IDS چیست و چگونه كار ميكند؟
سيستمهاي كشف مزاحمت كه IDS ناميده مي شود، برنامه ايست كه با تحليل ترافيك جاري بصورت هوشمند شبكه يا تحليل تقاضاها سعي در شناسايي فعاليتهاي نفوذگر مي نمايد و در صورتيكه تشخيص داد ترافيك ورودي به يك شبكه يا ماشين
از طرف كاربران مجاز و عادي نيست بلكه از فعاليتهاي يك نفوذگر ناشي مي شود به نحو مناسب مسئول شبكه را در جريان مي گذارد يا يك واكنش خاص نشان مي دهد . در حقيقت IDS نقش آژير دزدگير شبكه را ايفا مي نمايد .
در اين بخش پس از بررسي عملكرد IDS در سطوح مختلف، روشهاي فرار نفوذگر از آنرا نيز بررسي خواهيم كرد .سيستم IDS در دو سطح لايه شبكه و لايه كاربرد عمل مي كند و مكانيزم هر يك با ديگري متفاوت است.
طبق اظهارات Jeff Wilson مدير اجرايي Infonetics و Sum Jose مشاور و پژوهشگر بازاريابي، چه با مديريت اطلاعات خروجي و چه بدون آن سيستمهاي آشكاركننده متجاوزگران ميباشند، با داشتن تجهيزاتي در حدود 15000 دلار يا كمي بيشتر ميتوان يك سيستم مناسب داشت ولي يك سيستم بسيار كامل ممكن است در حدود 100000 دلار يا بيشتر درآيد. به علاوه بايد هزينه خدمات و پشتيباني فني و نصب و راهاندازي سيستم را هم اضافه كرد. اين يكي از دلايلي است كه هنوز بازار IDS نسبت به فايروالها بسيار كوچك ميباشد. دليل ديگر مديريت بسيار مشكل آنها ميباشد.
Jeff Wilson در اين زمينه ميگويد: "هنوز بازار IDS چندان رونقي ندارد و بايد از اطلاعات مختلفي بهره جست تا پي به ارزش آن بطور كامل برد. از سوي ديگر اگر شما چيز با ارزشي براي حفاظت داشته باشيد، چارهاي جز استفاده از IDS نخواهيد داشت. شركتها اغلب به تكنولوژي IDS براي معرفي شبكه خود، به عنوان يك شبكه مطمئن نياز دارند به ويژه در صنايع قانونمند كه تابع مقررات و ضوابط خاصي ميباشند. مثل سرويسهاي مالي و مراقبتهاي بهداشتي. GERT’S Allen ميگويد: "شما مجبور هستيد به كل عرضه و تقاضاي خود نگاه كنيد و ببينيد از چه چيزي ميخواهيد حفاظت كنيد، به چه چيزي نياز داريد و چه كار ميتوانيد با آن انجام دهيد." اما بكارگيري IDS راحت نيست. طبق اظهارات Rasmussen اغلب شركتهايي كه IDS را بكار گرفتهاند از شروع كار خود مطمئن هستند اما فقط يك چهارم آنها شانس موفقيت دارند و شايد يك دهم واقعا موفق ميشوند.
به عبارت ديگر IDS شما يكي از ابزارهاي امنيتي شبكه ميباشد. بكارگيري سطوح مختلف امنيتي در يك سيستم بسيار مفيد ميباشد كه توسط بسياري از ارگانهاي امنيتي توصيه ميگردد. Allen پيشنهاد ميدهد كه براي يك IT اجرايي از تكنيكهاي امنيتي زير بايد استفاده كرد: "سنسورهاي آشكاركننده متجاوز برپايه شبكه، آشكاركننده، متجاوز برپايه Host، گزارشگيري مركزي، كنسول مونيتورينگ براي هشدارهاي IDS و ساير پيامهاي شبكه، فايروالها و فايلهاي ثبت وقايع و روشهاي متداول در به رسميت شناختن كاربر.
هدف، پردازش مناسب براساس داده توليد شده توسط IDS به منظور مديريت و كنترل شبكه ميباشد. Foundstone’s McClure ميگويد: " IDS تنها از ديد مردم عادي كه به آن نگاه ميكنند، خوب ميباشد". اگر شما قصد مونيتورينگ آن را نداريد ميتوانيد يك doorstop 50000 دلاري بخريد. Rasmussen توصيه ميكند كه پيادهسازي IDS بايد با پردازشهاي واضح براي پاسخ به آلارمها، خطمشيهاي نگهداري شبكه (مثل به هنگام كردن امضا و اصلاحيههاي سيستم عامل) و آموزشهاي پيوسته كارمندان بخش امنيت شبكه همراه باشد.همچنين Rasmussen به شروع با حجم كوچك، با يك يا دو سنسور IDS در نقاط حساس شبكه توصيه ميكند. بايد به حدي كوچك باشد كه بتوان آن را كنترل نموده و مهندسين شبكه زمان كافي براي ياد گرفتن سيستم و تنظيم آن بدون مواجه شدن با هزاران آلارم را داشته باشند.Williamson زمان تست IDS در دانشگاه ايالتي آركانزاس را در نيمه بهار زمانيكه ترافيك شبكه پايين ميباشد انتخاب كرده است تا مهندسين بتوانند در يك فرصت چند ماهه تا بازگشايي كلاسها در پاييز كاملا كار با سيستم را بياموزند. ميتوان آن را براي جستجوي تقريبا هر نوع استفاده غيرمجاز از شبكه مثل نرمافزار مبادله فايلهاي ممنوعه تنظيم نمود.اگر شما بخواهيد ميتوانيد تقريبا هر چيزي را ببنديد. در واقع IDS مانند لنز قويي است كه از شبكه مواظبت كرده و مشكلات آن را پيدا ميكند.
....
از طرف كاربران مجاز و عادي نيست بلكه از فعاليتهاي يك نفوذگر ناشي مي شود به نحو مناسب مسئول شبكه را در جريان مي گذارد يا يك واكنش خاص نشان مي دهد . در حقيقت IDS نقش آژير دزدگير شبكه را ايفا مي نمايد .
در اين بخش پس از بررسي عملكرد IDS در سطوح مختلف، روشهاي فرار نفوذگر از آنرا نيز بررسي خواهيم كرد .سيستم IDS در دو سطح لايه شبكه و لايه كاربرد عمل مي كند و مكانيزم هر يك با ديگري متفاوت است.
طبق اظهارات Jeff Wilson مدير اجرايي Infonetics و Sum Jose مشاور و پژوهشگر بازاريابي، چه با مديريت اطلاعات خروجي و چه بدون آن سيستمهاي آشكاركننده متجاوزگران ميباشند، با داشتن تجهيزاتي در حدود 15000 دلار يا كمي بيشتر ميتوان يك سيستم مناسب داشت ولي يك سيستم بسيار كامل ممكن است در حدود 100000 دلار يا بيشتر درآيد. به علاوه بايد هزينه خدمات و پشتيباني فني و نصب و راهاندازي سيستم را هم اضافه كرد. اين يكي از دلايلي است كه هنوز بازار IDS نسبت به فايروالها بسيار كوچك ميباشد. دليل ديگر مديريت بسيار مشكل آنها ميباشد.
Jeff Wilson در اين زمينه ميگويد: "هنوز بازار IDS چندان رونقي ندارد و بايد از اطلاعات مختلفي بهره جست تا پي به ارزش آن بطور كامل برد. از سوي ديگر اگر شما چيز با ارزشي براي حفاظت داشته باشيد، چارهاي جز استفاده از IDS نخواهيد داشت. شركتها اغلب به تكنولوژي IDS براي معرفي شبكه خود، به عنوان يك شبكه مطمئن نياز دارند به ويژه در صنايع قانونمند كه تابع مقررات و ضوابط خاصي ميباشند. مثل سرويسهاي مالي و مراقبتهاي بهداشتي. GERT’S Allen ميگويد: "شما مجبور هستيد به كل عرضه و تقاضاي خود نگاه كنيد و ببينيد از چه چيزي ميخواهيد حفاظت كنيد، به چه چيزي نياز داريد و چه كار ميتوانيد با آن انجام دهيد." اما بكارگيري IDS راحت نيست. طبق اظهارات Rasmussen اغلب شركتهايي كه IDS را بكار گرفتهاند از شروع كار خود مطمئن هستند اما فقط يك چهارم آنها شانس موفقيت دارند و شايد يك دهم واقعا موفق ميشوند.
به عبارت ديگر IDS شما يكي از ابزارهاي امنيتي شبكه ميباشد. بكارگيري سطوح مختلف امنيتي در يك سيستم بسيار مفيد ميباشد كه توسط بسياري از ارگانهاي امنيتي توصيه ميگردد. Allen پيشنهاد ميدهد كه براي يك IT اجرايي از تكنيكهاي امنيتي زير بايد استفاده كرد: "سنسورهاي آشكاركننده متجاوز برپايه شبكه، آشكاركننده، متجاوز برپايه Host، گزارشگيري مركزي، كنسول مونيتورينگ براي هشدارهاي IDS و ساير پيامهاي شبكه، فايروالها و فايلهاي ثبت وقايع و روشهاي متداول در به رسميت شناختن كاربر.
هدف، پردازش مناسب براساس داده توليد شده توسط IDS به منظور مديريت و كنترل شبكه ميباشد. Foundstone’s McClure ميگويد: " IDS تنها از ديد مردم عادي كه به آن نگاه ميكنند، خوب ميباشد". اگر شما قصد مونيتورينگ آن را نداريد ميتوانيد يك doorstop 50000 دلاري بخريد. Rasmussen توصيه ميكند كه پيادهسازي IDS بايد با پردازشهاي واضح براي پاسخ به آلارمها، خطمشيهاي نگهداري شبكه (مثل به هنگام كردن امضا و اصلاحيههاي سيستم عامل) و آموزشهاي پيوسته كارمندان بخش امنيت شبكه همراه باشد.همچنين Rasmussen به شروع با حجم كوچك، با يك يا دو سنسور IDS در نقاط حساس شبكه توصيه ميكند. بايد به حدي كوچك باشد كه بتوان آن را كنترل نموده و مهندسين شبكه زمان كافي براي ياد گرفتن سيستم و تنظيم آن بدون مواجه شدن با هزاران آلارم را داشته باشند.Williamson زمان تست IDS در دانشگاه ايالتي آركانزاس را در نيمه بهار زمانيكه ترافيك شبكه پايين ميباشد انتخاب كرده است تا مهندسين بتوانند در يك فرصت چند ماهه تا بازگشايي كلاسها در پاييز كاملا كار با سيستم را بياموزند. ميتوان آن را براي جستجوي تقريبا هر نوع استفاده غيرمجاز از شبكه مثل نرمافزار مبادله فايلهاي ممنوعه تنظيم نمود.اگر شما بخواهيد ميتوانيد تقريبا هر چيزي را ببنديد. در واقع IDS مانند لنز قويي است كه از شبكه مواظبت كرده و مشكلات آن را پيدا ميكند.
....
منبع :weblog.zendehrood.com
+ نوشته شده در یکشنبه بیست و پنجم فروردین ۱۳۹۲ ساعت 23:7 توسط بهنام یوسفی
|