امنیت

سیستم تشخیص نفوذ ( IDS )

مهاجمان یا هكرها هميشه به دنبال حمله كردن به شبكه ها هستند. بهينه سازي و ايمن سازي تنظيمات سيستم از دسترسي آسان هكرها به شبكه ها تا حد زيادي جلوگيري مي كند.

سيستم هاي تشخیص نفوذ ( IDS: Intrusion Detection Systems) ، فايروال ها  (Firewalls) و هاني پات يا ظرف عسل ( Honey pot) از فناوري هايي هستند كه مي توانند از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند .

يك IDS يا سيستم تشخيص نفوذ، كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تعيين مي كند كه فعاليت انجام شده مجاز است يا غير عادي و غير مجاز است و همچنين تعيين مي كند كه آيا اين فعاليت مي تواند آسيبي به شبكه شما وارد كند يا خير و در نهايت به شما در مورد اينگونه فعاليت ها اطلاع رساني مي كند .

جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت و سیستم های ضد نفوذ کلیک کنید.

اين اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود . يك IDS در حقيقت يك نوع Packet-Sniffer محسوب مي شود بطوري كه كليه Packet هاي ارسالي و دريافتي در شبكه را دريافت كرده و آنها را تجزيه و تحليل مي كند. اين سيستم توانايي فعاليت با انواع پرتكل هاي ارتباطي در شبكه را داراست بويژه توانايي فعاليت با پروتكل Tcp/IP

روش هاي تشخيص نفوذ

بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند :

شناسايي امضاء: ( Signature)

در اين روش كه همانند كاري است كه يك آنتي ويروس انجام مي دهد ، IDS داراي يك پايگاه داده است كه در آن نوع و روش فعاليت برخي از حملات مشخص شده اند ، به محض اينكه IDS ترافيكي را تشخصي دهد آنرا با اطلاعات پايگاه داده مربوطه مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند.

تشخيص رفتار غير عادي  ( Anomaly ) :

در اين نوع از انواع IDS سيستم با توجه به رفتاري كه در شبكه عادي وجود دارد و ترافيكي كه در اثر يك عمل غير عادي ايجاد شده است و با توجه به بررسي هاي خود و مقايسه ترافيك طبيعي و غيرعادي تصميم مي گيرد كه در مورد اين نوع ترافيك هشدار دهد.

تشخيص پرتكل غيرعادي ( Anomaly Protocol) :

در اين نوع تشخصي مدل ها بر اساس مشخصات پرتكل TCP/IP تجزيه و تحليل مي شوند و در صورت مشخص شدن تغييرات در مشخصات اين پروتكل سيستم هشدار فعال مي شود .

انواع سيستم هاي تشخيص نفوذ

سيستم هاي تشخيص نفوذ تحت شبكه ( Network Based IDS) :

اينگونه از سيستم ها مانند يك جعبه سياه هستند كه در شبكه قرار گرفته و كارت شبكه آنها در حالت بي قيد ( Promiscuous) قرار مي گيرد و كليه ترافيك شبكه را دريافت و تجزيه و تحليل مي كند . مانند نرم افزار SNORT در سيستم عامل لينوكس.

سيستم هاي تشخيص نفوذ ميزبان ( Host Based IDS) :

اينگونه از سيستم ها با استفاده از مميزي ( audit) كردن

فايل هاي Log مربوط به يك رخداد بر روي هر سيستم فعاليت

مي كنند و اين رويداد ها را تجزيه و تحليل مي كنند . از اينگونه

از سيستم ها به دليل ايجاد بار كاري زياد براي هر سيستم ( CPU)

معمولا كمتر استفاده مي شود . نرم افزار اينگونه سيستم تشخصي

نفوذ بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود

و بصورت مجزا فعاليت مي كنند . مانند نرم افزار CSA: Cisco Security Agent.

پايش فايل ها (Log File Monitoring) :

در اين نوع سيستم از كليه رخداد هاي ( Event) هاي روي

سيستم هاي شبكه Log ‌برداري مي شود و همه اين Log ها به يك سرور

بر روي شبكه منتقل شده و از طريق آن مورد تجزيه و تحليل قرار مي گيرند.

جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص امنیت و سیستم های ضد نفوذ کلیک کنید.

چك كردن صحت و كامل بودن فايل ( File Integrity Checker) :

اينگونه سيستم ها معمولا براي تشخيص انواع تروجان و نرم افزارهايي بكار مي رود

كه باعث ايجاد تغييرات بر روي سيستم مي شوند ، در اين روش از هر فايل بر روي

سيستم يك هش ( Hash) گرفته مي شود و در داخل يك ژايگاه داده مركزي نگهداري

مي شود و در صورت بروز مشكل اين Hash با Hash فايل جديد مقايسه مي شود و در

صورت عدم تطابق اعلام اخطار مي شود . ماننده نرم افزار Tripwire كه از نوع SIV: System Integrity Verifier مي باشد.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا