در گفتگو با جامجم آنلاین مطرح شد
(Intrusion Detection System (IDS یا سیستم تشخیص نفوذ به سختافزار، نرمافزار یا تلفیقی از هر دو اطلاق میشود که در یک سیستم رایانهای که میتواند یک شبکه محلی یا گسترده باشد، وظیفه شناسایی تلاشهایی که برای حمله به شبکه صورت میگیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده داردIDS . ها عملاً سه وظیفه کلی را برعهده دارند: پایش، تشخیص، واکنش. هرچند که واکنش در موردIDS ها عموماً به ایجاد اخطار، در قالبهای مختلف، محدود میشود. هرچند دستهای مشابه از ابزارهای امنیتی به نامIntrusion Prevention System وجود دارند که پس از پایش و تشخیص، بستههای حملههای احتمالی را حذف میکنند.
نکتهای که در این میان باید متذکر شد، تفاوت و تقابل میانFirewall ها وIDS ها است. از آنجاکه ماهیت عملکرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچیک از این دو ابزار وظیفه دیگری را به طور کامل برعهده نمیگیرد، لذا تلفیقی از استفاده از هردو ابزار میتواند امنیت کلی سیستم را بالا ببرد.
در حالت کلیIDS ها را میتوان به دو دسته کلی تقسیمبندی کرد:
(Network IDS (NIDS
( Host IDS (HIDS
HIDS ها، اولین سیستمIDS ی هستند که در یک سیستم رایانهای باید پیادهسازی شود. معیار تشخیص حملات در این سیستمها، اطلاعات جمعآوری شده بر روی خادمهای مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پروندههایی خاص، سعی در تشخیص تلاشهایی که برای نفوذ به خادم مذکور انجام شده است دارد.
این تحلیلها میتواند به صورت محلی روی خود خادم انجام شود یا به سیستم تحلیلگر دیگری برای بررسی ارسال شود. یکHIDS میتواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.
با این وجود، اگر نفوذگر جمعآوری صورت عملیات انجام شده روی هریک از خادمهای مورد نظر را به نحوی متوقف کند،HIDS درتشخیص نفوذ ناموفق خواهد بود و این بزرگترین ضعفHIDS استNIDS .ها، به عنوان دومین نوعIDS ها، در بسیاری از موارد عملاً یکSniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد می پردازند.
به عبارت دیگر معیارNIDS ها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آنجاییکهNIDS ها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردهگی بیشتری داشته و فرایند تشخیص را به صورت توزیعشده انجام میدهند. با این وجود این سیستمها در رویایی با بستههای رمزشده یا شبکههایی با سرعت و ترافیک بالا کارآیی خود را از دست میدهند. با معرفی انجام شده در مورد دو نوع اصلیIDS ها و ضعفهای عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، بهترین راه استفاده همزمان از هر دو نوع این ابزارهاست.
Snort، در کاملترین حالت نمونهای از یکNIDS است. این نرمافزار در سه حالت قابل برنامهریزی است:
* حالتSniffer
در این حالت، این نرمافزار تنها یکSniffer ساده است و محتوای بستههای ردوبدل شده بر روی شبکه را روی کنسول نمایش میدهد.
* حالت ثبتکننده بستهها
Snort در این وضعیت، اطلاعات بستههای شبکه را در پروندهای که مشخص میشود ذخیره میکند.
* سیستم تشخیص نفوذ
در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بستهها و قوانینی که تعیین میگردد،Snort امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و در صورت نیاز واکنش تعیین شده را بهروز میدهد. حالت پیشفرض خروجی این ابزار فایلی متنی است که میتواند در آن ابتدای بستهها را نیز درج کند. با این وجود در صورتیکه این ابزار در حال فعالیت روی ارتباطات شبکهای با سرعت بالا میباشد بهترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.
بُعد دیگر از پیکربندیSnort به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برایSnort است. برای مثال میتوان با قانونی،Snort را مکلف ساخت که نسبت به دسترسیهای انجام شده مبتنی بر پروتکلی تعیین شده از یک پورت خاص و از یک مقصد معین با محتوایی شامل رشتهای خاص، اخطاری یا واکنشی ویژه را اعمال کند.
نکتهای که باید در نظر داشت این است که از آنجاکهSnort را میتوان به گونهای پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده ازSnort نیازی به استفاده از ابزاری ثانویه برای تشخیص پویشگرهای پورت وجود ندارد.
همانگونه که گفته شد،Snort با قابلیتهای نسبتاً کاملی که در خود جای دادهاست، به همراه رایگان بودن آن و قابلیت نصب بر روی محیطها و سیستمهای عامل متدوال، به یکی از معمولترینIDS های کنونی مبدل شده است. برای دریافت این نرمافزار و همچنین اطلاعات جامعی در مورد آن میتوانید به پایگاه اصلی آن www.snort.org مراجعه کنید.
بهروز کمالیان
در گفتگو با جامجم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جامجم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد