IDS سازمان ضد خرابکاری (قسمت سوم):
نويسنده: مهندس مهدي سعادت
چه بايد كرد؟
مقابله با نفوذ، نياز به يك سيستم تركيبي دام گذاري و تله اندازي دارد كه هردو اين پروسه ها بايد با بررسي و دقت انجام شود. از كارهاي ديگري كه بايد انجام داد ، تغيير دادن جهت توجه هكر است.
هر دوسيستم واقعي و مجازي(Honeypot) به دام اندازي هكر به طور دائمي ديده باني (Monitor ) مي شوند و داده هاي توليد شده توسط سيستم شناسايي نفوذ گر(IDS) براي شناسايي نحوه عملكرد حمله به دقت بررسي مي شود كه اين مهمترين وظيفه يك IDS جهت شناسايي حملات و يا نفوذهاي احتمالي مي باشد.
.jpg "IDS سازمان ضد خرابکاری (قسمت سوم):")
( شكل 1 )
.jpg "IDS سازمان ضد خرابکاری (قسمت سوم):")
( شكل 2 )
در بين وظايف مختلف IDS ، شناسايي نفوذگر از اساسي ترين آنهاست .حتي ممكن است در مراجع قانوني از نتايج و گزارشات حوادثي كه IDS اعلام مي كند استفاده نمود، و از حملاتي كه در آينده اتفاق خواهد افتاد با اعمال وصله هاي امنيتي مناسب از حمله به يك كامپيوتر بخصوص ويا يك منبع شبكه جلوگيري كرد.
شناسايي نفوذ ممكن است گاهي اوقات زنگ خطر اشتباهي را به صدا در آورد. براي مثال نتيجه خراب كاركردن يك كارت شبكه و يا ارسال شرح يك حمله و يا اثر يك نفوذ ازطريق Email .
ساختار و معماري سيستم تشخيص نفوذ:
.jpg "IDS سازمان ضد خرابکاری (قسمت سوم):")
( شكل 3)
1- از اطلاعات موجود در بانك اطلاعلتي خود IDS .
2- فايل ثبت وقايع سيستم (syslog).
3- آثار ترافيك عبوري و ديده باني شبكه .
فايل ثبت وقايع سيستم (syslog) ممكن است به طور مثال اطلاعات پيكربندي سيستم و دسترسي هاي كاربران باشد. اين اطلاعات اساس تصميم گيري هاي بعدي مكانيزم سنسور خواهد بود.
اين سنسور با يك Event Generator كه مسئول جمع آوري اطلاعات است با هم كار مي كنند. ( شكل 4) . قوانين جمع آوري اطلاعات كه بوسيله سياست هاي Event generator مشخص مي شود ، تعيين كننده نوع فيلترينگ از روي حوادث و اطلاعات ثبت شده است.
Event Generator ، مثل سيستم عامل يا شبكه يا يك برنامه اجرايي ، توليد كنندهPolicy هايي هستند كه ممكن است يك واقعه ايجاد شده در سيستم عامل يا Packet هاي شبكه را ثبت كنند. اين مجموعه به همراه اطلاعات Policy مي تواند در يك سيستم محافظت شده يا خارج از شبكه قرار داده شود. در بعضي شرايط خاص هيچ محل مشخصي به عنوان محل حفظ اطلاعات ايجاد نمي شود مثل وقتي كه اطلاعات جمع آوري شده از وقايع مستقيما" به يك سيستم آناليز ارسال مي شود.
.jpg "IDS سازمان ضد خرابکاری (قسمت سوم):")
( شكل 4 )
سيستم تشخيص نفوذ مي تواند به صورت متمركز مثل برقراري يك فايروال فيزيكي يا به صورت غير متمركز انجام شود.يك IDS غير متمركز شامل تعداد زيادي سيستم تشخيص نفوذ در يك شبكه بزرگ است كه هركدام از آنها با هم در ارتباط هستند.سيستم هاي پيچيده تر از ساختاري پيروي مي كنند كه ماژول هاي مشابه برنامه هاي خود اجرايي دارند كه روي هر كامپيوتر اجرا مي شوند. عملكرد اين سيستم جايگزين ، مونيتور و فيلتر كردن تمام فعاليتهاي مرتبط با يك بخش محافظت شده است كه بتواند يك آناليز دقيق و پاسخ متناسب از شبكه دريافت كند.
يكي از قسمت هاي بسيار مهم IDS برنامه اي است كه به سرور آناليز كننده گزارش مي دهد ، DIDS(Database IDS) و داراي ابزار آناليز پيچيده تري است كه حملات غير متمركز را نيز شناسايي مي كند. دليل ديگري كه وجود دارد مربوط به قابليت حمل و انتقال درچند منطقه فيزيكي است .علاوه بر اين عامل جايگزين مشخص براي تشخيص و شناسايي اثر حمله هاي شناخته شده مي باشد .
يك راه حل ساختاري چند برنامه اي كه در سال 1994 ايجاد شد
AAFID يا Autonomous Agent for Intrusion Detection است. (شكل 5). اين ساختار از يك جايگزين استفاده مي كند كه بخش به خصوصي از رفتار سيستم را در زمان خاص ديده باني مي كند . بطور مثال يك جايگزين مي تواند تعداد دفعاتي را كه به سيستم Telnet شده تشخيص داده و در صورتي كه اين عدد منطقي به نظر نرسد آنرا گزارش كند. يك جايگزين همچنين قابليت ايجاد زنگ خطر در زمان وقوع يك حادثه مشكوك را دارد . جايگزين ها مي توانند مشابه سازي شوند و به سيستم ديگر منتقل گردند. به غير از جايگزين ها ، سيستم مي تواند رابط هايي براي ديده باني كل فعاليتهاي يك كامپيوتر بخصوص داشته باشد. اين رابط ها هميشه نتايج عمليات خود را به يك مونيتور مشخص ارسال مي كنند. سيستم هاي مانيتور اطلاعات را از نقاط مختلف و مشخص شبكه دريافت مي كنند و اين بدين معني است كه مي توانند اطلاعات غير متمركز را بهم ارتباط دهند و نتيجه گيري نهايي را انجام دهند.به انضمام اينكه ممكن است فيلتر هايي گذاشته شود تا داده هاي توليد شده را بصورت انتخابي در يافت نمايد.
/س
.jpg "معنی اسم ائلوین و نام های هم آوا با آن + میزان فراوانی در ثبت احوال")
