سال‌ جدید را با امنیت ‌آغاز ‌کنید

   (Intrusion Detection System   (IDS  یا سیستم تشخیص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق می‌شود که در یک سیستم رایانه‌ای که می‌تواند یک شبکه محلی یا گسترده باشد، وظیفه‌ شناسایی تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده داردIDS . ها عملاً سه وظیفه‌ کلی را برعهده دارند: پایش، تشخیص، واکنش. هرچند که واکنش در موردIDS ها عموماً به ایجاد اخطار، در قالب‌های مختلف، محدود می‌شود. هرچند دسته‌ای مشابه از ابزارهای امنیتی به نامIntrusion Prevention System    وجود دارند که پس از پایش و تشخیص، بسته‌های حمله‌های احتمالی را حذف می‌کنند.

نکته‌ای که در این میان باید متذکر شد، تفاوت و تقابل میانFirewall ها وIDS ها است. از آن‌جاکه ماهیت عمل‌کرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچ‌یک از این دو ابزار وظیفه‌ دیگری را به طور کامل برعهده نمی‌گیرد، لذا تلفیقی از استفاده از هردو ابزار می‌تواند امنیت کلی سیستم را بالا ببرد.

 در حالت کلیIDS  ها را می‌توان به دو دسته‌ کلی تقسیم‌بندی کرد:

(Network IDS (NIDS
( Host IDS (HIDS

 HIDS ها، اولین سیستمIDS  ی هستند که در یک سیستم رایانه‌ای باید پیاده‌سازی شود. معیار تشخیص حملات در این سیستم‌ها، اطلاعات جمع‌آوری شده بر روی خادم‌های مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پرونده‌هایی خاص، سعی در تشخیص تلاش‌هایی که برای نفوذ به خادم مذکور انجام شده است دارد.

این تحلیل‌ها می‌تواند به صورت محلی روی خود خادم انجام شود یا به سیستم تحلیل‌گر دیگری برای بررسی ارسال شود. یکHIDS  می‌تواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.

 با این وجود، اگر نفوذ‌گر جمع‌آوری صورت عملیات انجام ‌شده روی هریک از خادم‌های مورد نظر را به نحوی متوقف کند،HIDS   درتشخیص نفوذ ناموفق خواهد بود و این بزرگ‌ترین ضعفHIDS  استNIDS .ها، به عنوان دومین نوعIDS ها، در بسیاری از موارد عملاً یکSniffer   هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می پردازند.

به عبارت دیگر معیارNIDS ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن‌جایی‌کهNIDS ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گسترده‌گی بیش‌تری داشته و فرایند تشخیص را به صورت توزیع‌شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده یا شبکه‌هایی با سرعت و ترافیک بالا کارآیی خود را از دست می‌دهند. با معرفی انجام شده در مورد دو نوع اصلیIDS ها و ضعف‌های عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، بهترین راه استفاده همزمان از هر دو نوع این ابزارهاست.

Snort، در کامل‌ترین حالت نمونه‌ای از یکNIDS   است. این نرم‌افزار در سه حالت قابل برنامه‌ریزی است:

* حالتSniffer

در این حالت، این نرم‌افزار تنها یکSniffer   ساده است و محتوای بسته‌های ردوبدل شده بر روی شبکه را روی کنسول نمایش می‌دهد.

* حالت ثبت‌کننده بسته‌ها

Snort در این وضعیت، اطلاعات بسته‌های شبکه را در پرونده‌ای که مشخص می‌شود ذخیره می‌کند.

* سیستم تشخیص نفوذ

در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بسته‌ها و قوانینی که تعیین می‌گردد،Snort  امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و در صورت نیاز واکنش تعیین شده را به‌روز می‌دهد. حالت پیش‌فرض خروجی این ابزار فایلی متنی است که می‌تواند در آن ابتدای بسته‌ها را نیز درج کند. با این وجود در صورتی‌که این ابزار در حال فعالیت روی ارتباطات شبکه‌ای با سرعت بالا می‌باشد بهترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.

 بُعد دیگر از پیکربندیSnort  به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برایSnort   است. برای مثال می‌توان با قانونی،Snort  را مکلف ساخت که نسبت به دسترسی‌های انجام شده مبتنی بر پروتکلی تعیین شده از یک پورت خاص و از یک مقصد معین با محتوایی شامل رشته‌ای خاص، اخطاری یا واکنشی ویژه را اعمال کند.

 نکته‌ای که باید در نظر داشت این‌ است که از آن‌جاکهSnort   را می‌توان به گونه‌ای پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده ازSnort   نیازی به استفاده از ابزاری ثانویه برای تشخیص پویش‌گرهای پورت وجود ندارد.
 همان‌گونه که گفته شد،Snort  با قابلیت‌های نسبتاً کاملی که در خود جای داده‌است، به همراه رایگان بودن آن و قابلیت نصب بر روی محیط‌ها و سیستم‌های عامل متدوال، به یکی از معمول‌ترینIDS های کنونی مبدل شده است. برای دریافت این نرم‌افزار و همچنین اطلاعات جامعی در مورد آن می‌توانید به پایگاه اصلی آن www.snort.org   مراجعه کنید.

بهروز کمالیان‌