کاراتر است
یا هر کدوم جایگاه خودشون را دارند؟؟؟؟
- درباره audit data ؟؟؟؟
- درباره stateless یا stateful بودن در تشخیص Misuse detection ??
خیلی به کمک احتیاج دارم لطفا کسی اگه می تونه من را راهنمایی کنه
2 پاسخ
- در خصوص سئوال اول بایستی بگم که حملات در شبکه بنا بر سطح دانش و نوع حمله در هر لایه ای از مدل OSI می تونن به وجود بیان ، اما قطعا بنا بر نوع حملات و نفوذی که انجام میشه نوع سیستم تشخیص نفوذ هم بایستی تفاوت داشته باشه ، با یک مثال برات مسئله رو بیشتر باز میکنم ، مثلا ما در یک نوع حمله در شبکه داریم به نام SYN FLOOD که از ساختار ایجاد ارتباط پروتکل TCP/IP استفاده می کنه ، برای تشخیص این نوع حمله بایستی از NIDS یا سیستم های تشخیص نفوذی استفاده کرد که در لایه سوم به خوبی کار کنند چون نوع حمله ذاتا در لایه سه به وجود میاد ، در لایه کاربردی یا همون Application هم نوع حملات متفاوت هست ، مثلا ما به SQL حمله می کنیم ، یا حملات Cross Site Scripting انجام میدیم که قطعا در لایه هفتم انجام میشن ، اینجاست که سیستم تشخیص نفوذ بایستی بتونه حملات لایه بالاتر رو تشخیص بده و نقش Application Layer IDS بیشتر مشخص میشه ، پس این دو نوع IDS با هم یکسان نیستن ، اما خوب اگر کلیت رو تشخیص نفوذ قرار بدی بله کلیت از نظر تشخیص نفوذ در هر دو یکسانه.
- در خصوص Web Application Firewall باید بگم که قطعا ایندو با هم می تونن کار کنن اما به قول شما جایگاه خودشون رو دارند ، کار فایروال ذاتا بر اساس Rule یا نقش هست ، فایروال هایی که در لایه سوم OSI کار می کنند Rule هایی شبیه این دارند : از کدام آدرس ، به کدام آدرس و از چه پورتی ... اجازه داده شود یا نشود .... این اساس کار فایروال لایه سومه ، اما در لایه وب چطور هست ؟ در لایه وب هم فایروال باز هم بر اساس Rule کار میکنه اما نه به این روش بلکه اینطور میشه : ورود اطلاعات ..... خروج اطلاعات ... از طریق کدام درگاه ورودی و کدام فیلد نرم افزار ..... توسط کدام سرویس .... مجاز است یا غیر مجاز ..... این هم فایروال لایه وب میشه .... اما میبینی ساختار مفهومی همشون یکی است به خاطر همین شبیه به نظر میرسن. قطعا WAF کاربرد بیشتری نسبت به Web IDS داره و به خاطر همین بیشتر روش مانور داده میشه.
- Audit Data یا داده های ممیزی یا بازرسی ، ببینید دوست عزیز هر بازرسی هر جا میره اگر چیزی رو مستند سازی نکنه نمیتونه بر اساس اون تصمیم گیری کنه و همین امر رو شما در IDS ها هم دارید ، داده ها بایستی توسط Sensor ها جمع آوری بشن و مورد ارزیابی قرار بگیرند ، حالا این مستندات رو که اینجا در قالب فایل یا داده خام هست رو بهش میگن Audit Data که تمام گزارش ها هم از طریق این داده ها گرفته میشه.
- در خصوص تفاوت Stateful و Stateless اول برات یک خاطره میگم بعد میگم دقیقا یعنی چی ، یه زمانی DVD تازه اومده بود تو ایران و هنوز عده کمی ازش استفاده می کردن ، تو شرکت های خودرو سازی به حراست اعلام شده بود که ورود و خروج CD ممنوع هست و نباید کسی CD وارد مجموعه یا ازش خارج کنه ، یکی از دوستان ITMAN ما یه DVD کامل از اطلاعات رو از محل حراست داشت خارج میکرد ( اطلاعات خاصی نبوده) حراست بهش گیر میده که این چیه ؟ دوست من برگشته گفته این DVD هست ، طرف یه نگاهی بهش انداخته و بعد گفته اوکی برو مشکلی نیست !!!!! به ما گفتن ورود و خروج CD ممنوعه نه DVD !!!!! حالا همین جریان Stateless هست ، این نوع فایروال ها فقط تایع قوانینی که براشون تعریف شده هستند و اگر قانون ذره ای متفاوت باشه گول می خورن ، مثل همین مثال بالا ، هوشمند نیستند و صرفا به قوانین توجه می کنند ، اما در حالت Stateful علاوه بر اینکه ما قوانین رو چک می کنیم ، وضعیت ترافیک و session ها و خیلی از مسائل دیگه رو هم تحلیل میکنم که مثلا یک پورت ترافیک اضافه زیادی تولید نکنه !!! از نظر Staleless این مشکلی نداره ترافیک هست از مسیر درست میاد و میره ، اما از نظر Stateful این یعنی یک رویداد غیر عادی و بایستی جلوش گرفته بشه ، به همین دلیل هم هست که Stateful ها معمولا کندتر از Stateless ها هستند. در مثالی که زدم اگر حراست stateful کار می کرد گول نمیخورد.
در تکمیل صحبت دوست خوبم مهندس نصیری
IDS سیستم های تشخیص نفوذ هستند و در حال حاضر جای خودشون رو به IPS دادن که سیستم های جلوگیری از نفوذ هست در رابطه با IPS های شرکت سیسکو توی سایت یک سری آموزشی قرار دادم که امیدوارم براتون مفید واقع بشه
سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها