IDS سازمان ضد خرابکاری (قسمت دوم)
IDS سازمان ضد خرابکاری (قسمت دوم)
IDS سازمان ضد خرابکاری (قسمت دوم)
نويسنده: مهندس مهدي سعادت
شما درمعرض خطر هستيد!
استفاده از آسيب پذيري هاي معروف:
اغلب خود سازمان ممكن است از ابزاري براي امن كردن شبكه استفاده كند كه كار حمله كننده را آسان مي سازد به بيان واضح تر اينكه ابزارهاي امنيتي نيز خود داراي نواقص و حفره هاي امنيتي مي باشد كه اختيارات بيشتري را به نفوذگر مي دهد. اين نرم افزارها اغلب مانند شمشير دو لبه عمل مي كنند و مورد استفاده هردو گروه كاربران وحمله كنندگان قرارمي گيرد مانند نرم افزارهاي كنترل صحت و يكپارچگي فايل يا نرم افزارهايي كه جهت تست آسيب پذيري شبكه مورد استفاده قرارمي گيرند.
چك كردن يكپارچگي فايلها با استفاده از روش هاي سيستمي و با قابليت ادغام روشهاي مختلف با يكديگر و با ابزارهايي نظير anti-SATAN يا Courtney امكان پذير مي باشد.
ترافيك خروجي غير معمول:
حد تكرار براي كمك به تشخيص فعاليتهاي واقعي و مشكوك :
زمان بين تكرار فعاليتها:
اشتباه در تايپ ويا جوابهايي كه در يك Session ايجاد مي شود.
اگر امكان Audit در سيستم فعال شده باشد ،مثل Send Mail Relaying، توالي ارتباط Log بصورت معمولي و قابل پيش بيني اتفاق مي افتد.هرچند كه اگر در Log دريافت شده دستورات غير مجاز ديده شود ممكن است نتيجه موارد اشتباه غير عمدي ويا سعي در Spoofing باشد.( Spoofing به اين معني است كه نفوذگر آدرس خود را به آدرسي كه براي سيستم شناخته شده است تغيير داده و به اين ترتيب به سيستم نفوذ مي كند.)
تست تلاشهاي مخرب ممكن است شامل موارد زير باشد:
- تشخيص خطاهاي مكرر براي يافتن پروتكل ها كه بدنبال يك تلاش موفق انجام مي شود.
- تشخيص خطا و يادگيري در جهت شناسايي نرم افزارهاي و يا سيستم عامل هاي موجود در سايت مقصد.
ناهماهنگي در جهت ارسال و دريافت اطلاعات
موارد زير مي تواند به عنوان حمله محسوب شود:
Packet -هايي كه منشاء آنها اينترنت است بدون اينكه در خواستي از سمت شبكه محلي داشته باشد و وارد شبكه شود.
اين حالت ممكن است نشان دهنده يك حمله IP Spoofing از خارج باشد. اين مشكلات مي توانند درRouter- هايي كه قابليت مقايسه آدرس مبداء و مقصد را دارند بر طرف شوند .در عمل تعداد اندكي از Router ها در شبكه مي توانند به عنوان فايروال عمل كنند.
- بر عكس حالت قبلPacket هايي كه به صورت خروجي در يك شبكه محلي ايجاد مي شوند و به يك شبكه خارجي فرستاده مي شوند
- Packet ها با پورت هاي مبداء و مقصد غير مشخص. اگر منبع پورت در مورد يك درخواست ورود يا خروج اطلاعات با نوع سرويس يكسان نباشد ممكن است به عنوان يك تلاش براي نفوذ يا پويش سيستم تلقي شود. بطور مثال در خواست Telnet از روي پورت 100 در محيطي كه انتظار چنين پشتيباني براي سرويس وجود ندارد.
ترافيك غير معمول بيشتر توسط فايروال شناسايي شده و Packet هاي مشكوك را ازبين مي برد. با توجه به اينكه فايروالها هميشه با سيستم هاي تشخيص نفوذ ادغام نمي شوند ، بنابراين ممكن است كه سيستمهاي تشخيص نفوذ راه حلي براي اين مشكل باشد.
علائم نفوذ
بعضي از موارد مانند موارد زير :
- مشخصات منابع سيستم: بعضي نفوذ هاي خاص باعث خرابي بعضي پارامترهاي خاص سيستم ميشود مثلا يك حمله Brute Force براي شكستن حرف رمز باعث در گير كردن CPU ميشود در حاليكه يك حمله DoS همين كاررا با سرويس هاي سيستم انجام ميدهد. استفاده سنگين از منابع سيستم ( پروسسور، حافظه، ديسك سخت ، سرويسها و اتصالات شبكه ) كه در زمانهاي غير معمول اتفاق مي افتد براي شناسايي حمله بسيار مفيد هستند و بايد به آنها بسيار توجه كرد.
- Packet هايي با تاييد هاي TCP غير معمول : اگر در يك Packet نشانه مربوط به ACK فعال باشد و قبل از آن هيچ SYN-Packet ارسال نشده باشد، ممكن است نتيجه يك حمله در سيستم باشدهمچنين اين حالت ممكن است اثر يكPacket خراب هم باشد كه در يك شبكه با نرم افزار هاي خراب ايجاد مي شود و واقعا" حمله نفوذي نباشد.
- سرويس هاي مختلف با علايم مختلف : ممكن است در بعضي موارد انتظار ايجاد ترافيك خاص از يك كاربر مشخص داشته باشيم مثلا كاربري كه در يك ماموريت اداري بسر مي برد معمولا" فقط نامه هاي خود را چك مي كند ويا فايلي را انتقال مي دهد . در صورتيكه دسترسي اين كاربر به پورت هاي مختلف از طريق Tel net ، دليلي بر امكان نفوذ يا حمله است .
موارد غير معمول - علامت نفوذ
1- مشكلات تعريف نشده در سخت افزار يا نرم افزارسيستم مثل خاموش شدن بدون علت سرور، عدم كاركرد بعضي برنامه هاي نرم افزاري مانند IIS ، موارد غير معمول restart شدن سيستم ها ، تغييرات در تنظيم clock سيستم
2- بروزاشكالات نامشخص در منابع سيستم مثل File System Overflow يا مشغول بودن بيش از حد CPU
3- دريافت پيام هاي غير متعارف از بعضي برنامه هاي خود اجرا ، مثل پيغامهايي كه نشان دهنده عدم اجرا و يا خطا در هنگام اجراي يك برنامه ايجاد شده باشد.بخصوص برنامه هايي كه براي مانيتور كردن سيستم طراحي شده اند مثل Syslog .
4- بروز اشكالات نامشخص در كارايي سيستم مثلا" در Router ها يا سرويس هاي سيستم مثل كند شدن سرور
5- بروز رفتارهاي مشكوك در اجراي برنامه هاي كاربرمثل اشكال در دسترسي به بعضي منابع شبكه
6- عملكرد مشكوك در فايلهاي ثبت وقايع ( Log ها)بررسي اين فايل ها از نظر سايز براي اينكه حجم فايل از اندازه متعارف خيلي بيشتر يا كمتر نباشد. مگر اينكه مدير شبكه خود چنين تغييري ايجاد كرده باشد.
منبع:www.sgnec.net
/س
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}