پایان نامه درمورد سيستم، تشخيص، اجزاي، مديريت

شبکه تغيير کند. البته اين اقدام بايد شناخت کامل از ابزار و برنامهنويسي آن صورت گيرد تا عملکرد ابزار دچار اشکال نشود.
مديران شبکه بايد در دورههاي زماني منظم به شرايط بارگذاري و پيکربندي سيستم توجه کنند، به بازبيني ليستهاي سياه و سفيد اقدام کنند و همينطور با بررسي دقت سيستم مقدار متغيرهاي حدود آستانه را مورد بررسي قرار دهند. همچنين ممکن است نياز باشد تنظيمات هشدار سيستم بر اساس شرايط گوناگون تنظيم مجدد شود، زيرا شرايط و بار سيستم به مرور زمان تغيير ميکند.
2-3-5-4- قابليتهاي مديريتي ابزارهاي تشخيص نفوذ
بيشتر ابزارهاي تشخيص نفوذ کارکردهاي مديريتي متنوعي را ارائه ميدهند. در اين قسمت جنبههاي مختلف مديريت شبکه (پياده سازي، راه اندازي و نگه داري) را در رابطه با ابزارهاي تشخيص نفوذ بررسي ميکنيم.
* پياده سازي: بعد از انتخاب ابزار تشخيص نفوذ مناسب بايد اقدام به طراحي معماري مناسب نمود و بعد از همبندي اجزاي سيستم تستهاي لازمه را روي آنها انجام داده و تدابيري براي حفظ امنيت وايمني آن انديشيده شود.
* طراحي ساختار سيستم: اولين گام در پياده سازي ابزارهاي تشخيص نفوذ، طراحي ساختار و معماري سيستم است. ملاحظات معماري شامل موارد زير است:
1) حسگرها کجا بايد قرار داده شوند.
2) انتظار ميرود سيستم تا چه حد قابل اتکا باشد و براي برآورده کردن اين نياز چه هزينههايي لازم است به چه مقدار صرف شود. براي مثال استفاده از چندين حسگر براي بررسي دقيق ترافيک شبکه در صورتي که يکي از حسگرها در عملکرد خود دچار وقفه شود يا استفاده از سرور مديريت پشتيبان به منظور استفاده در مواردي که سيستم داراي بار زيادي ميباشد يا سرور اصلي در پاسخگويي ناکام ميماند.
3) هر کدام از اجزاي ديگر سيستم (سرور مديريت و پايگاه داده و…) کجا قرار ميگيرند و براي برآورده کردن نيازهاي سرعت، دقت و قابليت اطمينان، در دسترس بودن و تعادل بار به چند نمونه از آنها لازم است.
4) سيستم تشخيص نفوذ با سيستمهاي مختلفي در ارتباط است از جمله:
أ‌. سيستمهاي مديريت امنيت، سرورهاي رخدادهاي مرکزي، سرورهاي ايميل و…
ب‌. سيستمهاي مديريتي که توليد پاسخ در برابر حملات را بر عهده دارند: ديوارههاي آتش و مسيريابها.
ت‌. سيستمهاي مديريتي که به منظور مديريت اجزاي IDS به کار ميروند؛ نرمافزارهاي مديريت شبکه و نرمافزارهاي مديريت بروز رساني سيستم که براي بروز بودن نسخه نرمافزار IDS کاربرد دارند.
5) اينکه براي ارتباط اجزاي شبکه از شبکه مجزا ( شبکه مديريتي) استفاده ميشود يا آنکه ارتباطات اجزاي بر روي بستر شبکه اصلي با هم ارتباط داشته باشند، که در اين صورت بايد در نظر داشت که از چه راهکاري براي امنيت ارتباطات استفاده شود.
6) براي عملکرد IDS در چه بخشهايي از سيستم بايد هماهنگيهاي لازم صورت پذيرد. مثلا تنظيمات مربوطه بر روي ديواره آتش انجام شود.
* نصب سيستم، انجام تستهاي لازمه و اطمينان از صحت عملکرد اجزاي سيستم: منطقي است هر کدام از اجزاي سيستم قبل از جايگذاري در سيستم و بکارگيري، در شرايط آزمايشي مورد تست قرار بگيرند. در مراحل نصب سيستم هم بايد ابتدا تعداد محدودي حسگر نصب شده و خروجي آن بدون هيچ استفادهاي مورد بررسي قرار گيرد. در اين فاز امکان هشدارهاي بي مورد زياد است، بنابراين راه اندازي تعداد زيادي حسگر ميتواند سرورهاي مديريت و پايگاه داده را از جهت ثبت رخدادها دچار مشکل کند. همچنين محدود کردن شبکه در موقع نصب آزمايش سيستم کار را براي انجام تستها بررسي مسائل مختلف هموار ميکند.
* اجزاي مبتني بر سختافزار به راحتي ميتوانند در جايگاه مورد نظر قرار گيرند، تنها لازم است اتصال مناسب با شبکه برقرار شود و نيازهاي برق و… فراهم شود. در مقابل اجزاي نرمافزاري براي نصب به تمهيدات بيشتري نياز دارند؛ تعيين و تهيه سختافزار مناسب، کارت شبکه مناسب با پهناي بالا، سيستم عامل همخوان با نرمافزار و… از آن جملهاند. همچنين با بروز شدن نسخه نرمافزار نياز است تا سيستم عامل و سختافزار هم بروز شوند. همچنين پيکربنديهاي لازمه بر روي نرمافزار سيستم بايد انجام شود. همين کار براي اجزاي مبتني بر سختافزار نيز لازم است.
* بعد از انجام اين مراحل بايد سيستم به نحو مناسبي پيکربندي شود. اين مرحله بسته به روشهاي تشخيص استفاده شده در ابزار متفاوت است. بدون پيکربندي اوليه سيستم قادر به تشخيص تعداد محدودي از حملات است.
* لحاظ کردن تدابير امنيتي: IDSها يکي از اهداف اصلي مهاجمين شبکههاي کامپيوتري هستند. اگر يک مهاجم بتواند درIDS سازش داشته باشد، قادر خواهد بود انواع آسيبها را به سيستم وارد آورد و سلسله نفوذهاي مختلفي را به اجزاي مختلف شبکه انجام دهد. همچنين IDSها داراي اطلاعات عمدهاي درباره پيکربندي شبکه و سيستمهاي درون آن دارند، که براي مهاجمين بسيار ارزشمند خواهد بود. براي حفاظت از سيستم تشخيص نفوذ راهکارهاي زير پيشنهاد ميشود:
o مدير سيستم با انجام پيکربندي مناسب بر روي ديوارههاي آتش، مسيريابها و سوئيچها، دسترسي به اجزاي سيستم تشخيص نفوذ را محدود نمايد، به نحوي که چارچوب ارتباطات محدود به ارتباطات درون خود سيستم و در صورت لزوم کاربران خاص باشد.
o مدير سيستم بايد اطمينان داشته باشد ارتباطات بين اجزاي سيستم در بستري مناسب صورت گيرند. اين کار ميتواند با استفاده از شبکهاي مجزا (شبکه مديريت) صورت گيرد و يا با استفاده از شبکه مجازي120 صورت پذيرد. در اين صورت استفاده
از ساز و کار مناسب براي رمزنگاري پيامها ضروري است. در صورت رمزنگاري بايد از واسطهاي استاندارد و شناخته شده براي اين کار استفاده شود. براي مثال بنياد بين المللي استاندارد و فناوري 121، استفاده از ماژولهاي FIPS122 را توصيه کرده است. بسياري از ابزارها از پروتکل امنيتي لايه انتقال123 استفاده ميکنند. در مورد سيستمهايي که در آنها رمزنگاري لحاظ نشده است مدير سيستم بايد از يک شبکه خصوصي مجازي با VPN براي بستر ارتباطات فراهم نمايد.
o يکي ديگر از مسائل مهم اين است که اجزايي از شبکه که به عنوان اجزاي IDS مورد استفاده قرار ميگيرند، سرويس ديگري نداشته باشند. مثلا راه اندازي سرويسهاي شبکهاي روي حسگرها کاري معقول نيست.
* راه اندازي و نگه داري سيستم: بعد از طراحي سيستم و در نظر گرفتن تمام مسائل امنيتي و طرح پياده سازي آن، نوبت به راه اندازي ميرسد. معمولا ارتباط کاربران و مدير سيستم با IDS از طريق واسط کاربري يا کنسول صورت ميگيرد. واسط گرافيکي کاربر امکان دسترسي به سيستم و مشاهده و فعاليتهاي جاري و وضعيت سيستم را ميدهد. از ديگر مسائل مربوط به راه اندازي سيستم ميتوان به اين مسائل اشاره کرد:
* امکان دسترسي به قابليتهاي مختلف از طريق کنسول.
* رفع مشکلات و نظارت مداوم بر سيستم بايد صورت پذيرد. همچنين ارزيابيهاي امنيتي روي سيستم بايد صورت پذيرد تا در طي فرآيند تست نفوذ، نقاط ضعف و آسيب پذيري سيستم مشخص شود. بعد از تشخيص اين مشکلات ميتوان با پيکربندي جديد شبکه، ديواره آتش و يا اعمال سياستهاي امنيتي خاص براي سيستمهاي بازدارنده نفوذ، ميزان امنيت سيستم را بالا برد.
* بروز کردن نسخه نرمافزار IDS و نيز استفاده از الگوها و پروتکلهاي جديد بايد در دورههاي زماني منظم صورت پذيرد. بايد توجه داشت که اين بستههاي نرمافزاري قبل از به کارگيري در سيستم حتما تست شوند تا اطمينان از نتيجه از پيکربندي قبلي نسخه پشتيبان تهيه شود.
2-3-6- ويژگيهاي ابزار تشخيص نفوذايده آل
در اينجا ما چارچوبي را براي معرفي ابزار تشخيص نفوذايده آل ارائه ميدهيم. بر اساس بررسيهاي انجام شده در اين گزارش و منابع مشخص شده، ويژگيهاي مطرح شده، ويژگيهاي يک ابزارايده آل است.
2-3-6-1- دقت بالا، نرخ تشخيص بالا و کم بودن هشدارهاي نادرست
در [28] معيارهايي که براي ارزيابي بهرهوري سيستم تشخيص نفوذ مبتني بر کشف ناهنجارها در نظر گرفته شدهاند عبارتند از :
* نرخ تشخيص بالا و کم بودن هشدارهاي نادرست: نرخ تشخيص عبارت است از کسري از ترافيک ناهنجار که به درستي تشخيص داده شدهاست. اين هشدارها ميتواند مربوط به اقدامات ناهنجار امنيتي باشند که سيستم را تحت تاثير قرار ميدهند، يا آن که صرفا تلاشهاي نافرجامي براي نفوذ به سيستم باشند. نرخ هشدارهاي نادرست هم به صورت درصدي از ترافيک خوش خيم که به نادرست ترافيک مخرب تشخيص داده شدهاست، تعريف شدهاست. همچنين ميتوان آن را نسبت هشدارهايي که به نادرستي تشخيص داده شدهاند به کل هشدارهاي صادره از طرف IDS تعريف نمود.
در مورد نسبت هشدارهاي نادرست بايد توجه کرد که در بسياري از حملات هدف حمله کننده خود IDS است و حمله کننده قصد دارد با استفاده از تعداد زياد هشدار نادرست، IDS را مشغول و غرق آنها کند و عملا سيستم تشخيص نفوذ را از کار بيندازد[29]. بنابراين داشتن ساز و کار مناسب براي دفع چنين خطراتي از ويژگيهاي مهم ابزار IDSايده آل است.
2-3-6-2- نحوه واکنش و ايجاد هشدار و کار با IDSهاي ديگر
هر چند توليد هشدار جزء چارچوب عملکرد سيستمهاي تشخيص نفوذ در نظر گرفته نميشود. لکن بسياري از ابزارهاي IDS قابليت جلوگيري از نفوذ و واکنش در برابر آن را دارند. از جمله مهمترين اين ابزارها، ابزارهاي Snort است که در حالت بر خط قادر است مانند ديواره آتش، جلو بروز حملات را بگيرد. هشدارها در واقع خروجي اصلي ابزار تشخيص نفوذ ميباشند. با استفاده از اين هشدارها بروز حملات مشخص ميشود. هدف از نصب سيستم تشخيص نفوذ بکارگيري آن براي بالا بردن امنيت سيستم و دفع حملات است. بنابراين امکان ارتباط حسگرهاي سيستم تشخيص نفوذ با سيستم مديريت مرکزي يا پايگاه داده مرکزي براي ثبت رخدادها و هشدارها اهميت زيادي دارد. ارتباط با ديوارههاي آتش و اعمال پيکربندي مورد نظر براي جلوگيري از مبدا حملات يکي از راههاي معمول دفع حملات ميباشد. اصولا ديوارههاي آتش به خاطر عملکرد و بازدهي سريعتر و بهتر در مقابل ترافيک ورودي بستر خوبي براي اعمال سياست امنيتي هستند. همانطور که در مورد ابزار Snort هم توضيح داده شد، براي اين ابزار ابزارهاي جانبي به منظور مديريت حسگرها و گروه بندي رخدادها و هشدارهاي موجود در پايگاه داده وجود دارد.
به منظور داشتن چارچوب استاندارد و مقبول براي همکاري ابزارهاي تشخيص نفوذ مختلف که وظيفه پويش شبکه را برعهده دارند، از گذشته اين فکر مطرح بوده است که تمام پيغامها و هشدارهاي هاي مختلف در قالب فرمت استانداردي به سيستم مديريت و پاسخ دهي ارسال شود. فرمت استاندارد تبادل پيغام ابزارهاي تشخيص نفوذ124 يکي از اين ايدهها بوده است. اين فرمت هشدارها و رخدادهاي کشف شده در حسگرها و تحليل گرهاي ابزارهاي تشخيص نفوذ مختلف را به صورت شئهايي با ساختار مشخص بيان ميکند[30]. به اين ترتيب امکان ارتباط با سامانه مرکزي مديريت و پاسخ فراهم ميشود. ابزار تشخيص نفوذ مناسب بايد چنين قابليتهايي را داشته باشد.
2-3-6-3- قابليتهاي پيکربندي و تنظيمات فاز نصب و سازگاري با شرايط سيستم
مرحله نصب و ک
ارگذاري IDS و انجام پيکربندي مناسب براي به کارگيري مناسب در انتخاب ابزار مناسب اهميت فوق العادهاي دارد. سيستم تشخيص نفوذ بايد قادر باشد بر اساس شرايط کاري سيستمهاي مختلف به کار بيايد. وجود معماري انعطاف پذير ابزار براي به کارگيري در ابزار در شرايط مختلف و استفاده از قابليتهاي خاص آن و همينطور غيرفعال کردن بخشهاي غير ضروري اهميت زيادي دارد. براي مثال هنگامي که IDS براي محافظت از يک شبکه داراي سرورهاي وب مورد استفاده قرار ميگيرد، بخشهايي از IDS که به کشف حملات مربوط به سرورهاي ايميل مربوط ميشود، غير ضروري تشخيص داده شده و ميتواند مورد استفاده قرار نگيرد. اغلب ابزارهاي موجود مثل Snort و Bro آن قابليت را دارند. به اين ترتيب بهرهوري از منابع سختافزاري و نرمافزاري افزايش مييابد.
2-3-6-4- امکان اعمال سياست امنيتي در نسخه امنيتي يا با استفاده از قوانين کارآمد
سياست امنيتي عبارت است از مجموعه بايدها و نبايدهايي که براي تعيين سطح دسترسي به اطلاعات و منابع سيستم براي کاربران در نظر گرفته ميشود. ابزار تشخيص نفوذ ايده آل بايد قادر باشد انواع سياستهاي امنيتي را اعمال کند.
امکان اولويت دهي به قوانين مهمتر از قابليتهاي مهم ابزار است. طبعا بعضي آسيب پذيريها در سيستم اهميت بيشتري دارند، بنابراين در صورت تشخيص حملات مرتبط با آنها در مقايسه با حملات ديگر تشخيص داده شده در همان زمان بايد اولويت بيشتري براي آنها قائل بود. براي مثال، ابزار Snort به ازاء هر کدام از بستههاي ورودي ليستي از حملات مرتبط را آماده ميکند، سپس در فاز توليد هشدار بر اساس اولويت قوانين و جامعيت هر کدام از هشدارها نسبت به ديگران، هشدارهاي لازم را صادر ميکند.
2-3-6-5- مقياس پذيري و توزيع پذيري
امروزه با بالا رفتن نرخ ارسال دادهها در شبکهها، نياز به توسعه امکانات سيستمهاي تشخيص نفوذ پيش ميآيد. وجود معماري قابل مقياس پذيري قابليت توسعه سيستم را براي جايگذاري در شبکههايي با اندازه مختلف فراهم ميکند. به اين ترتيب با توسعه شبکه اوليه و افزايش پهناي باند، قادر خواهيم بود با اضافه کردن امکانات جديد به سيستم تشخيص نفوذ دوباره از آن استفاده کنيم.
از طرف ديگر، گاهي امکان دارد سيستم تشخيص نفوذ نياز به بکارگيري توان پردازشي زيادي داشته باشد. پياده سازيهاي مجتمع ممکن است نياز به سيستمهاي سختافزاري بزرگ و پيچيده داشته باشند. امکان پياده سازي سيستم به صورت توزيع شده، و با به کارگيري تعداد اجزاي بيشتر، هزينه پياده سازي و اجراي طرح را پايين آورده و عملکرد آن را بهبود ميدهد.
2-3-6-6- اجراي مداوم و تحمل پذيري خطا
ابزار تشخيص نفوذ بايد قادر باشد ترافيک شبکه را به طور مداوم پويش کند و در مقابل شرايط خطايي که ممکن است در شبکه اتفاق بيفتد دچار آشفتگي و نقص عملکرد نشود. منظور از خطا ميتواند از کار افتادن بخشي از سيستم به منظور اعمال تغييرات، يا شرايط مربوط به قطع ارتباط يا قطع و اتصال مجدد جريان برق باشد.
2-3-6-7- قابليت تشخيص حملات ديده نشده
به کارگيري روشهاي مختلف تشخيص نفوذ به صورت مکمل در کنار هم ميتواند باعث تصميم گيري بهتري درمورد حملات باشد. انواع زيادي از حملات و سناريوهاي مختلف ممکن است اتفاق بيفتد. همچنين ممکن است در پياده سازيهاي پروتکلهاي مختلف تفاوتهايي وجود داشته باشد. ابزار ايده آل بايد قادر باشد تمامي اقدامات سوء و مخربي را که تا کنون مشاهده نشدهاند را تشخيص دهد.
2-3-6-8-

دیدگاهتان را بنویسید