Security

آشنایی با سیستم های تشخیص نفوذ و جلوگیری از نفوذ (IDS/IPS)

نفوذ ، مجموعه ای از اقدامات می باشد که با هدف ایجاد خلل در اهداف امنیتی مانند یکپارچگی، محرمانگی، دسترس پذیری و مصرف منابع شبکه (منابع محاسباتی و ارتباطی) انجام می شود.

نفوذ
نفوذ

سیستم تشخیص نفوذ (Intrusion Detection System)

فرایند نظارت بر وقایع رخ داده در یک شبکه و یا سیستم کامپیوتری در جهت کشف موارد انحراف از سیاست های امنیتی

روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد، می تواند فرآیند نفوذ را گزارش و کنترل کند.

سیستم جلوگیری از نفوذ (Intrusion Prevention System)

نظارت بر فعالیت‌ های یک شبکه و یا یک سیستم جهت شناسایی رفتار‌های ناخواسته یا مخرب

در صورت شناسایی این رفتارها، IPS بلافاصله عکس‌العمل نشان داده و از ادامه فعالیت آن‌ ها جلوگیری می ‌کند.

وظایف عمومی  IDS

دلایل استفاده از سیستم تشخیص نفوذ

  • تحلیل الگوهای فعالیت ناهنجار
  • نصب خودکار وصله های نرم افزاری ارائه شده
  • نصب و اجرای تله عسل (HoneyPot) جهت کسب اطلاعات بیشتر
  • تشخیص الگوهای منطبق با حملات شناخته شده
  • نظارت بر فعالیت های شبکه، سیستم و کاربر
    بررسی پیکربندی سیستم و شناسایی نقاط آسیب پذیر
    ارزیابی صحت سیستم و فایل های داده ای حساس
  •  جمع آوری اطلاعات مفید درباره حملات، نفوذهای رخ داده شده، فراهم سازی امکان عیب یابی (شناخت آسیب پذیری ها)، کشف و تصحیح عامل های سبب شونده
  •  جلوگیری از تکرار حملات مشابه با آگاهی رسانی در مورد حملات کشف شده
  • تشخیص و ثبت تهدیدات موجود برای یک سازمان
     جلوگیری از اجرای کامل حملات، با تشخیص در مراحل اولیه

انواع IDS 

  • IDS مبتنی بر میزبان -Host-based 

شناسایی و تشخیص فعالیت های غیرمجاز بر روی رایانه میزبان

این سامانه می تواند حملات و تهدیدات سیستم های بحرانی (شامل دسترسی به فایل ها، اسب های تروا و …) را که توسط سامانه NIDS قابل تشخیص نیستند را تشخیص دهد.

هنگامی که رخدادی خارج از روال عادی روی می دهد، بلافاصله از طریق SNMP هشدارهایی به طور خودکار برای مسئولین شبکه ارسال می گردد.

تشخیص نفوذ مبتنی بر میزبان
IDS مبتنی بر میزبان
تشخیص نفوذ مبتنی بر شبکه
IDS مبتنی بر شبکه
  •  IDS مبتنی بر شبکه Network-based 


نظارت بلادرنگ بر روی ترافیک خطوط ارتباطی

در بسیاری از موارد، IDS ها به عنوان یک Sniffer عمل می کنند که با برسی بسته ها و پروتکل های ارتباطات فعال، به جستجوی تلاش هایی که برای حمله صورت می گیرد، می پردازند و به هنگام شناسایی تحرک مشکوک در ترافیک، بلافاصله اقدام به ارسال هشدار نموده و متعاقب آن اقدام به مسدود نمودن مسیر بسته های مشکوک می نمایند. در برخی از سیستم های به هم پیوسته با دیواره آتش، به طور خودکار قواعد جدیدی تعریف می گردد تا بطور کلی حمله مهاجمان را در آینده ختثی نماید.

  •  IDS مبتنی بر برنامه Application-based

 به منظور حفاظت از “خوش اجرایی” برخی از برنامه های خاص، محتوای معنی دار داخل این برنامه ها اجازه می دهد تا سیستم بتواند میزان خطاهای درست / نادرست آنها را کاهش دهد.

رده بندی کلی سیستم های تشخیص نفوذ

 رده بندی سیستم های تشخیص نفوذ
رده بندی سیستم های تشخیص نفوذ

اجزاء تشخیص نفوذ

اجزاء تشخیص نفوذ
اجزاء تشخیص نفوذ

جمع آوری اطلاعات

عملیات جمع آوری داده از یک منبع اطلاعاتی و تحویل آن ها به پیش پردازنده و موتور تحلیل

  • مبتنی بر شبکه    —->             ترافیک شبکه
  • مبتنی بر میزبان    —–>          دنباله های ممیزی سیستم عامل (Audit Trail)، رویداد نامه ها (Logs)
  • مبتنی بربرنامه کاربردی —–>   رویداد نامه پایگاه داده ها و …..

تشخیص نفوذ مبتنی بر شبکه

مزایا

معایب

  • قابلیت نظارت بر یک شبکه بزرگ
  • عدم تداخل با عملکرد معمولی شبکه
  • قابلیت مخفی ماندن از دید مهاجمان
  • عدم عملکرد صحیح در ترافیک سنگین
  • عدم توانایی در تحلیل اطلاعات رمز شده (مانند VPN)

نظارت مبتنی بر میزبان

مزایا

معایب

  • کشف حملاتی که از طریق شبکه قابل شناسایی نیستند.
  • قابلیت عمل در محیطی که ترافیک شبکه در آن رمز شده است.
  • امکان غیرفعال شدن سیستم در بخشی از حمله
  • نیاز به فضا زیاد براي ذخیره اطلاعات
  • سربار محاسباتی براي میزبان

زمانبندی تحلیل

  • زمان بندی ( Timing): فاصله زمانی بین وقوع وقایع در منبع  اطلاعات تا تحلیل آن ها توسط موتور تحلیل
  • زمان بندی دسته ای یا دوره ای (Batch): کشف نفوذ پس از وقوع، عدم امکان پاسخ گویی فعال
  • زمان بندی بلادرنگ ( Real-time): تشخیص نفوذ به محض وقوع و یا حتی قبل از آن، وجود امکان پاسخ گویی فعال و پیش گیری از نفوذ

تحلیل و تشخیص

سازمان دهی اطلاعات و جستجوی علائم امنیتی

  • تشخیص سوء استفاده —->  علائم حمله
  1. شناخت حملات موجود
  2.  تعریف الگوي حملات براي موتور تحلیل
  3. جستجوي مجموعه ای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد.
  4. نیاز به بروزرسانی الگوهاي حمله
  • تشخیص ناهنجاری    —–>  رفتار غیرنرمال
  1. شناخت عملکرد نرمال سیستم
  2. تهیه نمایه هایی از رفتار نرمال سیستم برای موتور تحلیل
  3. جستجوی فعالیت غیرنرمال

مثبت غلط: تشخیص نادرست نرمال به حمله (حمله تشخیص داده شده ولی نرمال است.)

منفی غلط: تشخیص نادرست حمله به نرمال (نرمال تشخیص داده شده ولی حمله است.)

تشخیص سوء استفاده

تشخیص سوء استفاده و نفوذ

مشکلات IDS های فعلی

  • مبتنی بر دانش و امضاء: حتی داشتن یک پایگاه دانش بزرگ نیز در مقابل حملات جدید موثر نیست.
  • مبتنی بر نوع حملات

“Intrusion A detected; Intrusion B detected”

در بلند مدت نمی تواند به صورت فعالانه حملات جدید را تشخیص دهد و از آن ها جلوگیری کند.

  • آماری

x% detection rate and y% false alarm rate”

نرخ تشخیص غلط بالا می باشد و حمله تشخیص داده نمی شود.

  • پیکربندی ایستا و دستی

مقایسه ی دیواره ی آتش و تشخیص نفوذ تحت شبکه

مقایسه ی دیواره ی آتش و IDS تحت شبکه

دیواره ی آتش (Firewall)

  • فیلتر کردن فعالانه
    • Fail-close

IDS تحت شبکه

  • نظارت غیر فعال (منفعل)
    • Fail-open
عملکرد فایروال در مقابل سیستم تشخیص نفوذ
تشخیص نفوذ


  روش تشخیص رفتار غیر عادی (Anomaly-Detection IDS)

تشخیص مبتنی بر امضا - نفوذ

در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده یک نفوذ باشد. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد.

به عنوان مثال اگر کاربری به جای یکبار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، یا رایانه ای خارج از ساعت اداری روشن شود، در حالی که قرار نبوده روشن باشد، به عنوان یک رفتار غیر عادی در نظر گرفته می شوند.

تشخیص مبتنی بر امضا (Signature-based system)

الگوهای نفوذ از پیش ساخته شده (امضا) به صورت قانون نگه داری می شوند، به طوری که هر الگو، انواع متفاوتی از یک نفوذ خاص را در برگرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود. معمولا تشخیص دهنده در این روش پایگاه داده ای از امضا ها یا الگوهای حمله را دارد و سعی می کند با بررسی ترافیک شبکه، الگوهای مشابه با الگوهای خود را بیابد.

واکنش به نفوذ

فعال (Active)

منفعل (Passive)

  • انجام برخی اعمال واکنشی به صورت خودکار در صورت تشخیص حمله
  • انجام عملی علیه مهاجم (مثلا انسداد دسترسی مهاجم)
  • جمع آوری اطلاعات بیشتر
  • گزارش به مدیران و واگذاری واکنش به آن ها
  • نمایش پیغام بر روي صفحه
  • ارسال پست الکترونیکی

تشخیص نفوذ مبتنی بر امضا

نوشته های مشابه

دکمه بازگشت به بالا