مراحل اولیه ایجاد امنیت در شبکه

  • ۰

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

مراحل اولیه ایجاد امنیت در شبکه

شبکه های کامپیوتری زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه های کامپیوتری ، بطور چشمگیری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سیستم های امنیتی در این زمینه می باشند ، افزوده می گردد . در این مقاله ، پیشنهاداتی در رابطه با ایجاد یک محیط ایمن در شبکه ، ارائه می گردد .

سیاست امنیتی

یک سیاست امنیتی، اعلامیه ای رسمی مشتمل بر مجموعه ای از قوانین است که می بایست توسط افرادیکه به یک تکنولوژی سازمان و یا سرمایه های اطلاعاتی دستیابی دارند،  رعایت و به آن پایبند باشند . بمنظور تحقق اهداف امنیتی ، می بایست سیاست های تدوین شده  در رابطه با تمام کاربران ، مدیران شبکه و مدیران عملیاتی سازمان، اعمال  گردد . اهداف مورد نظر عموما”  با تاکید بر گزینه های  اساسی زیر مشخص  می گردند .

” سرویس های عرضه شده  در مقابل امنیت ارائه شده   ، استفاده ساده در مقابل امنیت  و هزینه ایمن سازی در مقابل ریسک از دست دادن اطلاعات ”

مهمترین هدف یک سیاست امنیتی ، دادن آگاهی لازم به کاربران،  مدیران شبکه و مدیران عملیاتی یک سازمان در رابطه با امکانات و تجهیزات لازم ، بمنظور حفظ و صیانت از تکنولوژی و سرمایه های اطلاعاتی است . سیاست امنیتی ، می بایست مکانیزم و راهکارهای مربوطه را با تاکید بر امکانات موجود تبین نماید . از دیگر اهداف یک سیاست امنیتی ،  ارائه یک خط اصولی برای  پیکربندی و ممیزی سیستم های کامپیوتری و شبکه ها ،  بمنظور تبعیت از سیاست ها است . یک سیاست امنیتی مناسب و موثر ، می بایست رضایت و حمایت تمام پرسنل موجود در یک سازمان را بدنبال داشته باشد .

یک سیاست امنیتی خوب دارای ویژگی های زیر است :

امکان  پیاده سازی عملی آن بکمک روش های متعددی نظیر رویه های مدیریتی،  وجود داشته باشد .

 

امکان تقویت آن توسط ابزارهای امنیتی ویا  دستورات مدیریتی  در مواردیکه پیشگیری واقعی از لحاظ فنی امکان پذیر نیست ، وجود داشته باشد .

محدوده مسئولیت  کاربران ، مدیران شبکه  و مدیران عملیاتی بصورت  شفاف مشخص گردد .

پس از استقرار، قابلیت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( یک بار گفتن و همواره در گوش داشتن )

دارای انعطاف لازم بمنظور برخورد با  تغییرات درشبکه  باشد .(  سیاست های تدوین شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سیستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی

در صورت امکان، می بایست از آخرین نسخه  سیستم های عامل و برنامه های کاربردی بر روی تمامی کامپیوترهای  موجود در شبکه ( سرویس گیرنده ، سرویس دهنده ، سوئیچ، روتر، فایروال و سیستم های تشخیص مزاحمین ) استفاده شود . سیستم های عامل و برنامه های کاربردی می بایست بهنگام بوده و همواره از آخرین امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در این راستا می بایست حساسیت بیشتری نسبت به برنامه های آسیب پذیر که زمینه لازم برای متجاوزان اطلاعاتی را فراهم می نمایند ، وجود داشته باشد  .

برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدلیل وجود نقاط آسیب پذیر می بایست مورد توجه جدی قرار گیرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسیب پذیر برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود

بمنظور پیاده سازی و پشتیبانی سیستم امنیتی ، لازم است لیستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهیه گردد . آگاهی از برنامه هائی که بصورت پیش فرض نصب شده اند،  نیز دارای اهمیت خاص خود است ( مثلا” برنامه IIS بصورت پیش فرض توسط SMS و یا سرویس دهنده SQL در شبکه های مبتنی بر ویندوز نصب می گردد ) . فهرست برداری از سرویس هائی که بر روی شبکه در حا ل اچراء می باشند، زمینه را برای پیمایش و تشخیص مسائل مربوطه ،  هموار خواهد کرد .

 

سرویس دهندگان TCP/UDP و سرویس های موجود در شبکه

تمامی سرویس دهندگان TCP/UDP در شبکه بهمراه سرویس های موجود بر روی هر کامپیوتر در شبکه ، می بایست شناسائی و مستند گردند . در صورت امکان، سرویس دهندگان و سرویس های غیر ضروری،  غیر فعال گردند . برای سرویس دهندگانی که وجود آنان ضروری تشخیص داده می شود،  دستیابی به آنان محدود به کامپیوترهائی گردد که به خدمات آنان نیازمند می باشند . امکانات عملیاتی را که بندرت از آنان استفاده و دارای  آسیب پذیری بیشتری می باشند ، غیر فعال تا زمینه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصیه می گردد ،  برنامه های نمونه (Sample)  تحت هیچ شرایطی بر روی سیستم های تولیدی ( سیستم هائی که محیط لازم برای تولید نرم افزار بر روی آنها ایجاد و با استفاده از آنان محصولات نرم افزاری تولید می گردند )  نصب نگردند .

 

رمزعبور

انتخاب رمزعبور ضعیف ،  همواره یکی از مسائل اصلی در رابطه با هر نوع  سیستم امنیتی است . کاربران،  می بایست متعهد و مجبور به تغییر رمز عبور خود بصورت ادواری گردند . تنظیم مشخصه های رمز عبور در سیستم های مبتنی بر ویندوز،  بکمک Account Policy صورت می پذیرد . مدیران شبکه،  می بایست برنامه های مربوط به تشخیص رمز عبور را تهیه و آنها را اجراء تا آسیب پذیری سیستم  در بوته نقد و آزمایش قرار گیرد .

برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در این زمینه می باشند . به کاربرانی که رمز عبور آنان ضعیف تعریف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عملیات فوق،  می بایست بصورت متناوب انجام گیرد ) . با توجه به اینکه برنامه های تشخیص رمزعبور،زمان زیادی از پردازنده را بخود اختصاص خواهند  داد،  توصیه می گردد،  رمز عبورهای کد شده ( لیست SAM بانک اطلاعاتی در ویندوز ) را بر روی  سیستمی دیگر که در شبکه نمی باشد،  منتقل  تا زمینه بررسی رمزهای عبور ضعیف ،  فراهم گردد . با انجام عملیات فوق برروی یک کامپیوتر غیر شبکه ای ،  نتایج بدست آمده برای هیچکس قابل استفاده نخواهد بود( مگراینکه افراد بصورت فیزیکی به سیستم دستیابی پیدا نمایند) .

برای تعریف رمز عبور،  موارد زیر پیشنهاد می گردد :

حداقل طول رمز عبور، دوازده و یا بیشتر باشد .

دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .

از کلمات موجود در دیکشنری استفاده نگردد .

رمز های عبور ، در فواصل زمانی مشخصی ( سی و یا نود روز)  بصورت ادواری تغییر داده شوند .

کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعریف نموده اند، تشخیص و به آنها تذکر داده شود .( عملیات فوق بصورت متناوب و در فواصل زمانی  یک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تایید نشده است .

در اغلب حالات ، برنامه های کامپیوتری در یک چارچوب امنیتی خاص مربوط به  کاربری که آنها را فعال می نماید ،  اجراء می گردند.دراین زمینه ممکن است،  هیچگونه توجه ای  به ماهیت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود یک زیر ساخت PKI ) Public key infrastructure ) ، در این زمینه می تواند مفید باشد . در صورت عدم وجود زیرساخت امنیتی فوق ،می بایست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسیب ها  در ظاهری کاملا” موجه از طریق یک پیام الکترونیکی جلوه نمایند . هرگز یک ضمیمه پیام الکترونیکی و یا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده اید ، فعال و یا اجراء ننمائید . همواره از برنامه ای نظیر Outlook بمنظور دریافت پیام های الکترونیکی استفاده گردد . برنامه فوق در یک ناحیه محدوده شده اجراء و می بایست امکان اجرای  تمام اسکریپت ها و محتویات فعال  برای ناحیه فوق ، غیر فعال گردد.

ایجاد محدودیت در برخی از  ضمائم پست الکترونیکی

ضرورت توزیع و عرضه تعداد زیادی از انواع فایل های ضمیمه ، بصورت روزمره در یک سازمان وجود ندارد .بمنظور پیشگیری از اجرای کدهای مخرب ، پیشنهاد می گردد این نوع فایل ها ،غیر فعال گردند . سازمان هائی که از Outlook استفاده می نمایند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمایند .
( برای سایر نسخه های Outlook می توان از Patch  امنیتی مربوطه استفاده کرد .)

فایل های زیر را می توان  بلاک کرد :

نوع فایل هائی که می توان آنها را بلاک نمود .
.bas  .hta  .msp  .url  .bat  .inf  .mst  .vb  .chm  .ins  .pif  .vbe
.cmd .isp  .pl  .vbs .com .js .reg .ws  .cpl  .jse  .scr  .wsc  .crt
.lnk .sct  .wsf  .exe .msi  .shs  .wsh

در صورت ضرورت می توان ، به لیست فوق برخی از فایل ها را اضافه و یا  حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفیس ، میتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترین نکته در این راستا به برنامه  Access بر می گردد که برخلاف سایر اعضاء خانواده آفیس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسیب رسان  نمی باشد .

 

پایبندی به  مفهوم کمترین امتیاز 

اختصاص حداقل امتیاز به کاربران، محور اساسی درپیاده سازی یک سیتم امنیتی است. رویکرد فوق بر این اصل مهم استوار است که  کاربران می بایست صرفا”  دارای حقوق و امتیازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتیازات در این زمینه شایسته نمی باشد!) .  رخنه در سیستم امنیتی از طریق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می یابد .  در صورتیکه کاربر، دارای حقوق و امتیازات  بیشتری باشد ، آسیب پذیری اطلاعات در اثر اجرای کدها ی مخرب ، بیشتر خواهد شد . موارد زیر برای اختصاص حقوق کاربران ،  پیشنهاد می گردد :

تعداد account مربوط به مدیران شبکه،  می بایست  حداقل باشد .

مدیران شبکه ، می بایست بمنظور انجام فعالیت های روزمره نظیر خواندن پیام های پست الکترونیکی ، از یک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمایند .

 

مجوزهای لازم برای منابع بدرستی تنظیم و پیکربندی گردد . در این راستا  می بایست حساسیت بیشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . این نوع برنامه ها ، شرایط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمایند. جدول زیر برخی از این نوع برنامه ها را نشان می دهد .

 

برنامه های  مورد توجه متجاوزان اطلاعاتی
explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe,
cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe,
net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe,
regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe,
svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe,
usrmgr.exe,wscript.exe,xcopy.exe

رویکرد حداقل امتیاز ، می تواند به برنامه های سرویس دهنده نیز تعمیم یابد . در این راستا می بایست حتی المقدور،  سرویس ها و برنامه ها  توسط یک account که حداقل امتیاز را دارد ،اجراء گردند .

ممیزی برنامه ها

اغلب برنامه های سرویس دهنده ،  دارای قابلیت های ممیزی گسترده ای  می باشند . ممیزی می تواند شامل دنبال نمودن حرکات مشکوک و یا برخورد با آسیب های واقعی باشد . با فعال نمودن ممیزی برای برنامه های سرویس دهنده و کنترل دستیابی به برنامه های کلیدی نظیر برنامه هائی که لیست آنها در جدول قبل ارائه گردید،  شرایط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد .

 

چاپگر شبکه

امروزه اغلب چاپگرهای شبکه دارای قابلیت های از قبل ساخته شده برای  سرویس های  FTP,WEB و Telnet بعنوان بخشی از سیستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و یا  سرویس های مدیریتی وب ، وجود خواهد داشت . رمز عبور پیش فرض را به یک رمز عبور پیچیده تغییر  و با  صراحت پورت های چاپگر را در محدوده روتر / فایروال بلاک نموده و  در صورت عدم نیاز  به  سرویس های  فوق ، آنها را غیر فعال نمائید .

 

پروتکل  SNMP (Simple Network Management Protocol  )

پروتکل SNMP ،  در مقیاس گسترده ای توسط مدیران شبکه بمنظور مشاهده و مدیریت تمام کامپیوترهای موجود در شبکه ( سرویس گیرنده ، سرویس دهنده،  سوئیچ ، روتر،  فایروال ) استفاده می گردد .SNMP ،  بمنظور تایید اعتبار کاربران ،  از روشی غیر رمز شده استفاده می نماید . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمایند . در چنین حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غیر فعال نمودن یک سیستم از راه دور  و یا تغییر پیکربندی سیستم ها  وجود خواهد داشت . در صورتیکه یک متجاوز اطلاعاتی قادر به جمع آوری ترافیک SNMP دریک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سیستم ها و دستگاههای متصل شده به آن ، نیز آگاهی خواهد یافت . سرویس دهندگان SNMP  موجود بر روی هر کامپیوتری را که ضرورتی به وجود آنان نمی باشد ، غیر فعال نمائید . در صورتیکه بهر دلیلی استفاده از  SNMP ضروری باشد ،  می بایست امکان دستیابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا” به تعداد اندکی از کامپیوترها امتیاز استفاده از سرویس دهنده SNMP  اعطاء گردد .

تست امنیت شبکه

مدیران شبکه های کامپیوترهای می بایست، بصورت ادواری اقدام به تست امنیتی تمام کامپیوترهای موجود در شبکه (سرویس گیرندگان، سرویس دهندگان، سوئیچ ها ، روترها ، فایروال ها و سیتستم های تشخیص مزاحمین)  نمایند. تست امنیت شبکه ،  پس از اعمال هر گونه تغییر اساسی  در پیکربندی شبکه ، نیز می بایست انجام شود .

 

 

 

 


  • ۰

مفهوم IDS

مفهوم IDS

IDS یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند و با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند.

روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند.
از قابلیتهای دیگر IDS ، امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه و یا بستن ارتباط های مشکوک و مظنون می باشد. ابزار IDS قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی را دارد.

بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاه های امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
۱- سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.

۲- ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.

۳-نرم افزارهای ضدویروس که برای تشخیص انواع کرمها، ویروسها و به طورکلی نرم افزارهای خطرناک تهیه شده اند.

۴-دیواره آتش (Firewall )

۵-مکانیزمهای امنیتی مانند SSL ، VPN و Radius و … .

چرا دیواره آتش به تنهایی کافی نیست ؟

به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند :
۱. چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
۲.تمام تهدیدات خارج از دیواره آتش نیستند.
۳.امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند Active ، Java Applet، Virus Programs.

تکنولوژی IDS
۱- Plain Hand Work
۲- Network Based
۳- Host Based
۴- Honey pot

(NIDS (Network Bas
گوش دادن به شبکه و جمع آوری اطلاعات ازطریق کارت شبکه ای که در آن شبکه وجود دارد.
به تمامی ترافیک های موجود گوش داده و در تمام مدت در شبکه مقصد فعال باشد.

(HIDS (Host Base
تعداد زیادی از شرکتها در زمینه تولید این نوع IDS فعالیت می کنند.
روی PC نصب می شود و از CPU و هارد سیستم استفاده می کنند.
دارای اعلان خطر در لحظه می باشد.
جمع آوری اطلاعات در لایه Application
مثال این نوع IDS ، نرم افزارهای مدیریتی می باشند که ثبت وقایع را تولید و کنترل می کنند.

Honey pot
سیستمی می باشد که عملا طوری تنظیم شده است که در معرض حمله قرار بگیرد. اگر یک پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد که گرفتار یک Honey pot شده است. و خرابکاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابکاریی ها برای امن کردن شبکه استفاده کرد.

محل قرارگیری IDS
محل قراگیری IDS ها کجاست ؟
بیرون دیواره آتش ؟
داخل دیواره آتش (داخل DMZ یا شبکه داخلی )؟
چه ترافیکی را می بایست کنترل کند؟
چه چیزهایی را می بایست کنترل کند؟

کارآیی یک IDS خوب وقتی مشخص می شود که :
بتوان کنترل و مدیریت آن را به صورت ۲۴ ساعته و ۷ روز در هفته انجام داد.
توسط یک مدیر با دانش بالا مدیریت شود تا بتواند از وقایع بدست آمده کنترل های جدیدی را روی دیوار آتش پیاده سازی کند.مرتب کنترل وبا توجه به حوادث روزانه (ویروس ها و ورم ها و روش های هک جدید) به روزرسانی شود.

حملات به طور کلی به دو بخش تقسیم می شوند:
۱-غیرفعال:فکر دسترسی به سیستم های آسیب پذیر بدون دستیابی به اطلاعات
۲-فعال:دستیابی بدون اجازه به همراه تغییر در منابع و اطلاعات یک سازمان

از نظر شخص نفوذگر حملات به گروههای زیر تقسیم می شوند:
۱-داخلی:یعنی اینکه حملات از طریق کارکنان و یا شرکای تجاری و یا حتی مشتریانی که به شبکه شما متصل می باشند.
۲- خارجی:حملاتی که از خارج سازمان و معمولا از طریق اینترنت انجام می گیرد.●شما درمعرض خطر هستید!

برای تشخیص خطرات وحملات احتمالی می بایست سیستم خود را در برابر تقاضاهایی که سرویس های نامناسب درخواست می کنند مورد بررسی قرار دهید.این بررسی ها در تشخیص حملات واقعی به ما کمک می کند. با توجه به انواع راه هایی که نفوذ گران برای دسترسی به سیستمها استفده می کنند نگاهی اجمالی به روشهای آسیب رسانی و نفوذ می اندازیم.

استفاده از آسیب پذیری های معروف:دراکثر موارد حمله به معنی تلاش برای استفاده از نقص یا ایجاد آن در سیستم امنیتی یک سازمان اطلاق می شود و این یکی از راههای نفوذگری در شبکه می باشد.اغلب خود سازمان ممکن است از ابزاری برای امن کردن شبکه استفاده کند که کار حمله کننده را آسان می سازد به بیان واضح تر اینکه ابزارهای امنیتی نیز خود دارای نواقص و حفره های امنیتی می باشد که اختیارات بیشتری را به نفوذگر می دهد. این نرم افزارها اغلب مانند شمشیر دو لبه عمل می کنند و مورد استفاده هردو گروه کاربران وحمله کنندگان قرارمی گیرد مانند نرم افزارهای کنترل صحت و یکپارچگی فایل یا نرم افزارهایی که جهت تست آسیب پذیری شبکه مورد استفاده قرارمی گیرند.چک کردن یکپارچگی فایلها با استفاده از روش های سیستمی و با قابلیت ادغام روشهای مختلف با یکدیگر و با ابزارهایی نظیر anti-SATAN یا Courtney امکان پذیر می باشد.

ترافیک خروجی غیر معمول:یک نفوذگر با استفاده از تعداد زیادی Exploit و حتی نفوذ های ناموفق سعی در به دست آوردن کنترل کامپیوتر مقصد دارد. این عملیات نفوذگرانه، ترافیک معمول شبکه را افزایش می دهد و نشانه وقوع یک حمله درآینده می باشد. هر ابزار تست آسیب پذیری می بایست قابلیت تشخیص فعالیت های مشکوک و غیر متعارف را داشته باشد و با ارائه گزارش ، اعلام خطر لازم را به مدیر شبکه بدهد.
حد تکرار برای کمک به تشخیص فعالیتهای واقعی و مشکوک :فعالیتهای شبکه بوسیله دریافت و کنترل بعضی پارامترها قابل شناسایی است مانند User Profile یا از Session State .

زمان بین تکرار فعالیتها: پارامتری برای تشخیص زمان سپری شده بین دو واقعه متوالی. مثلا” وقتی بخواهید با نام کاربری اشتباه وارد سیستم شوید، سه تلاش برای ورود با نام غلط بین فاصله زمانی ۲ دقیقه یک فعالیت مشکوک به نظر می رسد.
اشتباه در تایپ ویا جوابهایی که در یک Session ایجاد می شود.

پروتکل ها وسرویس های شبکه به صورت کاملا دقیقی مستند شده اند و از ابزارهای نرم افزاری خاص استفاده می کنند. هرگونه ناهماهنگی با قالب شناخته شده( مثل اشتباه در تایپ یک دستور ) ممکن است اطلاعاتی برای شناسایی سرویسهای که می توانند مورد حمله یک نفوذگر قراربگیرند باشد.اگر امکان Audit در سیستم فعال شده باشد ،مثل Send Mail Relaying، توالی ارتباط Log بصورت معمولی و قابل پیش بینی اتفاق می افتد.هرچند که اگر در Log دریافت شده دستورات غیر مجاز دیده شود ممکن است نتیجه موارد اشتباه غیر عمدی ویا سعی در Spoofing باشد.( Spoofing به این معنی است که نفوذگر آدرس خود را به آدرسی که برای سیستم شناخته شده است تغییر داده و به این ترتیب به سیستم نفوذ می کند.)

تست تلاشهای مخرب ممکن است شامل موارد زیر باشد:
▪ شناسایی تلاشهای متعدد برای جبران خطاهای تایپی و تکرار دستورات
▪ تشخیص خطاهای مکرر برای یافتن پروتکل ها که بدنبال یک تلاش موفق انجام می شود.
▪ تشخیص خطا و یادگیری در جهت شناسایی نرم افزارهای و یا سیستم عامل های موجود در سایت مقصد.

ناهماهنگی در جهت ارسال و دریافت اطلاعات
هرگونه ناهماهنگی ترافیکی در Packetها یا یک Session نشانه ای از یک حمله پنهانی است. بررسی آدرس مبداء و مقصد ( به صورت ورودی یا خروجی) میتواند جهت Packet را تشخیص بدهد. روند برقراری یک session با تشخیص اولین پیام ارسال شده شناسایی می شود. یک درخواست برای دریافت یک سرویس از شبکه محلی به صورت یک session ورودی است و پروسه فعال کردن یک سرویس بر پابهWeb از یک شبکه محلی یک session خروجی است.

موارد زیر می تواند به عنوان حمله محسوب شود:
▪Packet -هایی که منشاء آنها اینترنت است بدون اینکه در خواستی از سمت شبکه محلی داشته باشد و وارد شبکه شود.
این حالت ممکن است نشان دهنده یک حمله IP Spoofing از خارج باشد. این مشکلات می توانند درRouter- هایی که قابلیت مقایسه آدرس مبداء و مقصد را دارند بر طرف شوند .در عمل تعداد اندکی از Router ها در شبکه می توانند به عنوان فایروال عمل کنند.

▪ بر عکس حالت قبلPacket هایی که به صورت خروجی در یک شبکه محلی ایجاد می شوند و به یک شبکه خارجی فرستاده می شوند.

▪ Packet ها با پورت های مبداء و مقصد غیر مشخص. اگر منبع پورت در مورد یک درخواست ورود یا خروج اطلاعات با نوع سرویس یکسان نباشد ممکن است به عنوان یک تلاش برای نفوذ یا پویش سیستم تلقی شود. بطور مثال در خواست Telnet از روی پورت ۱۰۰ در محیطی که انتظار چنین پشتیبانی برای سرویس وجود ندارد.ترافیک غیر معمول بیشتر توسط فایروال شناسایی شده و Packet های مشکوک را ازبین می برد. با توجه به اینکه فایروالها همیشه با سیستم های تشخیص نفوذ ادغام نمی شوند ، بنابراین ممکن است که سیستمهای تشخیص نفوذ راه حلی برای این مشکل باشد.

علائم نفوذ
معمولا با اجرای برنامه های خاص در سیستم انتظار مواجهه با رفتارهای خاص و مشابه وجود دارد
بعضی از موارد مانند موارد زیر :

▪مشخصات تاریخ و زمان : در بعضی محیط های خاص بطور معمول بعضی رفتارها در زمان خاصی در شبکه اتفاق می افتد. مثلا فرض کنید بطور معمول شنبه صبح یکسری اطلاعات به بخش مرکزی شرکت ارسال می شود که مربوط به اطلاعات مالی است. چنین ترافیکی در شنبه صبح همیشه اتفاق می افتد و عادی است در صورتیکه چنین ترافیکی روز جمعه اتفاق بیفتد و ثبت شود ، غیر معمول است و باید به عنوان یک رفتار غیر معمول یا نفوذ به سیستم مورد بررسی دقیق قرارگیرد.

▪مشخصات منابع سیستم: بعضی نفوذ های خاص باعث خرابی بعضی پارامترهای خاص سیستم میشود مثلا یک حمله Brute Force برای شکستن حرف رمز باعث در گیر کردن CPU میشود در حالیکه یک حمله DoS همین کاررا با سرویس های سیستم انجام میدهد. استفاده سنگین از منابع سیستم ( پروسسور، حافظه، دیسک سخت ، سرویسها و اتصالات شبکه ) که در زمانهای غیر معمول اتفاق می افتد برای شناسایی حمله بسیار مفید هستند و باید به آنها بسیار توجه کرد.

▪ Packet هایی با تایید های TCP غیر معمول : اگر در یک Packet نشانه مربوط به ACK فعال باشد و قبل از آن هیچ SYN-Packet ارسال نشده باشد، ممکن است نتیجه یک حمله در سیستم باشدهمچنین این حالت ممکن است اثر یکPacket خراب هم باشد که در یک شبکه با نرم افزار های خراب ایجاد می شود و واقعا” حمله نفوذی نباشد.

▪ سرویس های مختلف با علایم مختلف : ممکن است در بعضی موارد انتظار ایجاد ترافیک خاص از یک کاربر مشخص داشته باشیم مثلا کاربری که در یک ماموریت اداری بسر می برد معمولا” فقط نامه های خود را چک می کند ویا فایلی را انتقال می دهد . در صورتیکه دسترسی این کاربر به پورت های مختلف از طریق Tel net ، دلیلی بر امکان نفوذ یا حمله است .

موارد غیر معمول – علامت نفوذ
یک نفوذ کننده بالقوه ممکن است عملیات نفوذ خود را به گونه ای طراحی کند که اثر جانبی آن باعث رفتارهای غیر معمول در سیستم باشد. مانیتورینگ اثرات جانبی بسیار سخت است چون پیدا کردن محل آنها به سادگی امکان پذیر نیست از موارد غیر منتظره سیستم به موارد زیر می توان اشاره کرد:

۱-مشکلات تعریف نشده در سخت افزار یا نرم افزارسیستم مثل خاموش شدن بدون علت سرور، عدم کارکرد بعضی برنامه های نرم افزاری مانند IIS ، موارد غیر معمول restart شدن سیستم ها ، تغییرات در تنظیم clock سیستم
۲- بروزاشکالات نامشخص در منابع سیستم مثل File System Overflow یا مشغول بودن بیش از حد CPU
۳- دریافت پیام های غیر متعارف از بعضی برنامه های خود اجرا ، مثل پیغامهایی که نشان دهنده عدم اجرا و یا خطا در هنگام اجرای یک برنامه ایجاد شده باشد.بخصوص برنامه هایی که برای مانیتور کردن سیستم طراحی شده اند مثل Syslog .
۴- بروز اشکالات نامشخص در کارایی سیستم مثلا” در Router ها یا سرویس های سیستم مثل کند شدن سرور
۵- بروز رفتارهای مشکوک در اجرای برنامه های کاربرمثل اشکال در دسترسی به بعضی منابع شبکه
۶- عملکرد مشکوک در فایلهای ثبت وقایع ( Log ها)بررسی این فایل ها از نظر سایز برای اینکه حجم فایل از اندازه متعارف خیلی بیشتر یا کمتر نباشد. مگر اینکه مدیر شبکه خود چنین تغییری ایجاد کرده باشد.●چگونگی عملکرد IDS

چه باید کرد؟
مهمترین کار یک سیستم کشف نفوذگر،دفاع از کامپیوتر بوسیله شناسایی حمله و جلوگیری از آن است. شناسایی حمله هکر بستگی به نوع و تعداد عکس العمل مورد نظر دارد.

مقابله با نفوذ، نیاز به یک سیستم ترکیبی دام گذاری و تله اندازی دارد که هردو این پروسه ها باید با بررسی و دقت انجام شود. از کارهای دیگری که باید انجام داد ، تغییر دادن جهت توجه هکر است.هر دوسیستم واقعی و مجازی(Honeypot) به دام اندازی هکر به طور دائمی دیده بانی (Monitor ) می شوند و داده های تولید شده توسط سیستم شناسایی نفوذ گر(IDS) برای شناسایی نحوه عملکرد حمله به دقت بررسی می شود که این مهمترین وظیفه یک IDS جهت شناسایی حملات و یا نفوذهای احتمالی می باشد.

وقتی که یک حمله یا نفوذ شناسایی شد، IDS سرپرست شبکه را مطلع می سازد. مرحله بعدی کار می تواند بر عهده سرپرست شبکه یا خود IDS باشد که از بررسی های به عمل آمده نتیجه گیری کرده و اقدام متقابل را انجام دهد.(مانند جلوگیری از عملکرد یک قسمت بخصوص برای پایان بخشیدن به Session های مشکوک یا تهیه نسخه پشتیبان از سیستم برا ی حفاظت از اطلاعات ، و یا انتقال ارتباط به یک سیستم گمراه کننده مانند Honeypot و چیزهای دیگر که بر اساس سیاستهای (Policy ) شبکه قابل اجرا باشد . در حقیقت IDS یک از عناصر سیاستهای امنیتی شبکه است.در بین وظایف مختلف IDS ، شناسایی نفوذگر از اساسی ترین آنهاست .حتی ممکن است در مراجع قانونی از نتایج و گزارشات حوادثی که IDS اعلام می کند استفاده نمود، و از حملاتی که در آینده اتفاق خواهد افتاد با اعمال وصله های امنیتی مناسب از حمله به یک کامپیوتر بخصوص ویا یک منبع شبکه جلوگیری کرد.
شناسایی نفوذ ممکن است گاهی اوقات زنگ خطر اشتباهی را به صدا در آورد. برای مثال نتیجه خراب کارکردن یک کارت شبکه و یا ارسال شرح یک حمله و یا اثر یک نفوذ ازطریق Email .

ساختار و معماری سیستم تشخیص نفوذ:
سیستم تشخیص نفوذ یک هسته مرکزی دارد و یک تشخیص دهنده(موتور تشخیص) است که مسئولیت تشخیص نفوذ را دارد. این سنسور یک مکانیزم تصمیم گیری بر اساس نوع نفوذ دارد.

این سنسور اطلاعات خام را از سه منبع دریافت می کند.
۱-از اطلاعات موجود در بانک اطلاعلتی خود IDS.
۲-فایل ثبت وقایع سیستم (syslog).
۳-آثار ترافیک عبوری و دیده بانی شبکه.

فایل ثبت وقایع سیستم (syslog) ممکن است به طور مثال اطلاعات پیکربندی سیستم و دسترسی های کاربران باشد. این اطلاعات اساس تصمیم گیری های بعدی مکانیزم سنسور خواهد بود.این سنسور با یک Event Generator که مسئول جمع آوری اطلاعات است با هم کار می کنند. قوانین جمع آوری اطلاعات که به وسیله سیاست های Event generator مشخص می شود ، تعیین کننده نوع فیلترینگ از روی حوادث و اطلاعات ثبت شده است.

Event Generator ، مثل سیستم عامل یا شبکه یا یک برنامه اجرایی ، تولید کنندهPolicy هایی هستند که ممکن است یک واقعه ایجاد شده در سیستم عامل یا Packet های شبکه را ثبت کنند. این مجموعه به همراه اطلاعات Policy می تواند در یک سیستم محافظت شده یا خارج از شبکه قرار داده شود. در بعضی شرایط خاص هیچ محل مشخصی به عنوان محل حفظ اطلاعات ایجاد نمی شود مثل وقتی که اطلاعات جمع آوری شده از وقایع مستقیما” به یک سیستم آنالیز ارسال می شود.
وظیفه سنسور فیلتر کردن اطلاعات است و حذف کردن هر داده غیر مرتبط که از طرف منابع دریافت اطلاعات می رسد. تحلیل کننده برای دستیابی به این هدف از Policy های موجود استفاده می کند.تحلیل گر نکاتی مانند اثر و نتیجه حمله ، پرو فایل رفتارهای نرمال و صحیح و پارامترهای مورد نیاز مثل Threshold ها را بررسی می کند .

علاوه بر همه اینها بانک اطلاعاتی که پارامترهای پیکربندی IDS را در خود نگه می دارد، روشهای مختلف ارتباطی را ایجاد می کنند.سنسور یا گیرنده هم بانک اطلاعاتی خاص خود را دارد، که شامل تاریخچه پویایی از نفوذهای پیچیده بوده یا با توجه به تعدد حمله مورد تحلیل قرارگرفته است.سیستم تشخیص نفوذ می تواند به صورت متمرکز مثل برقراری یک فایروال فیزیکی یا به صورت غیر متمرکز انجام شود.یک IDS غیر متمرکز شامل تعداد زیادی سیستم تشخیص نفوذ در یک شبکه بزرگ است که هرکدام از آنها با هم در ارتباط هستند.سیستم های پیچیده تر از ساختاری پیروی می کنند که ماژول های مشابه برنامه های خود اجرایی دارند که روی هر کامپیوتر اجرا می شوند.

عملکرد این سیستم جایگزین ، مونیتور و فیلتر کردن تمام فعالیتهای مرتبط با یک بخش محافظت شده است که بتواند یک آنالیز دقیق و پاسخ متناسب از شبکه دریافت کند.یکی از قسمت های بسیار مهم IDS برنامه ای است که به سرور آنالیز کننده گزارش می دهد ، DIDS(Database IDS) و دارای ابزار آنالیز پیچیده تری است که حملات غیر متمرکز را نیز شناسایی می کند. دلیل دیگری که وجود دارد مربوط به قابلیت حمل و انتقال درچند منطقه فیزیکی است.علاوه بر این عامل جایگزین مشخص برای تشخیص و شناسایی اثر حمله های شناخته شده می باشد.یک راه حل ساختاری چند برنامه ای که در سال ۱۹۹۴ ایجاد شد

AAFID یا Autonomous Agent for Intrusion Detection است. این ساختار از یک جایگزین استفاده می کند که بخش به خصوصی از رفتار سیستم را در زمان خاص دیده بانی می کند. به طور مثال یک جایگزین می تواند تعداد دفعاتی را که به سیستم Telnet شده تشخیص داده و در صورتی که این عدد منطقی به نظر نرسد آنرا گزارش کند. یک جایگزین همچنین قابلیت ایجاد زنگ خطر در زمان وقوع یک حادثه مشکوک را دارد.جایگزین ها می توانند مشابه سازی شوند و به سیستم دیگر منتقل گردند.به غیر از جایگزین ها ، سیستم می تواند رابط هایی برای دیده بانی کل فعالیتهای یک کامپیوتر بخصوص داشته باشد.این رابط ها همیشه نتایج عملیات خود را به یک مونیتور مشخص ارسال می کنند. سیستم های مانیتور اطلاعات را از نقاط مختلف و مشخص شبکه دریافت می کنند و این بدین معنی است که می توانند اطلاعات غیر متمرکز را بهم ارتباط دهند و نتیجه گیری نهایی را انجام دهند.به انضمام اینکه ممکن است فیلتر هایی گذاشته شود تا داده های تولید شده را بصورت انتخابی در یافت نماید.

– See more at: http://www.idsco.ir/IDS-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F#sthash.YE3P1rLJ.dpuf

 


آخرین دیدگاه‌ها

    دسته‌ها