موقعیت شما: دانشنامه سیستم ضد نفوذ چیست؟
 
 

سیستم شناسایی نفوذ چیست؟

 

بسیاری از مردم به هنگام مطرح شدن مسئله امنیت شبکه به یاد دیواره آتش می افتند.

دیواره های آتش در حد بسیار بالایی به عنوان اولین لایه حفاظتی در ساختار چند لایه امنیتی مطرح هستند که بصورت یک تمهید اولیه برای کنترل دسترسی عمل می نمایند. آنها اجازه ورود پرتکلهایی نظیر HTTP,DNS, SMTP را به آدرسهایی داخلی میدهند.

همانطور که از عملکرد دیواره های آتش پیدا است آنها به منظور اعمال سیاست های دسترسی بکار گرفته میشوند ولیکن بطور کلی قادر به بررسی محتوای بسته های ارسالی نمی باشند. بدین ترتیب از شناسایی کدهای مخرب عاجز هستند و غالباً نیز برای جبران این کمبود با انواع پردازشگران محتوا ترکیب می گردند.

کلمه (IDS Intrusion Detection System) که به معنای سیستم شناسایی نفوذ است دارای پهنه وسیعی از دانش مربوط به پرتکل ها و محتوای داخلی بسته ها است.

در بازار مربوط به سیستم IDS چهار مقوله اصلی مطرح است :

نقص یابها Vulnerability Scanner
اغلب به عنوان محصولات ارزیابی مخاطرات "risk assessment" شناخته میشوند. آنها قادرند نوعی حملات شناخته شده را که به عنوان "hackers in a box" معروفند، شناسایی نمایند. بدین ترتیب مدیر شبکه می تواند به کمک آنها منابع مورد استفاده در شبکه خود را مورد کنکاش قرار دهد.

IDS مبتنی بر میزبان Host-based
اینگونه از سیستمهای شناسایی نفوذ با اجرای یک سرویس کوچک (Agent) در ماشین مقصد (میزبان) می توانند کلیه تحرکات آنرا مورد نظارت قرار دهند. این جاسوس کوچک قادر است ثبت وقایع، فایلهای مهم سیستمی و سایر منابع قابل ممیزی را به منظور شناسایی تغییر غیر مجاز و یا رهگیری فعالیتهای مشکوک مورد موشکافی قرار دهد. در این سیستم حفاظتی، به هنگامیکه رخدادی خارج از روال عادی روی دهد، بلافاصله از طریق SNMP هشدارهایی بطور خودکار برای مسئولین شبکه ارسال می گردد.

IDS مبتنی بر شبکه Network-based
در این نوع از سیستم شناسایی نفوذ، ترافیک بصورت بلادرنگ بر روی خطوط ارتباطی، مورد نظارت قرار می گیرد. در این روش بسته های اطلاعاتی ارسالی به دقت مورد ارزیابی قرار می گیرد تا قبل از رسیدن به مقصد خود از نقطه نظر عدم وجود تدارک یک حمله گسترده در برنامه آنها و یا تدارک حجم زیاد ترافیک برای از رده خارج نمودن سرویسهای در حال کار که بسیار خطرناک میباشند، مطمئن گردد. این سیستم به هنگام شناسایی یک تحرک مشکوک در ترافیک ، بلافاصله اقدام به ارسال هشدار نموده و متعاقب آن اقدام به مسدود نمودن مسیر بسته های مشکوک می نماید. (همانگونه که در سیستم میزبان گرا صورت می پذیرد) در برخی از سیستمهای به هم پیوسته با دیواره آتش، به طور خودکار قواعد جدیدی تعریف می گردد تا بطور کلی حمله مهاجمان را در آینده ختثی نماید.

سیستم شناسایی نفوذ مبتنی بر شبکه بدلیل استفاده شدید از منابع ماشین، نیاز به سکوی مستقلی برای اجرای طرح بازرسی خود دارد. همچنین هر ناحیه عملیاتی نیاز به یک سیستم شناسایی دارد زیرا آنها قادر به کنکاش در خارج از محدوده سوئیچ و یا مسیر یابها نمی باشند.

IDS مبتنی بر برنامه Application-based
این نوع از IDS به منظور حفاظت از "خوش اجرایی " برخی از برنامه ها خاص بکار برده میشوند. محتوای معنی دار داخل این برنامه ها اجازه میدهد تا این نوع از سیستم شناسایی نفوذ بتواند میزان خطاهای درست / نادرست آنها را کاهش دهد.

محصولات IDS مبتنی بر شبکه، تمامی محتوای بسته های عبوری از شبکه را به منظور شناسایی تحرکات شرورانه مورد بازرسی قرار میدهد. این نوع از بازرسی بسیار عمیق تر از تحلیلهای صورت گرفته توسط دیواره آتش و یا مسیر یاب است.
سیستمهای شناسایی نفوذ هنگامی موثر هستند که حملات هوشمندانه ای، از طریق پرتکلهای آشنا نظیر http ، که معمولا هم بدون مشگل از درون دیواره آتش میگذرند، شکل گیرد. در مقام مقایسه ، تصور نیاز به داشتن یک قدرت پردازشی به مراتب قویتر از دیواره آتش برای سیستمهای شناسایی نفوذ جای تعجب ندارد.

شبکه های نفوذ پذیر امروزی از ابزارهای IDS به جای کارشناسان امنیتی پر تلاش استفاده می کنند که هدف آنها کشف، ارزیابی و حفاظت شبکه ، در مقابل حملات شرورانه می باشد.

در نتیجه این محصولات در خارج و یا داخل محدوده تحت نظارت دیواره های آتش گسترده می شوند و نقش و تکیه گاه اصلی را در امر پیاده سازی یک شبکه ایمن بازی می نمایند.

یکی از مزایای سیستمهای شناسایی نفوذ مبتنی بر شبکه آنست که تاثیری بر سرعت شبکه و یا اعمال فشار بر سیستم نظارتی ندارند. اغلب IDSهای مبتنی بر شبکه دارای یک بانک اطلاعاتی جامع از علائم مربوط به حملات هستند که آنها را در امر شناسایی آنها یاری میکند. به هر جهت IDS ها نیز مانند ضدویروسها بدون بروزشدن بانک اطلاعاتی خود قادر به شناسایی حملات نمی باشند. آنها با تهدیدات خزنده ای که دارای موعد حمله است در ستیز هستند.

هکرها اغلب حملات به شبکه ها را با روش آزمون و خطایی که نتیجه موفقیت آمیزی در یورش قبلی داشته به انجام می رسانند. تولید کنندگان محصولات امنیتی شبکه با توجه به تحلیلهای به عمل آمده بر روی اینگونه حملات ، مشخصه های اصلی حمله را تهیه می نمایند و جزئیات آنرا مورد توجه قرار می دهند. فنون شناسایی، رد اثر یورش به شبکه را با توجه به اثرات موجود در ترافیک شبکه و مقایسه با الگوهای تهدیدات موجود در بانک اطلاعاتی مورد شناسایی قرار میدهند. به محض آنکه مشخصه یک حمله مورد شناسایی قرار گرفت ، سیستم امنیتی در مقابل آن عکس العمل نشان داده و در اغلب موارد اقدام به ارسال پیامهای هشدار ساده می نماید. موفقیت در شناسایی حملات، بسته به میزان بروز بودن الگوی حملاتی است که در بانک اطلاعاتی مربوطه سابقاٌ ذخیره گردیده است.

اشکال سیستمهایی که تنها به خود و یا الگوی شناسایی تکیه می کنند کاملاٌ مشخص است :
آنها فقط می توانند یورشهایی را که دارای الگوی شناسایی هستند رهگیری نمایند و در این صورت اگر برای حفاظت شبکه فقط از فنون شناسایی مبتنی بر علائم حمله استفاده گردد، بطور یقین زیر ساختهای شبکه کماکان در معرض انواع و اقسام تهدیدات شناخته شده قرار دارد.

به هنگامیکه هکرها بدنبال کشف نقاط ضعف جدید و هجوم به منظور بهره برداری از نقاط آسیب پذیر هستند، فنون نامتعارف (anomaly) شناسایی مورد نیاز است. در این کار زار هیچگونه الگو و یا علائم شناسایی در کار نیست. اولین نمونه از اینگونه حمله با ویروس CodeRed به معرض ظهور رسید، جائیکه هیچ سیستم شناسایی نتوانست از طریق الگوی حمله آنرا شناسایی نماید.

محصولات IDS به منظور شناسایی ضربات اولیه اینگونه حملات نیاز به فنون شناسایی نامتعارف دارند. اینکار میتواند با مقایسه ترافیک شبکه با یک الگوی ترافیک اولیه صورت گیرد. این مکانیسم بر اساس مشاهده آمار ترافیک غیر متعارف بنا نهاده شده است.

در حال حاضر سیستمهای IDS قادر به شناسایی و ممانعت از برخی حملات هوشمندانه جدید نمی باشند. فنون غیر متعارف شناسایی نیز ممکن است در بعضی مواقع موثر نیافتد.

تصور کنید یک دروازه بان هستید و نباید اجازه دهید توپ وارد دروازه شود. اگر شما سرمایه گذار هستید و برای امنیت شبکه تان تلاش می کنید این موضوع برای شما به یک کابوس تبدیل خواهد شد. تصمیم بگیرید و سیستم واکنشی را با فناوری پیشگیرانه جایگزین کنید.

مقاومت سیستم های اطلاعاتی در مقابل حمله به لایه های کاربردی نفوذگران را برآن داشته تا روز به روز ماهرتر و خبره تر شوند. سیستم شناسایی نفوذ (IDS) در لایه پروتکل شبکه عمل می کند و کار شناسایی الگو های ظاهرًا غیر عادی را که در حقیقت تهدیدی نیستند بر عهده دارد. این کار موجب سنگینی و کند شدن سیستم امنیتی می شود.
روش پیشگیرانه راه موثر تری را در خصوص این تهدیدات پیشنهاد می کند. این کار باید با اعمال تغییرات بر روی الگوهای جدید از حملات مختلف نفوذگران که دائماً دامنه حملاتشان را گسترش می دهند صورت بگیرد.
آنچه بیشتر از همه نفوذگران را در این زمینه قدرتمند ساخته، پیچیدگی و سرعت عمل آنهاست. آنها حملاتشان را آنقدر پیچیده می کنند که یک ضد ویروس یا دیواره آتش معمولی، مدت زیادی در مقابل آنها دوام نمی آورد. آنها سعی میکنند با چنان سرعتی گسترش یابند که انسان توانایی واکنش به موقع نداشته باشد.

اکنون فقط سیستم ممانعت از نفوذ (Intrusion Prevention System) IPS ، با هوش مصنوعی خود قادر به مسدود کردن حملات، در زمانی که رخ میدهند است.

تفاوت میان IPS و IDS چیست؟
IDS بیشتر شبیه یک دزدگیر عمل میکند. IDS قسمتهایی از شبکه را که به نظر می رسدکسی به آنجا صدمه زده کشف می کند و سپس اخطار می دهد. بدیهی است که این اخطار بعد و یا در حین آسیب به دستگاه صورت می گیرد. اکنون زمان آن رسیده که شما از صدمات، پیش تر جلوگیری نموده و سیستم را اصلاح کنید.
IPS برای جلوگیری از ورود بدون مجوز به شبکه یا سرویس دهنده طراحی شده است و بجای اعلام اخطار مبنی بر اینکه قسمتی از سیستم دچار مشکل شده از صدمه سیستم جلوگیری به عمل می آورد.
IPS نسل جدیدی از فن آوری IDS است. سیستم IDS به توانایی احتیاج دارد نه فقط شناسایی. همچنین باید توانایی مسدود کردن حملات را داشته باشد. تفاوت IPS با IDS سنتی در این است که IPS یک سد امنیتی دور تا دور شبکه و یا سرویس دهنده می کشد تا صدمه ای به آن وارد نگردد. از دیگر توانایی های IPS بیرون راندن تراکم موجود در شبکه ، قطع و وصل ارتباط شبکه داخلی با شبکه خارجی و کنترل رفت و آمدها به داخل و خارج شبکه است.
به عبارت ساده تر قابلیت کنترل ارتباط و توانایی بازداشتن حمله ای را که در حال وقوع است دارد. در حالی که ممکن است تفاوت میان IPS و IDS گیچ کننده به نظر آید از اسامی آنها به سادگی می توان تفاوت میانشان را دریافت. IDS ها بیش از یک دستگاه گردآوری کننده اطلاعات و آگاه کننده اختلالات شبکه نیستند که تنها قادرند هر بسته ای را که قصد عبور دارد ارزیابی و تحلیل کنند. IPS ها تغییر شکل طبیعی IDS ها هستند.
IPS ها دارای همه توانایی های IDS ها هستند ولی در سطحی بالاتر. آنها در حقیقت می توانند بر اساس معیار هایی که به آنها می دهیم تصمیم بگیرند. در نتیجه IPS ها، دارای مکانیسم پیشگیری هستند و نه فقط واکنش به یک حمله.

ذاتا تمام IPS ها IDS نیز هستند اما IDS ها IPS نیستند. تفاوت در مکانیزم پاسخ دهی است ، که با تغییر وظایف IDS از حالت انفعالی به حالت تصمیم گیرنده صورت می پذیرد.
هنگامی که مدیر شبکه IPSی را برای بررسی عیوب شبکه فعال می کند IPS بسته های عبوری را بر اساس بانک علائم خود بطور دقیق بررسی می کند. در این میان نه تنها عناوین نامه های الکترونیکی ، بلکه کل محتوای آنها را نیز قبل از ورود به شبکه بررسی می کند و در صورت مخرب بودن ، از ورود آنها جلوگیری به عمل می آورد.

خودکارسازی امنیتی راهی است که منتظر استفاده خرابکاران از یک حفره نمی ماند
کدهای مخرب، ویروس ها و نفوذگران می بایست راهی برای ورود به سیستم پیدا کنند. دیواره های آتش معمولی در جلوگیری از حملات ساده به شبکه ، از طریق پورت های باز یا پرتکل های مختلف موثر بودند. همچنین سیستم های ضد ویروس نیز در شناسایی ویروس هایی که می شناسند و از طریق نامه های الکترونیک و کپی فایل وارد سیستم می شوند، موثر بودند. گرچه نویسنده های کد های مخرب به تازگی استفاده از پروتکل های استاندارد و نقاط ورودی (مانند http و پورت 80) که باید برای انجام کارهای سیستم باز نگه داشته شود را برای نفوذ به داخل سیستم شروع کرده اند.
بدین ترتیب سیستمهای امنیتی که دارای مکانیسم های ثابت هستند به مرور دچار افت عملیاتی میشوند و قادر به پاسخگویی به حملات برنامه ریزی شده پیشرفته نمی باشند. اینجاست که تقش IPSها پر رنگ می گردد تا بطور کاملاً موثری جلوی نفوذگران را بگیرد.

IPS برای جلوگیری از این قبیل ورودهای غیر مجاز از چند روش استفاده می کند :
IPSها (مبتنی بر میزبان یا شبکه) هر بسته ای را که قصد ورود به شبکه را دارد بسیار بهتر از سیستم هشدار دهنده بازرسی می کند و سپس دو کار را به انجام می رساند: اول جستجوی بانک اطلاعاتی برای یافتن نوع حمله، که اگر موفق به پیدا کردن نوع حمله شد از پدافند آن استفاده خواهد کرد و در غیر این صوررت سیستم اجازه دسترسی به فایل ها را پیدا می کند. این پایه و اساس کارکرد هسته سیستم است که برای جستجوی فعالیت های غیر عادی به کار می رود.
برای دستیابی به چنین سیستمی دو شرط لازم است :

توان اجرایی بالا : اگر از توان اجرایی کافی برخوردار نباشید، سیستم نمی تواند بهترین عکس العمل را نشان دهد
و دوم دقت : شما نباید تصمیم اشتباه بگیرید