IDS سازمان ضد خرابکاری (قسمت دوم)

نويسنده: مهندس مهدي سعادت

شما درمعرض خطر هستيد!

براي تشخيص خطرات وحملات احتمالي مي بايست سيستم خود را در برابر تقاضاهايي كه سرويس هاي نامناسب درخواست مي كنند مورد بررسي قرار دهيد.اين بررسي ها در تشخيص حملات واقعي به ما كمك مي كند. با توجه به انواع راه هايي كه نفوذ گران براي دسترسي به سيستمها استفده مي كنند نگاهي اجمالي به روشهاي آسيب رساني و نفوذ مي اندازيم.

استفاده از آسيب پذيري هاي معروف:

دراكثر موارد حمله به معني تلاش براي استفاده از نقص يا ايجاد آن در سيستم امنيتي يك سازمان اطلاق مي شود و اين يكي از راههاي نفوذگري در شبكه مي باشد.
اغلب خود سازمان ممكن است از ابزاري براي امن كردن شبكه استفاده كند كه كار حمله كننده را آسان مي سازد به بيان واضح تر اينكه ابزارهاي امنيتي نيز خود داراي نواقص و حفره هاي امنيتي مي باشد كه اختيارات بيشتري را به نفوذگر مي دهد. اين نرم افزارها اغلب مانند شمشير دو لبه عمل مي كنند و مورد استفاده هردو گروه كاربران وحمله كنندگان قرارمي گيرد مانند نرم افزارهاي كنترل صحت و يكپارچگي فايل يا نرم افزارهايي كه جهت تست آسيب پذيري شبكه مورد استفاده قرارمي گيرند.
چك كردن يكپارچگي فايلها با استفاده از روش هاي سيستمي و با قابليت ادغام روشهاي مختلف با يكديگر و با ابزارهايي نظير anti-SATAN يا Courtney امكان پذير مي باشد.

ترافيك خروجي غير معمول:

يك نفوذگر با استفاده از تعداد زيادي Exploit و حتي نفوذ هاي ناموفق سعي در به دست آوردن كنترل كامپيوتر مقصد دارد. اين عمليات نفوذگرانه، ترافيك معمول شبكه را افزايش مي دهد و نشانه وقوع يك حمله درآينده مي باشد. هر ابزار تست آسيب پذيري مي بايست قابليت تشخيص فعاليت هاي مشكوك و غير متعارف را داشته باشد و با ارائه گزارش ، اعلام خطر لازم را به مدير شبكه بدهد.

حد تكرار براي كمك به تشخيص فعاليتهاي واقعي و مشكوك :

فعاليتهاي شبكه بوسيله دريافت و كنترل بعضي پارامترها قابل شناسايي است مانند User Profile يا از Session State .

زمان بين تكرار فعاليتها:

پارامتري براي تشخيص زمان سپري شده بين دو واقعه متوالي. مثلا" وقتي بخواهيد با نام كاربري اشتباه وارد سيستم شويد، سه تلاش براي ورود با نام غلط بين فاصله زماني 2 دقيقه يك فعاليت مشكوك به نظر مي رسد.

اشتباه در تايپ ويا جوابهايي كه در يك Session ايجاد مي شود.

پروتكل ها وسرويس هاي شبكه به صورت كاملا" دقيقي مستند شده اند و از ابزارهاي نرم افزاري خاص استفاده مي كنند. هرگونه ناهماهنگي با قالب شناخته شده( مثل اشتباه در تايپ يك دستور ) ممكن است اطلاعاتي براي شناسايي سرويسهاي كه مي توانند مورد حمله يك نفوذگر قراربگيرند باشد.
اگر امكان Audit در سيستم فعال شده باشد ،مثل Send Mail Relaying، توالي ارتباط Log بصورت معمولي و قابل پيش بيني اتفاق مي افتد.هرچند كه اگر در Log دريافت شده دستورات غير مجاز ديده شود ممكن است نتيجه موارد اشتباه غير عمدي ويا سعي در Spoofing باشد.( Spoofing به اين معني است كه نفوذگر آدرس خود را به آدرسي كه براي سيستم شناخته شده است تغيير داده و به اين ترتيب به سيستم نفوذ مي كند.)

تست تلاشهاي مخرب ممكن است شامل موارد زير باشد:

- شناسايي تلاشهاي متعدد براي جبران خطاهاي تايپي و تكرار دستورات
- تشخيص خطاهاي مكرر براي يافتن پروتكل ها كه بدنبال يك تلاش موفق انجام مي شود.
- تشخيص خطا و يادگيري در جهت شناسايي نرم افزارهاي و يا سيستم عامل هاي موجود در سايت مقصد.

ناهماهنگي در جهت ارسال و دريافت اطلاعات

هرگونه ناهماهنگي ترافيكي در Packetها يا يك Session نشانه اي از يك حمله پنهاني است. بررسي آدرس مبداء و مقصد ( به صورت ورودي يا خروجي) ميتواند جهت Packet را تشخيص بدهد. روند برقراري يك session با تشخيص اولين پيام ارسال شده شناسايي مي شود. يك درخواست براي دريافت يك سرويس از شبكه محلي به صورت يك session ورودي است و پروسه فعال كردن يك سرويس بر پابهWeb از يك شبكه محلي يك session خروجي است.
موارد زير مي تواند به عنوان حمله محسوب شود:
Packet -هايي كه منشاء آنها اينترنت است بدون اينكه در خواستي از سمت شبكه محلي داشته باشد و وارد شبكه شود.
اين حالت ممكن است نشان دهنده يك حمله IP Spoofing از خارج باشد. اين مشكلات مي توانند درRouter- هايي كه قابليت مقايسه آدرس مبداء و مقصد را دارند بر طرف شوند .در عمل تعداد اندكي از Router ها در شبكه مي توانند به عنوان فايروال عمل كنند.
- بر عكس حالت قبلPacket هايي كه به صورت خروجي در يك شبكه محلي ايجاد مي شوند و به يك شبكه خارجي فرستاده مي شوند
- Packet ها با پورت هاي مبداء و مقصد غير مشخص. اگر منبع پورت در مورد يك درخواست ورود يا خروج اطلاعات با نوع سرويس يكسان نباشد ممكن است به عنوان يك تلاش براي نفوذ يا پويش سيستم تلقي شود. بطور مثال در خواست Telnet از روي پورت 100 در محيطي كه انتظار چنين پشتيباني براي سرويس وجود ندارد.
ترافيك غير معمول بيشتر توسط فايروال شناسايي شده و Packet هاي مشكوك را ازبين مي برد. با توجه به اينكه فايروالها هميشه با سيستم هاي تشخيص نفوذ ادغام نمي شوند ، بنابراين ممكن است كه سيستمهاي تشخيص نفوذ راه حلي براي اين مشكل باشد.

علائم نفوذ

معمولا با اجراي برنامه هاي خاص در سيستم انتظار مواجهه با رفتارهاي خاص و مشابه وجود دارد

بعضي از موارد مانند موارد زير :

- مشخصات تاريخ و زمان : در بعضي محيط هاي خاص بطور معمول بعضي رفتارها در زمان خاصي در شبكه اتفاق مي افتد. مثلا فرض كنيد بطور معمول شنبه صبح يكسري اطلاعات به بخش مركزي شركت ارسال مي شود كه مربوط به اطلاعات مالي است. چنين ترافيكي در شنبه صبح هميشه اتفاق مي افتد و عادي است در صورتيكه چنين ترافيكي روز جمعه اتفاق بيفتد و ثبت شود ، غير معمول است و بايد به عنوان يك رفتار غير معمول يا نفوذ به سيستم مورد بررسي دقيق قرارگيرد.
- مشخصات منابع سيستم: بعضي نفوذ هاي خاص باعث خرابي بعضي پارامترهاي خاص سيستم ميشود مثلا يك حمله Brute Force براي شكستن حرف رمز باعث در گير كردن CPU ميشود در حاليكه يك حمله DoS همين كاررا با سرويس هاي سيستم انجام ميدهد. استفاده سنگين از منابع سيستم ( پروسسور، حافظه، ديسك سخت ، سرويسها و اتصالات شبكه ) كه در زمانهاي غير معمول اتفاق مي افتد براي شناسايي حمله بسيار مفيد هستند و بايد به آنها بسيار توجه كرد.
- Packet هايي با تاييد هاي TCP غير معمول : اگر در يك Packet نشانه مربوط به ACK فعال باشد و قبل از آن هيچ SYN-Packet ارسال نشده باشد، ممكن است نتيجه يك حمله در سيستم باشدهمچنين اين حالت ممكن است اثر يكPacket خراب هم باشد كه در يك شبكه با نرم افزار هاي خراب ايجاد مي شود و واقعا" حمله نفوذي نباشد.
- سرويس هاي مختلف با علايم مختلف : ممكن است در بعضي موارد انتظار ايجاد ترافيك خاص از يك كاربر مشخص داشته باشيم مثلا كاربري كه در يك ماموريت اداري بسر مي برد معمولا" فقط نامه هاي خود را چك مي كند ويا فايلي را انتقال مي دهد . در صورتيكه دسترسي اين كاربر به پورت هاي مختلف از طريق Tel net ، دليلي بر امكان نفوذ يا حمله است .

موارد غير معمول - علامت نفوذ

يك نفوذ كننده بالقوه ممكن است عمليات نفوذ خود را به گونه اي طراحي كند كه اثر جانبي آن باعث رفتارهاي غير معمول در سيستم باشد. مانيتورينگ اثرات جانبي بسيار سخت است چون پيدا كردن محل آنها به سادگي امكان پذير نيست از موارد غير منتظره سيستم به موارد زير مي توان اشاره كرد:
1- مشكلات تعريف نشده در سخت افزار يا نرم افزارسيستم مثل خاموش شدن بدون علت سرور، عدم كاركرد بعضي برنامه هاي نرم افزاري مانند IIS ، موارد غير معمول restart شدن سيستم ها ، تغييرات در تنظيم clock سيستم
2- بروزاشكالات نامشخص در منابع سيستم مثل File System Overflow يا مشغول بودن بيش از حد CPU
3- دريافت پيام هاي غير متعارف از بعضي برنامه هاي خود اجرا ، مثل پيغامهايي كه نشان دهنده عدم اجرا و يا خطا در هنگام اجراي يك برنامه ايجاد شده باشد.بخصوص برنامه هايي كه براي مانيتور كردن سيستم طراحي شده اند مثل Syslog .
4- بروز اشكالات نامشخص در كارايي سيستم مثلا" در Router ها يا سرويس هاي سيستم مثل كند شدن سرور
5- بروز رفتارهاي مشكوك در اجراي برنامه هاي كاربرمثل اشكال در دسترسي به بعضي منابع شبكه
6- عملكرد مشكوك در فايلهاي ثبت وقايع ( Log ها)بررسي اين فايل ها از نظر سايز براي اينكه حجم فايل از اندازه متعارف خيلي بيشتر يا كمتر نباشد. مگر اينكه مدير شبكه خود چنين تغييري ايجاد كرده باشد.
منبع:www.sgnec.net