در این مقاله به معرفی سیستم های تشخیص نفوذ یا همان سیستمهای IDS خواهیم پرداخت. در ادامه انواع مختلف این سیستمها را نیز معرفی خواهیم کرد و به شرح و توضیح هرکدام میپردازیم. سپس به ذکر مزایای بهکارگیری این سیستمها برای یک سازمان و فوایدی که میتوانند برای امنیت شبکه داشته باشند میپردازیم. همچنین چند مورد از مهمترین ابزارهای اجرایی این سیستمها را نیز معرفی خواهیم کرد.
سیستم تشخیص نفوذ چیست؟
سیستم تشخیص نفوذ یا IDS سیستمی است که وظیفهی آن رصد ترافیک شبکه جهت شناسایی فعالیت مشکوک یا ترافیک غیرعادی است. سیستمهای IDS با نظارت و تجزیهوتحلیل دائمی ترافیک شبکه اقدام به شناسایی و گزارش فعالیتهای مشکوک و مخرب میکنند. گذشته از این، برخی از انواع سیستم تشخیص نفوذ بهطور خودکار قادر به انجام اقداماتی جهت مقابله با تهدید شناساییشده نیز هستند. بهطور مثال میتوانند ترافیک ارسالشده از سوی IP مشکوک را مسدود نمایند. هدف سیستم تشخیص نفوذ این است که پیش از آنکه هکرها بتوانند آسیبی به شبکه وارد کنند آنها را شناسایی و به دام بیندازد.
سیستمهای IDS به دو نوع کلی تقسیم میشوند: سیستم تشخیص نفوذ مبتنی بر شبکه، و سیستم تشخیص نفوذ مبتنی برهاست یا همان میزبان. تفاوت این دو نوع در محل استقرار سیستم است. سیستم تشخیص نفوذ مبتنی بر شبکه در شبکه مستقر میشود و سیستم تشخیص نفوذ مبتنی برهاست بر روی رایانه کلاینت نصب میگردد. سیستمهای IDS علاوه بر این بر اساس روشهای تشخیص فعالیتهای مشکوک یا انحرافات غیرعادی نیز به انواع مختلفی تقسیم میشوند که در ادامه به هرکدام از آنها خواهیم پرداخت.
انواع سیستم تشخیص نفوذ
- نوع Host Intrusion Detection System: این نوع از سیستم تشخیص نفوذ که بهاختصار HIDS نامیده میشود بر روی شبکهی داخلی و کلیهی رایانهها و دستگاههای موجود در آن اجرا میشود. سیستم HIDS قادر است ترافیک غیرعادی و مشکوکی که منشأ داخلی دارد را نیز شناسایی کند. یعنی این سیستم میتواند ترافیک مخربی را که از خود میزبان سرچشمه میگیرد، بهعنوانمثال از یک ویروس موجود در شبکه، تشخیص و گزارش دهد.
- نوع Network Intrusion Detection System: این نوع که بهاختصار به آن NIDS گفته میشود در داخل شبکه مستقر میشود. سیستم NIDS عموماً در یک نقطهی استراتژیک از شبکه یعنی نقطهای که بتواند ترافیک ورودی و خروجی تمام دستگاههای موجود در شبکه را کنترل و رصد کند مستقر میگردد.
- نوع Signature-Based Intrusion Detection System: این نوع از سیستم تشخیص نفوذ که بهاختصار به آن SIDS گفته میشود بر اساس امضاهای حملات گذشته یا ویژگیهایی از تهدیدهایی که قبلاً شناختهشدهاند فعالیت میکند. درواقع سیستم SIDS با رصد ترافیک شبکه آن را در برابر دیتابیس خود قرار میدهد و با مقایسهی این دو اقدام به شناسایی تهدیدهای بالقوه مینماید.
- نوع Perimeter Intrusion Detection System: سیستم تشخیص نفوذ محیطی که بهاختصار به آن PIDS گفته میشود نوعی از سیستمهای IDS است که در نقاط مرزی شبکه مستقر میشود. وظیفهی سیستم PIDS شناسایی تهدیداتی است که زیرساختهای حیاتی شبکه با آن مواجه هستند. این نوع از سیستمهای IDS علاوه بر این میتوانند شامل نصب سنسورهای حرکتی، سنسور دما، دوربینهای مداربسته و… در نقاط مرزی شبکه نیز باشند که وظیفهشان حفاظت از امنیت فیزیکی شبکه میباشد.
- نوع Virtual Machine-Based Intrusion Detection System: سیستم تشخیص نفوذ مبتنی بر ماشین مجازی که بهاختصار به آن VMIDS گفته میشود درواقع ترکیبی از سیستمهای تشخیص نفوذ شبکه، میزبان و سیستم تشخیص نفوذ محیطی است. سیستم VMIDS بر روی یک ماشین مجازی مستقر میشود و به شکل از راه دور فعالیت میکند. سیستمهای VMIDS جدیدترین انواع سیستمهای تشخیص نفوذ هستند و بهسادگی نیز نصب و راهاندازی میشوند.
- نوع Anomaly-Based Intrusion Detection System: این نوع که بهاختصار به آن AIDS گفته میشود بر طبق مکانیزم ماشین لرنینگ فعالیت میکند. سیستم AIDS ترافیک شبکه را در برابر یک رول از پیش نوشتهشده قرار میدهد و با آن مقایسه میکند. این نوع از سیستمهای IDS از طریق ماشین لرنینگ به ایجاد یک به یس لاین و سیاست امنیتی همراه میپردازند.
- نوع Stack-Based Intrusion Detection System: سیستم تشخیص نفوذ مبتنی بر پشته که بهاختصار به آن SBIDS نیز گفته میشود نوعی سیستم IDS است که با پروتکل شبکهی TCP/IP یکپارچه میشود. وظیفهی سیستمهای SBIDS شناسایی تهدیدها پیش از آنکه به لایههای بالاتر برسند میباشد. از این سیستمها بهعنوان یک پروتکل ارتباط شخصی استفاده میشود.
لازم به ذکر است که سیستمهای تشخیص نفوذ از یک جنبهی دیگر به دو نوع Passive و Active تقسیم میشوند. سیستم تشخیص نفوذ Passive یا منفعل سیستمی است که وظیفهی آن صرفاً شناسایی فعالیت مخرب یا مشکوک، گزارش آن در قالب هشدار و یا ایجاد لاگ از آن فعالیت است. سیستمهای Active یا فعال در مقابل، علاوه بر شناسایی و گزارش فعالیتهای مخرب میتوانند اقداماتی را نیز جهت مقابله با آنها انجام دهند. سیستمهای تشخیص نفوذ فعال که به آنها سیستمهای شناسایی و جلوگیری از نفوذ یا بهاختصار IDPS نیز گفته میشود، میتوانند جهت انجام اقداماتی نظیر قطع دسترسی به منابع محدود یا مسدود کردن آدرس IP های مشکوک و مخرب پیکربندی شوند.
معرفی چند ابزار رایج IDS
ازجمله ابزارهای رایج سیستم تشخیص نفوذ که در سیستمعاملهای یونیکس، لینوکس و مک قابل پشتیبانی هستند میتوان به این موارد اشاره کرد:
Bro – AIDE – Fail2Ban – Samhain
همچنین ابزارهای زیر نیز علاوه بر سیستمعاملهای یونیکس، لینوکس و مک در سیستمعامل ویندوز نیز قابل پشتیبانی میباشند:
ابزار OpenWIPS-NG نیز یک ابزار مبتنی بر سیستم NIDS است که در شبکههای بیسیم قابلاستفاده میباشد.
تواناییها و قابلیتهای سیستم تشخیص نفوذ
وظیفهی سیستم تشخیص نفوذ بهطورکلی و خلاصه تشخیص زمان حمله به شبکه توسط اشخاص غیرمجاز است. این سیستمها قادرند ویژگیها و آپشنهای بسیاری را برای متخصصان امنیت شبکه فراهم کنند که در ادامه شماری از این آپشنها را معرفی میکنیم:
- این سیستمها میتوانند جهت گزارش نقض امنیت اطلاعات اقدام به ایجاد یک سیستم هشدار دهی نمایند.
- سیستم تشخیص نفوذ در هنگام مشاهدهی فایلهای اطلاعات تغییریافته سریعاً اقدام به گزارش یک تهدید بالقوه میکند.
- این سیستمها از یک رابط کاربرپسند برخوردارند و کارمندان غیرمتخصص و غیر آشنا به این حوزه نیز بهراحتی میتوانند با این سیستمها کار کنند و در مدیریت امنیت شبکه مشارکت داشته باشند.
- سیستمهای IDS روشها و شرایطی را برای مدیران فراهم میکنند تا از طریق آنها به تنظیم، سازماندهی و درک مسیرهای مربوط به حسابرسی سیستمعامل بپردازند. این ویژگی برای مدیران امنیت سیستم این امکان را فراهم میکند تا بهسادگی به انجام تنظیمات و گزارشهایی بپردازند که ردیابی و تجزیهی آنها دشوار میباشد.
- این سیستمها میتوانند این قابلیت را نیز داشته باشند که با مسدود کردن ترافیکهای مشکوک، غیرمجاز یا مخرب و سرورهای مهاجم اقدام به واکنش به حملات صورت گرفته به شبکه نمایند.
- سیستمهای تشخیص نفوذ باهدف تشخیص، جلوگیری و یا بازیابی از حملات سایبری اقدام به نظارت و کنترل و رصد فعالیت سرورهای مدیریت کلیدی، فایروالها، روترها و فایلهای موردنیاز دیگر کنترلهای امنیتی میکنند.
سیستم تشخیص نفوذ چه مزایایی دارد؟
استفاده از سیستمهای تشخیص نفوذ مزایای بسیار زیادی برای سازمانها در پی دارد. این سیستمها علاوه بر اینکه ترافیک شبکه را کنترل و رصد میکنند تا بهمحض تشخیص و شناسایی عوامل مشکوک آنها را گزارش دهند یا خود اقدام به مسدود کردنشان کنند، همچنین میتوانند خلأهای امنیتی موجود در سیستم کنونی شبکه را نیز شناسایی کنند. سیستمهای تشخیص نفوذ میتوانند در جهت تغییر سیستمهای امنیتی سازمان و اعمال کنترلهای امنیتی کارآمدتر و اثربخشتر برای یک سازمان مفید فایده واقع شوند. با استفاده از این سیستمها علاوه بر اینکه میشود خطرات کنونی را شناسایی و رفع کرد، میتوان برای مقابلهی بهتر با خطرات احتمالی آینده نیز آمادهتر شد.
یکی دیگر از مزایای استفاده از سیستم تشخیص نفوذ این است که این سیستم نارساییها و محدودیتهای سرشماری دستی سیستمهای متصل را از بین میبرد. با بهکارگیری یک سیستم IDS تمام میزبانها و دستگاههای شبکه توسط این سیستم شناسایی میشوند. سنسورهای سیستم تشخیص نفوذ میتوانند جهت شناسایی سیستمعاملها و همچنین بازرسی دادهها در پکتهای شبکه مورداستفاده قرار گیرند. استفاده از سیستمهای تشخیص نفوذ جهت جمعآوری این اطلاعات میتواند روند پاسخگویی شبکه به حوادث امنیتی را بسیار کارآمدتر سازد و آن را بهبود ببخشد.
چرا باید از سیستمهای IDS برای شبکهی سازمان بهره گرفت؟
یکی از ضروریترین نیازهای هر سازمانی حفظ امنیت شبکهی خود است. حفظ امنیت یک شبکه صرفاً با بهکارگیری نیروهای متخصص قابل حصول نیست. نیاز به بهکارگیری سیستمهای بروز هوشمند نیز هست. سیستمهای تشخیص نفوذ با کنترل و رصد دائمی ترافیک ورودی و خروجی شبکه تمام خطرات احتمالی برای امنیت سازمان را شناسایی مینمایند. این سیستمها علاوه بر این میتوانند دادههای موجود بین سیستمهای درون شبکه را نیز مرور کنند. باید بدانید که شبکهی شما هرچقدر هم که ازلحاظ پروتکلهای امنیت خوب و قدرتمند طراحیشده باشد بازهم غیرقابل نفوذ نیست. هکرها در کمین نشستهاند. آنها دائما در حال ایجاد اکسپلویتهای جدید و طراحی روشهای تازهای هستند تا از طریق آنها سیستم امنیت شبکهی سازمان شمارا دور بزنند و به شبکه نفوذ کنند. ردیابی چنین ترافیکها و چنین اقداماتی بهسادگی برای شما از طریق استفاده از یک سیستم IDS میسر خواهد بود. درواقع این سیستمها میتوانند در حکم بازوی اجرایی کارکنان فناوری اطلاعات و متخصصان امنیت شبکه شاغل در سازمان باشند. با بهکارگیری این سیستمها واکنش شبکه به تهاجمهای سایبری هم سریعتر و هم مؤثرتر خواهد شد.
در پایان توصیه میکنیم برای آشنایی دقیقتر با سیستم تشخیص نفوذ و چگونگی کار آن حتماً ویدیوی تولیدشده توسط مهندس علی کرمی را در کانال یوتیوب ما تماشا کنید.