آشنایی با سیستم تشخیص نفوذ (IDS) + معرفی چند ابزار رایج، توانایی، مزایا و قابلیت‌های IDS

زمان مطالعه : ۶ دقیقه

در این مقاله به معرفی سیستم های تشخیص نفوذ یا همان سیستم‌های IDS خواهیم پرداخت. در ادامه انواع مختلف این سیستم‌ها را نیز معرفی خواهیم کرد و به شرح و توضیح هرکدام می‌پردازیم. سپس به ذکر مزایای به‌کارگیری این سیستم‌ها برای یک سازمان و فوایدی که می‌توانند برای امنیت شبکه داشته باشند می‌پردازیم. همچنین چند مورد از مهم‌ترین ابزارهای اجرایی این سیستم‌ها را نیز معرفی خواهیم کرد.

سیستم تشخیص نفوذ چیست؟

سیستم تشخیص نفوذ یا IDS سیستمی است که وظیفه‌ی آن رصد ترافیک شبکه جهت شناسایی فعالیت مشکوک یا ترافیک غیرعادی است. سیستم‌های IDS با نظارت و تجزیه‌وتحلیل دائمی ترافیک شبکه اقدام به شناسایی و گزارش فعالیت‌های مشکوک و مخرب می‌کنند. گذشته از این، برخی از انواع سیستم تشخیص نفوذ به‌طور خودکار قادر به انجام اقداماتی جهت مقابله با تهدید شناسایی‌شده نیز هستند. به‌طور مثال می‌توانند ترافیک ارسال‌شده از سوی IP مشکوک را مسدود نمایند. هدف سیستم تشخیص نفوذ این است که پیش از آنکه هکرها بتوانند آسیبی به شبکه وارد کنند آنها را شناسایی و به دام بیندازد.
سیستم‌های IDS به دو نوع کلی تقسیم می‌شوند: سیستم تشخیص نفوذ مبتنی بر شبکه، و سیستم تشخیص نفوذ مبتنی برهاست یا همان میزبان. تفاوت این دو نوع در محل استقرار سیستم است. سیستم تشخیص نفوذ مبتنی بر شبکه در شبکه مستقر می‌شود و سیستم تشخیص نفوذ مبتنی برهاست بر روی رایانه کلاینت نصب می‌گردد. سیستم‌های IDS علاوه بر این بر اساس روش‌های تشخیص فعالیت‌های مشکوک یا انحرافات غیرعادی نیز به انواع مختلفی تقسیم می‌شوند که در ادامه به هرکدام از آنها خواهیم پرداخت.

انواع سیستم تشخیص نفوذ

• نوع Host Intrusion Detection System: این نوع از سیستم تشخیص نفوذ که به‌اختصار HIDS نامیده می‌شود بر روی شبکه‌ی داخلی و کلیه‌ی رایانه‌ها و دستگاه‌های موجود در آن اجرا می‌شود. سیستم HIDS قادر است ترافیک غیرعادی و مشکوکی که منشأ داخلی دارد را نیز شناسایی کند. یعنی این سیستم می‌تواند ترافیک مخربی را که از خود میزبان سرچشمه می‌گیرد، به‌عنوان‌مثال از یک ویروس موجود در شبکه، تشخیص و گزارش دهد.
• نوع Network Intrusion Detection System: این نوع که به‌اختصار به آن NIDS گفته می‌شود در داخل شبکه مستقر می‌شود. سیستم NIDS عموماً در یک نقطه‌ی استراتژیک از شبکه یعنی نقطه‌ای که بتواند ترافیک ورودی و خروجی تمام دستگاه‌های موجود در شبکه را کنترل و رصد کند مستقر می‌گردد.

• نوع Signature-Based Intrusion Detection System: این نوع از سیستم تشخیص نفوذ که به‌اختصار به آن SIDS گفته می‌شود بر اساس امضاهای حملات گذشته یا ویژگی‌هایی از تهدیدهایی که قبلاً شناخته‌شده‌اند فعالیت می‌کند. درواقع سیستم SIDS با رصد ترافیک شبکه آن را در برابر دیتابیس خود قرار می‌دهد و با مقایسه‌ی این دو اقدام به شناسایی تهدیدهای بالقوه می‌نماید.

• نوع Perimeter Intrusion Detection System: سیستم تشخیص نفوذ محیطی که به‌اختصار به آن PIDS گفته می‌شود نوعی از سیستم‌های IDS است که در نقاط مرزی شبکه مستقر می‌شود. وظیفه‌ی سیستم PIDS شناسایی تهدیداتی است که زیرساخت‌های حیاتی شبکه با آن مواجه هستند. این نوع از سیستم‌های IDS علاوه بر این می‌توانند شامل نصب سنسورهای حرکتی، سنسور دما، دوربین‌های مداربسته و… در نقاط مرزی شبکه نیز باشند که وظیفه‌شان حفاظت از امنیت فیزیکی شبکه می‌باشد.
• نوع Virtual Machine-Based Intrusion Detection System: سیستم تشخیص نفوذ مبتنی بر ماشین مجازی که به‌اختصار به آن VMIDS گفته می‌شود درواقع ترکیبی از سیستم‌های تشخیص نفوذ شبکه، میزبان و سیستم تشخیص نفوذ محیطی است. سیستم VMIDS بر روی یک ماشین مجازی مستقر می‌شود و به شکل از راه دور فعالیت می‌کند. سیستم‌های VMIDS جدیدترین انواع سیستم‌های تشخیص نفوذ هستند و به‌سادگی نیز نصب و راه‌اندازی می‌شوند.

• نوع Anomaly-Based Intrusion Detection System: این نوع که به‌اختصار به آن AIDS گفته می‌شود بر طبق مکانیزم ماشین لرنینگ فعالیت می‌کند. سیستم AIDS ترافیک شبکه را در برابر یک رول از پیش نوشته‌شده قرار می‌دهد و با آن مقایسه می‌کند. این نوع از سیستم‌های IDS از طریق ماشین لرنینگ به ایجاد یک به یس لاین و سیاست امنیتی همراه می‌پردازند.
• نوع Stack-Based Intrusion Detection System: سیستم تشخیص نفوذ مبتنی بر پشته که به‌اختصار به آن SBIDS نیز گفته می‌شود نوعی سیستم IDS است که با پروتکل شبکه‌ی TCP/IP یکپارچه می‌شود. وظیفه‌ی سیستم‌های SBIDS شناسایی تهدیدها پیش از آنکه به لایه‌های بالاتر برسند می‌باشد. از این سیستم‌ها به‌عنوان یک پروتکل ارتباط شخصی استفاده می‌شود.

لازم به ذکر است که سیستم‌های تشخیص نفوذ از یک جنبه‌ی دیگر به دو نوع Passive و Active تقسیم می‌شوند. سیستم تشخیص نفوذ Passive یا منفعل سیستمی است که وظیفه‌ی آن صرفاً شناسایی فعالیت مخرب یا مشکوک، گزارش آن در قالب هشدار و یا ایجاد لاگ از آن فعالیت است. سیستم‌های Active یا فعال در مقابل، علاوه بر شناسایی و گزارش فعالیت‌های مخرب می‌توانند اقداماتی را نیز جهت مقابله با آنها انجام دهند. سیستم‌های تشخیص نفوذ فعال که به آنها سیستم‌های شناسایی و جلوگیری از نفوذ یا به‌اختصار IDPS نیز گفته می‌شود، می‌توانند جهت انجام اقداماتی نظیر قطع دسترسی به منابع محدود یا مسدود کردن آدرس IP های مشکوک و مخرب پیکربندی شوند.

معرفی چند ابزار رایج IDS

ازجمله ابزارهای رایج سیستم تشخیص نفوذ که در سیستم‌عامل‌های یونیکس، لینوکس و مک قابل پشتیبانی هستند می‌توان به این موارد اشاره کرد:

Bro – AIDE – Fail2Ban – Samhain

همچنین ابزارهای زیر نیز علاوه بر سیستم‌عامل‌های یونیکس، لینوکس و مک در سیستم‌عامل ویندوز نیز قابل پشتیبانی می‌باشند:

Snort – Suricata – OSSEC

ابزار OpenWIPS-NG نیز یک ابزار مبتنی بر سیستم NIDS است که در شبکه‌های بی‌سیم قابل‌استفاده می‌باشد.

توانایی‌ها و قابلیت‌های سیستم تشخیص نفوذ

وظیفه‌ی سیستم تشخیص نفوذ به‌طورکلی و خلاصه تشخیص زمان حمله به شبکه توسط اشخاص غیرمجاز است. این سیستم‌ها قادرند ویژگی‌ها و آپشن‌های بسیاری را برای متخصصان امنیت شبکه فراهم کنند که در ادامه شماری از این آپشن‌ها را معرفی می‌کنیم:

• این سیستم‌ها می‌توانند جهت گزارش نقض امنیت اطلاعات اقدام به ایجاد یک سیستم هشدار دهی نمایند.
• سیستم تشخیص نفوذ در هنگام مشاهده‌ی فایل‌های اطلاعات تغییریافته سریعاً اقدام به گزارش یک تهدید بالقوه می‌کند.
• این سیستم‌ها از یک رابط کاربرپسند برخوردارند و کارمندان غیرمتخصص و غیر آشنا به این حوزه نیز به‌راحتی می‌توانند با این سیستم‌ها کار کنند و در مدیریت امنیت شبکه مشارکت داشته باشند.
• سیستم‌های IDS روش‌ها و شرایطی را برای مدیران فراهم می‌کنند تا از طریق آنها به تنظیم، سازماندهی و درک مسیرهای مربوط به حسابرسی سیستم‌عامل بپردازند. این ویژگی برای مدیران امنیت سیستم این امکان را فراهم می‌کند تا به‌سادگی به انجام تنظیمات و گزارش‌هایی بپردازند که ردیابی و تجزیه‌ی آنها دشوار می‌باشد.
• این سیستم‌ها می‌توانند این قابلیت را نیز داشته باشند که با مسدود کردن ترافیک‌های مشکوک، غیرمجاز یا مخرب و سرورهای مهاجم اقدام به واکنش به حملات صورت گرفته به شبکه نمایند.
• سیستم‌های تشخیص نفوذ باهدف تشخیص، جلوگیری و یا بازیابی از حملات سایبری اقدام به نظارت و کنترل و رصد فعالیت سرورهای مدیریت کلیدی، فایروال‌ها، روترها و فایل‌های موردنیاز دیگر کنترل‌های امنیتی می‌کنند.

سیستم تشخیص نفوذ چه مزایایی دارد؟

استفاده از سیستم‌های تشخیص نفوذ مزایای بسیار زیادی برای سازمان‌ها در پی دارد. این سیستم‌ها علاوه بر اینکه ترافیک شبکه را کنترل و رصد می‌کنند تا به‌محض تشخیص و شناسایی عوامل مشکوک آنها را گزارش دهند یا خود اقدام به مسدود کردنشان کنند، همچنین می‌توانند خلأهای امنیتی موجود در سیستم کنونی شبکه را نیز شناسایی کنند. سیستم‌های تشخیص نفوذ می‌توانند در جهت تغییر سیستم‌های امنیتی سازمان و اعمال کنترل‌های امنیتی کارآمدتر و اثربخش‌تر برای یک سازمان مفید فایده واقع شوند. با استفاده از این سیستم‌ها علاوه بر اینکه می‌شود خطرات کنونی را شناسایی و رفع کرد، می‌توان برای مقابله‌ی بهتر با خطرات احتمالی آینده نیز آماده‌تر شد.
یکی دیگر از مزایای استفاده از سیستم تشخیص نفوذ این است که این سیستم نارسایی‌ها و محدودیت‌های سرشماری دستی سیستم‌های متصل را از بین می‌برد. با به‌کارگیری یک سیستم IDS تمام میزبان‌ها و دستگاه‌های شبکه توسط این سیستم شناسایی می‌شوند. سنسورهای سیستم تشخیص نفوذ می‌توانند جهت شناسایی سیستم‌عامل‌ها و همچنین بازرسی داده‌ها در پکت‌های شبکه مورداستفاده قرار گیرند. استفاده از سیستم‌های تشخیص نفوذ جهت جمع‌آوری این اطلاعات می‌تواند روند پاسخ‌گویی شبکه به حوادث امنیتی را بسیار کارآمدتر سازد و آن را بهبود ببخشد.

چرا باید از سیستم‌های IDS برای شبکه‌ی سازمان بهره گرفت؟

یکی از ضروری‌ترین نیازهای هر سازمانی حفظ امنیت شبکه‌ی خود است. حفظ امنیت یک شبکه صرفاً با به‌کارگیری نیروهای متخصص قابل حصول نیست. نیاز به به‌کارگیری سیستم‌های بروز هوشمند نیز هست. سیستم‌های تشخیص نفوذ با کنترل و رصد دائمی ترافیک ورودی و خروجی شبکه تمام خطرات احتمالی برای امنیت سازمان را شناسایی می‌نمایند. این سیستم‌ها علاوه بر این می‌توانند داده‌های موجود بین سیستم‌های درون شبکه را نیز مرور کنند. باید بدانید که شبکه‌ی شما هرچقدر هم که ازلحاظ پروتکل‌های امنیت خوب و قدرتمند طراحی‌شده باشد بازهم غیرقابل نفوذ نیست. هکرها در کمین نشسته‌اند. آنها دائما در حال ایجاد اکسپلویت‌های جدید و طراحی روش‌های تازه‌ای هستند تا از طریق آنها سیستم امنیت شبکه‌ی سازمان شمارا دور بزنند و به شبکه نفوذ کنند. ردیابی چنین ترافیک‌ها و چنین اقداماتی به‌سادگی برای شما از طریق استفاده از یک سیستم IDS میسر خواهد بود. درواقع این سیستم‌ها می‌توانند در حکم بازوی اجرایی کارکنان فناوری اطلاعات و متخصصان امنیت شبکه شاغل در سازمان باشند. با به‌کارگیری این سیستم‌ها واکنش شبکه به تهاجم‌های سایبری هم سریع‌تر و هم مؤثرتر خواهد شد.

در پایان توصیه می‌کنیم برای آشنایی دقیق‌تر با سیستم تشخیص نفوذ و چگونگی کار آن حتماً ویدیوی تولیدشده توسط مهندس علی کرمی را در کانال یوتیوب ما تماشا کنید.