تشخیص نفوذ، عبارت است از پردازه تشخیص تلاش هایی که برای دسترسی غیرمجاز به یک شبکه یا کاهش کارایی آن انجام می شوند. در تشخیص نفوذ باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد. سپس بنابر درک به دست آمده، روشی دو مرحله ای را برای متوقف کردن حملات برگزید. اول این که مطمئن شوید که الگوی عمومی فعالیت های خطرناک تشخیص داده شده است. دوم این که اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند، به سرعت رفتار می شود.
به همین دلیل است که بیشتر سیستم های تشخیص نفوذ (IDS) به مکانیزم هایی برای به روزرسانی نرم افزارشان متکی هستند که برای جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند. البته تشخیص نفوذ به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کرد تا بتوان به شیوه مناسبی با وی نیز برخورد کرد.
- انواع حملات شبکه ای با توجه به طریقه حمله
یک نفوذ به شبکه معمولا یک حمله قلمداد می شود. حملات شبکه ای را می توان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکه ای را می توان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از کار انداختن سرویس (DOS) یا Denial of Service یا دسترسی غیرمجاز به منابع شبکه است.
1- حملات از کار انداختن سرویس
در این نوع حملات، هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل می کند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده می شود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواست های بی شمار هکر مشغول می شود و از پاسخگویی به کاربران واقعی باز می ماند.
2- حملات دسترسی به شبکه
در این نوع از حملات، نفوذگر امکان دسترسی غیرمجاز به منابع شبکه را پیدا می کند و از این امکان برای انجام فعالیت های غیرمجاز و حتی غیرقانونی استفاده می کند. برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده می کند تا درصورت شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را می توان به دو گروه تقسیم کرد.
الف دسترسی به داده: در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزاء شبکه دسترسی غیرمجاز پیدا می کند. حمله کننده می تواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. داده های ممتاز و مهم معمولا تن ها در اختیار بعضی کاربران شبکه قرار می گیرد و سایرین حق دسترسی به آن ها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه ندارند، اما می توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد. این روش به تعدیل امتیاز یاPrivilege Escalation مشهور است.
ب- دسترسی به سیستم: این نوع حمله خطرناک تر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاه ها دسترسی پیدا می کند. این دسترسی می تواند شامل اجرای برنامه ها روی سیستم و به کارگیری منابع آن برای اجرای دستورات حمله کننده باشد. همچنین حمله کننده می تواند به تجهیزات شبکه مانند دوربین ها ، پرینتر ها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب تروا ها، Brute Force و یا استفاده از ابزار هایی برای تشخیص نقاط ضعف یک نرم افزار نصب شده روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند.
فعالیت مهمی که معمولا پیش از حملات DoS و دسترسی به شبکه انجام می شود، شناسایی یا
reconnaissance است. یک حمله کننده از این فاز جهت شناسایی حفره های امنیتی و نقاط ضعف شبکه استفاده می کند. این کار می تواند به کمک بعضی ابزار ها آماده انجام پذیرد که به بررسی پورت های رایانه های موجود روی شبکه می پردازند و آمادگی آن ها را برای انجام حملات مختلف روی آن ها بررسی می کنند.
- انواع حملات شبکه ای با توجه به حمله کننده
حملات شبکه ای را می توان با توجه به حمله کننده به چهار گروه تقسیم کرد :
1- حملات انجام شده توسط کاربر مورد اعتماد (داخلی): این حمله یکی از مهم ترین و خطرناک ترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیت های کافی درباره این کاربران اعمال نمی کنند.
2- حملات انجام شده توسط افراد غیر معتمد (خارجی): این معمول ترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد. این افراد معمولا سخت ترین راه را پیش رو دارند، زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند.
3- حملات انجام شده توسط هکر های بی تجربه: بسیاری از ابزار های حمله و نفوذ روی اینترنت وجود دارند. در واقع بسیاری از افراد می توانند بدون تجربه خاصی و تنها با استفاده از ابزار های آماده برای شبکه ایجاد مشکل کنند.
4- حملات انجام شده توسط کاربران مجرب: هکر های با تجربه و حرفه ای در نوشتن انواع کد های خطرناک متبحرند. آن ها از شبکه و پروتکل های آن و همچنین از انواع سیستم های عامل آگاهی کامل دارند. معمولا این افراد ابزار هایی تولید می کنند که توسط گروه اول به کار گرفته می شوند. آن ها معمولا پیش از هر حمله، آگاهی کافی درباره قربانی خود کسب می کنند.
- پردازه تشخیص نفوذ
تابه حال با انواع حملات آشنا شدیم. حال باید چگونگی شناسایی حملات و جلوگیری از آن ها را بشناسیم. امروزه دو روش اصلی برای تشخیص نفوذ به شبکه ها مورد استفاده قرار می گیرد:
1 - IDSمبتنی بر خلاف قاعده آماری
2 - IDS مبتنی بر امضا یا تطبیق الگو
روش اول مبتنی بر تعیین آستانه انواع فعالیت ها روی شبکه است، مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان (host) اجرا می شود. لذا در صورت بروز یک نفوذ امکان تشخیص آن به علت خلاف معمول بودن آن وجود دارد. اما بسیاری از حملات به گونه ای هستند که نمی توان به راحتی و با کمک این روش آن ها را تشخیص داد.
در واقع روشی که در بیشتر سیستم های موفق تشخیص نفوذ به کار گرفته می شود،IDS مبتنی بر امضا یا تطبیق الگو است. منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص می دهد. دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگذاری می شود. هر امضا دارای اطلاعاتی است که نشان می دهد در داده های در حال عبور باید به دنبال چه فعالیت هایی گشت. هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند، پیغام اخطار تولید می شود و مدیر شبکه را از وقوع یک نفوذ آگاه می کند. در بسیاری از موارد IDS علاوه بر آگاه کردن مدیر شبکه، با کمک یک فایروال و انجام عملیات کنترل دسترسی با نفوذ بیشتر هکر مقابله می کند. اما بهترین روش برای تشخیص نفوذ، استفاده از ترکیبی از دو روش فوق است.
(آبیار)