آموزش CEH (هکر کلاه سفید): سامانه تشخیص نفوذ چگونه از سامانه‌های محافظت می‌کند؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

اصلی‌ترین وظیفه سامانه‌های تشخیص نفوذ (Intrusion Detection System) شناسایی و تشخیص هر گونه استفاده دسترسی غیرمجاز به سامانه‌ها، سوء استفاده یا آسیب‌رسانی توسط کاربران داخلی و خارجی است. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در تامین امنیت شبکه‌ها و سیستم‌های کامپیوتری تبدیل شده و بیشتر در کنار دیواره‌های آتش و به عنوان یک ابزار امنیتی تکمیلی استفاده می‌شود. سامانه‌های تشخیص نفوذ به شکل نرم‌افزاری و سخت‌افزاری در دسترس کسب‌وکارها قرار دارند و هر کدام مزایا و معایب خاص خود را دارند. سرعت و میزان دقت بالا از ویژگی‌های شاخصی سامانه‌های سخت‌افزاری است، به‌طوری‌که در اکثر مواقع با اعلام هشدار مثبت مانع از بروز شکست‌های امنیتی و دسترسی نفوذگران به زیرساخت‌ها می‌شوند. در مقابل سامانه‌های تشخیص نفوذ نرم‌افزار کاربری ساده و قابلیت سازگاری زیاد با زیرساخت‌های مختلف دارند. سامانه‌های تشخیص نفوذ نرم‌افزاری عمدتا از جانب کاربران نیمه‌ حرفه‌ای که تمایلی به خرید تجهیزات سخت‌افزاری گران‌قیمت در این زمینه ندارند استفاده می‌شود. به‌طور کلی سامانه‌های تشخیص نفوذ یک کارکرد مهم نظارت و ارزیابی، کشف و واکنش را بر عهده‌ دارند. بر همین اساس هر سامانه تشخیص نفوذ را می‌توان بر اساس روش‌های تشخیص نفوذ، معماری و انواع واکنش‌ها به نفوذ طبقه‌بندی کرد. ابزار مکمل سامانه‌های تشخیص نفوذ، سامانه‌های پیشگیری از نفوذ (IPS) هستند که درون هسته اصلی شبکه‌های ارتباطی قرار می‌گیرند. به بیان دیگر، سامانه‌های تشخیص نفوذ روند شناسایی دسترسی افراد غیر مجاز به شبکه را عهده‌دار هستند، در حالی که سامانه‌های پیشگیری از نفوذ وظیفه پیشگیری از ورود غیرقانونی به شبکه را عهده‌دار هستند.

سامانه‌های تشخیص نفوذ چگونه تهدیدات را کشف می‌کنند؟

نفوذ به مجموعه اقدامات فرآیندهای قانونی که اصالت و محرمانگی را نشانه رفته و دسترسی غیرمجاز به منابع را به همراه دارند توصیف می‌شوند. نفوذ را می‌توان به دو گروه داخلی و خارجی تقسیم کرد. نفوذهای خارجی توسط افراد مجاز یا غیرمجاز از خارج شبکه به شبکه داخلی انجام می‌شود، در حالی که نفوذهای داخلی توسط افراد مجاز در شبکه داخلی و از داخل سازمان انجام می‌شود. هکرها بیشتر از ضعف‌های نرم‌افزاری، شکستن گذرواژه‌ها، شنود ترافیک شبکه و نقاط ضعف در پیکربندی و طراحی شبکه و برای نفوذ به سامانه‌ها و شبکه‌ها استفاده می‌کنند. برای مقابله با نفوذ هکرها به سامانه‌ها و شبکه‌ها ، روش‌های متعددی تحت عنوان روش‌های تشخیص نفوذ ارائه شده که عمل نظارت بر اتفاق افتاده در یک سیستم یا شبکه را عهده‌دار هستند. روش‌های تشخیص مورد استفاده در سامانه‌های تشخیص نفوذ به دو گروه

روش تشخیص رفتار غیرعادی (anomaly detection) و روش تشخیص سوءاستفاده مبتنی بر امضاء(misuse detection) طبقه‌بندی می‌شوند.

روش تشخیص رفتار غیرعادی

در این روش، تصویری از یک الگوی رفتاری خصمانه ساخته می‌شود. یک الگوی غیر عادی که به‌نام ناهنجاری شناخته می‌شود، ممکن است بیان‌گر یک نفوذ باشد. برای ایجاد الگوهای رفتاری عادی از رویکردهایی شبیه به شبکه‌های عصبی، تکنیک‌های یادگیری ماشین و حتا سیستم‌های زیستی استفاده می‌شود. برای تشخیص رفتارهای غیرعادی باید رفتارهای عادی را شناسایی و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی هستند و رخدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، بیان‌گر  یک رفتاری غیرعادی خواهند بود. نفوذهای غیرعادی به سختی قابل تشخیص هستند، زیرا هیچ‌گونه الگوی ثابتی برای نظارت در دسترس نیست. به‌طور معمول، رویدادی که بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به‌طور مثال، اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد یا کامپیوتری که ساعت 3 صبح به شبکه متصل می‌شود، در حالی که نباید این‌کار را انجام دهد توصیف‌کننده یک الگوی رفتاری غیر متعارف هستند. هر یک از این حالات فوق بیان‌گر یک رفتار غیرعادی هستند. راهکار فوق به دلیل هشدارهای اشتباه (False Positive) با نرخ بالا در تشخیص در اکثر موارد توسط کارشناسان شبکه به شکل محدود استفاده می‌شود.

روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء

تشخیص سوءاستفاده رویکردی در تشخیص حملات است. در روش تشخیص سوء استفاده، ابتدا رفتار غیر طبیعی سیستم را تعریف می‌کنیم‌‍ و سپس هر رفتار دیگری را به عنوان رفتار عادی تلقی می‌کنیم. این رویکرد دربرابر روش تشخیص ناهنجاری قرار دارد که با بهره‌گیری از رویکردی معکوس، رفتار طبیعی سیستم را تعریف و هر رفتار دیگری را غیر طبیعی توصیف می‌کند. به‌کارگیری امضای تهیه شده از حمله، مثالی از این رویکرد(تشخیص سوءاستفاده) در سامانه‌های تشخیص نفوذ است. همان‌گونه که اشاره شد در این تکنیک که به‌طور معمول با نام تشخیص مبتنی بر امضاء شناخته می‌شود، الگوهای نفوذ از پیش‌ساخته شده (امضاء) به صورت یک قاعده نگهداری می‌شوند. به‌طوری‌که هر الگو انواع متفاوتی از یک نفوذ خاص را شامل می‌شود و در صورت بروز چنین الگویی در سیستم، هشدار نفوذ صادر می‌شود. در این روش‌ها، به‌طور معمول، تشخیص‌دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌ است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه که در پایگاه داده نگهداری می‌کند را پیدا کند. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده هستند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند. در این حالت مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

معماری سامانه‌های تشخیص نفوذ

از مهم‌ترین معماری‌های سامانه‌های تشخیص نفوذ می‌توان به سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)، سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS) و سامانه تشخیص نفوذ توزیع شده (DIDS) اشاره کرد.

سامانه تشخیص نفوذ مبتنی بر میزبان

این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکه (NIC) آن‌ها در حالت پیش‌فرض در حالت با قاعده ۵ کار می‌کند. حالت با قاعده گاهی اوقات عملکرد خوبی دارد، زیرا تمامی کارت‌های واسط شبکه قابلیت حالت بی قاعده را ندارند. اچ‌آی‌دی‌اس‌ها به واسطه مکان‌شان روی میزبانی که باید نظارت شود، از همه انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مسئله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند.

سامانه تشخیص نفوذ مبتنی بر شبکه

شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستم‌های بحرانی، به عهده سامانه تشخیص نفوذ مبتنی بر شبکه‌ است. ان‌آی‌دی‌اس‌ها (NIDS)، دومین نوع سامانه‌های تشخیص نفوذ هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطاتی فعال، به جست‌وجوی تلاش‌هایی که برای حمله صورت گرفته، می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که روی شبکه‌ها مبادله می‌شود. از آن‌جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، دامنه به‌کارگیری گسترده‌تر دارند و فرآیند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در برخورد با بسته‌های رمزشده یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند.

سامانه تشخیص نفوذ توزیع شده (DIDS)

این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده‌است. عملکرد سامانه‌های فوق به این شکل است که هر سامانه تشخیص نفوذ که در شبکه موجود است، گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه‌سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می‌شود. شبکه بین ان‌آی‌دی‌اس‌ها با سامانه مدیریت مرکزی می‌تواند خصوصی باشد یا این که از زیرساخت موجود برای ارسال داده‌ها استفاده شود. وقتی از شبکه موجود برای ارسال داده‌های مدیریتی استفاده شود، امنیت‌های اضافی به وسیلهٔ رمزنگاری یا فناوری شبکه‌های خصوصی مجازی (VPN)حاصل می‌گردد.

چگونه با نفوذ‌ها باید برخورد کرد؟

قابلیت دیگر برخی از سامانه‌های تشخیص نفوذ این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن‌ها پاسخ می‌دهد. پاسخ در IDSها به دو شکل غیرفعال و فعال تقسیم می‌شوند که نوع غیرفعال به پاسخ برون خطی نیز معروف است.

پاسخ غیرفعال در سامانه تشخیص نفوذ

این مدل سامانه‌های تشخیص نفوذ به مدیر امنیتی سیستم اطلاعاتی درباره حمله توسط تلفن همراه، ایمیل، پیام روی صفحه کامپیوتر یا پیامی برای کنسول SNMP می‌دهند. از جمله اطلاعاتی که توسط این سامانه‌ها ارائه می‌شود باید به مواردی شبیه به آدرس آی‌پی منبع حمله، آدرس آی‌پی مقصد حمله، نتیجه حمله، ابزار یا مکانیزم‌های مورد استفاده برای مهار حمله و گزارش‌ها و اتصال‌ها حمله‌های سیستم و رویدادهای مربوطه اشاره کرد.

پاسخ فعال در سامانه تشخیص نفوذ

سامانه‌های تشخیص نفوذ از لحظه‌ای که به کار می‌افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن‌ها، اگر نشان‌هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوه‌های مختلف تولید می‌کنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه‌است و گاهی نوشتن یک اطلاع در فایل رخدادها یا به صورت تنظیم مجدد دیواره آتش یا دستگاه‌های دیگری در شبکه ‌است. سامانه‌های تشخیص نفوذ فعال هر نفوذی را که تشخیص دهند به‌طور خودکار پاسخ می‌دهند. این پاسخ‌ها به سه گروه پاسخ فعال براساس جمع‌آوری اطلاعات اضافی، پاسخ فعال از نوع تغییر محیط و پاسخ فعال از نوع عکس‌العمل در مقابل حمله تقسیم می‌شوند.

سامانه‌های تشخیص نفوذ رایگان

از رایج‌ترین سامانه‌های تشخیص نفوذ رایگانی که در دسترس کاربران و کسب‌وکارها قرار دارد باید به AIDE، Bro NIDS، OSSEC HIDS، Prelude Hybrid IDS، Samhain، Snort و Suricata اشاره کرد.

به‌طور مثال،OSSEC  سامانه‌ تشخیص نفوذ مبتنی بر سیستم میزبان(HIDS)  به صورت متن باز و رایگان است. ابزار فوق دارای قابلیت‌هایی نظیر تحلیل گزارش‌ها (Log Analysis)، صحه‌گذاری بر یکپارچگی (Integrity Checking)، پایش رجیستری ویندوز، کشف و شناسایی روت‌کیت‌ها، هشداردهی مبتنی بر زمان و پاسخ‌دهی فعال (Active Response) است. قابلیت HIDS را برای بسیاری از سیستم‌‌عامل‌ها نظیر لینوکس، اوپن‌بی‌اس‌دی، فری‌بی‌اس‌دی، اواس ده، سولاریس (سیستم‌عامل) و ویندوز می‌توان به ‌کار گرفت. ابزار فوق با استفاده از مرکز کنترل متمرکز و معماری چندسکویی توانایی مدیریت تعداد زیادی از سیستم‌های تحت کنترل خود را دارد.

اسنورت (snort) که در مطالب قبلی نیز به آن اشاره داشتیم، یک سامانه کشف نفوذ است که تحت لایسنس جی‌پی‌ال عرضه می‌شود. اسنورت در حال حاضر توسط Sourcefire توسعه می‌یابد. این برنامه در سال ۲۰۰۹ به عنوان یکی از بهترین و کاربردی‌ترین نرم‌افزارهای آزاد انتخاب شد. این سیستم به‌طور کلی می‌تواند در ۳ حالت کار کند. حالت اول این است که سیستم به تمام بسته‌های عبوری از شبکه گوش کرده و آن‌ها را نمایش می‌دهد. یک حالت دیگر این است که سیستم به بسته‌های عبوری گوش کرده و آن‌ها را روی حافظه ذخیره می‌کند. حالت سوم که پیشرفته تر از حالت‌های قبلی است تشخیص نفوذ است. در این حالت سیستم ترافیک عبوری را تحلیل کرده و با توجه به قوانینی که کاربر برای آن تعریف کرده است خطرات احتمالی را تشخیص می‌دهد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH