مقدمه اي بر تشخيص نفوذ (Intrusion
Detection)
تشخيص نفوذ عبارت است از پردازه تشخيص تلاشهايي كه جهت دسترسي
غيرمجاز به يك شبكه يا كاهش كارايي آن انجام مي شوند.در تشخيص
نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيدا كرد. سپس
بنابر درك بدست آمده،
روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه
مطمئن شويد كه الگوي عمومي فعاليتهاي خطرناك تشخيص داده شده است.
دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه در طبقه
بندي مشترك حملات نمي گنجند، به سرعت رفتار مي شود.به همين دليل
است كه بيشتر سيستم هاي تشخيص نفوذ (IDS)
بر مكانيزمهايي جهت بروزرساني نرم افزارشان متكي هستند كه جهت
جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص
نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد
تا بتوان به شيوه مناسبي با وي نيز برخورد كرد.
انواع حملات شبكه اي با توجه به طريقه حمله
يك
نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي
توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك
حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص
كرد. اين اهداف معمولا از كار انداختن سرويس (DOS
يا
Denial of Service)
يا دسترسي غيرمجاز به منابع شبكه است.
1-
حملات از كار انداختن سرويس
در
اين نوع حملات ، هكر استفاده از سرويس ارائه شده توسط ارائه
كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم
بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان
خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به
درخواستهاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران
واقعي باز مي ماند.
2-
حملات دسترسي به شبكه
در
اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را
پيدا مي كند و از اين امكان براي انجام فعاليتهاي غيرمجاز و حتي
غيرقانوني استفاده مي كند. براي مثال از شبكه به عنوان مبدا
حملات
DOS
خود استفاده مي كند تا درصورت شناسايي مبدا، خود گرفتار نشود.
دسترسي به شبكه را مي توان به دو گروه تقسيم كرد.
الف– دسترسي به داده : در اين نوع دسترسي ، نفوذگر به داده موجود
بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي كند. حمله كننده مي
تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده هاي
ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرار مي
گيرد و سايرين حق دسترسي به آنها را ندارند. در واقع سايرين
امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما مي
توان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه
دسترسي پيدا كرد. اين روش به تعديل امتياز يا
Privilege Escalation
مشهور است.
ب-
دسترسي به سيستم : اين نوع حمله خطرناكتر و بدتر است و طي آن
حمله كننده به منابع سيستم و دستگاهها دسترسي پيدا مي كند. اين
دسترسي مي تواند شامل اجراي برنامه ها بر روي سيستم و به كار
گيري منابع آن در جهت اجراي دستورات حمله كننده باشد. همچنين
حمله كننده مي تواند به تجهيزات شبكه مانند دوربينها ، پرينترها
و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب ترواها ،
Brute
Force
و يا استفاده از ابزارهايي جهت تشخيص نقاط ضعف يك نرم افزار نصب
شده بر روي سيستم از جمله نمونه هاي قابل ذكر از اين نوع حملات
هستند.
فعاليت مهمي كه معمولا پيش از حملات
DoS
و دسترسي به شبكه انجام مي شود، شناسايي يا
reconnaissance
است. يك حمله كننده از اين فاز جهتي افتن حفره هاي امنيتي و نقاط
ضعف شبكه استفاده مي كند. اين كار مي تواند به كمك بعضي ابزارها
آماده انجام پذيرد كه به بررسي پورتهاي رايانه هاي موجود بر روي
شبكه مي پردازند و آمادگي آنها را جهت انجام حملات مختلف بر روي
آنها بررسي مي كنند.
انواع حملات شبكه اي با توجه به حمله كننده
حملات شبكه اي را مي توان با توجه به حمله كننده به چهار گروه
تقسيم كرد :
1-
حملات انجام شده توسط كاربر مورد اعتماد (داخلي) : اين حمله يكي
از مهمترين و خطرناكترين نوع حملات است، چون از يك طرف كاربر به
منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياستهاي امنيتي
معمولا محدوديتهاي كافي درباره اين كاربران اعمال نمي
كنند.
2-
حملات انجام شده توسط افراد غير معتمد (خارجي) : اين معمولترين
نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را
مورد حمله قرار مي دهد. اين افراد معمولا سخت ترين راه را پيش رو
دارند زيرا بيشتر سياستهاي امنيتي درباره اين افراد تنظيم شده
اند
3-
حملات انجام شده توسط هكرهاي بي تجربه : بسياري از ابزارهاي حمله
و نفوذ بر روي اينترنت وجود دارند. در واقع بسياري از افراد مي
توانند بدون تجربه خاصي و تنها با استفاده از ابزارهاي آماده
براي شبكه ايجاد مشكل كنند.
4-
حملات انجام شده توسط كاربران مجرب : هكرهاي با تجربه و حرفه اي
در نوشتن انواع كدهاي خطرناك متبحرند. آنها از شبكه و پروتكلهاي
آن و همچنين از انواع سيستم هاي عمل آگاهي كامل دارند. معمولا
اين افراد ابزارهايي توليد مي كنند كه توسط گروه اول به كار
گرفته مي شوند. آنها معمولا پيش از هر حمله ، آگاهي كافي درباره
قرباني خود كسب مي كنند.
پردازه تشخيص نفوذ
تا
بحال با انواع حملات آشنا شديم. حال بايد چگونگي شناسايي حملات و
جلوگيري از آنها را بشناسيم. امروزه دو روش اصلي براي تشخيص نفوذ
به شبكه ها مورد استفاده قرار مي گيرد:
1-
IDS
مبتني بر خلاف قاعده آماري
2-
IDS
مبتني بر امضا يا تطبيق الگو
روش اول مبتني بر تعيين آستانه انواع فعاليتها بر روي شبكه است،
مثلا چند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك
ميزبان (host)
اجرا مي شود.لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت
خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونه اي
هستند كه نمي توان براحتي و با كمك اين روش آنها را تشخيص داد.
در
واقع روشي كه در بيشتر سيستمهاي موفق تشخيص نفوذ به كار گرفته مي
شود،
IDS
مبتني بر امضا يا تطبيق الگو است.منظور از امضا مجموعه قواعدي
است كه يك حمله در حال انجام را تشخيص مي دهد. دستگاهي كه قرار
است نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود.هر
امضا داراي اطلاعاتي است كه نشان مي دهد در داده هاي در حال عبور
بايد به دنبال چه فعاليتهايي گشت. هرگاه ترافيك در حال عبور با
الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي شود و مدير
شبكه را از وقوع يك نفوذ آگاه مي كند. در بسياري از موارد
IDS
علاوه بر آگاه كردن مدير شبكه، اتصال با هكر را بازآغازي مي كند
و يا با كمك يك فايروال و انجام عمليات كنترل دسترسي با نفوذ
بيشتر مقابله مي كند.
اما بهترين روش براي تشخيص نفوذ ، استفاده از تركيبي از دو روش
فوق است.
|