بخشی از مقاله
چکیده
براي ایجاد امنیت کامل در یک سیستم کامپیوتري، علاوه بر دیواره هاي آتش و دیگر تجهیزات جلوگیري از نفوذ، سیستمهاي دیگري به نام سیستم هاي تشخیص نفوذ - IDS1 - مورد نیاز می باشند تا بتوانند در صورتی که نفوذگر از دیواره ي آتش، آنتی ویروس و دیگرتجهیزات امنیتی عبور کرد و وارد سیستم شد، آن را تشخیص داده و چاره اي براي مقابله با آن بیاندیشند.
هدف یک سیستم تشخیص نفوذ جلوگیري از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه هاي کامپیوتري و اعلام آن به مدیر سیستم است. عمومأ سیستم هاي تشخیص نفوذ در کنار دیواره هاي آتش و به صورت مکمل امنیتی براي آن ها مورد استفاده قرار می گیرند. سیستم هاي تشخیص نفوذ به صورت سیستم هاي نرم افزاري و سخت افزاري ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایاي سیستم هاي سخت افزاري است و عدم شکست امنیتی آن ها توسط نفوذگران، قابلیت دیگر این گونه سیستم ها می باشد.
در این مقاله ما ابتدا تعریفی از سیستمهاي تشخیص نفوذ ارائه خواهیم کرد و سپس اجزاي این سیستمها را شرح خواهیم داد. در ادامه ویژگی یک IDS ایدهال را بیان خواهیم کرد.
.1 مقدمه
در دنیاي امروز، کامپیوتر و شبکه هاي کامپیوتري متصل به اینترنت نقش عمده اي در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوز به سیستم هاي کامپیوتري را در پیش گرفته اند Intruder و Cracker ، Hackerکلماتی هستند که امروزه کم و بیش در محافل کامپیوتري مطرح می باشند و اقدام به نفوذ به سیست مهاي دیگر کرده و امنیت آن ها را به خطر می اندازد.
بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه هاي کامپیوتري که با دنیاي خارج ارتباط دارند، کاملأ محسوس است. از آنجا که از نظر تکنیکی ایجاد سیستم هاي کامپیوتري - سخت افزار و نرم افزار - بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است، تشخیص نفوذ در تحقیقات سیستمهاي کامپیوتري با اهمیت خاصی دنبال می شود.سیستم هاي تشخیص نفوذ - IDS - براي کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند.
هدف یک سیستم تشخیص نفوذ جلوگیري از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه هاي کامپیوتري و اعلام آن به مدیر سیستم است. عمومأ سیستم هاي تشخیص نفوذ در کنار دیواره هاي آتش و به صورت مکمل امنیتی براي آن ها مورد استفاده قرار می گیرند. ساختار مقاله به این صورت است که در بخش بعدي ابتدا به معرفی اجزاي یک سیستم تشخیص نفوذ خواهیم پرداخت ودر بخش بعدي ویژگیهایی که یک سیستم تشخیص نفوذ ایدهال میتواند داشته باشد را معرفی خواهیم کرد.
-2تعریف سیستم تشخیص نفوذ
سیستم تشخیص نفوذ - IDS - یک سیستم دفاعی است که فعالیت هاي خصمانه در یک شبکه کامپیوتري را پیدا می کند. به عبارت دیگر مهمترین مسئله در این سیستم ها این است که اغلب فعالیت هایی که ممکن است امنیت سیستم را به خطر بیندازد و یا کارهایی که منجر به شروع یک خرابکاري در سیستم بشود را تشخیص می دهد مانند شناسایی اولیه اطلاعات سیستم ها و یا فاز جمع آوري داده که منجر به آسیب رساندن به سیستم می شود مانند عملیات اسکن پورت هاي سیستم.یک ویژگی مهم سیستم هاي تشخیص نفوذ توانایی آن ها در نمایش فعالیت هاي غیرنرمال در شبکه می باشد مانند تلاش کاربران براي ورود به محیط هاي غیر مجاز و اعلام خطر به مدیرسایت.علاوه بر آن یک سیستم تشخیص نفوذ این توانایی را دارد که بتواند حملاتی که از داخل یک سازمان و یا خارج از سازمان به داخل آن می شود را تشخیص دهد.
.3تکنولوژيهاي سیستمهاي تشخیص نفوذ
در این قسمت به بررسی ساختار و عناصر عمومی که میتوانند در سامانههاي تشخیص نفوذ به کار روند میپردازیم. همچنین به ارائه ساختارهاي معمولی که بر اساس این اجزا ایجاد میشود میپردازیم.
-1-3اجزاي سامانههاي تشخیص نفوذ
• حسگر یا عامل: جزئی از سیستم است که به پویش ترافیک شبکه میپردازد. این اصطلاح گاهی اشاره به سیستمهاي تشخیص نفوذ مبتنی بر میزبان دارد.
• سرور مدیریت: سرور مدیریت واحد مرکزي سامانههاي تشخیص نفوذ است که اطلاعات و دادهها را از حسگرهاي سیستم و بخشهاي مختلف سیستم دریافت میکند. بعضی از سرورهاي مدیریت قادرند بر روي اطلاعات و ویژگیهاي دریافتی تحلیل-هایی انجام دهند و به این ترتیب بروز رخدادهایی را در شبکه پویش کنند. برقراري رابطه بین دادههاي دریافتی از حسگرهاي مختلف، مانند آدرسهاي یکسانی که در سنسورهاي مختلف رویدادهایی ایجاد کردهاند منجر به کشف همبستگی بین رخدادهاي در جریان در کل بستر شبکه میشود.
• سرور پایگاه داده: سرور پایگاه داده مسئول ثبت تمام رخدادها و هشدارهاي دریافت شده توسط حسگرها یا سرور مدیریت است. سرور پایگاه داده در بیشتر سیستمهاي تشخیص نفوذ مورد استفاده قرار میگیرد.
• واسط کاربري: واسط کاربري یا کنسول، برنامهاي است که بر روي یک کامپیوتر رومیزي نصب میشود و واسط کاربران و یا مدیر سیستم است. مدیر سیستم میتواند از طریق آن به پیکربندي اجزاي سیستم، حسگرها و یاایجاد تغییرات و بروز رسانی نرمافزار بپردازد. همچنین امکان مشاهده رخدادهاي ثبت شده و نیز پویش وضعیت فعلی و رخدادهاي در جریان وجود دارد.
• طعمه مجازي: بسیاري از سیستمها براي کشف اقدامات جدید و نفوذي که ممکن است الگوهاي ناشناخته داشته باشند از تکنیک طعمه مجازي استفاده میکنند. طعمه مجازي یکی از میزبانهاي شبکه است که هیچگونه سرویسی را ارائه نمی دهد و تنها کاربر آن مدیر طعمه مجازي میباشد. به این دلیل هیچگونه دسترسی به آن از داخل و یا خارج شبکه نباید داشته باشد. به این ترتیب هرگونه دسترسی به آن میتواند به عنوان یک اقدام مشکوك تلقی شود و منبع این دسترسی و IP مربوطه شناسایی میشود و براي بررسی اقدامات لازم صورت میگیرد.
-2-3 ساختار و همبندي اجزاي سیستم تشخیص نفوذ
اجزاي سیستمهاي تشخیص نفوذ میتوانند از طریق شبکه مجزا با هم ارتباط پیدا کنند. همچنین این امکان وجود دارد که بر روي بستر شبکه اصلی، ارتباط اجزاي سیستم برقرار شود. در روش اول یک شبکه کاملا مجزا و جدا از شبکه اصلی به نام شبکه مدیریت براي ارتباط ایجاد میشود، بنابراین حسگرهاي به کار رفته در سیستم نیاز به واسط شبکه جداگانهاي براي ارتباط با شبکه مدیریت دارند، ولی بخشهاي دیگر سیستم مثل سرور پایگاه داده و سرور تحلیل، تنها به شبکه مدیریت اتصال دارند.
از مزایاي این طرح این است که سیستم تشخیص نفوذ از دید مهاجمین پنهان میماند و امنیت آن در مقابله با انواع حملات حفظ میشود. در مقابل هزینه اضافی نصب و ایجاد ارتباطات براي ایجاد شبکه لازم میباشد. در مواردي که ایجاد شبکه فیزیکی مجزا امکان پذیر نباشد، استفاده از شبکههاي مجازي بر روي بستر شبکه اصلی مرسوم میباشد، تا امنیت ارتباطات تامین گردد. با این حال این روش در مقایسه با روش قبل، امنیت و کارآیی کمتري دارد. براي مثال در حملات سیستم تشخیص نفوذ میتواند خود قربانی حمله شود و امکان برقراري ارتباطات و کارکرد مناسب مختل شود.
-3-3 عملکرد امنیتی سیستمهاي تشخیص نفوذ
این سیستمها میتوانند عملکردهاي امنیتی و شناسایی مختلفی را داشته باشند که خروجی آنها براي واحد مدیریت داخلی شبکه کاربرد دارد. این قابلیتها را میتوان در سه دسته قابلیتهاي شناسایی شبکه، پویش و ثبت رخدادها و فعالیتهاي مرتبط با بازدارندگی از بروز حملات و آسیبهاي ممکن دسته بندي نمود.
قابلیتهاي شناسایی شامل بررسی و شناسایی میزبانهاي فعال در شبکه، فعالیتهاي آن، پروتکلهاي ارتباطی مورد استفاده، نرم-افزارهاي مورد استفاده و دیگر خصوصیات عمومی شبکه میباشند.
سیستمهاي تشخیص نفوذ کارکرد گستردهاي در پویش و ثبت انواع رخدادهاي شبکه دارند. این رخدادهاي ثبت شده میتوانند براي بررسی صحت هشدارهاي صادر شده و بررسی ارتباط میان رخدادهاي به وقوع پیوسته مورد استفاده قرار گیرند. در مورد هر کدام از رویدادها، زمان وقوع، نوع رخداد، درجه اهمیت آن و نیز اقدام بازدارنده صورت گرفته - در صورت وجود - در پایگاه داده ثبت میشود. این وقایع ثبتشده 1 هم به صورت محلی هم به صورت متمرکز در سرور مرکزي ذخیره میشوند تا امنیت آنها حفظ شود. زمان ثبت رویدادهاي مختلف از جانب اجزاي مختلف شبکه باید بر اساس یک ساعت مرکزي هماهنگ باشد. براي ایجاد این هماهنگی میتوان از پروتکلی مانند پروتکل زمانبندي شبکهاي2 یا هر روش خاص دیگري استفاده کرد که در نهایت تمام وقایع بر اساس برچسبهاي زمانی هماهنگی ثبت شوند.
مهمترین قابلیت ابزارهاي تشخیص نفوذ، همان تشخیص حملات و اقدامات مخرب میباشد. براي این کار از روشهاي مختلف تشخیص نفوذ استفاده میشود. عمده ابزارهاي تشخیص نفوذ از ترکیبی از روشهاي یاد شده به منظور تشخیص انواع حملات استفاده میکنند، تا به دقت و بازدهی مورد نظر دست یابند. تکنولوژيهاي مختلف ابزارهاي IDS قابلیتهاي مختلفی را براي فاز تنظیم و نصب سیستم و نیز سفارشی کردن آن ارائه میدهند. هر چه قابلیتهاي سیستم در موقع نصب و سفارشی کردن بیشتر و بهتر باشد، سیستم نصب به پیکربندي اولیه عملکرد بهتري را میتواند ارائه دهد. به این دلیل در هنگام انتخاب ابزار تشخیص نفوذ مناسب این قابلیتها باید به دقت مورد بررسی قرار گیرد. از جمله این قابلیتها میتوان به این موارد اشاره کرد:
• حدود آستانه: حدود آستانه فاصله کمیتهاي مربوط به حالت عادي از حالت غیر عادي سیستم را مشخص میکند. این کمیت-ها میتوانند مثلا تعداد تلاشهاي مجاز یک مشتري براي ورود به سیستم در مدت 60 ثانیه اخیر باشد که اگر از حدي تجاوز کند مشکوك است. یا مثلا طول آرگومانهاي فرامین پروتکلی مختلف، از مقادیر حدود آستانه بیشتر در روشهاي مبتنی بر تشخیص ناهنجاري و روشهاي مبتنی بر پروتکل ارتباطی استفاده میشود.
• لیستهاي سیاه و سفید: لیست سیاه شامل انواع موجودیتهاي مختلفی است بنا به سابقه سیستم، مرتبط با فعالیتهاي مخرب تشخیص داده شدهاند. این موجودیتها میتوانند شامل مشتريهاي خاص، آدرس IP، شماره درگاه TCP یا UDP، اسامی کاربري، اسامی فایل و... باشند. لیستهاي سیاه این امکان را فراهم میآورند تا با استفاده از تجربه گذشته سیستم و سابقه اقدامات مخرب کشف شده توسط سیستم، عوامل آنها را شناسایی کنیم و در دسترسیهاي بعدي در مورد آنها سیاستهاي خاصی را اعمال کنیم.
بسیاري از ابزارهاي تشخیص نفوذ امکان ایجاد لیست سیاه را به صورت پویا فراهم میکنند. لیستهاي سفید به لیست عواملی گفته میشوند که برعکس لیست سیاه، به سیستم به عنوان فعالیتهاي خوشخیم شناسانده میشوند. لیستهاي سفید براي کاهش هشدارهاي امنیتی نادرست سیستم به عوامل مورد اعتماد کاربر دارند. لیستهاي سیاه و سفید بیشتر در روشهاي تشخیص نفوذ مبتنی بر ناهنجاري و روشهاي مبتنی بر تحلیل پروتکل ارتباطی و روشهاي مبتنی بر امضا کاربرد دارند. در واقع پایه روشهاي مبتنی بر امضا همین لیستهاي سیاهی هستند که از سابقه اقدامات مخرب درست شدهاند.
• تنظیمات هشداردهی: بسیاري از ابزارهاي تشخیص نفوذ این امکان را دارند که روي نحوه هشدار دهی آنها تنظیمات خاصی صورت گیرد