• توجه: در صورتی که از کاربران قدیمی ایران انجمن هستید و امکان ورود به سایت را ندارید، میتوانید با آیدی altin_admin@ در تلگرام تماس حاصل نمایید.

مفاهیم امنیت شبکه

Nethunter

متخصص بخش شبکه و اینترنت
با سلام خدمت دوستان عزیز

در این تاپیک درباره مفاهیم امنیت شبکه صحبت میکنیم و به روشهای امن سازی و ... میپردازیم

سوال در تاپیک سوال ویژه شبکه




منبع :آشیانه
 

Nethunter

متخصص بخش شبکه و اینترنت
در اولین گام به امنیت شبکه لایه بندی شده میپردازیم

توضیح :

امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .

رویکرد امنیت شبکه لایه بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند

رویکرد امنیتی شبکه لایه بندی شده در 5 لایه قابل تعریف میباشد :

1.پیرامون
2.شبکه
3.میزبان
4.برنامه کاربردی
5.دیتا


و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی لایه بندی شده میباشد .
محافظت از اطلاعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد .

افزودن به ضریب عملکرد هکرها :

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد work factor استفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه لایه بندی شده دارد . ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن در شبکه میشود . شبکه با work factor بالا به سختی مورد دستبرد قرار میگیرد


در زیر مدل امنیت لایه بندی شده در زیر امده :

پیرامون:

فایروال ، انتی ویروس در سطح شبکه
رمزنگاری شبکه خصوصی مجازی

شبکه :

سیستم تشخیص / جلوگیری از نفوز IDS/IPS
سیستم مدیریت اسیب پذیری
تبعیت امنیتی کابر انتهایی
کنترول دسترسی / تایید هویت کاربر

میزبان :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
تبعیت امنیتی کاربرانتهایی
انتی ویروس
کنترول دسترسی / تایید هویت کاربر

برنامه کاربردی :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
کنترول دسترسی / تایید هویت کاربر
تعیین صحت ورودی

داده :

رمزنگاری
کنترل دسترسی / تایید هویت کاربر
 

Nethunter

متخصص بخش شبکه و اینترنت
در این بخش به لایه های امنیتی میپردازیم :

امنیت پیرامون :

منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است .
پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ کننده شبکه میباشد .
در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون قرار دارند
بعنوان DMZ Demilitarized Zone شناخته میشوند . DMZ معمولا وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور های DNS را در بر میگیرد که باید در معرض اینترنت باشند . فایروال قوانین سفت و سختی در مورد اینکه چه چیزی وارد شبکه بشود و چگونه سرورها در DMZ میتوانند با اینترنت و شبکه داخلی تعامل داشته باشند را دارد .

تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند :

فایروال – معمولا یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد
1 . کنترول ترافیک 2 . تبدیل ادرس 3 . نقطه پایانی وی پی ان .

فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعلاوه فایروال به شبکه امن در تبدیل ادرسهای ip داخلی به ادرش های قابل رویت در اینترنت کمک میکند . این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه پایانی تونل وی پی ان عمل میکند

انتی ویروس شبکه – این نرم افزار در DMZ نصب میشود و محتوای ایمیل های وارد شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند . این انتی ویروس ها ایمیل های الوده SPAM را بلاک کرده و به مدیران شبکه خبر میدهد . انتی ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های مجزا صورت میگیرد

وی پی ان - یک شبکه اختصاصی مجازی وی پی ان از رمزنگاری سطح بالایی برای ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده میکنند .
وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک مسیریاب بر پایه وی پی ان فایروال با یک سرور در ناحیه DMZ پایان پذیرد . برقراری ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا اسان و ارزان پیاده سازی میشود .

مزایا و معایب :

تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند
 

Nethunter

متخصص بخش شبکه و اینترنت
لایه امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به wan ,lan داخلی شما اشاره دارد .
شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید .

تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند :

ids ها (سیستم تشخیص نفوز ) و ipsها (سیستم جلوگیری از نفوز )
تکنولوژی ids و isp ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل میکنند .
مشابه سیستم انتی ویروس ابزارهای ids , ips ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته مقایسه میکنند . هنگامی که حملات تشخیص داده میشود این ابزار وارد عمل شده .
ابزارهای ids مسوولین it را از وقوع یک حمله مطلع میکند ابزارهای ips یک گام جلوتر رفته و به طور خودکار ترافیک اسیب رسان را مسدود میکند .
ids ها و ips ها مشخصات مشترک زیادی دارند در حقیقت بیشتر ips ها در هسته خود یک ids دارند تفاوت کلیدی بین این دو تکنولوژی ها از نام انها استنباط میشود و محصولات ids تنها ترافیک اسیب رسان را تشخیص میدهند در حالیکه محصولات ips از ورود چنین ترافیکی به شبکه شما جلوگیری میکنند .

مدیریت اسیب پذیری – سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام میدهند :
شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت میکنند در گذشته این تکنولوژی va (تخمین اسیب پذیری ) نامیده میشود اما این تکنولوژی اصلاح شده است و بیشتر سیستم های موجود عملی بیش از va انجام میدهند .
سیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای data base از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم روند باسازی را مدیریت میکند

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای وی پی ان, ras میگیرد . روشهای امنیت نقاط اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند .

کنترول دسترسی / تایید هویت – کنترول دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد . معمولا تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند.

مزایا :

تکنولوژی های ids,ips و مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور می دهند ابزار ips و ids تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح بالاتری را از امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعلاوه شبکه ساختار پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح بالاتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند .

معایب :

ids تمایل به تولید تعداد زیادی علائم هشدار غلط دارند که به عنوان false positives نیز شناخته میشوند در حالیکه ids ممکن است که یک حمله را کشف و به اطلاع شما برسانند . مدیران ids ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط از دست بدهند برای تاثیر گذاری بالا یک ids باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و اسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار ips ها میتواند میزان زیادی در میان محصولات متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند .
 

Nethunter

متخصص بخش شبکه و اینترنت
لایه امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .
هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود .

تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند :

ids در سطح میزبان – ids های سطح میزبان عملیاتی مشابه ids های شبکه انجام میدهند ، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است . Ids های سطح میزبان برای مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه بالایی از مراقبت را فراهم میکنند .

va (تخمین اسیب پذیری ) سطح میزبان – ابزارهای va سطح میزبان یک ابزار شبکه مجزا را برای اسیب پذیری های امنیتی پویش میکنند . دارای دقت بالایی میباشد و از انجایی که va ها بطور مشخص برای ابزار میزبان پیکربندی میشوند .

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز بودن فایروال ها و انتی ویروس ها رسیدگی میکنند .

انتی ویروس – هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس های شبکه استفاده میشوند لایه اضافه ای برای محافظت فراهم میکنند .

کنترول دسترسی / تصدیق هویت – ابزار کنترول دسترسی در سطح ابزار یک روش مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح بالایی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی میزبان وجود دارد .
 

Nethunter

متخصص بخش شبکه و اینترنت
لایه امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، رمزنگاری دیتا هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند .
تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند :

رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل pki,pgp,rsa هستند

کنترول دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها کابران مجاز دسترسی به دیتا خواهد داشت .
 

Nethunter

متخصص بخش شبکه و اینترنت
جمع بندی :

دفاع در مقابل تهدیدها و حملات معمول

قسمت گذشته نشان میدهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و موثر شرکت میکند .

برخی حملات معمول شامل موار زیر می باشد :

حملات به وب سرور – حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریبا برای هر وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات dos امروزه حملات به وب سرور یکی از معمول ترین حملات هستند . Code rd , nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی برخوردارند .

بازپخش ایمیل ها بصورت نامجاز – سرورهای ایمیلی که به صورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص هستند .

دستکاری میزبان دور در سطح سیستم – تعدادی از اسیب پذیری ها یک سیستم را از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد .

فراهم بودن سرویس های اینترنتی غیر مجاز – توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا میبرند اغلب چنین سرویس هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند .

تشخیص فعالیت ویروسی – در حالی که برنامه ضد ویروسی در تشخیص ویروس ها مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط بکارگیری یک برنامه تشخیص نفوز یا ids شبکه برای تشخیص این نوع فعالیت بسیار مناسب است .
 

Nethunter

متخصص بخش شبکه و اینترنت
مقدمه ای بر تشخیص نفوز intrusion detection

تشخیص نفوز عبارت است از پردازه تشخیص تلاش های که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد .

سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حملات حملات برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است .

دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند به سرعت رفتار میشوند .
به همین دلیل است که بیشتر سیستم های تشخیص نفوز ids بر مکانیزم هایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند
البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد .

انواع حملات شبکه ای با توجه به طریقه حمله

یک نفوذ به شبکه معمولا یک حمله قلمداد میشود . حملات شبکه ای را میتوان بسته به چگونگی انجام ان به دو گروه اصلی تقسیم کرد یک حمله شبکه ای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد این اهداف معمولا از کار انداختن سرویس dos یا denial of service یا دسترسی غیر مجاز به منابع شبکه است .

حملات از کار انداختن سرویس

در این نوع حملات هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

حملات دسترسی شبکه

در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند .
برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده میکند تا در صورت شناسایی مبدا ، خود گرفتار نشود .

دسترسی به شبکه را میتوان به دو گروه تقسیم کرد :

دسترسی به داده – در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرند
سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد ، این روش تعدیل امتیاز یا PRIVILEGE ESCALATION مشهور است .

دسترسی به سیستم – این نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها دسترسی پیدا میکند.
این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد .

همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند حملات اسب تروا ها ، BRUTE FORCE و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند

فعالیت مهمی که معمولا پیش از حملات DOS و دسترسی به شبکه انجام میشود شناسایی یا RECONNAISSANCE است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حملات مختلف بر روی انها بررسی میکنند .
 

Nethunter

متخصص بخش شبکه و اینترنت
انواع حملات شبکه ای با توجه به حمله کننده

حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :

1 – حملات انجام شده توسط کاربر مورد اعتماد – داخلی - : این حمله یکی از مهمترین و خطرناکترین نوع حملات است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند .

2 – حملات انجام شده توسط افراد غیر معتمد – خارجی - : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد . این افراد معمولا سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .

3 – حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .

4 – حملات انجام شده توسط کاربران مجرب : هکرهای باتجربه و حرفه ای در نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشود انها معمولا پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند .

5 پردازش تشخیص نفوز – تا بحال با انواع حملات اشنا شدیم . حالا باید چگونگی شناسایی حملات و جلوگیری از انها را بشناسیم .

امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد :

ids مبتنی بر خلاف قاعده اماری

ids مبتنی بر امضا یا تطبیق الگو


روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان host اجرا میشود لذا در صورت بروز یک نفوذ امکان تشخیص ان به علت خلاف معمول بودن ان وجود دارد اما بسیاری از حملات به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .

در واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود ids مبتنی بر امضا یا تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود هر امضا دارای اطلاعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت .

هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد ids علاوه بر اگاه کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند
 

Nethunter

متخصص بخش شبکه و اینترنت
مقایسه تشخیص نفوذ و پیش گیری از نفوذ

intrusion prevention

ایده پیش گیری از نفوذ این است کخ تمام حملات علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .

تفاوت شکلی تشخیص با پیش گیری

در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست بالایی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش های tcp ، ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود .

یک ips intrusion prevention system یا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش تعیین شده اجازه عبور میدهد .

یک ids intrusion detection system یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی های خود را انجام میدهند .
 

Nethunter

متخصص بخش شبکه و اینترنت
تشخیص نفوذ

هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد :


  1. حملات شناخته شده از طریق امظا ها و قوانین
  2. تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
  3. تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
  4. تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
  5. تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده


بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند

پیش گیری از نفوز

چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .

شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند

قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :

برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی

بسته ای دیتای متعلق به حمله با استفاده از فیلترهای بسته های داده ای سرعت بالا

سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند

حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه

سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها

بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع

تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد


نتیجه نهایی

تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است

از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .
 
بالا