IRCERT - ابزارها

صفحه اول > ابزارها

Snort، نمونه‌اي از يک ابزار تشخيص نفوذ شبکه‌اي

Snort يک نرم‌افزار تشخيص نفوذ به‌صورت کدباز است که بر روي محيط‌هاي Linux و Windows عرضه مي‌گردد و با توجه به رايگان بودن آن، به يکي از متداول‌ترين سيستم‌هاي تشخيص نفوذ شبکه‌هاي رايانه‌اي مبدل شده است. از آن‌جاکه براي معرفي آن نياز به معرفي کوتاه اين دسته از ابزارها داريم، ابتدا به مفاهيمي اوليه درباره‌ي ابزارهاي تشخيص نفوذ مي‌پردازيم، به عبارت ديگر معرفي اين نرم‌افزار بهانه‌اي است براي ذکر مقدمه‌اي در باب سيستم‌هاي تشخيص نفوذ.

Intrusion Detection System (IDS) يا سيستم تشخيص نفوذ به سخت‌افزار، نرم‌افزار يا تلفيقي از هر دو اطلاق مي‌گردد که در يک سيستم رايانه‌اي که مي‌تواند يک شبکه‌ي محلي يا گسترده باشد، وظيفه‌ي شناسايي تلاش‌هايي که براي حمله به شبکه صورت‌ مي‌گيرد و ايجاد اخطار احتمالي متعاقب حملات، را بر عهده دارد.

IDSها عملاً سه وظيفه‌ي کلي را برعهده دارند : پايش، تشخيص، واکنش. هرچند که واکنش در مورد IDSها عموماً به ايجاد اخطار، در قالب‌هاي مختلف، محدود مي‌گردد. هرچند دسته‌اي مشابه از ابزارهاي امنيتي به نام Intrusion Prevention System (IPS) وجود دارند که پس از پايش و تشخيص، بسته‌هاي حمله‌هاي احتمالي را حذف مي‌کنند. نکته‌اي که در اين ميان بايد متذکر شد، تفاوت و تقابل ميان Firewallها و IDSها است. از آن‌جاکه ماهيت عملکرد اين دو ابزار با يکديگر به کلي متفاوت است، هيچ‌يک از اين دو ابزار وظيفه‌ي ديگري را به طور کامل برعهده نمي‌گيرد، لذا تلفيقي از استفاده از هردو ابزار مي‌تواند امنيت کلي سيستم را بالا ببرد.

در حالت کلي IDSها را مي‌توان به دو دسته‌ي کلي تقسيم‌بندي نمود؛
Network IDS (NIDS) و Host IDS (HIDS).

HIDSها، اولين سيستم IDSي هستند که در يک سيستم رايانه‌اي بايد پياده‌سازي شود. معيار تشخيص حملات در اين سيستم‌ها، اطلاعات جمع‌آوري شده بر روي خادم‌هاي مختلف شبکه است. براي مثال اين سيستم با تحليل صورت عمليات انجام شده، ذخيره شده در پرونده‌هايي خاص، سعي در تشخيص تلاش‌هايي که براي نفوذ به خادم مذکورد انجام شده است دارد. اين تحليل‌ها مي‌تواند به صورت محلي بر روي خود خادم انجام گردد يا به سيستم تحليل‌گر ديگري براي بررسي ارسال شود. يک HIDS مي‌تواند تحليل اطلاعات بيش از يک خادم را بر عهده بگيرد.

با اين وجود، اگر نفوذ‌گر جمع‌آوري صورت عمليات انجام‌شده بر روي هريک از خادم‌هاي مورد نظر را به نحوي متوقف کند، HIDS در تشخيص نفوذ ناموفق خواهد بود و اين بزرگ‌ترين ضعف HIDS است.

NIDSها، به عنوان دومين نوع IDSها، در بسياري از موارد عملاً يک Sniffer هستند که با بررسي بسته‌ها و پروتکل‌هاي ارتباطات فعال، به جستجوي تلاش‌هايي که براي حمله صورت مي‌پذيرد مي‌باشند. به عبارت ديگر معيار NIDSها، تنها بسته‌هايي است که بر روي شبکه‌ها رد و بدل مي‌گردد. از آنجايي‌که NIDSها تشخيص را به يک سيستم منفرد محدود نمي‌کنند، عملاً گستردگي بيش‌تري داشته و فرايند تشخيص را به صورت توزيع‌شده انجام مي‌دهند. با اين وجود اين سيستم‌ها در رويايي با بسته‌هاي رمزشده و يا شبکه‌هايي با سرعت و ترافيک بالا کارايي خود را از دست مي‌دهند.

با معرفي انجام شده در مورد دو نوع اصلي IDSها و ضعف‌هاي عنوان شده براي هريک، واضح است که براي رسيدن به يک سيستم تشخيص نفوذ کامل، به‌ترين راه استفاده‌ي همزمان از هر دو نوع اين ابزارهاست.

Snort، در کامل‌ترين حالت نمونه‌اي از يک NIDS است. اين نرم‌افزار در سه حالت قابل برنامه‌ريزي مي‌باشد :

- حالت Sniffer

در اين حالت، اين نرم‌افزار تنها يک Sniffer ساده است و محتواي بسته‌هاي ردوبدل شده بر روي شبکه را بر روي کنسول نمايش مي‌دهد.

- حالت ثبت‌کننده‌ي بسته‌ها

Snort در اين وضعيت، اطلاعات بسته‌هاي شبکه را در پرونده‌اي که مشخص مي‌شود ذخيره مي‌کند.

- سيستم تشخيص نفوذ

در اين پيکربندي، بر اساس دو قابليت پيشين و با استفاده از قابليت تحليل بسته‌ها و قوانيني که تعيين مي‌گردد، Snort امکان پايش و تحليل بسته و تشخيص نفوذ را يافته و در صورت نياز واکنش تعيين شده را بروز مي‌دهد.

حالت پيش‌فرض خروجي اين ابزار فايلي متني است که مي‌تواند در آن ابتداي بسته‌ها را نيز درج کند. با اين وجود در صورتي‌که اين ابزار در حال فعاليت بر روي ارتباطات شبکه‌اي با سرعت بالا مي‌باشد به‌ترين راه استفاده از خروجي خام باينري و استفاده از ابزاري ثانويه براي تحليل و تبديل اطلاعات خروجي است.

بُعد ديگر از پيکربندي Snort به عنوان يک سيستم تشخيص نفوذ، استفاده از قوانين براي ايجاد معيار نفوذ براي Snort است. براي مثال مي‌توان با قانوني، Snort را مکلف ساخت که نسبت به دسترسي‌هاي انجام شده مبتني بر پروتکلي تعيين شده از/به يک پورت خاص و از/به يک مقصد معين با محتوايي شامل رشته‌اي خاص، اخطاري يا واکنشي ويژه را اعمال کند.

نکته‌اي که بايد در نظر داشت اين‌ است که از آن‌جاکه Snort را مي‌توان به گونه‌اي پيکربندي نمود که قابليت تشخيص حمله توسط ابزارهاي پويش پورت را نيز داشته باشد، لذا با وجود استفاده از Snort نيازي به استفاده از ابزاري ثانويه براي تشخيص پويش‌گرهاي پورت وجود ندارد.

همان‌گونه که گفته شد، Snort با قابليت‌هاي نسبتاً کاملي که در خود جاي داده‌است، به همراه رايگان بودن آن و قابليت نصب بر روي محيط‌ها و سيستم‌هاي عامل متدوال، به يکي از معمول‌ترين IDSهاي کنوني مبدل شده است. براي دريافت اين نرم‌افزار و همچنين اطلاعات جامعي در مورد آن مي‌توانيد به پايگاه اصلي آن، www.snort.org، مراجعه کنيد.