نظرسنجی

شما از چه طریق با این سایت آشنا شدید؟






پر بيننده ترين مطالب

تشخیص و جلوگیری از نفوذ

بخش سوم



تعداد بازدیدکنندگان 5694 بازدید نسخه چاپی

*علی ورشوی - در دو قسمت قبلی این مقاله ضمن مروری بر تعاریف و تاریخچه سیستم‌های تشخیص نفوذ به ارائه رویكردهایی كه در طراحی و بكارگیری این سیستم‌ها مطرح است، پرداختیم. همچنین ضمن دسته‌بندی این سیستم‌ها از جنبه‌های مختلف به مسئله هشدارهای غلط اشاره كردیم. آنچه در شماره‌های قبل ارائه گردید به عنوان مفاهیمی پایه در شناخت نحوه عملكرد این سیستم‌ها مطرح می‌باشد. بر این اساس، در این شماره ضمن ارائه مختصری از رویكردهای آینده در طراحی سیستم‌های تشخیص نفوذ، به معرفی برخی سیستم‌های فعلی و منابعی جهت مطالعه بیشتر می‌پردازیم.


راه آینده
به جرات می‌توان گفت كه امروزه تشخیص، از فرآیندهای اصلی در برآوردن امنیت سیستم‌ها می‌باشد. زمانی كه ایده اولیه سیستم‌های IDS مطرح گردید، تعریف جامعی از نفوذ مدنظر بود كه هرگونه فعالیت در راستای مخدوش نمودن پایه‌های اصلی امنیت اطلاعات - محرمانگی، جامعیت و دسترس‌پذیری - را در بر می‌گرفت. با پیاده‌سازی سیستم‌های اولیه كه در شماره اول مقاله معرفی گردیدند و به دلیل محدودیت‌هایی كه در پیاده‌‌سازی این رویكرد ایده‌آل گرایانه وجود داشت، سیستم‌های تشخیص نفوذ، محدود به ناظرین فعالیت‌‌های سیستم‌‌عامل و ترافیك شبكه شدند و سیستم‌هایی با قابلت‌های در حد تعریف اصلی،‌ به دلیل هزینه‌های بسیار در طراحی و پیاده‌سازی تنها در بستر‌های خاص نظامی و اطلاعاتی مورد استفاده قرار گرفتند.


این رویكرد تا سال‌های اخیر نیز ادامه یافت؛ تا جایی كه در ادبیات طراحی امنیت شبكه، منظور از سیستم‌های IDS و یا نسل تجاری‌تر آنها IPS،  سیستم‌هایی با قابلیت بررسی بسته‌های شبكه و حذف بسته‌های مشكوك بود. از سوی دیگر تشخیص در سطح میزبان محدود به نرم‌افزارهای ضدویروس شده بود. چنین نرم‌افزارهایی تنها بخش كوچكی از تشخیص فعالیت‌های نفوذی را پوشش می‌دهند و با ایده اصلی سیستم‌های تشخیص نفوذ فاصله بسیاری دارند.


 با این‌حال به دلیل وابستگی روز افزون به شبكه‌ها و سیستم‌های كامپیوتری و جدی‌تر شدن مسئله امنیت این بستر در تبادل و پردازش اطلاعات حساس از یك سو و پیشرفت و توسعه سخت‌افزارهای محاسباتی و محیط‌های توسعه نرم‌افزار از سوی دیگر زمینه ارائه نسل جدید این سیستم‌ها با همان رویكردهای اصلی كه در ابتدای ارائه مدنظر بوده‌است، فراهم گردید.


 امروزه شاهد جهش سیستم‌های ضدویروس در راستای تبدیل به سیستم‌های تشخیص نفوذ بر پایه میزبان هستیم. این رویكرد را می‌توان تقریبا در تمامی ضدویروس‌های معروف امروزی دید. سیستم‌های IPS فعلی در جهت امكان پاسخ قابل اطمینان به فعالیت‌های نفوذی توسعه‌ قابل توجهی یافته‌اند. این رشد و توسعه نوید بخش ارائه نسل‌های جدیدی از سیستم‌های تشخیص نفوذ در آینده‌ای نزدیك است.


 در معماری‌های مدرن سیستم‌های تشخیص و جلوگیری از نفوذ كه در مواردی از آنها به عنوان شبكه‌های دفاع و یا سیستم‌های دفاع توزیع‌شده یاد می‌شود، توزیع‌شدگی و استقلال از محیط بكارگیری از نیازهای اصلی می‌باشد. آنچه ما به عنوان سیستم‌های IDS و یا IPS امروزی می‌شناسیم در این معماری‌های مدرن تنها به عنوان حسگر قرار می‌گیرند. در آینده تلاش اصلی در راستای تولید سیستم‌های هوشمندی خواهد بود كه قابلیت آنالیز حجم گسترده هشدارهای ارائه شده توسط حسگر‌های متفاوت را داشته باشد.


این آنالیز‌گر هوشمند به تولید فراهشدارهایی می‌پردازد كه تصویری كلان از وضعیت امنیت سیستم‌های تحت نظارت حسگرها را ارائه می‌دهند. در حالتی ایده‌آل حسگرهای این سیستم هوشمند توزیع‌شده تنها سیستم‌های IDS نخواهند بود، بلكه سیستم‌های عامل، سرویس‌ها و برنامه‌های كاربردی با ارسال رویدادهای مرتبط با فعالیت‌های خود به این آنالیزگر هوشمند به عنوان حسگرهای سیستم عمل می‌كنند. به عنوان نمونه خوبی از این معماری توزیع شده می‌توان به سیستم AAFID اشاره كرد. اگرچه تحقیقات پیرامون معماری‌های توزیع شده به دهه قبل باز می‌گردد اما نتایج این تحقیقات را در سال‌های اخیر، شاهد هستیم.


سیستم‌های فعلی
امروزه سیستم‌های متعددی اعم از تجاری و متن‌باز از هر دو دسته برپایه شبكه و برپایه میزبان جهت تشخیص و جلوگیری از نفوذ ارائه شده‌اند. سیستم‌های برپایه شبكه فعلی توسعه یافته سیستم‌های IPS قبلی در راستای افزایش قابلیت پاسخگویی به حملات، و سیستم‌‌های بر پایه میزبان حاصل رشد نرم‌افزارهای ضدویروس و محافظت فایل می‌باشند كه در ادامه به معرفی مختصر برخی از آنها می‌پردازیم.

سیستم‌های برپایه شبكه
Cisco IPS/IDSM
ماژول Cisco IDSM-2 عضوی از خانواده سیستم‌های Cisco IDS/IPS و نسل دوم ماژول‌های IDS است كه قابلیت عملكرد در حالت درون‌خط را داراست. این ماژول علاوه بر امكان انسداد حمله به صورت مستقل، می‌تواند از قابلیت‌های دیگر تجهیزات و ماژول‌های Cisco برای انسداد و یا ایجاد محدودیت در ترافیك از طریق ارسال فرمان و یا ایجاد لیست كنترل دسترسی استفاده كند. امروزه با تولید حسگرهایی كه قابلیت قرار گرفتن در دیگر تجهیزات شبكه را دارا می‌باشند، امكان جمع‌آوری اطلاعات مورد نیاز سیستم‌های آنالیزگر از نقاط مختلف شبكه فراهم شده است.


NetScreen IDP
ماژول تشخیص و جلوگیری از نفوذ IDP به عنوان Security Module از فایروال NetScreen-ISG  وظیفه تشخیص و انسداد حملات را به عهده دارد. این ماژول با نظارت بر ترافیك شبكه سعی در یافتن الگوهای حمله احتمالی می‌كند. در صورت تشخیص حمله ماژول IDP امكان انسداد حمله و یا منبع حمله را فراهم می‌كند. در واقع این سیستم جهت نظارت بر ترافیك‌ لایه‌های 4 تا 7 و انسداد حمله یا قطع اتصال برای حملات با False Positive كم و میزان ریسك بالا همچنین جلوگیری از پویش شبكه استفاده می‌شود.


Snort
Snort نرم‌افزاری متن‌باز جهت تشخیص و مقابله با حملات در یك شبكه است كه با بهره‌گیری از روش‌های تحلیل الگوهای حمله و تحلیل پروتكل به مقابله با حملات می‌پردازد. به صورت خلاصه Snort در یكی از  سه حالت Packet Sniffer/Packet Logger/Network IDS قابل پیكربندی است. با خواندن محتوای هر بسته‌ای كه در شبكه ردوبدل می‌شود این سیستم می‌تواند محتویات بسته‌ها را با بانك قوانین حملات مطابقت دهد و در صورت مطابقت داشتن محتوای یك بسته با حمله‌ای خاص هشدار دهد. Snort سال‌ها به عنوان استانداردی برای NIDS مطرح بوده است و هم‌اكنون نیز در پیاده‌سازی بسیاری از سیستم‌های تجاری از اجزای آن استفاده شده است. پایگاه داده حملات این سیستم كه به صورت عمومی توسط متخصصان خبره از تمامی نقاط دنیا بروزرسانی می‌شود به عنوان مرجعی مناسب مورد استفاده اكثر سیستم‌های NIDS می‌باشد.

سیستم‌های برپایه میزبان
CSA
Cisco Security Agent نرم‌افزاری است كه به عنوان HIDS جهت محافظت از سرورها و ایستگاه‌های كاری مركز داده به صورت Agent-Based عمل می‌نماید، این نرم‌افزار یك راه‌حل امنیتی در سطح EndPoint‌ها به شمار می‌آید و قادر به شناسایی و دفاع در برابر انواع حملات و تهدیدات امنیتی ناشناخته و مرسوم مانند Spywareها، Rootkitها و Day-Zero Attack ها می‌باشد. روش تشخیص این محصول به جای تكیه بر الگوهای حمله بر اساس تحلیل رفتار است. این محصول انعطاف‌پذیری زیادی در رابطه با Platformها و سیستم‌عامل‌هایی كه باید برروی آنها نصب شود داراست و شامل ویرایش‌های مختلف Windows، Linux و Solaris می‌باشد.


Tripwire
با بزرگ‌تر شدن مقیاس شبكه‌ها و گسترش سرویس‌های IT در سازمان‌ها و مراكز مهم دولتی و خصوصی، مدیران مربوطه اقدام به تقسیم مسئولیت‌های شبكه نموده و دستورالعمل‌ها و فرآیندهای مختلفی را جهت مدیریت امنیت در حوزه‌های مختلف شبكه‌ها تدوین می‌كنند. از طرفی، مدیریت تغییرات به عنوان یكی از ضرورت‌های سازمانی در استانداردهای مدیریت امنیت اطلاعات مورد تاكید قرار گرفته است. مدیریت تغییر بایستی با دیدی جامع و با درنظر گرفتن منافع مختلف سازمان، تغییرات را برای فرآیندها، پرسنل و فناوری‌ها مدیریت نماید. در ادامه، ضرورت مدیریت تغییر با ذكر یك مثال نوعی بیان شده است.


فرض نمایید كه كارگزار پایگاه داده X پیكربندی امنیتی شده است، آیا امن‌سازی خاتمه یافته است؟ در جواب این سئوال می‌توان گفت كه خیر! زیرا اطمینان از امن باقی ماندن كارگزار به اندازه امن‌سازی مهم است. به دلایل گوناگونی از قبیل حملات مهاجمین و اشتباهات پرسنلی، ممكن است كه پیكربندی امن كارگزار فوق تغییر یابد و تمام تلاش‌های قبلی را بی‌اثر نموده، سیستم و بالطبع دارایی‌های شبكه را آسیب‌پذیر نماید. لذا رویه‌ها و مكانیزم‌هایی مدیریتی و فنی برای مدیریت تغییر نیاز می‌باشند.


محصول Tripwire به عنوان بخشی از راه‌حل مدیریت تغییر و پیكربندی سازمان به هر دو صورت تجاری و متن‌باز، كمك مؤثری در راستای اهداف سازمانی است. با استفاده Enterprise Tripwire می‌توان تغییرات تجهیزات شبكه‌ای (از قبیل روترها و سوییچ‌ها)، پایگاه‌داده‌ها، دایركتوری‌ها، كارگزارها، و سیستم فایل را مدیریت نمود. در سال‌های اخیر نرم‌افزارهای مدیریت تغییرات كه در واقع با رویكرد حفظ یكپارچگی فایل‌های حساس سیستم ارائه شده‌اند، به عنوان نسلی از سیستم‌های تشخیص نفوذ بر پایه میزبان مطرح می‌باشند. از نمونه‌های دیگر این نرم‌افزارهای متن‌باز می‌توان به Osiris و Samhain اشاره نمود. نرم‌افزار Osiris، نرم‌افزار نظارت بر روی یكپارچگی فایل‌های كارگزاران می‌باشد. این نرم‌افزار تمامی تغییرات اعمال شده برروی File System، كاربران، گروه‌های كاربری و غیره را رویدادنگاری می‌نماید و می‌توان آنها را پیگیری نمود. نرم‌افزار Samhain یك نرم‌افزار كدباز می‌باشد كه به عنوان یك HIDS برروی كارگزاران ایفای نقش می‌نماید و توانایی تشخیص پروسس‌های مخفی، مانیتورینگ پورت‌ها و شناسایی Rootkitها را دارا می‌باشد. این نرم‌افزار را می‌توان به صورت جداگانه بر روی هر یك از كارگزاران نصب و رویداد‌ها را در یك Log server مركزی جمع‌آوری نمود.


OSSEC
OSSEC ابزاری متن‌باز جهت تشخیص نفوذ برپایه میزبان است كه امكان بررسی رویدادها، شناسایی rootkitها، پایش registery و integrity checking را دارا می‌باشد. این سیستم تشخیص نفوذ بر روی اكثر سیستم‌عامل‌ها قابل نصب و استفاده است. همچنین طراحی این سیستم امكان پایش و مدیریت سیستم‌های متعدد را فراهم می‌سازد.

*امن افزار گستر شریف