IDS چیست؟ معرفی سیستم تشخیص نفوذ و انواع آن به زبان بسیار ساده
IDS یا سیستم تشخیص نفوذ چیست؟ مفهوم Intrusion Detection در امنیت چیست؟ چند نوع IDS داریم و نحوه کار هر کدام چگونه است؟ چند نوع روش تشخیص نفوذ وجود دارد؟ مهاجمان یا هکرها همیشه به دنبال حمله کردن به شبکه ها هستند . بهینه سازی و ایمن سازی تنظیمات سیستم از دسترسی آسان هکرها به شبکه ها تا حد زیادی جلوگیری می کند . سیستم های تشخصی نفوذ ( IDS: Intrusion Detection Systems) ، فایروال ها ( Firewalls) و هانی پات یا ظرف عسل ( Honey pot) از فناوری هایی هستند که می توانند از بروز حملات هکری به شبکه ها تا حد زیادی جلوگیری کنند .
یک IDS یا سیستم تشخیص نفوذ ، کلیه فعالیت های موجود بر روی شبکه را تجزیه و تحلیل کرده و با استفاده از اطلاعات موجود بر روی پایگاه داده خود تعیین می کند که فعالیت انجام شده مجاز است یا غیر عادی و غیر مجاز است و همچنین تعیین می کند که آیا این فعالیت می تواند آسیبی به شبکه شما وارد کند یا خیر و در نهایت به شما در مورد اینگونه فعالیت ها اطلاع رسانی می کند . این اطلاع رسانی معمولا از طریق ارسال آلارم ( alarm) یا هشدار به مدیر سیستم انجام می شود . یک IDS در حقیقت یک نوع Packet-Sniffer محسوب می شود بطوری که کلیه Packet های ارسالی و دریافتی در شبکه را دریافت کرده و آنهارا تجزیه و تحلیل می کند ، این سیستم توانایی فعالیت با انواع پرتکل های ارتباطی در شبکه را داراست بویژه توانایی فعالیت با پروتکل Tcp/IP .
IDS چیست؟ معرفی سیستم تشخیص نفوذ و انواع آن به زبان بسیار ساده
روش های تشخیص نفوذ
بصورت کلی 3 روش برای شناسایی و تشخیص نفوذ به شبکه وجود دارد که به شرح زیر هستند :
.شناسایی امضاء یا ( Signature) : در این روش که همانند کاری است که یک آنتی ویروس انجام می دهد ، IDS دارای یک پایگاه داده است که در آن نوع و روش فعالیت برخی از حملات مشخص شده اند ، به محض اینکه IDS ترافیکی را تشخصی دهد آنرا با اطلاعات پایگاه داده مربوطه مقایسه کرده و در صورت بروز تطابق اعلام هشدار می کند. در دوره آموزش لینوکس به مقدمات سیستم های تشخیص نفوذ می پردازیم.
تشخیص رفتار غیر عادی ( Anomaly ) : در این نوع از انواع IDS سیستم با توجه به رفتاری که در شبکه عادی وجود دارد و ترافیکی که در اثر یک عمل غیر عادی ایجاد شده است و با توجه به بررسی های خود و مقایسه ترافیک طبیعی و غیرعادی تصمیم می گیرد که در مورد این نوع ترافیک هشدار دهد.
تشخیص پرتکل غیرعادی ( Anomaly Protocol) : در این نوع تشخصی مدل ها بر اساس مشخصات پرتکل TCP/IP تجزیه و تحلیل می شوند و در صورت مشخص شدن تغییرات در مشخصات این پروتکل سیستم هشدار فعال می شود .
انواع سیستم های تشخیص نفوذ
سیستم های تشخیص نفوذ تحت شبکه ( Network Based IDS) : اینگونه از سیستم ها مانند یک جعبه سیاه هستند که در شبکه قرار گرفته و کارت شبکه آنها در حالت بی قید ( Promiscuous) قرار می گیرد و کلیه ترافیک شبکه را دریافت و تجزیه و تحلیل می کند . مانند نرم افزار SNORT در سیستم عامل لینوکس.
سیستم های تشخیص نفوذ میزبان ( Host Based IDS): اینگونه از سیستم ها با استفاده از ممیزی ( audit) کردن فایل های Log مربوط به یک رخداد بر روی هر سیستم فعالیت می کنند و این رویداد ها را تجزیه و تحلیل می کنند . از اینگونه از سیستم ها به دلیل ایجاد بار کاری زیاد برای هر سیستم ( CPU) معمولا کمتر استفاده می شود . نرم افزار اینگونه سیستم تشخصی نفوذ بصورت تک به تک بر روی تمامی سیستم ها نصب می شود و بصورت مجزا فعالیت می کنند . مانند نرم افزار CSA: Cisco Security Agent.
پایش فایل های Log File Monitoring : در این نوع سیستم از کلیه رخداد های ( Event) های روی سیستم های شبکه Log برداری می شود و همه این Log ها به یک سرور بر روی شبکه منتقل شده و از طریق آن مورد تجزیه و تحلیل قرار می گیرند.
چک کردن صحت و کامل بودن فایل ( File Integrity Checker) : اینگونه سیستم ها معمولا برای تشخیص انواع تروجان و نرم افزارهایی بکار می رود که باعث ایجاد تغییرات بر روی سیستم می شوند ، در این روش از هر فایل بر روی سیستم یک هش ( Hash) گرفته می شود و در داخل یک ژایگاه داده مرکزی نگهداری می شود و در صورت بروز مشکل این Hash با Hash فایل جدید مقایسه می شود و در صورت عدم تطابق اعلام اخطار می شود . ماننده نرم افزار Tripwire که از نوع SIV: System Integrity Verifier می باشد.
در دوره آموزش نتورک پلاس و در قسمت پانزدهم در خصوص مفاهیم سیستم های تشخیص نفوذ بصورت کلی صحبت شده است اما برای یادگیری کامل مفاهیم تشخیص نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس رو حتما توصیه می کنم.
