مهاجمان یا هكرها هميشه به دنبال حمله كردن به شبكه ها هستند. بهينه سازي و ايمن سازي تنظيمات سيستم از دسترسي آسان هكرها به شبكه ها تا حد زيادي جلوگيري مي كند.
سيستم هاي تشخیص نفوذ ( IDS: Intrusion Detection Systems) ، فايروال ها (Firewalls) و هاني پات يا ظرف عسل ( Honey pot) از فناوري هايي هستند كه مي توانند از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند .
يك IDS يا سيستم تشخيص نفوذ، كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تعيين مي كند كه فعاليت انجام شده مجاز است يا غير عادي و غير مجاز است و همچنين تعيين مي كند كه آيا اين فعاليت مي تواند آسيبي به شبكه شما وارد كند يا خير و در نهايت به شما در مورد اينگونه فعاليت ها اطلاع رساني مي كند .
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت و سیستم های ضد نفوذ کلیک کنید.
اين اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود . يك IDS در حقيقت يك نوع Packet-Sniffer محسوب مي شود بطوري كه كليه Packet هاي ارسالي و دريافتي در شبكه را دريافت كرده و آنها را تجزيه و تحليل مي كند. اين سيستم توانايي فعاليت با انواع پرتكل هاي ارتباطي در شبكه را داراست بويژه توانايي فعاليت با پروتكل Tcp/IP
روش هاي تشخيص نفوذ
بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند :
شناسايي امضاء: ( Signature)
در اين روش كه همانند كاري است كه يك آنتي ويروس انجام مي دهد ، IDS داراي يك پايگاه داده است كه در آن نوع و روش فعاليت برخي از حملات مشخص شده اند ، به محض اينكه IDS ترافيكي را تشخصي دهد آنرا با اطلاعات پايگاه داده مربوطه مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند.
تشخيص رفتار غير عادي ( Anomaly ) :
در اين نوع از انواع IDS سيستم با توجه به رفتاري كه در شبكه عادي وجود دارد و ترافيكي كه در اثر يك عمل غير عادي ايجاد شده است و با توجه به بررسي هاي خود و مقايسه ترافيك طبيعي و غيرعادي تصميم مي گيرد كه در مورد اين نوع ترافيك هشدار دهد.
تشخيص پرتكل غيرعادي ( Anomaly Protocol) :
در اين نوع تشخصي مدل ها بر اساس مشخصات پرتكل TCP/IP تجزيه و تحليل مي شوند و در صورت مشخص شدن تغييرات در مشخصات اين پروتكل سيستم هشدار فعال مي شود .
انواع سيستم هاي تشخيص نفوذ
سيستم هاي تشخيص نفوذ تحت شبكه ( Network Based IDS) :
اينگونه از سيستم ها مانند يك جعبه سياه هستند كه در شبكه قرار گرفته و كارت شبكه آنها در حالت بي قيد ( Promiscuous) قرار مي گيرد و كليه ترافيك شبكه را دريافت و تجزيه و تحليل مي كند . مانند نرم افزار SNORT در سيستم عامل لينوكس.
سيستم هاي تشخيص نفوذ ميزبان ( Host Based IDS) :
اينگونه از سيستم ها با استفاده از مميزي ( audit) كردن
فايل هاي Log مربوط به يك رخداد بر روي هر سيستم فعاليت
مي كنند و اين رويداد ها را تجزيه و تحليل مي كنند . از اينگونه
از سيستم ها به دليل ايجاد بار كاري زياد براي هر سيستم ( CPU)
معمولا كمتر استفاده مي شود . نرم افزار اينگونه سيستم تشخصي
نفوذ بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود
و بصورت مجزا فعاليت مي كنند . مانند نرم افزار CSA: Cisco Security Agent.
پايش فايل ها (Log File Monitoring) :
در اين نوع سيستم از كليه رخداد هاي ( Event) هاي روي
سيستم هاي شبكه Log برداري مي شود و همه اين Log ها به يك سرور
بر روي شبكه منتقل شده و از طريق آن مورد تجزيه و تحليل قرار مي گيرند.
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت و سیستم های ضد نفوذ کلیک کنید.
چك كردن صحت و كامل بودن فايل ( File Integrity Checker) :
اينگونه سيستم ها معمولا براي تشخيص انواع تروجان و نرم افزارهايي بكار مي رود
كه باعث ايجاد تغييرات بر روي سيستم مي شوند ، در اين روش از هر فايل بر روي
سيستم يك هش ( Hash) گرفته مي شود و در داخل يك ژايگاه داده مركزي نگهداري
مي شود و در صورت بروز مشكل اين Hash با Hash فايل جديد مقايسه مي شود و در
صورت عدم تطابق اعلام اخطار مي شود . ماننده نرم افزار Tripwire كه از نوع SIV: System Integrity Verifier مي باشد.
