امنیت شبکه(IDS و IPS)
سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی اشاره دارد. شبکه داخلی ممکن است شامل چند کامپیوتر و سرور و یا پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند.
تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند
IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) :تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار
ترافیک آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی هااین است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند
IDS چیست؟
IDS یك سیستم محافظتی است كه خرابكاریهای در حال وقوع روی شبكه را شناسایی می كند.
روش كار به این صورت است كه با استفاده از تشخیص نفوذ كه شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری كنترل كامپیوترها و نهایتا هك كردن می باشد ، می تواند نفوذ خرابكاریها را گزارش و كنترل كند.
از قابلیتهای دیگر IDS ، امكان تشخیص ترافیك غیرمتعارف از بیرون به داخل شبكه و اعلام آن به مدیر شبكه و یا بستن ارتباطهای مشكوك و مظنون می باشد.
ابزار IDS قابلیت تشخیص حملات از طرف كاربران داخلی و كاربران خارجی را دارد.
بر خلاف نظر عمومی كه معتقدند هر نرم افزاری را می توان به جای IDS استفاده كرد، دستگاههای امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
1 - سیستم هایی كه برای ثبت وقابع شبكه مورد استفاده قرار می گیرند مانند : دستگاههایی كه برای تشخیص آسیب پذیری در جهت از كار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
2- ابزارهای ارزیابی آسیب پذیری كه خطاها و یا ضعف در تنظیمات را گزارش می دهند.
3- نرم افزارهای ضدویروس كه برای تشخیص انواع كرمها، ویروسها و به طوركلی نرم افزارهای خطرناك تهیه شده اند.
4- دیواره آتش (Firewall )
5- مكانیزمهای امنیتی مانند SSL ، VPN و Radius و ...
چرا دیواره آتش به تنهایی كافی نیست ؟
به دلایل زیر دیواره های آتش نمی توانند امنیت شبكه را به طور كامل تامین كنند :
1. چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
2. تمام تهدیدات خارج از دیواره آتش نیستند.
3. امنیت كمتر در برابر حملاتی كه توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند
Active ، Java Applet، Virus Programs
تكنولوژی IDS
NIDS (Network Base)
گوش دادن به شبكه و جمع آوری اطلاعات ازطریق كارت شبكه ای كه در آن شبكه وجود دارد .
به تمامی ترافیك های موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS (Host Base)
تعداد زیادی از شركتها در زمینه تولید این نوع IDS فعالیت می كنند.روی PC نصب می شود و از CPU و هارد سیستم استفاده می كنند.دارای اعلان خطر در لحظه می باشد.
جمع آوری اطلاعات در لایه Application
مثال این نوع IDS ، نرم افزارهای مدیریتی می باشند كه ثبت وقایع را تولید و كنترل می كنند.
Honey pot
سیستمی می باشد كه عملا طوری تنظیم شده است كه در معرض حمله قرار بگیرد. اگر یك پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد كه گرفتار یك Honey pot شده است. و خرابكاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابكاریی ها برای امن كردن شبكه استفاده كرد.
Honey pot چیست؟
Honeypotها یك تكنولوژی جدید می باشند که قابلیتهای فراوانی برای جامعه امنیتی دارند. البته مفهوم آن در ابتدا به صورتهای مختلفی تعریف شده بود به خصوص توسط Cliff Stoll در كتاب « The CuckoosEgg » . از آنجا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسیله ابزارهای امنیتی قوی توسعه یافتند و رشد آنها تا به امروز ادامه داشته است. هدف این مقاله تعریف و شرح واقعی Honeypot می باشد و بیان منفعت ها و مضرات آنها و اینكه آنها در امنیت چه ارزشی برای ما دارند.
تعریف
قدم اول در فهم اینكه Honeypot چه می باشند بیان تعریفی جامع از آن است. تعریف Honeypot می تواند سخت تر از آنچه كه به نظر می رسد باشد. Honeypot ها از این جهت كه هیچ مشكلی را برای ما حل نمی كنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند. در عوض آنها یك ابزار قابل انعطافی می باشند كه به شكلهای مختلفی قابل استفاده هستند.آنها هر كاری را می توانند انجام دهند از كشف حملات پنهانی در شبكه های IPv6 تا ضبط آخرین كارت اعتباری جعل شده! و همین انعطاف پذیریها باعث شده است كه Honeypot ها ابزارهایی قوی به نظر برسند و از جهتی نیز غیر قابل تعریف و غیر قابل فهم!!
البته من برای فهم Honeypot ها از تعریف زیر استفاده می كنم:
یک Honeypot یك منبع سیستم اطلاعاتی می باشد كه با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
. به صورت كلی تمامی Honeypot ها به همین صورت كار می كنند. آنها یك منبعی از فعالیتها بدون مجوز می باشند. به صورت تئوری یك Honeypot نباید هیچ ترافیكی از شبكه ما را اشغال كند زیرا آنها هیچ فعالیت قانونی ندارند. این بدان معنی است كه تراكنش های با یك Honeypot تقریبا تراكنش های بی مجوز و یا فعالیتهای بد اندیشانه می باشد. یعنی هر ارتباط با یك Honeypot می تواند یك دزدی ، حمله و یا یك تصفیه حساب می باشد. حال آنكه مفهوم آن ساده به نظر می رسد ( و همین طور هم است) و همین سادگی باعث این هم موارد استفاده شگفت انگیز از Honeypot ها شده است كه من در این مقاله قصد روشن كردن این موارد را دارم.
فواید Honeypot ها
Honeypot مفهوم بسیار ساده ای دارد ولی دارای توانایی های قدرتمندی می باشد.
1. داده های كوچك دارای ارزش فراوان: Honeypot ها یك حجم كوچكی ار داده ها را جمع آوری می كنند. به جای اینكه ما در یك روز چندین گیگابایت اطلاعات را در فایلهای ثبت رویدادها ذخیره كنیم توسط Honeypot فقط در حد چندین مگابایت باید ذخیره كنیم. به جای تولید 10000 زنگ خطر در یك روز آنها فقط 1 زنگ خطر را تولید می كنند. یادتان باشد كه Honeypot ها فقط فعالیتهای ناجور را ثبت می كنند و هر ارتباطی با Honeypot می تواند یك فعالیت بدون مجوز و یا بداندیشانه باشد. و به همین دلیل می باشد كه اطلاعات هر چند كوچك Honeypot ها دارای ارزش زیادی می باشد زیرا كه آنها توسط افراد بد ذات تولید شده و توسط Honeypot ضبط شده است. این بدان معنا می باشد كه تجزیه و تحلیل اطلاعات یك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلی می باشد.
2. ابزار و تاكتیكی جدید : Honeypot برای این طراحی شده اند كه هر چیزی كه به سمت آنها جذب می شود را ذخیره كنند. با ابزارها و تاكتیكهای جدیدی كه قبلا دیده نشده اند.
3. كمترین احتیاجات: Honeypot ها به كمترین احتیاجات نیاز دارند زیرا كه آنها فقط فعالیتهای ناجور را به ثبت می رسانند. بنابراین با یك پنتیوم قدیمی و با 128 مگابایت RAM و یك شبكه با رنج B به راحتی می توان آن را پیاده سازی كرد.
4. رمز كردن یا IPv6 : بر خلاف برخی تكنولوژیهای امنیتی (مانند IDS ها ) Honeypot خیلی خوب با محیطهای رمز شده و یا IPv6 كار می كنند. این مساله مهم نیست كه یك فرد ناجور چگونه در یك Honeypot گرفتار می شود زیرا Honeypot ها خود می توانند آنها را شناخته و فعالیتهای آنان را ثبت كنند.
مضرات Honeypot ها
شبیه تمامی تكنولوژیها ، Honeypot ها نیز دارای نقاط ضعفی می باشند. این بدان علت می باشد كه Honeypot ها جایگزین تكنولوژی دیگری نمی شوند بلكه در كنار تكنولوژیهای دیگر كار می كنند.
1- محدودیت دید : Honeypot ها فقط فعایتهایی را می توانند پیگیری و ثبت كنند كه به صورت مستقیم با آنها در ارتباط باشند. Honeypot حملاتی كه بر علیه سیستمهای دیگر در حال انجام است را نمی توانند ثبت كنند به جز اینكه نفوذگر و یا آن تهدید فعل و انفعالی را با Honeypot داشته باشد.
2- ریسك : همه تكنولوژیهای امنیتی دارای ریسك می باشند. دیوارهای آتش ریسك نفوذ و یا رخنه كردن در آن را دارند. رمزنگاری ریسك شكستن رمز را دارد، IDS ها ممكن است نتوانند یك حمله را تشخیص دهند. Honeypot ها مجزای از اینها نیستند. آنها نیز دارای ریسك می باشند. به خصوص اینكه Honeypot ها ممكن است كه ریسك به دست گرفتن كنترل سیستم توسط یك فرد هكر و صدمه زدن به سیستمهای دیگر را داشته باشند. البته این ریسكها برای انواع مختلف Honeypot ها فرق می كند و بسته به اینكه چه نوعی از Honeypot را استفاده می كنید نوع و اندازه ریسك شما نیز متفاوت می باشد.ممكن است استفاده از یك نوع آن ، ریسكی كمتر از IDS ها داشته باشد و استفاده از نوعی دیگر ریسك بسیار زیادی را در پی داشته باشد.ما در ادامه مشخص خواهیم كرد كه چه نوعی از Honeypot ها دارای چه سطحی از ریسك می باشند.
تفاوت شکلی تشخیص با پیش گیری
در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال، آنها لیست بلندبالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به حفظ وضعیت، گردآوری بخش های TCP، ارزیابی پروتکل و تطبیق امضاء دارند. اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته می شوند. یک IPS (Intrusion Prevention System) یا سیستم پیش گیری مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک IDS (Intrusion Detection System) یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.
تشخیص نفوذ
هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه است. این سیستم روی بسته های داده که از ابزار کنترل دسترسی عبور کرده اند، عمل می کند. به دلیل وجود محدودیت های اطمینان پذیری، تهدیدهای داخلی و وجود شک و تردید مورد نیاز، پیش گیری از نفوذ باید به بعضی از موارد مشکوک به حمله اجازه عبور دهد تا احتمال تشخیص های غلط (false positive) کاهش یابد. از طرف دیگر، روش های IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه، نفوذها و سوء استفاده ها بهره می گیرند. یک IDS معمولاً به گونه ای از پهنای باند استفاده می کند که می تواند بدون تأثیر گذاشتن روی معماری های محاسباتی و شبکه ای به کار خود ادامه دهد.
طبیعت منفعل IDS آن چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته ها را ایجاد می کند. همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار می دهد:
حملات شناخته شدهv از طریق امضاءها و قوانین
تغییرات در حجم و جهت ترافیک با استفاده ازv قوانین پیچیده و تحلیل آماری
تغییرات الگوی ترافیک ارتباطی با استفاده ازv تحلیل جریان
تشخیص فعالیت غیرعادی با استفاده از تحلیل انحرافv معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان وv تشخیص خلاف قاعده
بعضی حملات تا درجه ای از یقین بسختی قابل تشخیص هستند، و بیشتر آنها فقط می توانند توسط روش هایی که دارای طبیعت غیرقطعی هستند تشخیص داده شوند. یعنی این روش ها برای تصمیم گیری مسدودسازی براساس سیاست مناسب نیستند.
پیش گیری از نفوذ
چنانچه قبلاً هم ذکر شد، روش های پیش گیری از نفوذ به منظور محافظت از دارایی ها، منابع، داده و شبکه ها استفاده می شوند. انتظار اصلی از آنها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار می دهند. هدف نهایی یک سیستم کامل است- یعنی نه تشخیص غلط حمله (false positive) که از بازدهی شبکه می کاهد و نه عدم تشخیص حمله (falsenegative) که باعث ریسک بی مورد در محیط شبکه شود. شاید یک نقش اساسی تر نیاز به مطمئن بودن است؛ یعنی فعالیت به روش مورد انتظار تحت هر شرایطی. بمنظور حصول این منظور، روش های IPS باید طبیعت قطعی (deterministic) داشته باشند.
قابلیت های قطعی، اطمینان مورد نیاز برای تصمیم گیری های سخت را ایجاد می کند. به این معنی که روش های پیش گیری از نفوذ برای سروکار داشتن با موارد زیر ایده آل هستند:
v برنامه های ناخواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی، با استفاده از قوانین قطعی و لیست های کنترل دسترسی
بسته های دیتای متعلق بهv حمله با استفاده از فیلترهای بسته داده ای سرعت بالا
سوءاستفاده ازv پروتکل و دستکاری پروتکل شبکه با استفاده از بازسازی هوشمند
حملاتvDoS/DDoS مانند طغیان SYN و ICMP با استفاده از الگوریتم های فیلترینگ برپایه حد آستانه
سوءاستفاده از برنامه ها و دستکاری های پروتکل ـ حملات شناخته شدهv و شناخته نشده علیه HTTP، FTP، DNS، SMTP و غیره با استفاده از قوانین پروتکل برنامه ها و امضاءها
باراضافی برنامه ها با استفاده از ایجاد محدودیت هایv مصرف منابع
تمام این حملات و وضعیت آسیب پذیری که به آنها اجازه وقوع می دهد به خوبی مستندسازی شده اند. بعلاوه، انحرافات از پروتکل های ارتباطی از لایه شبکه تا لایه برنامه جایگاهی در هیچ گونه ترافیک صحیح ندارند.
در نتیجه اینکه تفاوت بین IDS و IPS به فلسفه جبرگرایی می انجامد. یعنی IDS می تواند (و باید) از روش های غیرقطعی برای استنباط هرنوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند IDS به درد افرادی می خورد که واقعاً می خواهند بدانند چه چیزی در شبکه شان در حال رخ دادن است. از طرف دیگر، IPS باید در تمام تصمیماتش برای انجام وظیفه اش در پالایش ترافیک قطعیت داشته باشد. از یک ابزار IPS انتظار می رود که در تمام مدت کار کند و در مورد کنترل دسترسی تصمیم گیری کند. فایروال ها اولین رویکرد قطعی را برای کنترل دسترسی در شبکه ها با ایجاد قابلیت اولیه IPS فراهم کردند. ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اضافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترل دسترسی ها مشارکت دارند.
مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.
سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند. تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.
روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
کنترل دسترسی\تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
مزایا
تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.
سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.
روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.
معایب
IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.
سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.