IDS سازمان ضد خرابکاری ( قسمت اول )
نويسنده: مهدي سعادت
IDS يك سيستم محافظتي است كه خرابكاريهاي در حال وقوع روي شبكه را شناسايي مي كند.
روش كار به اين صورت است كه با استفاده از تشخيص نفوذ كه شامل مراحل جمع آوري اطلاعات ، پويش پورتها ، به دست آوري كنترل كامپيوترها و نهايتا هك كردن مي باشد ، مي تواند نفوذ خرابكاريها را گزارش و كنترل كند.
از قابليتهاي ديگر IDS ، امكان تشخيص ترافيك غيرمتعارف از بيرون به داخل شبكه و اعلام آن به مدير شبكه و يا بستن ارتباطهاي مشكوك و مظنون مي باشد.
ابزار IDS قابليت تشخيص حملات از طرف كاربران داخلي و كاربران خارجي را دارد.
بر خلاف نظر عمومي كه معتقدند هر نرم افزاري را مي توان به جاي IDS استفاده كرد، دستگاههاي امنيتي زير نمي توانند به عنوان IDS مورد استفاده قرار گيرند:
1- سيستم هايي كه براي ثبت وقابع شبكه مورد استفاده قرار مي گيرند مانند : دستگاههايي كه براي تشخيص آسيب پذيري در جهت از كار انداختن سرويس و يا حملات مورد استفاده قرار مي گيرند.
2- ابزارهاي ارزيابي آسيب پذيري كه خطاها و يا ضعف در تنظيمات را گزارش مي دهند.
3- نرم افزارهاي ضدويروس كه براي تشخيص انواع كرمها، ويروسها و به طوركلي نرم افزارهاي خطرناك تهيه شده اند.
4- ديواره آتش (Firewall )
5- مكانيزمهاي امنيتي مانند SSL ، VPN و Radius و ... .
1. چون تمام دسترسي ها به اينترنت فقط از طريق ديواره آتش نيست.
2. تمام تهديدات خارج از ديواره آتش نيستند.
3. امنيت كمتر در برابر حملاتي كه توسط نرم افزارها مختلف به اطلاعات و داده هاي سازمان مي شود ، مانند Active ، Java Applet، Virus Programs.
2- Network Based
3- Host Based
4- Honey pot
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.
داراي اعلان خطر در لحظه مي باشد.
بيرون ديواره آتش ؟
داخل ديواره آتش (داخل DMZ يا شبكه داخلي )؟
چه ترافيكي را مي بايست كنترل كند؟
چه چيزهايي را مي بايست كنترل كند؟
كارآيي يك IDS خوب وقتي مشخص مي شود كه :
بتوان كنترل و مديريت آن را به صورت 24 ساعته و 7 روز در هفته انجام داد.
توسط يك مدير با دانش بالا مديريت شود تا بتواند از وقايع بدست آمده كنترل هاي جديدي را روي ديوار آتش پياده سازي كند.
مرتب كنترل وبا توجه به حوادث روزانه (ويروس ها و ورم ها و روش هاي هك جديد) به روزرساني شود.
حملات به طور كلي به دو بخش تقسيم مي شوند:
1- غيرفعال : فكر دسترسي به سيستم هاي آسيب پذير بدون دستيابي به اطلاعات
2- فعال : دستيابي بدون اجازه به همراه تغيير در منابع و اطلاعات يك سازمان
از نظر شخص نفوذگر حملات به گروههاي زير تقسيم مي شوند:
1- داخلي : يعني اينكه حملات از طريق كاركنان و يا شركاي تجاري و يا حتي مشترياني كه به شبكه شما متصل مي باشند.
2- خارجي : حملاتي كه از خارج سازمان و معمولا از طريق اينترنت انجام مي گيرد.
در ادامه بحث IDS در بخش بعدي به انواع حملات، نحوه تشخيص و ساختار IDS مي پردازيم .
منبع: www.sgnec.net
/س
روش كار به اين صورت است كه با استفاده از تشخيص نفوذ كه شامل مراحل جمع آوري اطلاعات ، پويش پورتها ، به دست آوري كنترل كامپيوترها و نهايتا هك كردن مي باشد ، مي تواند نفوذ خرابكاريها را گزارش و كنترل كند.
از قابليتهاي ديگر IDS ، امكان تشخيص ترافيك غيرمتعارف از بيرون به داخل شبكه و اعلام آن به مدير شبكه و يا بستن ارتباطهاي مشكوك و مظنون مي باشد.
ابزار IDS قابليت تشخيص حملات از طرف كاربران داخلي و كاربران خارجي را دارد.
بر خلاف نظر عمومي كه معتقدند هر نرم افزاري را مي توان به جاي IDS استفاده كرد، دستگاههاي امنيتي زير نمي توانند به عنوان IDS مورد استفاده قرار گيرند:
1- سيستم هايي كه براي ثبت وقابع شبكه مورد استفاده قرار مي گيرند مانند : دستگاههايي كه براي تشخيص آسيب پذيري در جهت از كار انداختن سرويس و يا حملات مورد استفاده قرار مي گيرند.
2- ابزارهاي ارزيابي آسيب پذيري كه خطاها و يا ضعف در تنظيمات را گزارش مي دهند.
3- نرم افزارهاي ضدويروس كه براي تشخيص انواع كرمها، ويروسها و به طوركلي نرم افزارهاي خطرناك تهيه شده اند.
4- ديواره آتش (Firewall )
5- مكانيزمهاي امنيتي مانند SSL ، VPN و Radius و ... .
چرا ديواره آتش به تنهايي كافي نيست ؟
1. چون تمام دسترسي ها به اينترنت فقط از طريق ديواره آتش نيست.
2. تمام تهديدات خارج از ديواره آتش نيستند.
3. امنيت كمتر در برابر حملاتي كه توسط نرم افزارها مختلف به اطلاعات و داده هاي سازمان مي شود ، مانند Active ، Java Applet، Virus Programs.
تكنولوژي IDS
2- Network Based
3- Host Based
4- Honey pot
NIDS)Network Base)
گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS (Host Base)
روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.
داراي اعلان خطر در لحظه مي باشد.
جمع آوري اطلاعات در لايه Application
Honey pot
محل قرارگيري IDS
بيرون ديواره آتش ؟
داخل ديواره آتش (داخل DMZ يا شبكه داخلي )؟
چه ترافيكي را مي بايست كنترل كند؟
چه چيزهايي را مي بايست كنترل كند؟
كارآيي يك IDS خوب وقتي مشخص مي شود كه :
بتوان كنترل و مديريت آن را به صورت 24 ساعته و 7 روز در هفته انجام داد.
توسط يك مدير با دانش بالا مديريت شود تا بتواند از وقايع بدست آمده كنترل هاي جديدي را روي ديوار آتش پياده سازي كند.
مرتب كنترل وبا توجه به حوادث روزانه (ويروس ها و ورم ها و روش هاي هك جديد) به روزرساني شود.
حملات به طور كلي به دو بخش تقسيم مي شوند:
1- غيرفعال : فكر دسترسي به سيستم هاي آسيب پذير بدون دستيابي به اطلاعات
2- فعال : دستيابي بدون اجازه به همراه تغيير در منابع و اطلاعات يك سازمان
از نظر شخص نفوذگر حملات به گروههاي زير تقسيم مي شوند:
1- داخلي : يعني اينكه حملات از طريق كاركنان و يا شركاي تجاري و يا حتي مشترياني كه به شبكه شما متصل مي باشند.
2- خارجي : حملاتي كه از خارج سازمان و معمولا از طريق اينترنت انجام مي گيرد.
در ادامه بحث IDS در بخش بعدي به انواع حملات، نحوه تشخيص و ساختار IDS مي پردازيم .
منبع: www.sgnec.net
/س
