نفوذ چیست:
نفوذ به مجموعه اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق می شود. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم گردد. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه داخلی، از درون خود شبکه انجام می پذیرد. نفوذگرها عموماً از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می گیرند.
روشهای تشخیص نفوذ
به مجموعه ای از ابزارها،روش ها و مدارکی که به شناسایی، تعیین و گزارش فعالیت های غیرمجاز یا تائید نشده تحت شبکه، کمک می کند سیستم نفوذ می گویند.
- مبتنی بر اثر (Signature-Based)
روش تشخیص مبتنی بر اثر، دادهها را تحلیل میکند و بهدنبال الگوهای خاص مرتبط با نفوذ میگردد.
- مبتنی بر آنومالی
این روش به جای جست و جوی الگوهای شناختهشده نفوذ، بهدنبال آنومالیها (آنومالی: تفاوتها با حالت عادی) میگردد.
انواع سیستمهای تشخیص نفوذ
سیستمهای تشخیص نفوذ در سطح میزبان (HIDS)
این سیستم ها فایلهای ثبت رویداد (log) برای یافتن هرگونه ردی از فعالیت مشکوک و تغییرات بدون اجازه فایلهای تنظیمی مهم را بررسی میکنند.
سیستمهای تشخیص نفوذ در سطح شبکه (NIDS)
این سیستم ها به جای جستوجو در فایلهای لاگ و تنظیمات، ترافیک شبکه مانند درخواستهای اتصال را بررسی میکنند.
سیستم تشخیص نفوذ توزیع شده (DIDS)
این سیستم می تواند علاوه بر تشخیص حملات محلی، حملاتی که به صورت توزیع شده هستند را نیز تشخیص دهد.
برترین ابزارهای رایگان تشخیص نفوذ
OSSEC
OSSEC مخفف Open Source Security (امنیت متنباز) است. این ابزار که به Trend Micro، یکی از نامهای بزرگ امنیت تعلق دارد، برترین ابزار HIDS به شمار میرود.
Snort
اسنورت (Snort) همتای ابزار OSSEC در بخش NIDS است. اسنورت درواقع بسیار کاراتر از ابزار تشخیص نفوذ است و در مقام تحلیلگر بستهها نیز عمل میکند.
Suricata
سوریکاتا سیستم تشخیص و پیشگیری نفوذ است و خود را بهعنوان اکوسیستمی کامل برای نظارت امنیتی معرفی میکند.
Bro Network Security Monitor
ثبت ترافیک و تحلیل. مانند سوریکاتا، برو در لایهی اپلیکیشن عمل میکند که به تشخیص بهتر تلاشهای نفوذ تقسیمشده منجر میشود.
Open WIPS NG
این ابزار متنباز بر شبکههای بیسیم تمرکز میکند. کلمهی WIPS مخفف Wireless Intrusion Prevention System (سیستم پیشگیری از نفوذ بیسیم) است.
Samhain
این ابزار قابلیت بررسی و تحلیل فایلهای ثبت رویداد را دارد. علاوهبرآن، این ابزار قابلیت تشخیص روتکیت، نظارت بر پورتها، تشخیص فایلهای اجرای SUID مشکوک و فرایندهای پنهان را نیز دارد.
Fail2Ban
این ابزار درصورت تشخیص فعالیت مشکوک، بهسرعت قوانین فایروال را بهروز و آدرس آیپی مربوط به فعالیت مشکوک را مسدود میکند.
AIDE
AIDE مخفف Advanced Intrusion Detection Environment محیط پیشرفته تشخیص نفوذ است. این ابزار HIDS رایگان بهطور اساسی بر تشخیص روتکیت و مقایسهی اثرها تمرکز میکند.
این ابزار علاوه بر پیشگیری یا تشخیص نفوذ ابزار توزیع کامل لینوکس با تمرکز بر تشخیص نفوذ و نظارت بر امنیت شرکتی و مدیریت لاگها نیز می باشد.
Sagan
ساگان بیشتر سیستم تحلیل فایل ثبت رویداد است همچنین قابلیت اجرای اسکریپت را نیز دارد که با آن میتوان این ابزار را به سیستم پیشگیری از نفوذ نیز تبدیل کرد.
لزوم استفاده از سیستم های تشخیص نفوذ:
- کارایی بیشتر در تشخیص نفوذ،در مقایسه با سیستم های دستی
- منبع دانش کاملی از حملات
- توانایی رسیدگی به حجم زیادی از اطلاعات
- توانایی هشدار نسبتا بلادرنگ که باعث کاهش خسارت می گردد
- دادن پاسخ های خودکار،مانند قطع ارتباط کاربر،غیر فعال سازی حساب کاربر،اعمال مجموعه دستورهای خودکار وغیره
- افزایش میزان بازدارندگی
- توانایی گزارش دهی
روش های تشخیص نفوذ
روش تشخیص رفتار غیر عادی:
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی روند، عبارتند از:
- تشخیص سطح استانه
- معیارهای اماری
- معیارهای قانونگرا
- سایر معیارها
روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء:
این روش به این ترتیب است که روش های مختلف نفوذی که از قبل استفاده شده و مقابله با آن ها تجربه شده است به صورت الگوهایی در سیستم قرار داده شده است.
جهت کسب اطلاعات بیشتر در صورت علاقمندی، الزام به گذراندن دوره ی شبکه و امنیت دارید
با ما در آموزشگاه فنی حرفی و آکادمی مهارت آموزی سبحان به یادگیری شبکه و امنیت بپردازید.