مشاوره شبکه و ویپ هفت پاییز  

سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS

سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS که به اختصار NIDS نیز به آن می گوییم ، در حقیقت یک از انواع IDS ها می باشد که خود را به شبکه متصل کرده و از این طریق ترافیک شبکه را پایش کرده و گزارش های خود را ارائه می کند . شیوه قرار گیری اینگونه سیستم ها معمولا بصورت پشت یا روبروی فایروال شبکه می باشد. در شکل زیر شیوه قرارگیری این سیستم تشخیص نفوذ تحت شبکه را مشاهده می کنید . همیشه بهترین محل قرارگیری یک سیستم تشخیص نفوذ تحت شبکه NIDS روبروی فایروال شبکه است .

سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS

7paeez

شیوه قرارگیری NIDS در شبکه نحوه تحلیل ترافیک در شبکه 

 

قرار دادن NIDS در مقابل فایروال شبکه ، این امکان را به IDS می دهد که بتواند کلی ترافیک های ورودی و خروجی به شبکه را بصورت کامل مانیتور و پایش کند. این راهکار باعث تحلیل شدن حجم عظیمی از داده های ورودی و خروجی شبکه خواهد شد و به شما امکان مشاهده تمامی اطلاعات منتقل شده در شبکه را می دهد. قرار دادن NIDS در پشت فایروال ، فقط ترافیکی را به شما نمایش می دهد که قصد نفوذ به فایروال را دارند و قابلیت مانیتور کردن سایر ترافیک وارد شده به شبکه را نخواهد داشت . همچنین این راهکار ضمن اینکه داده های کمتری را در اختیار شما برای انجام تحلیل قرار می دهد باعث می شود که شما تعداد زیادی از حملاتی که در درون شبکه در حال شکل گیری هستند را مشاهده و تشخیص ندهید .

سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS

7Paeez

استفاده از سویئچ برای متصل کردن NIDS به شبکه

 

NIDS ها هم می توانند به پورت های سویچ یا هاب متصل شوند و یا اینکه به یک tap متصل شوند. بسیاری از هاب ها و سویچ ها پورت های خاصی را برای فعالیت های مانیتورینگ شبکه برای رفع ایراد و یا نظارت بر شبکه ، در خود تعبیه کرده اند . این پورت ها مشابه فعالیت tap را انجام می دهند .مزیت وجود tap این است که صرفا دستگاه NIDS ترافیک ورودی و خروجی را دریافت می کند. شکل ب به شما اتصال یک NIDS با استفاده از دستگاه هاب را نمایش می دهد . این نکته را به یاد داشته باشید که همیشه سیستم های تشخیص نفوذ تنها ترافیکی را می توانند مانیتور کنند که به آن دسترسی دارند .

انواع واکنش سیستم های تشخیص نفوذ

در واکنش به گزارش هایی که توسط سیستم های تشخیص نفوذ در سطح شبکه می شود ، دو نوع عکس العمل وجود دارد که به ترتیب عکس العمل های فعال یا Active و عکس العمل های غیرفعال یا Passive می باشد . در ادامه به بررسی این نوع عکس العمل ها در برخورد به گزارش های سیستم های تشخیص نفوذ تحت شبکه خواهیم پرداخت .

واکنش غیرفعال ( Passive Response )

واکنش غیر فعال یا passive response معمولترین واکنشی است که به بیشتر نفوذها در شبکه انجام می شود .در واقع واکنش های غیرفعال ساده ترین و راحت ترین واکنش در برخورد با نفوذ ها برای پیاده سازی و توسعه هستند .استراتژی های واکنش های غیر فعال شامل موارد زیر است :

  • لاگ برداری یا Logging : لاگ برداری شامل ضبط کردن کلیه رویدادهای شبکه است که اتفاق می افتند و همچنین چگونگی رخ دادن آنها را نیز نمایش می دهد . لاگ برداری بایستی به شکلی اطلاعات را در اختیار مدیران قرار دهند که آنها بتوانند از طریق این داده ها ذات حمله و چگونگی به وقوع پیوستن آن را ارزیابی کنند . این اطلاعات بعد های می توانند برای طراحی راهکارها برای مقابله با تهدیدات مورد استفاده قرار بگیرند.
  • آگاه سازی یا Notification : آگاه سازی در واقع ارتباطی است که از طریق آن اطلاعات مربوط به رویداد اتفاق افتاده به شخص مسئول آن ارسال می  شود. این شامل هرگونه اطلاعاتی است که می تواند به مدیر سیستم کمک کند تا در مورد حادثه درک بهتری داشته باشد. اگر سیستم تشخیص نفوذ بصورت تمام وقت مشغول به فعالیت است ، پیام ها بر روی کنسول مدیریتی نمایش داده خواهد شد تا زمنیکه مسئول سیستم آنها را مشاهده و نظارت کند .
  • اجتناب کردن یا Shunning : اجتناب کردن یا چشم پوشی از حمله یک واکنش معمول است . برای مثال سیستم تشخیص نفوذ شما از بروز حمله از نوع حملات به وب سرور IISS به سیستمی گزارش می دهد که دارای وب سرور آپاچی می باشد ، در این حالت نیازی به انجام هیچگونه عمل متقابلی نخواهد بود زیرا حمله بطور یقین ناکارآمد خواهد بود . خوب در چنین شرایطی با توجه که مطمئن هستیم که حملاتی که بر روی IIS انجام می شوند بر روی آپاچی موثر نخواهند بود ، آیا نیازی به صرف وقت و هزینه برای مقابله با آن وجود دارد ؟ در یک شبکه بزرگ بسیاری از این نوع حلمات ممکن است بصورت همزمان بوجود بیایند ، نکته در اینجاست که اگر موفق بودن یا ناموفق بودن یک حمله در شبکه برای شما اهمیتی ندارد ، پی چرا برای کشف و شناسایی و اطلاع رسانی آن انرژی صرف کنیم ؟ در اینگونه موارد از این نوع حملات چشم پوشی کرده و به کارهای مهمتری در شبکه می پردازیم .

واکنش فعال یا (Active Response )

واکنش فعال بدین معناست که در مقابل حمله یا تهدید موجود عکس العمل نشان بدهیم . هدف واکنش فعال انجام دادن سریعترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است . این نوع از واکنش ها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویدادها ، خط مشی های واضح و صریح تبیین شده و همچنین هوشیاری خاصی می باشند. واکنش های فعال شامل عکس العمل هایی هستند که در ادامه بصورت خلاصه با برخی از آنها آشنا خواهیم شد :

پایان دادن Session یا فرآیند : اگر یک حمله از نوع Flood شناسایی شود ، IDS می تواند باعث شود که یک زیر سیستم مانند TCP تمامی Session های مربوط به حمله مذکور را ریست کند . این عمل باعث آزاد شدن منابع و ادامه فعالیت پروتکل TCP  خواهد شد . البته در این نوع واکنش ممکن است session های معتبر و درست سایر کاربرانی که مشغول سرویس گیری از شبکه هستند نیز ریست شوند و می بایست مجددا این Session ها برقرار شوند ، اما در هر صورت این عمل باعث از بین رفتن تاثیر حمله Flood خواهد شد و تاثیر چندانی نیز بر روی فعالیت کاربران عادی شبکه نخواهد داشت . IDS رویدادها را ارزیابی و بر اساس آن روش برخود با آنها را تعیین می کند . شکل ذیل روش درخواست شدن فرمان ریست توسط پروتکل TCP از سمت IDS برای ریست کردن تمامی Session های فعال TCP با استفاده از دستور RST را نمایش می دهد .

سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS

7Paeez

روش درخواست شدن فرمان ریست توسط پروتکل TCP از سمت IDS

 

  • اعمال تغییرات در تنظیمات شبکه : اگر حملات بصورت دائمی از سمت یک آدرس IP مشخص انجام شود ، IDS این توانایی را دارا است که به فایروال یا مسیریاب شبکه دستور دهد که تمامی درخواست های ارتباط و ترافیکی که از این آدرس IPP به سمت سرور روانه می شود را قطع ارتباط و رد کند . این نوع دستوراتی که از سمت IDS برای فایروال ها یا مسیریاب ها صادر می شود هم می تواند بصورت دائمی اعمال شود و هم اینکه می تواند در وهله های زمانی معین شده اعمال گردند. شکل د نمایانگر دستوری است که IDS به فایروال جهت مسدود کردن پورت 80 برای مدت زمان 60 ثانیه صادر کرده است ، این عمل برای جلوگیری از حمله به سرور IIS انجام شده است .
  • اگر IDS متوجه شود که یک پورت یا سوکت خاص مورد حمله قرار گرفته است ، می تواند به فایروال دستور بدهد که پورت مورد نظر را برای مدت زمان معینی مسدود کند. انجام اینکار باعث بر طرف کردن حمله می شود اما بصورت ناخواسته باعث بروز یک حمله از نوع DOS نیز بر روی شبکه خود خواهد شد .
    • فریب دادن یا Deception : فریب دادن یا Deception فرآیندی است که در حین آن به مهاجم اینطور القاء می شود که حمله وی موفقیت آمیز بوده است ، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی  را به سمت یک سیستم که برای هک شدن ساخته شده است هدایت می کند. این روش به مدیر سیستم این امکان را می دهد که بتواند بر روی مهاجم متمرکز شده و روش ها و تکنیک هایی که مهاجم در حمله استفاده می کند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. به این فرآیند که مهاجم را فریب داده و به یک سیستم مجهول برای انجام مطالعات هدایت می کنیم به اصطلاح فرستادن وی به ظرف عسل یا هانی پات می گوییم .
    • مزیت این نوع واکنش این است که تمامی فعالیت هایی که هکر انجام می دهد پایش و تحلیل شده و برای انجام بررسی های بعدی در خصوص شیوه فعالیت هکرها نیز می تواند مورد استفاده قرار بگیرد. پیاده سازی این فرآیند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش می شود کار بسیار خطرناکی است . معمولا اینگونه راهکارها را می توان در زمانی که قرار است اطلاعات را در مبحث کشف جرائم رایانه ای و انجام بررسی های فعال بدست بیاوریم مورد استفاده قرار می دهیم ، این کار برای اطمینان از شیوه عملکرد مهاجم نیز مورد استفاده قرار می گیرد .فریب دادن به شما این اجازه را می دهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید .

    • سیستم تشخیص نفوذ تحت شبکه یا Network-Based IDS

      7Paeez

    • هانی پات
    • سیستم های تشخیص نفوذ تحت میزبان یا HIDS

      یک سیستم تشخیص نفوذ تحت میزبان یا Host Based Intrusion Detection System به گونه ای طراحی شده است که بتواند بر روی سیستم عامل های میزبان ( شخصی ) افراد در قالب نرم افزار نصب شده و فعالیت کند . این سیستم ها معمولا دارای یک سرویس می باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می شود. HIDS ها لاگ های ماشین ، رویداد های سیستمی و فعل و انفعالات نرم افزارهای کاربردی را پایش می کنند و معمولا با ترافیک ورودی از طریق شبکه به سیستم میزبان کاری ندارند. HIDS ها معمولا در میان سرور هایی که دارای کانال های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرورها هستند مورد استفاده قرار می گیرند. شکل ی یک HIDS را که بر روی یک سرور نصب شده است را نمایش می دهد . توجه کنید که HIDS ها با ممیزی ها یا Audit های ورود یه سیستم و فایل های پایش کرنل سیستم همیشه در حال تعامل هستند . فایل های ممیزی کرنل یا Kernel Audit Files برای پردازش و رابط های کاربری نرم افزارهای کاربردی مورد استفاده قرار می گیرند.

      دو مشکل اساسی در HIDS ها وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل ، تغییر کردن ساختار سیستم هاست است ، اگر سیستم عامل هاست شما دچار تغییرات ناگهانی در تنظیمات شود ، فایل های لاگی که IDS از آنها گزارش تهیه می کند دچار مشکل شده و دیگر دارای صحت نمی باشند . این باعث می شود که سیستم IDS دچار اختلال شده و تصمیاتی که اتخاذ می کند صحیح نباشند . مشکل دیگری که در HIDS های وجود دارد این است که بایستی برای تک تک سیستم هایی که نیاز به این سیستم دارند نصب و راه اندازی شود ، همین موضوع می تواند مشکلات مدیریتی و دردسرهای نگهداری خاصی خود را برای مدیران سیستم ایجاد کند.

      یکی از مهمترین شاید بهتری قابلیت های HIDS ، قابلیت گرفتن Check-sum از فایل های موجود بر روی سیستم است ، این قابلیت به مدیر سیستم این امکان را می دهد که متوجه شود که آیا فایل های روی سیستم دستکاری شده اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده ای خواهد بود زیرا مدیر سیستم میداند که کدامیک از فایل ها دچار دستکاری و تغییر شده اند . برخی از نرم افزارها نیز بصورت تخصصی بر روی این زمیه کار کرده اند و نام این قابلیت SIV یا System Integrity Verifier می باشد. به خاطر داشته باشید که سیستم های تشخیص نفوذ تحت میزبان یا HIDS ها دارای واکنش غیرفعال هستند و واکنش فعال معمولا در سیستم های تشخیص نفوذ تحت شبکه مورد استفاده قرار می گیرد.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

منبع : ITPRO

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

خدمات شبکه  هفت پاییز ، تعمیر سوئیچ و روتر سیسکو هفت پاییز ، کانفیگ سوئیچ و روتر سیسکو هفت پاییز ، راه اندازی و پشتیبانی شبکه هفت پاییز ، مشاوره و طراحی شبکه هفت پاییز ،  پشتیبانی و نگهداری شبکه هفت پاییز ، سرویس نگهداری شبکه هفت پاییز ، مشاوره و اجرای شبکه هفت پاییز ، شبکه های کامپیوتری هفت پاییز ، مشاوره و اجرا و نگهداری شبکه هفت پاییز،برون سپاری شبکه هفت پاییز ,  شبکه شرق تهران , 3Cx , ویپ شرق تهران , خدمات شبکه  شرق تهران تعمیر سوئیچ و روتر سیسکو شرق تهران , کانفیگ سوئیچ و روتر سیسکو شرق تهران , راه اندازی و پشتیبانی شبکه شرق تهران مشاوره و طراحی شبکه شرق تهرانپشتیبانی و نگهداری شبکه شرق تهران , سرویس نگداری شبکه شرق تهران , مشاوره و اجرای شبکه شرق تهران , شبکه های کامپیوتری شرق تهران , مشاوره و اجرا و نگهداری شبکه شرق تهران , برون سپارس شبکه شرق تهران , 3CX  نمایندگی شرق تهران ، خدمات شبکه  ، راهکارهای پشتیبانی شبکه ، راهکارهای پشتیبانی شبکه شرق تهران ، راهکارهای پشتیبانی شبکه هفت پاییز ، پشتیبانی شبکه ، کابل کشی و پسیو شبکه و برق اضطراری ، قرارداد پشتیبانی شبکه ، راه اندازی امنیت شبکه ، ارائه راهکارهای نسخه پشتیبان شبکه ، مدیریت سرور و شبکه ، خدمات پشتیبانی شبکه ، مدیریت سرور و شبکه ، مجازی سازی سرورها ، قرارداد تعمیر و نگهداری شبکه ، خدمات زیر ساخت شبکه ، پشتیبانی شبکه های کامپیوتری ، نماینده 3CX،دوربین مداربسته ، برق اضطراری ، راهکارهای پشتیبانی شبکه هفت پاییز  ، راهکارهای پشتیبانی شبکه شرق تهران ، راهکارهای پشتیبانی شبکه هفت پاییز ، پشتیبانی شبکه هفت پاییز ، کابل کشی و پسیو شبکه و برق اضطراری هفت پاییز ، قرارداد پشتیبانی شبکه هفت پاییز ، راه اندازی امنیت شبکه هفت پاییز ، ارائه راهکارهای نسخه پشتیبان شبکه  هفت پاییز، مدیریت سرور و شبکه  هفت پاییز ، خدمات پشتیبانی شبکه  هفت پاییز، مدیریت سرور و شبکه هفت پاییز ، مجازی سازی سرورها هفت پاییز ، قرارداد تعمیر و نگهداری شبکه  هفت پاییز، خدمات زیر ساخت شبکه  هفت پاییز، پشتیبانی شبکه های کامپیوتری هفت پاییز ، نماینده 3CX هفت پاییز،دوربین مداربسته هفت پاییز ، برق اضطراری  هفت پاییز، راهکارهای پشتیبانی شبکه شرق تهران  ، راهکارهای پشتیبانی شبکه شرق تهران ، راهکارهای پشتیبانی شبکه شرق تهران ، پشتیبانی شبکه شرق تهران ، کابل کشی و پسیو شبکه و برق اضطراری شرق تهران ، قرارداد پشتیبانی شبکه شرق تهران ، راه اندازی امنیت شبکه شرق تهران ، ارائه راهکارهای نسخه پشتیبان شبکه شرق تهران، مدیریت سرور و شبکه شرق تهران، خدمات پشتیبانی شبکه شرق تهران، مدیریت سرور و شبکه شرق تهران ، مجازی سازی سرورها شرق تهران ، قرارداد تعمیر و نگهداری شبکه شرق تهران، خدمات زیر ساخت شبکه شرق تهران، پشتیبانی شبکه های کامپیوتری شرق تهران ، نماینده 3CXشرق تهران،دوربین مداربسته شرق تهران ، برق اضطراری شرق تهران، 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *