بخشی از مقاله
ارزيابي سيستمهاي تشخيص نفوذ در شبکه هاي موبايل سيار موردي
خلاصه :
ديواره هاي آتش به عنوان اولين لايه حفاظتي در ساختار چند لايه امنيتي مطرح مي شوند و به منظور اعمال سياست هاي دسترسي بکار گرفته مي شوند اما در حالت کلي قادر به بررسي محتواي بسته هاي ارسالي نمي باشند. براي همين در شناسايي کدهاي مخرب ضعيف هستند .يک نفوذ در واقع فعاليت يا اقدامي است که بوسيله ي آن محرمانگي ، صحت و تماميت و يا دسترسي پذيري به منابع دچار تعرض و يا اختلال مي شود ." سيستم تشخيص نفوذ" از مهمترين مسائل مطرح در امنيت شبکه مي باشد که وجود آن در کنار" سيستم جلوگيري از نفوذ " باعث افزايش درجه امنيت سيستم خواهد شد [١]
.هدف يک سيستم تشخيص نفوذ ، جلوگيري از حمله نيست ، بلکه هدف آن کشف و شناسايي حملات و تشخيص مشکلات امنيتي در سيستم يا شبکه هاي کامپيوتري و اعلام آن به مدير سيستم است . سيستم هاي تشخيص نفوذ را مي توان از سه منظر "روش تشخيص " ، "معماري " و"نحوه ي پاسخ به نفوذ "طبقه بندي نمود .در سالهاي اخير شبکه هاي سيار موردي (MANET -Mobile Ad hoc NETwork ) و بحث امنيت آنها، بسيار اهميت پيدا کرده است . MANET ها نسبت به شبکه هاي سيمي در برابر حملات بسيار آسيب پذيرتر هستند .براي به همين ، مهاجمان با شناسايي نقاط آسيب پذيري تلاش مي کنند به شبکه ضربه زده و عمليات شبکه را مختل کنند .عمليات پيشگيرانه نظير رمزنگاري و احراز هويت که به عنوان لايه اول دفاعي هستند، براي جلوگيري و کاهش احتمال حملات تلاش مي کنند. با اين وجود، اين تکنيکها نيز نقصها و محدوديتهايي دارند، که مهاجمان از طريق آنها به شبکه نفوذ پيدا مي کنند [٢]. لذا به دليل همين نقصها و محدوديتها، ما نياز به يک لايه دفاعي دومي براي" شناسايي و پاسخ دادن "به حملات نفوذي هستيم ؛ که يکي از اين تکنيکها استفاده از تکنيک " تشخيص نفوذ "است .من در اين مقاله قصد دارم تکنيکهاي سيستمهاي تشخيص نفوذ پيشنهاد شده براي MANET را بررسي کنم .براي اين کار مطالبي را بطور خلاصه و در عين حال جامع در مورد حملات ، معماريهاي سيستمهاي تشخيص نفوذ و تحقيقات انجام شده روي MANET ارائه مي کنم و سپس تحقيقات انجام شده را براساس همين پارامترها ارزيابي خواهم نمود.
کلمات کليدي : سيستم تشخيص نفوذ ، شبکه هاي سيار موردي، MANET، حملات
١. مقدمه
در دنياي امروزي ، کامپيوتر و شبکه هاي کامپيوتري متصل به اينترنت نقش بسزايي در ارتباطات و انتقال اطلاعات دارند. در اين بين افراد سودجو با دسترسي به اطلاعات مهم مراکز خاص يا اطلاعات افراد ديگر و با هدف اعمال نفوذ و يا حتي به هم ريختن نظم سيستم ها، عمل تعرض به سيستم هاي کامپيوتري را در پيش گرفته اند. از آنجا که از نظر تکنيکي ايجاد سيستم هاي کامپيوتري(سخت افزار و نرم افزار) بدون نقاط ضعف و شکست امنيتي عملأ غيرممکن است ، تشخيص نفوذ در تحقيقات سيستمهاي کامپيوتري با اهميت خاصي انجام مي شود.براي ايجاد امنيت کامل در يک سيستم کامپيوتري، علاوه بر ديواره آتش و ديگر تجهيزات جلوگيري از نفوذ، سيستمهاي ديگري به نام سيستم هاي تشخيص نفوذ مورد نياز مي باشند تا بتوانند در صورتي که نفوذگر از ديواره ي آتش ، آنتي ويروس و ديگرتجهيزات امنيتي عبور کرد و وارد سيستم شد، آن را تشخيص داده و چاره اي براي مقابله با آن بيانديشند. يک نفوذ در واقع فعاليت يا عملي است که توسط آن محرمانگي ، صحت و تماميت و يا دسترسي پذيري به منابع دچار اختلال و يا تعرض مي شود. سيستم هاي تشخيص نفوذ يا IDSها در حال حاضر جزء اصلي ترين و کاملترين قسمت هاي يک سيستم پايش يا مانيتورينگ شبکه مي باشند. تشخيص نفوذ در واقع قسمتي از يک سيستم حفاظتي است [٣].
١- دانشجوي کارشناسي ارشد رشته مهندسي نرم افزار
1
تشخيص نفوذ يا Intrusion Detection فرآيندي است که در آن رويدادها و رخدادهاي يک سيستم يا شبکه پايش شده و بر اساس اين پايش ها وقوع نفوذ به آن شبکه يا سيستم تشخيص داده مي شود. تشخيص نفوذ در واقع پروسه تشخيص تلاش هايي است که جهت دسترسي غير مجاز به يک شبکه يا کاهش کارايي آن انجام مي شود.
شبکه هاي سيار موردي از يک مجموعه از نودهاي خودمختار و سيار تشکيل شده اند ؛ لذا به دليل همين سيار بودن نودها ، سيستمهاي تشخيص نفوذ پيشنهاد شده براي شبکه هاي متعارف و سيمي، که در نقاط استراتژيک همچون سوئيچ ها و مسيرياب ها قرار مي گيرند، مناسب و قابل استفاده در MANET نيستند. بنابراين بايد يک سري تغييراتي روي مشخصات IDSهاي شبکه هاي سيمي اعمال شود تا قابل استفاده و مناسب براي
MANET باشند. يکي از مسائل نگران کننده در مورد شبکه هاي سيار موردي (MANETs) اين است که در آن گره هاي متحرک خود را درون شبکه ، بدون کمک هيچ زيرساخت از پيش تعريف شده اي سازماندهي کنند. براي به دست آوردن سطح قابل قبولي از امنيت در چندين زمينه ، راه حل هاي امنيتي سنتي بايد با يک مکانيزم تشخيص نفوذ همراه شوند [٢].
٢. انواع حملات شبکه اي
با توجه به طريقه حمله : حملات از کار انداختن سرويس ، حملات دسترسي به شبکه
با توجه به حمله کننده : حملات انجام شده توسط کاربر مورد اعتماد ( داخلي ) ، حملات انجام شده توسط افراد غير معتمد ( خارجي )، حملات انجام شده توسط هکرهاي بي تجربه ، حملات انجام شده توسط کاربران مجرب
٣. نگاهي بر سيستم هاي تشخيص نفوذ(IDS)
سيستم هاي تشخيص نفوذ به صورت سيستم هاي نرم افزاري و سخت افزاري ايجاد شده و هر کدام مزايا و معايب خاص خود را دارند. از مزاياي سيستم هاي سخت افزاري مي توان به سرعت و دقت اشاره کرد. عدم شکست امنيتي آن ها توسط نفوذگران ، قابليت ديگر اين گونه سيستم ها مي باشد. اما استفاده ي آسان از نرم افزار، قابليت انطباق پذيري در شرايط نرم افزاري و تفاوت سيستم هاي عامل مختلف ، عموميت بيشتري را به
سيستم هاي نرم افزاري مي دهد و عمومأ اين گونه سيستم ها انتخاب مناسب تري هستند.[١] به طور کلي سه عملکرد اصلي (IDS) عبارتند از:
نظارت و ارزيابي، کشف ، واکنش .
٤. انواع روشهاي تشخيص نفوذ:
نفوذگرها عموماً از عيوب نرم افزاري، شکستن کلمات رمز، استراق سمع ترافيک شبکه و نقاط ضعف طراحي در شبکه ، سرويس ها و يا کامپيوترهاي شبکه براي نفوذ به سيستم ها و شبکه هاي کامپيوتري بهره مي برند . روش هاي تشخيص مورد استفاده در سيستم هاي
تشخيص نفوذ به سه دسته تقسيم مي شوند:
الف - روش تشخيص رفتار غير عادي( Anomaly Detection IDS )
ب - روش تشخيص سوءاستفاده يا تشخيص مبتني بر امضاء( Misuse Detection IDS )
ج ـ IDS مبتني بر معيار (Specification) که اين روش در واقع ترکيبي از دو روش قبلي است .
الف ) روش تشخيص رفتار غيرعادي يا IDS مبتني بر ناهنجاري
IDS مبتني بر ناهنجاري، براي شناسايي آن دسته از فعاليتهاي شبکه اي و نودي که از رفتارهاي نرمال و عادي تخطي کرده اند، تلاش مي کند.
اين روش چندين تکنيک معروف دارد مثل : روشهاي آماري، شبکه هاي عصبي [٤] ، تکنيک هاي يادگيري ماشين و حتي سيستم هاي ايمني زيستي.
2
اين نوع IDS که به AD-IDS هم معروف است ، به رفتارهاي غيرمتعارف بر روي شبکه توجه مي کند ، يعني اينکه خارج از محدوده پايگاه داده خود عمل مي کند و به نوعي تصميم گيري هوشمند دارد . اين نوع IDS در واقع يک نوع برنامه آموزشي دارد ، ابتدا رفتارهاي عادي شبکه و ترافيک معمول شبکه را تحليل کرده و وقتي ترافيکي سيستم را از وضعيت تحليل خارج کند ، شروع به توليد و ارسال هشدار به اپراتور سيستم مي کند. براي تشخيص رفتار غيرعادي، بايد رفتارهاي عادي را شناسايي کرده و الگوها و قواعد خاصي براي آن ها يافت . رفتارهايي که از اين الگوها پيروي مي کنند، عادي هستند و رفتارهايي که انحرافي بيش از حد معمول آماري از اين الگوها دارند، به عنوان رفتار غيرعادي تشخيص داده مي شوند.
تکنيک ها و معيارهايي که در تشخيص رفتار غيرعادي به کارمي روند، عبارتند از: تشخيص سطح آستانه ، معيارهاي آماري ، معيارهاي قانو نگرا
ب ) روش تشخيص سوءاستفاده يا تشخيص مبتني بر امضاء
IDS هاي مبتني بر امضاء از الگوهايي که قبلاً براي حملات شناخته شده اند استفاده مي کنند و آنها را با ترافيک ورودي مقايسه مي کنند. در اين تکنيک که معمولاًبا نام تشخيص مبتني بر امضاء شناخته شده است ، الگوهاي نفوذ از پيش ساخته شده (امضاء ها) به صورت قانون نگهداري مي شوند. به طوري که هر الگو انواع متفاوتي از يک نفوذ خاص را در بر گرفته و در صورت بروز چنين الگويي در سيستم ، وقوع نفوذ اعلام مي شود. در اين روش ها، معمولاً تشخيص دهنده داراي پايگاه داده اي از امضاء ها يا الگوهاي حمله است و سعي مي کند با بررسي ترافيک شبکه ، الگوهاي مشابه با آن چه را که در پايگاه داده ي خود ذخيره کرده است را بيابد. اين دسته از روش ها تنها قادر به تشخيص نفوذهاي شناخته شده مي باشند و در صورت بروز حملات جديد در سطح شبکه ، نمي توانند آن ها را شناسايي کنند و مدير شبکه بايد همواره الگوي حملات جديد را به سيستم تشخيص نفوذ اضافه کند.
از مزاياي اين روش دقت در تشخيص نفوذهايي است که الگوي آن ها عيناً به سيستم داده شده است .
در بسياري از سيستم هاي تجاري AD-IDS ها و MD-IDS ها با يکديگر ترکيب شده اند . آنها بهترين فرصت براي شناسايي و بي اثر کردن حملات و دسترسي هاي غير مجاز به سيستم ها هستند. بر خلاف فايروال ها ، IDS ها ترافيک مشکل دار و مشکوک را مسدود نمي کنند [٥] .
ج ) IDS مبتني بر معيار
IDS مبتني بر معيار، رفتار جاري سيستم را براساس عمليات مطلوب امنيتيِ از قبل توصيف شده ، نظارت مي کند,اگر يک عدم انطباقي بين رفتارهاي جاري سيستم و معيارهاي تعيين شده مشاهده شد ، وجود يک حمله گزارش داده مي شود[٦] .
٥. انواع معماري سيستم هاي تشخيص نفوذ:
١. سيستم تشخيص نفوذ مبتني بر ميزبان (HIDS) :
اين سيستم ، شناسايي و تشخيص فعاليت هاي غيرمجاز بر روي کامپيوتر ميزبان را بر عهده دارد. سيستم تشخيص نفوذ مبتني بر ميزبان مي تواند حملات و تهديدات را روي سيستم هاي بحراني شناسايي کند (شامل دسترسي به فايل ها، اسب هاي تروا و...) که توسط سيستم هاي تشخيص نفوذ مبتني بر شبکه قابل تشخيص نيستند. HIDS فقط از ميزبان هايي که روي آن ها قرار گرفته است ، محافظت مي کند . اين مدل از سيستمهاي شناسايي نفوذ ، با اجراي يک سرويس کوچک (Agent) در ماشين مقصد (ميزبان ) مي توانند کليه تحرکات آن را نظارت کند .اين جاسوس کوچک قادر است ثبت وقايع ، فايلهاي مهم سيستمي و ساير منابع قابل مميزي را به منظور شناسايي تغيير غير مجاز و يا رهگيري فعاليتهاي مشکوک مورد بررسي و تحليل قرار دهد. در اين سيستم حفاظتي، به هنگاميکه رخدادي خارج از روال عادي روي دهد، بلافاصله از طريق SNMP هشدارهايي به صورت خودکار براي مسئولين شبکه ارسال مي گردد.
درHIDS ها احتمال هشدارهاي نادرست بسيار ناچيز است ، چرا که اطلاعات مستقيماً به کاربران برنامه هاي کاربردي بر مي گردد. اين IDS ها ترافيک کمتري نسبت به NIDS داشته و روي حسگرهاي چندگانه ي مجزا و ايستگاه هاي مديريت مرکزي تاکيد دارند.
٢. سيستم تشخيص نفوذ مبتني بر شبکه (NIDS) :
NIDS از نظر محلي که قرار گرفته ، بر تمام شبکه نظارت دارد؛ به همين خاطر به اين نام منسوب شده است . شناسايي و تشخيص نفوذهاي غيرمجاز قبل از رسيدن به سيستمهاي بحراني، به عهده ي سيستم تشخيص نفوذ مبتني بر شبکه است . اين سيستم ها معمولا از دو بخش ناظر ( Monitoring يا Sniffering يا Sensor ) و عامل ( Agent ) تشکيل شده اند. ناظر يک دستگاه و يا يک پکيج نرم افزاري است که
3
شبکه را به منظور يافتن بسته هاي اطلاعاتي مشکوک مورد بررسي قرار مي دهد. عامل که ترجمه درستش مامور يا جاسوس است ، نرم افزاري است که معمولا به طور جداگانه روي هر يک از کامپيوترهاي مورد نياز قرار مي گيرد و نقش ارسال اطلاعات را به صورت بازخورد به ناظر بر عهده دارد . ممکن است بخش ديگري به نام کنسول مديريت ( Management Console ) هم وجود داشته باشد که به شکلي مطمئن با اعتبار سنجي و رمزنگاري به ناظر متصل مي شود و از آن گزارش دريافت مي کند ، همچنين به تبادل اطلاعات مربوط به تنظيم و پيکر بندي سيستم مي پردازد. در اين نوع از سيستم شناسايي نفوذ، ترافيک بر روي خطوط ارتباطي، بصورت بي وقفه مورد نظارت قرار مي گيرد. در اين روش بسته هاي اطلاعاتي ارسالي به دقت مورد ارزيابي قرار مي گيرد تا قبل از رسيدن به مقصد خود از نظر عدم وجود تدارک يک حمله گسترده در برنامه آنها و يا تدارک حجم زياد ترافيک براي از رده خارج نمودن سرويسهاي در حال کار که بسيار خطرناک مي باشند، مطمئن گردد. اين سيستم به هنگام شناسايي يک تحرک مشکوک در ترافيک ، بلافاصله اقدام به ارسال هشدار نموده و در پي آن اقدام به مسدود نمودن مسير بسته هاي مشکوک مي کند. (همانگونه که در سيستم ميزبان گرا صورت مي پذيرد) در برخي از سيستمهاي به هم پيوسته با ديواره آتش ، به طور خودکار قواعد جديدي تعريف مي گردد تا بطور کلي حمله مهاجمان را در آينده ختثي نمايد. به دليل اينکه NIDS تشخيص را به يک سيستم منفرد محدود نميکنند، عملاً گستردگي بيشتري داشته و فرايند تشخيص را به صورت توزيع شده انجام ميدهند. با اين وجود اين سيستم ها در برخورد با بسته هاي رمزشده و يا شبکه هايي با سرعت و ترافيک بالا،کارايي خود را از دست ميدهند.
٣. سيستم تشخيص نفوذ توزيع شده (DIDS) :
اين سيستم ها از چندين NIDS يا HIDS يا ترکيبي از اين دو نوع همراه يک ايستگاه مديريت مرکزي تشکيل شده اند. به اين صورت که هر IDS
که در شبکه موجود است گزارش هاي خود را براي ايستگاه مديريت مرکزي ارسال مي کند. ايستگاه مرکزي وظيفه بررسي گزارش هاي دريافت شده و آگاه سازي مسئول امنيتي سيستم را برعهده دارد. اين ايستگاه مرکزي همچنين وظيفه به روزرساني پايگاه قوانين تشخيص هر يک از IDS هاي موجود در شبکه را برعهده دارد. شکل ٤ يک سيستم تشخيص نفوذ توزيع شده را نمايش مي دهد ١,٢ NIDS وظيفه محافظت از سرويس دهنده هاي عمومي و ٣,٤ NIDS وظيفه محافظت از شبکه داخلي را برعهده دارند.[٧] .
٦. روش هاي برخورد و پاسخ به نفوذ:
قابليت ديگر برخي از IDS ها اين است که با داشتن اطلاعات رويدادها و تجزيه و تحليل الگوهاي حملات به آنها پاسخ مي دهد. برخي از اين پاسخ ها درگير نتايج گزارش گيري و بقيه درگير پاسخ هاي خودکار فعال مي باشند.[٨]
پاسخ در IDS ها به دو شکل غير فعال و فعال تقسيم مي شوند :
o پاسخ غيرفعال در سيستم تشخيص نفوذ : اين IDSها، به مدير امنيتي سيستم اطلاعاتي درباره ي حمله توسط تلفن همراه ، نامه ي الکترونيکي، پيام روي صفحه ي کامپيوتر يا پيامي براي کنسول SNMP مي دهند.
o پاسخ فعال در سيستم تشخيص نفوذ: سيستم هاي تشخيص نفوذ از لحظه اي که شروع به کار مي کنند، ضمن به دست آوردن اطلاعات مربوط به رويدادها و تجزيه و تحليل آن ها، اگر نشان هايي مبني بر وقوع يک حمله را تشخيص دهند، پاسخ لازم را در قبال آن به روش هاي مختلف توليد مي کنند.
٧. شبکه هاي MANET
در شبکه هاي بي سيم سنتي براي راحتي در ارتباط بين گره ها، از يک ساختار ثابت (اکسس پوينت ) استفاده مي شد؛ اما اين ساختار ثابت محدوديتهايي را در سودمندي و انعطاف پذيري شبکه هاي بي سيم ايجاد کرده بود که از مهمترين اين محدوديتها ميتوان به محدود بودن اينگونه شبکه ها به دامنه راديويي اکسس پوينت اشاره کرد، به طوريکه اگر گره ها از دامنه راديويي اکسس پوينت خارج مي شدند ارتباط خود را با شبکه از دست مي دادند.
براي غلبه بر اين محدوديتها، پيشرفتهاي اخير در شبکه هاي کامپيوتري يک شبکه بي سيم جديد معرفي کرد که به عنوان شبکه سيار موردي ( MANET
) شناخته مي شوند. شبکه هاي سيار موردي يک شبکه موقتي و خود سازمانده است که بدون زير ساختار ثابت و به صورت اتوماتيک به وسيله مجموعه اي از گره هاي سيار بدون استفاده از يک زير ساخت يا کنترل مرکزي مديريت مي شود. اما اين سودمندي ها با چالشهاي جديدي همراه بود. به علت
4
متحرک بودن گره ها و استفاده از روشهاي مسيريابي چندگامي در شبکه هاي سيار موردي اين نوع از شبکه ها نسبت به شبکه هاي سنتي آسيب پذيرتر مي باشند. ارتباطات در شبکه هايسيار موردي به راحتي براي يک دشمن خارجي قابل شنود است .به همين سبب پژوهشهاي زيادي براي طراحي سيستم تشخيص نفوذ در شبکه هاي سيار موردي صورت گرفته است تا بتوانند رفتارهاي غيرعادي و سوءاستفاده را کشف کنند و جلوي تهمت زدن به گره هاي قانوني را نيز بگيرد. مهمترين معيار در شبکه هاي سيار موردي حدس صحيح گره هاي نفوذي است ، به عبارتي ديگر سيستم کشف نفوذ سعي دارد که گره هاي نفوذي در سيستم را هر چه سريعتر تشخيص دهد ضمن اينکه به گره هاي سالم و قانوني تهمت زده نشود و آنها را به عنوان گره نفوذي در نظر نگيرد. در اين مقاله بررسي شده [٦]، با مطالعه روش هاي موجود در زمينه سيستم هاي کشف نفوذ در شبکه هاي سيار موردي ، مهمترين مسائل و مشکلات مطرح در اين مبحث مورد بررسي قرار مي گيرد وبا استفاده از تکنيک راي گيري روشي ارائه مي گردد که زمان تشخيص گره هاي نفوذي را کاهش داده ضمن اينکه تعداد تهمت ها در سيستم را نيز پايين آورد.
٨. تشخيص نفوذ درMANET
به همراه کاربرد روز افزون اين دسته از شبکه ها، آسيب پذيريها و حملات شبکه هاي بيسيم رشدي نمايي يافته اند. به دليل وجود نقايص امنيتي روش هاي امنيتي موجود مانند ديواره آتش ، لزوم استفاده از سيستم هاي امنيتي پيچيده تري مانند سيستم هاي تشخيص نفوذ آشکار ميگردد.
در يکي از مقالات بررسي شده [٦]، سيستم تشخيص نفوذ پيشنهادي دو عامل شنود و تشخيص براي جمع آوري فريم هاي شبکه و تشخيص حملات به کارگرفته ميشود . انواع متنوعي از حملات در شبکه هاي بي سيم شناخته شده است . حملات تغييرهويت ، پاسخ هاي جعلي (تزريق اطلاعات ) ، DoS و
MITN از جمله حملات تشخيص داده در اين زمينه ميباشند. در سيستم هاي تشخيص نفوذ سنتي از مجموعه داده ارزيابي DARPA به عنوان مبناي تست و مقايسه سيستم ها استفاده مي شود.
٩. حملات
MANET براي انواع حملات فعال و غير فعال مستعد است . حملات غيرفعال شامل استراق سمع و آناليز اطلاعات مبادله شده است ؛ در حاليکه حملات فعال شامل عمليات هايي است که توسط مهاجمان انجام مي شود که شامل کپي، دستکاري و حذف کردن اطلاعات مبادله شده است . بويژه اين نوع حملات در MANET ميتوانند مشکلاتي چون ازدحام ، انتشار ، اطلاعات مسيريابي غلط ، جلوگيري از انجام صحيح سرويسهاي شبکه و حتي از کار انداختن آنها را به وجود بياورد. نودهايي که حملات فعال را انجام مي دهند بعنوان نودهاي بدخواه در نظر گرفته مي شوند و به عنوان نودهاي مصالحه کرده از آنها نام برده مي شوند، در حاليکه نودهايي که بخاطر حفظ منابع خود( نظير توان باطري) جهت افزايش طول عمرش از همکاري در عمليات شبکه (نظير مسيريابي و جلوراني بسته ها) خوداري مي کند، بعنوان نودهاي خودخواه در نظر گرفته مي شوند. اين در حالي است که نودهاي بدخواه با دستکاري اطلاعات ، اهداف خصمانه خود را نظير اعلام کوتاهترين مسير بين خود و ديگر نودها، همه بسته ها را به سمت خود روانه مي کند و آنها را نابودمي سازد؛
