امنیت شبکه(ids و ips)

[B@RBOD]

امنیت شبکه(ids و ips)

[B@RBOD]

سطح شبکه در مدل امنیت لایه بندی شده به wan و lan داخلی اشاره دارد. شبکه داخلی ممکن است شامل چند کامپیوتر و سرور و یا پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند idsها (سیستم های تشخیص نفوذ) و ipsها (سیستم های جلوگیری از نفوذ) :تکنولوژیهای ids و ips ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای ids و ips ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای ids مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای ips یک گام جلوتر می روند و بصورت خودکار
ترافیک آسیب رسان را مسدود می کنند. Idsها و ipsها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر ipsها در هسته خود یک ids دارند. تفاوت کلیدی بین این تکنولوژی هااین است که محصولات ids تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات ips از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند

[B@RBOD]

IDS چیست؟
IDS يك سيستم محافظتي است كه خرابكاريهاي در حال وقوع روي شبكه را شناسايي مي كند.
روش كار به اين صورت است كه با استفاده از تشخيص نفوذ كه شامل مراحل جمع آوري اطلاعات ، پويش پورتها ، به دست آوري كنترل كامپيوترها و نهايتا هك كردن مي باشد ، مي تواند نفوذ خرابكاريها را گزارش و كنترل كند.
از قابليتهاي ديگر IDS ، امكان تشخيص ترافيك غيرمتعارف از بيرون به داخل شبكه و اعلام آن به مدير شبكه و يا بستن ارتباطهاي مشكوك و مظنون مي باشد.
ابزار IDS قابليت تشخيص حملات از طرف كاربران داخلي و كاربران خارجي را دارد.
بر خلاف نظر عمومي كه معتقدند هر نرم افزاري را مي توان به جاي IDS استفاده كرد، دستگاههاي امنيتي زير نمي توانند به عنوان IDS مورد استفاده قرار گيرند:
1 - سيستم هايي كه براي ثبت وقابع شبكه مورد استفاده قرار مي گيرند مانند : دستگاههايي كه براي تشخيص آسيب پذيري در جهت از كار انداختن سرويس و يا حملات مورد استفاده قرار مي گيرند.
2- ابزارهاي ارزيابي آسيب پذيري كه خطاها و يا ضعف در تنظيمات را گزارش مي دهند.
3- نرم افزارهاي ضدويروس كه براي تشخيص انواع كرمها، ويروسها و به طوركلي نرم افزارهاي خطرناك تهيه شده اند.
4- ديواره آتش (Firewall )
5- مكانيزمهاي امنيتي مانند SSL ، VPN و Radius و ...

[B@RBOD]

چرا ديواره آتش به تنهايي كافي نيست ؟به دلايل زير ديواره هاي آتش نمي توانند امنيت شبكه را به طور كامل تامين كنند :
1. چون تمام دسترسي ها به اينترنت فقط از طريق ديواره آتش نيست.
2. تمام تهديدات خارج از ديواره آتش نيستند.
3. امنيت كمتر در برابر حملاتي كه توسط نرم افزارها مختلف به اطلاعات و داده هاي سازمان مي شود ، مانند Active ، Java Applet، Virus Programs.

[B@RBOD]

تكنولوژي IDS
NIDS (Network Base)
گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS (Host Base)
تعداد زيادي از شركتها در زمينه توليد اين نوع IDS فعاليت مي كنند.روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.داراي اعلان خطر در لحظه مي باشد.
جمع آوري اطلاعات در لايه Application
مثال اين نوع IDS ، نرم افزارهاي مديريتي مي باشند كه ثبت وقايع را توليد و كنترل مي كنند.
Honey pot
سيستمي مي باشد كه عملا طوري تنظيم شده است كه در معرض حمله قرار بگيرد. اگر يك پويشگري از NIDS ، HIDS و ديواره آتش با موفقيت رد شود متوجه نخواهد شد كه گرفتار يك Honey pot شده است. و خرابكاري هاي خود را روي آن سيستم انجام مي دهد و مي توان از روشهاي اين خرابكاريي ها براي امن كردن شبكه استفاده كرد.

[B@RBOD]

Honey pot چیست؟
Honeypotها يك تكنولوژي جديد می باشند که قابليتهاي فراواني براي جامعه امنيتي دارند. البته مفهوم آن در ابتدا به صورتهاي مختلفي تعريف شده بود به خصوص توسط Cliff Stoll در كتاب « The Cuckoos Egg » . از آنجا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسيله ابزارهاي امنيتي قوي توسعه يافتند و رشد آنها تا به امروز ادامه داشته است. هدف اين مقاله تعريف و شرح واقعي Honeypot مي باشد و بيان منفعت ها و مضرات آنها و اينكه آنها در امنيت چه ارزشي براي ما دارند.
تعريفقدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند. . به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.

[B@RBOD]

فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.

[B@RBOD]

مضرات Honeypot ها
شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژيهاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.

[B@RBOD]

تفاوت شکلی تشخیص با پیش گیری
در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال، آنها لیست بلندبالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به حفظ وضعیت، گردآوری بخش های TCP، ارزیابی پروتکل و تطبیق امضاء دارند. اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته می شوند. یک IPS (Intrusion Prevention System) یا سیستم پیش گیری مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک IDS (Intrusion Detection System) یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.

[B@RBOD]

تشخیص نفوذ
هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه است. این سیستم روی بسته های داده که از ابزار کنترل دسترسی عبور کرده اند، عمل می کند. به دلیل وجود محدودیت های اطمینان پذیری، تهدیدهای داخلی و وجود شک و تردید مورد نیاز، پیش گیری از نفوذ باید به بعضی از موارد مشکوک به حمله اجازه عبور دهد تا احتمال تشخیص های غلط (false positive) کاهش یابد. از طرف دیگر، روش های IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه، نفوذها و سوء استفاده ها بهره می گیرند. یک IDS معمولاً به گونه ای از پهنای باند استفاده می کند که می تواند بدون تأثیر گذاشتن روی معماری های محاسباتی و شبکه ای به کار خود ادامه دهد.
طبیعت منفعل IDS آن چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته ها را ایجاد می کند. همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار می دهد:
حملات شناخته شدهv از طریق امضاءها و قوانین
تغییرات در حجم و جهت ترافیک با استفاده ازv قوانین پیچیده و تحلیل آماری
تغییرات الگوی ترافیک ارتباطی با استفاده ازv تحلیل جریان
تشخیص فعالیت غیرعادی با استفاده از تحلیل انحرافv معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان وv تشخیص خلاف قاعده

بعضی حملات تا درجه ای از یقین بسختی قابل تشخیص هستند، و بیشتر آنها فقط می توانند توسط روش هایی که دارای طبیعت غیرقطعی هستند تشخیص داده شوند. یعنی این روش ها برای تصمیم گیری مسدودسازی براساس سیاست مناسب نیستند.