IDS یا سیستم تشخیص نفوذ چیست؟ اجزا ، انواع + HIDS و NIDS
عبارت ID چیست؟ IPS چیست؟ تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ تفاوت HIDS و NIDS در چیست؟ سیستم تشخیص نفوذ شامل چه اجزایی است؟ سیستم های تشخیص نفوذ ( Intrusion Detection System ) یا IDS ها در حال حاضر جزء اصلی ترین و کاملترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند.
فناورهای IDS ها تقریبا جدید هستند و این نوید را به ما می دهند که به ما در جهت شناسایی نفوذ هایی که به شبکه انجام می شود کمک خواهند کرد . تشخیص نفوذ یا Intrusion Detection در واقع فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود.
یک نفوذ در واقع فعالیت یا عملی است که توسط آن محرمانگی ، صحت و تمامیت و یا دسترسی پذیری به منابع دچار اختلال و یا تعرض می شود . همانطوری که می دانید دیواره های آتش یا فایروال ها برای جلوگیری از دسترسی مهاجمین به منابع طراحی شده اند . یک IDS این فعالیت ها را گزارش و پایش می کند.
درک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم :
- فعالیت یا Activity : فعالیت یا Activity در حقیقت یک عمل یا رویداد است که بر روی منبع داده انجام می شود ، این عمل برای انجام دهنده آن جذاب است و برای وی کارایی دارد. فعالیت می تواند هم درست باشد و هم نادرست ، بدین معنا که فعالیت های مشکوک می توانند مخرب بوده و باعث به خطر افتادن منبع داده شود ، برای مثال یک نوع درخواست ارتباط TCP که بصورت متناوب از سمت یک آدرس IP به سمت سرور برقرار می شود ، می تواند نمونه ای از فعالیت های مشکوک باشد.
- رئیس یا Administrator : رئیس یا Administrator در حقیقت شخصی است که مسئول تدوین بیانیه های امنیتی مربوط به سازمان است . این اشخاص مسئول تصمیم گیری در خصوص شیوه پیاده سازی و انجام تنظیمات مربوط به IDS ها هستند .مدیر بر اساس سطح هشدارها ، تاریخچه لاگ ها و قابلیت های مانیتورینگ session تصمیم گیری ها را انجام می دهد. همچنین آنها مسئول تصمیم گیری در خصوص چگونگی پاسخگویی به نفوذ نیز هستند و اطمینان از موثر بودن پاسخگویی به حملات نیز هستند.
نکته : در بسیاری از سازمان ها یک چارت نردبانی یا Escalation chart وجود دارد ، بر این اساس مدیران امنیت یا مدیران شبکه در بیشتر موارد در راس این چارت سازمانی قرار ندارند ، اما همیشه در زمان پیاده سازی این نوع سیستم های امنیت وظایف به این افراد ارجاع می شود.
- هشدار یا Alert : یک هشدار پیامی است که از طریق سیستم آنالیزگر برای اعلام وقوع یک رویداد مشکوک صادر می شود .این هشدار ضمن اینکه اطلاعاتی در خصوص نوع فعالیت انجام شده ارائه می دهد ، دقیقا رویدادی که اتفاق افتاده است را نیز شرح می دهد. برای مثال زمانی که بسته های اطلاعاتی حجیم و زیادی از نوع پروتکل ICMP به سرور وارد می شود و یا تعداد زیادی درخواست ورود ناموفق به سیستم بوجود می آید یک هشدار از طریق سیستم آنالیزور صادر می شود . همیشه یک مقدار ترافیک معمول برای یک شبکه وجود دارد . هشدارها زمانی صادر می شوند که این ترافیک از حد مجاز تعیین شده عبور کرده و زیادتر از حد معمول شوند. شما هیچوقت نمی خواهید که زمانی که هر شخصی از هر مکانی با استفاده از دستور Ping سرور را ping کرد یک هشدار ایجاد شده و به اطلاع شما برسد !!! اما زمانی که این حجم بسته های Ping از حد مجاز تعیین شده بر روی IDS عبور کرد شما حتما به ایجاد و صدور هشدار نیاز خواهید داشت .
- تحلیل کننده یا Analyzer : تحلیل کننده یا Analyzer مولفه یا فرآیندی است که داده های بدست آمده از طریق حسگر یا Sensor را تجزیه و تحلیل می کند. این فرآیند داده ها را برای یافتن فعالیت های مشکوک واکاوی می کند. تحلیل کننده ها به وسیله مانیتور کردن رویداد ها و تشخیص اینکه آیا رویداد حال حاضر مشکوک است یا نه و همچنین بر اساس قوانینی که در IDS توسط فرآیند های مربوطه فعال می شود ، کار می کنند.
- منبع داده یا Data Source : منبع داده اطلاعات خامی است که IDS از آنها برای تشخیص فعالیت های مشکوک استفاده می کند. منابع داده می تواند شامل فایل های بازرسی یا audit file ها ، لاگ های سیستم و یا ترافیک شبکه ای باشد که IDS در آن قرار دارد.
- رویداد یا Event : رویداد اتفاقی است که در منبع داده روی می دهد و نمایانگر به وقوع پیوستن یک فعالیت مشکوک است . یک رویداد ممکن است باعث صدور هشدار شود . رویدادها همیشه برای ارجاع داده شدن در آینده لاگ برداری می شوند. رویدادها می توانند اخطارهایی مربوط به اتفاق های غیرمعمول در شبکه را گزارش دهند . یک IDS ممکن است زمانی که ارتباط داخلی ایمیل سرور قفل می شود شروع به ثبت رویدادها کند ، رویدادها ممکن است نمایانگر این باشند که یک نفر در حال جستجو و کشف اطلاعات از شبکه شما می باشد. رویداد می تواند در نهایت یک هشدار صادر کند مبنی بر اینکه حجم ترافیک عبوری از شبکه از حد معمولا و تعریف شده آن خارج شده است و نیازمند بررسی می باشد.
- مدیر یا Manager : مدیر یا Manager ابزار یا فرآیندی است که اپراتور توسط آن IDS را مدیریت می کند. کنسول مدیریتی IDS در حقیقت Manager یا مدیر آن می باشد . اعمال تغییرات در تنظیمات IDS صرفا با برقراری ارتباط با Manager امکانپذیر است.
- اطلاع رسانی یا Notification : اطلاع رسانی یا Notification فرآیند یا روشی است که Manager توسط آن به اپراتور اعلام هشدار می کند . اینگونه اطلاع رسانی ممکن است به روش برجسته کردن و یا تعویض رنگ یک قسمت از کنسول مدیریتی و یا ارسال ایمیل و پیامک به اپراتور انجام شود .
- حسگر یا Sensor : حسگر یا Sensor یکی از اجزای IDS است که داده ها را از منبع داده جمع آوری و آنها را برای انجام شدن تحلیل ها به سمت تحلیل کننده عبور می دهد . حسگر ها هم می توانند بصورت یک درایور دستگاه ، و هم بصورت یک جعبه سیاه جدا از سیستم IDS در مدار شبکه قرار بگیرند ، این دستگاه گزارش های خود را به سمت IDS هدایت می کند.نکته مهم در خصوص حسگر ها این است که حسگر نقطه اصلی جمع آوری داده ها برای IDS محسوب می شود .
- اپراتور : اپراتور شخصی است که مسئول کلی سیستم IDS محسوب می شود. این شخص می تواند ، رئیس و یا مدیر شبکه ، کاربر شبکه و یا هر شخصی دیگری باشد ، اما بایستی مسئولیت اینکار را بر عهده داشته باشد .
همانطوری که مشاهده کردید یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . شکل الف به شما اجزای مختلف این سیستم را در کنار هم برای تشکیل شدن یک سیستم کامل IDS را نمایش می دهد .
به خاطر داشته باشید که داده ها می توانند از منابع مختلفی جمع آوری شوند و تمامی این داده ها برای اینکه بتوانیم تشخیص دهیم که چه اتفاقی در شبکه در حال وقوع است بایستی کاملا تحلیل شوند . یک سیستم IDS ذاتا برای مسدود کردن ترافیک در شبکه ساخته نشده است ، اما برخی از انواع IDS هستند که این قابلیت را به آنها می دهد ، IDS ها داتا سیستم های مانیتورینگ ، بازرسی و پایش هستند .
فناوری IDS ها بصورت کلی و بر اساس قابلیت هایی که به اپراتورهای خود می دهند به دو نوع اصلی تقسیم بندی می شوند:
- سیستم های تشخیص نفوذ – تشخیص سوء استفاده ( Misuse Detection IDS ) : این نوع IDS بیشتر با استفاده از ارزیابی حملات بر اساس شناسه های حمله ( Attack – Signatures ) و اثرات آن ( Audit –Trails ) در شبکه فعالیت می کند. شناسه های حمله یا ویژگیهای حمله در واقع روشی است که مهاجم از آن برای حمله به سیستم استفاده می کند. برای مثال ، یک حمله از نوع TCP Flood با استفاده از تعداد بسیاری Session ناقص TCP کار خود را آغاز می کند . اگر MD-IDS ( مخفف Misuse IDS ) بداند که حمله TCP Flood چگونه کار می کند ، می تواند ضمن تشخیص دادن این جمله گزارش و یا عکس العمل مناسب را در برابر این حمله نشان بدهد .شکل ب به شما نقشه کامل سیوه فعالیت یک MD-IDS را نشان می دهد. به خاطر داشته باشید که اینگونه IDS ها برای مقایسه شیوه حملات ، در ساختار خود یک پایگاه داده از روشهای معمول انجام حملات یا Attack Signature Database دارا هستند . این ساختار را تا حد زیادی می توانید با ساختار آنتی ویروس ها مقایسه کنید.
سیستم های تشخیص نفوذ – تشخیص رفتارهای غیرمتعارف ( Anomaly Detection IDS ) :* اینو نوع IDS که به AD-IDS هم معروف است ، به رفتارهای غیرمتعارف بر روی شبکه توجه می کند ، یعنی اینکه خارج از محدوده پایگاه داده خود عمل می کند و به نوعی تصمیم گیری هوشمند دارد . این نوع IDS در واقع یک نوع برنامه آموزشی دارد ، ابتدا رفتارهای عادی شبکه و ترافیک معمول شبکه را تحلیل کرده و هرگاه ترافیکی باعث خارج شدن سیستم ها از این وضعیت تحلیل شده شود ، شروع به تولید و ارسال هشدار به اپراتور سیستم می کند .
برای دسترسی به ادامه مقاله در سایت توسینسو در این لینک مراجعه کنید واگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم تشخیص نفوذ در این لینک مراجعه کنید.