IDS  سازمان  ضد  خرابکاری ( قسمت  اول )  

نويسنده: مهدي سعادت

IDS يك سيستم محافظتي است كه خرابكاريهاي در حال وقوع روي شبكه را شناسايي مي كند.
روش كار به اين صورت است كه با استفاده از تشخيص نفوذ كه شامل مراحل جمع آوري اطلاعات ، پويش پورتها ، به دست آوري كنترل كامپيوترها و نهايتا هك كردن مي باشد ، مي تواند نفوذ خرابكاريها را گزارش و كنترل كند.
از قابليتهاي ديگر IDS ، امكان تشخيص ترافيك غيرمتعارف از بيرون به داخل شبكه و اعلام آن به مدير شبكه و يا بستن ارتباطهاي مشكوك و مظنون مي باشد.
ابزار IDS قابليت تشخيص حملات از طرف كاربران داخلي و كاربران خارجي را دارد.
بر خلاف نظر عمومي كه معتقدند هر نرم افزاري را مي توان به جاي IDS استفاده كرد، دستگاههاي امنيتي زير نمي توانند به عنوان IDS مورد استفاده قرار گيرند:
1- سيستم هايي كه براي ثبت وقابع شبكه مورد استفاده قرار مي گيرند مانند : دستگاههايي كه براي تشخيص آسيب پذيري در جهت از كار انداختن سرويس و يا حملات مورد استفاده قرار مي گيرند.
2- ابزارهاي ارزيابي آسيب پذيري كه خطاها و يا ضعف در تنظيمات را گزارش مي دهند.
3- نرم افزارهاي ضدويروس كه براي تشخيص انواع كرمها، ويروسها و به طوركلي نرم افزارهاي خطرناك تهيه شده اند.
4- ديواره آتش (Firewall )
5- مكانيزمهاي امنيتي مانند SSL ، VPN و Radius و ... .

چرا ديواره آتش به تنهايي كافي نيست ؟

به دلايل زير ديواره هاي آتش نمي توانند امنيت شبكه را به طور كامل تامين كنند :
1. چون تمام دسترسي ها به اينترنت فقط از طريق ديواره آتش نيست.
2. تمام تهديدات خارج از ديواره آتش نيستند.
3. امنيت كمتر در برابر حملاتي كه توسط نرم افزارها مختلف به اطلاعات و داده هاي سازمان مي شود ، مانند Active ، Java Applet، Virus Programs.

تكنولوژي IDS

1- Plain Hand Work
2- Network Based
3- Host Based
4- Honey pot

NIDS)Network Base)

گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.

HIDS (Host Base)

تعداد زيادي از شركتها در زمينه توليد اين نوع IDS فعاليت مي كنند.
روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.
داراي اعلان خطر در لحظه مي باشد.

جمع آوري اطلاعات در لايه Application

مثال اين نوع IDS ، نرم افزارهاي مديريتي مي باشند كه ثبت وقايع را توليد و كنترل مي كنند.

Honey pot

سيستمي مي باشد كه عملا طوري تنظيم شده است كه در معرض حمله قرار بگيرد. اگر يك پويشگري از NIDS ، HIDS و ديواره آتش با موفقيت رد شود متوجه نخواهد شد كه گرفتار يك Honey pot شده است. و خرابكاري هاي خود را روي آن سيستم انجام مي دهد و مي توان از روشهاي اين خرابكاريي ها براي امن كردن شبكه استفاده كرد.

محل قرارگيري IDS

محل قراگيري IDS ها كجاست ؟
بيرون ديواره آتش ؟
داخل ديواره آتش (داخل DMZ يا شبكه داخلي )؟
چه ترافيكي را مي بايست كنترل كند؟
چه چيزهايي را مي بايست كنترل كند؟
كارآيي يك IDS خوب وقتي مشخص مي شود كه :
بتوان كنترل و مديريت آن را به صورت 24 ساعته و 7 روز در هفته انجام داد.
توسط يك مدير با دانش بالا مديريت شود تا بتواند از وقايع بدست آمده كنترل هاي جديدي را روي ديوار آتش پياده سازي كند.
مرتب كنترل وبا توجه به حوادث روزانه (ويروس ها و ورم ها و روش هاي هك جديد) به روزرساني شود.
1- غيرفعال : فكر دسترسي به سيستم هاي آسيب پذير بدون دستيابي به اطلاعات
2- فعال : دستيابي بدون اجازه به همراه تغيير در منابع و اطلاعات يك سازمان
از نظر شخص نفوذگر حملات به گروههاي زير تقسيم مي شوند:
1- داخلي : يعني اينكه حملات از طريق كاركنان و يا شركاي تجاري و يا حتي مشترياني كه به شبكه شما متصل مي باشند.
2- خارجي : حملاتي كه از خارج سازمان و معمولا از طريق اينترنت انجام مي گيرد.
در ادامه بحث IDS در بخش بعدي به انواع حملات، نحوه تشخيص و ساختار IDS مي پردازيم .
منبع: www.sgnec.net