بخشی از مقاله
چکیده –
با افزایش روز افزون حملات در شبکههای کامپیوتری و وابستگی گسترده فعالیتهای حوزههای مختلف به سرویسهایی که در شبکه ارائه می شوند، تلاش برای مقاوم سازی این شبکهها در برابر حملات بسیار مهم است. یکی از تمهیدات امنیتی به منظور بهبود سطح امنیتی شبکه، جلوگیری از نفوذ به شبکه یا حذف آثار حمله پس از بروز، در شبکه است. سیستمهای تشخیص نفوذ ابزارهایی هستند که برای شناسایی تهدیدات شناخته شده در ترافیک شبکه بکار میروند. توسعه ابزارهای حمله و دسترسی آسان هکرها به آسیب پذیری سیستمها، به آنها این امکان را داده است تا بتوانند حملات پیچیده را به راحتی به انجام رسانند. سیستم های تشخیص نفوذ یک جزء مهم و اساسی در تشکیل دیوارهای دفاعی سیستمهای اطلاعاتی یک سازمان و شناسایی حملات به شمار می آیند. در این مقاله انواع مکانیزمهای تشخیص نفوذ به همراه نرم افزار Snort مورد بررسی قرار گرفته است.
کلید واژه- امنیت شبکه، پیش گیری از نفوذ، دیواره آتش، سیستم تشخیص نفوذ، .Snort
1. مقدمه
در دنیای امروز بسیاری از فعالیت هایی که انجام می شوند، وابسته به سرویس هایی است که توسط شبکه های کامپیوتری ارائه می شوند. اگرچه این مسئله باعث می شود که ارتباطات و تبادل اطلاعات به شکل کارایی انجام شود ولی حملاتی که در شبکه های کامپیوتری وجود دارند می تواند صدمات جبران ناپذیری را به افراد و فعالیت های آنها وارد کند. بنابراین مسئله ای که اهمیت پیدا می کند این است که زیر ساخت شبکه های کامپیوتری امن و پابرجا باشد. برای این منظور لازم است که شبکه در برابر دسترسی های غیر مجاز نفوذگران مقاوم شود و در صورت بروز حمله، در مقابل آن عکس العمل مناسب نشان دهد و یا در جهت
کاهش آثار منفی بروز حمله در شبکه تلاش شود. لذا لازم است که عوامل بروز حمله در شبکه مشخص شوند. تجهیزات مختلف به روش های مختلفی سعی در ایجاد امنیت دارند. یکی از این تجهیزاتی که در ایمن سازی نقش مهمی را بازی می کند سیستم های تشخیص نفوذ هستند .[1] این سیستم ها، وظیفه بررسی سیستم ها و شبکه های کامپیوتری را بر عهده دارد و هر گونه عملی را که سعی در ایجاد اختلال و نفوذ داشته باشد را گزارش می دهند . اگر هر یک از سیستم های امنیتی شبکه (که سیستم های تشیخص نفوذ از جمله آنها می باشند) به نوعی عملکرد صحیح باز بماند، ایمنی مورد نظر دچار مشکل می شود. از همین لحاظ وجود بازرسی که صحت وجودی و عملکردی
1
پانزدهمین کنفرانس دانشجویی مهندسی برق ایران دانشگاه کاشان، 9- 7 شهریور 1391
این سیستم ها را بر عهده داشته باشد ضروری به نظر می رسد.[2] اعتماد بیش از حد روی منابع شبکه های کامپیوتری و افزایش اتصال به این شبکه ها باعث خرابی های بسیاری می شود که می تواند باعث راه اندازی حملاتی از طریق منابع remote می شود. دیواره های آتش، سیاست های امنیتی یا مکانیزم های دیگر به سختی می توانند از این حملات جلوگیری کنند زیرا سیستم و نرم افزار کاربردی در یک گام سریع تغییر می کند واین گام سریع اغلب منجر به نرم افزاری می شود که دارای نقاط ضعفی ناشناخته است از آنجا که از نظر تکنیکی ایجاد سیستم های کامپیوتری (سخت افزار و نرم افزار) بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است، تشخیص نفوذ در تحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود.
2. سیستم تشخیص نفوذ
Intrusion Detection System (IDS)یا سیسـتم تشـخیص نفـوذ
به سخت افزار ، نرم افزار یا تلفیقی از هر دو اطلاق می شود [3] که در یک سیستم رایانه ای (که می تواند یک شبکه محلی یا گسترده باشد) ، وظیفه شناسایی تلاش هایی کـه بـرای حملـه بـه شـبکه صورت می گیرد و متعاقب آن ایجاد اخطارهـای لازم را بـر عهـده دارد. حمله یا نفوذ به مجموعه ی اقدامات غیر قانونی گفتـه مـی شود که چه از خارج شبکه صورت گرفته باشد چه از داخل شبکه جنبه های امنیتی – صحت، محرمـانگی و دسـترس پـذیری – را نقض کند .[4] نفوذهای خارجی به آن دسته نفوذهایی گفته مـی شود که توسط افراد مجاز و یا غیرمجاز از خارج شـبکه بـه درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افـراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد. IDS ها عملا سه وظیفه کلی را برعهده دارند :[7]
• پویش: جمع آوری داده ها.
• تشخیص: آنالیز داده ها.
• واکنش: شناسایی و گزارش حمله (هشدار).
به طور کلی هدف از تشخیص نفوذ این اسـت کـه اسـتفاده غیـر مجاز، سوءاستفاده و آسیب رساندن به سیستم ها و شـبکه هـای کــامپیوتری توســط هــر دو دســته کــاربران داخلــی و مهاجمــان خارجی شناسایی شود.
بـه منظــور مقابلـه بــا نفــوذگران بـه سیســتم هـا و شــبکه هــای کامپیوتری، روش های متعددی تحت عنوان روشـهای تشـخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتـاده در
یک سیستم یا شبکه ی کامپیوتری را بر عهده دارد. چهار تکنیک برای کشف و ردیابی نفوذگران وجود دارد :[1]
• روش تشخیص رفتار غیر عادی.
• روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء.
• نظارت بر هدف.
• کاوش نهایی.
-1- 2 تشخیص نمونه های غیرعادی (Anomaly Detection) IDS مرزی نرمال از الگوهای عادی استفاده از سیستم برای خـود ترسیم می کند. هر رفتار یا رویدادی که به میزان زیـادی از ایـن الگوها دور باشد، به عنوان یک اخلالگـری محتمـل بـر شـبکه در نظر گرفته می شود و معمولا رویدادی کـه بـا تنـاوبی بیشـتر یـا کمتر از دو مرتبه از حد نرمال خود به وقـوع بپیونـدد، غیرعـادی فرض می شود.
به عنوان مثال کاربری که به جای یـک یـا دو بـار ورود و خـروج نرمال از سیستم در روز 20 بار این کـار را انجـام داده اسـت ، یـا کامپیوتری که در ساعت 2 بعد از نیمه شب مـورد اسـتفاده قـرار گرفته در حالی که قرار نبوده پس از سـاعت اداری روشـن باشـد. در سطح بالاتری این تکنیک می تواند الگوهایی در مورد کـاربران از جمله برنامه هایی که به اجرا در می آورند را مورد بررسی قـرار دهد مثلا اگر کاربری از بخش گرافیک یک سازمان ناگهان شروع به دستیابی به برنامـه هـای حسـابداری یـا کامپایـل کـردن کـد بنماید، سیسـتم مـی توانـد یـک هشـدار بـه Administrator یـا مسئول امنیتی شبکه ارسال کند .[5]
تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کار می روند، عبارتند از :[1]
• تشخیص سطح آستانه
تعداد ورود و خروج به یا از سیسـتم و یـا زمـان اسـتفاده از سیستم، از مشخصه های رفتار سیستم و یا اسـتفاده کننـده
است که می توان با شمارش آن به رفتار غیرعـادی سیسـتم پی برد و آن را ناشی از یک نفوذ دانست. ایـن سـطح کـاملاً ایستا و اکتشافی است.
• معیارهای آماری
در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می شود و در حالت غیر پارامتریـک بـر اساس مقادیری که بـه تجربـه حاصـل شـده اسـت مقایسـه صورت می گیرد. از IDS های معـروف کـه از انـدازه گیـری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می کنند، می توان NIDS را نام برد.
2
پانزدهمین کنفرانس دانشجویی مهندسی برق ایران دانشگاه کاشان، 9- 7 شهریور 1391
• معیارهای قانونگرا
شبیه به معیارهای آماری غیرپارامتریک است، به طوری کـه داده ی مشاهده شـده براسـاس الگوهـای اسـتفاده شـده ی مشخصی به طور قابل قبول تعریف می شود. اما با الگوهـایی که به عنوان قـانون مشـخص شـده فـرق دارد و بـه صـورت شمارشی نیست.
• سایر معیارها
روش های خوشه بندی، شبکه های عصبی، الگـوریتم هـای ژنتیک و مدل های سیستم ایمنی از این دسته هستند.
دو معیار اول یعنی تشخیص سطح آسـتانه و معیـار هـای آمـاری در IDS هـای تجـاری اسـتفاده مـی شـوند. متاسـفانه تشـخیص دهندگان نفوذ های غیرعادی و IDS هایی از این نوع، باعث ایجاد تعداد زیادی هشدار نادرست می شوند و آن هـم بـه خـاطر ایـن است که الگوهای رفتاری از جانب اسـتفاده کننـدگان و سیسـتم بسیار متفاوت است. در عوض محققان ادعـا مـی کننـد بـرخلاف روش های تشخیص مبتنی بر امضاء (که حتما بایـد بـا الگوهـای حملات قبلی منطبق باشند)، روشهای تشخیص رفتار غیرعـادی، قادر به کشف انواع حملات جدید هستند.
تعدادی از IDS های تجـاری از انـواع تشـخیص دهنـدگان رفتـار غیرعادی هستند و اغلب IDS ها از این نـوع بیشـتر در کارهـایی چون پویش پورت استفاده می شوند.
با این وجود ایجاد یـک سیسـتم تشـخیص نفـوذ براسـاس روش تشخیص رفتارهای غیرعادی همیشه کار آسانی نیست، همچنین این روشها از دقت روشهای تشخیص مبتنی بـر امضـاء برخـوردار نیستند.
-2-2 تشخیص سوءاستفاده یا تشخیص مبتنی بر امضـاء
( Signature Or Misuse Detection)
ایــن روش از دســته ای از الگوهــای شــناخته شــده از رفتارهــای غیرمجاز به منظور پیش بینی و کشف تلاش هـای مشـابه بعـدی استفاده می نماید. ایـن الگوهـای خـاص Signature نامیـده مـی شوند. به عنوان مثال برای IDS های مبتنی بـر میزبـان سـه بـار تلاش ناموفق برای Login می تواند یک Signature باشد. یا برای IDS های مبتنی بر شبکه همخوانی یک الگوی خاص با بخشی از یک بسته می تواند یک Signature باشد مثلا همخوانی اطلاعات Header یک بسته با الگوی خاصی می تواند نشانه یک عمل غیـر مجاز باشد و با توجه به اهمیت Signature، IDS عکـس العملـی مناسبی انجام می دهد .[1,7]
-3-2 نظارت بر هدف ( ( Target Monitoring
در این روش به جای جستجو برای یافتن یک مورد غیر متعـارف یا نشانه ، تغییر و دستکاری احتمالی بعضی فایل ها مورد بررسـی قرار می گیرد. این تکنیک بیشـتر یـک شـیوه کنترلـی تصـحیح کننده است یعنی برای آشکارسازی یک عمل غیرمجاز پس از بـه وقوع پیوستن آن و به منظور انجام عمل معکـوس طراحـی شـده است.