سیستم شناسایی مهاجم

اکنون سیستم های شناسایی مهاجم (Intrusion Detection System یا IDS) بخش مهمی از زیر ساخت امنیتی شبکه های شرکتی محسوب می شوند. با گسترش شبکه های بی سیم نیاز به IDS افزایش یافته است. البته یافتن الگوها و سیاست هایی که بتواند استفاده قابل قبول را تعریف نموده و نفوذ در محیط های شبکه ای بسیار متغییر و سیار را رد کند، پیچیده تر شده است. من دو سیستم IDS شبکه بی سیم را که از دو روش مختلف استفاده می کنند مورد بررسی قرار داده AirXone Managed Security Service که بخشی از یک سرویس مدیریت از جانب شرکت Vigilant Minds می باشد، یک سنسور سخت افزاری را به قابلیت مانیتورینگ از راه دور مرتبط می سازد و تحت قرارداد سرویس های حرفه ای ارائه می شود. بدین ترتیب Vigilant Minds به عنوان یک شرکت قابل اعتماد در ساختار شرکت شما پذیرفته شده و فقط مسائل اندکی از بخش های بی سیم شبکه شما را نمی داند. سرویس دیگر یعنی۴‎/۰ Distributed محصول شرکت AirMagnet قدرت کنترل فوق العاده زیادی را با فرض اینکه می خواهید جزیی ترین مسائل در مورد فضای فرکانس رادیویی را تحت کنترل شرکت مشاهده و کنترل نمایید، در اختیار شما قرار می دهد. در اینجا مشاهده و کنترل اطلاعات به عالیترین شکل صورت می گیرد اما مسئولیت آن نیز بسیار سنگین است.
● Vigilant Minds AirXone Managed Security Service
نصب سیستم AirXone بسیار آسان است. یکی از مشاوران Vigilant Minds به منظور مشخص نمودن نیازهای سایت، به شما کمک می کند. او دستگاهی را به شبکه شما متصل نموده و چگونگی استفاده از این دستگاه مدیریت و گزارش گیری مبتنی بر مرورگر را به شما آموزش می دهد. برای نصب سرویس فوق، کمی کار و مهارت و وجود یک WLAN IDS یکپارچه مورد نیاز است. یکی از اولین مراحل به کارگیری موثر AirXone دانستن این نکته است که چند سنسور انحصاری مورد استفاده قرار می گیرد و البته هر چقدر تعداد سنسورها بیشتر باشد هزینه بالاتر خواهد بود. من متوجه شدم که یک سنسور بخش هایی از سه طبقه یک ساختمان را تحت پوشش قرار داده البته سطح پوشش در هر نصب متفاوت است. سنسوری که من مورد استفاده قرار دادم ۱۲ نقطه دستیابی (access point) یا AP و کلاینت، شامل یک AP در بیرون ساختمان و با فاصله کمی از آزمایشگاه را یافت. سیستم درمحدوده سطح پوشش سنسور نقاط دستیابی و کلاینت ها همچون آدرس های SSID، MAC یا Service Set Identifier و برنامه های امنیتی را که تماماً برای بررسی آماده هستند، مورد توجه قرار می دهد. هر یک از این ابزارهای بی سیم می تواند طبق مجوز خود در استفاده از شبکه و وضعیت خود در شبکه طبقه بندی شود. بسته به اندازه شبکه، وارد کردن ابزارهای مجاز در دیتابیس می تواند به صورت دستی و یا از طریق لینک هایی به یک دیتابیس احراز هویت یا سیستم موجودی انجام شود.
با شروع کار، سنسورها با سرویس مدیریت Vigilant Minds ارتباط برقرار می کنند. از آنجایی که این کارروی یک پورت بالای غیراستاندارد انجام می شود به اصلاحاتی در IDS شبکه معمول شما نیاز دارد تا از تولید جریانی از اخطارها در سیستم امنیتی با سیم توسط IDS بی سیم جلوگیری شود.
یکی از ویژگی های مفید این سیستم این است که به کاربر امکان می دهد تا دستگاه های خاصی را نادیده بگیرد. به عنوان مثال در تنظیمات شهری بسیار شلوغ که شبکه بی سیم در ساختمان مجاور همیشه موجود است (که البته فعلاً تهدید کننده نیست) چنین ویژگی بسیار موثر به نظر می رسد. با کمک مشاورین Vigilant Minds شما می توانید یک سری قوانین را برای رسیدن به موقعیتی که همه شرکت های بزرگ با استفاده از IDS در جستجوی آن هستند، تهیه نمایید: خطرات واقعی پیام هشدار ایجاد می نمایند و دیگر فعالیت ها باید بتوانند به سادگی مورد توجه قرار گرفته یا نادیده گرفته شوند. مدیران شبکه می توانند به منظور ایجاد قوانین و بررسی موقعیتها به کنسول مدیریت دسترسی داشته باشند. اما در مدل Vigilant Minds اکثر ارتباطات و تعاملات شما با سیستم از طریق هشدارهایی خواهد بود که قبل از رسیدن به شما توسط مشاورین و سیستم مدیریت مشاهده شده اند. اگر به یک شبکه بی سیم امن نیاز دارید اما در عین حال نمی خواهید تیمی از متخصصان داخلی در رابطه با امنیت شبکه ایجاد کنید AirXone یک انتخاب عالی محسوب می شود. اما اگر به سرویسی نیاز دارید که در تلفیق با کنسول مدیریت شبکه با سیم خودتان کار کند احتمالاً مدل فوق انتخاب خوبی نخواهد بود. البته می توان از آن استفاده نمود اما به کارگیری آن مستلزم کار بسیار زیاد و حتی مسئولیت بیشتر است.
● AirMagnet Distributed ۴.۰
بیشترین قدرت سیستم های تحلیل مستقل WLAN لپ تاپ AirMagnet در درک شرکت از مشخصات رادیویی قرار دارد. AirMagnet Distributed این قدرت را به وسیله یک سنسور راه دور که در واقع یک گیرنده بسیار حساس ۸۰۲‎/۱۱a/b/g و یک سیستم نرم افزاری است به دست می آورد. در ضمن سیستم نرم افزاری از سنسورها برای نمایش دادن طیف وسیعی از اطلاعات در مورد کارایی شبکه بی سیم و نیز امنیت آن استفاده می کند. شرکتی که به منظور مدیریت شبکه خود در جستجوی یک ابزار منفرد می باشد می توند بسیاری از نیازهای خود را با استفاده از AirMagnet Distributed برطرف نماید. سیستم AirMagnet از سه بخش اصلی تشکیل شده:
۱) سنسور،
۲) سرور مدیریت AirMagnet
۳) کنسول AirMagnet.
سنسور شبیه یک ۸۰۲‎/۱۱ AP استاندارد است و نصب آن به سادگی با آدرس دهی و تنظیم اطلاعات محرمانه مشترک به منظور برقراری ارتباط آن با سرور انجام می شود. نصب سرور نیز نسبتاً آسان است، اگر چه این احتمال وجود دارد که ویژگی های امنیتی و فایروال سرور اندکی موجب کاهش سرعت شود (بخصوص در کنترل مجوز). بعد از نصب سرور نرم افزار کنسول را دریافت نموده و به منظور ایجاد چند مسیر کنسول آن را بر روی چند سیستم نصب نمایید.
من سرور و کنسول را روی سیستم های Windows XP Pro نصب کردم. AirMagnet با این نوع پیکربندی کار می کند اما برای نصب هایی با بیشتر از دو سنسور، سرور باید روی سرور ویندوز ۲۰۰۰ اجرا شود. اگر از نسخه مستقل AirMagnet استفاده کرده باشید کنسول Distributed نیز برایتان آشنا خواهد بود گرچه این سیستم امکان دستیابی به ویژگی های بیشتری را در اختیارتان قرار می دهد. شبکه را می توان بر طبق موجودی فیزیکی، نقض سیاست، مسائل امنیتی و کارآیی و کارآیی کلی شبکه، به صورت کامل یا با جزییات کمتر، مشاهده نمود.
با این گونه مشاهدات می توان وضعیت جنبه های مختلف شبکه را در درازمدت یا به صورت فوری بررسی نمود. اگر برای اولین بار از AirMagnet Distributed استفاده می کنید وقتی را صرف یافتن روش های گوناگون مشاهده آمار شبکه نمایید. من با دیدن تعدادی AP و کلاینت که در شبکه من موجود نبودند و دیگر سیستم های آشکار سازی بی سیم نیز آنها را نشان نداده بودند بهت زده شدم. کلاینت ها و APهای فوق به شبکه دیگری تعلق داشتند، البته تا قبل از این موضوع من نمی دانستم که می توانم این شبکه را از محل خودم مشاهده نمایم. من با این خیال باطل که فاصله فیزیکی بخشی از امنیت شبکه ام را تأمین می کند، با شبکه کار می کردم که البته این حقیقت چندان مورد علاقه نبوده ام. ایجاد سیاست هایی برای AirMagnet Distributed بسیار ساده و از طریق check box و دگمه های رادیویی را برای طیف گسترده ای از پارامترها انجام می گیرد. AirMagnet با فراهم نمودن پیشنهادات و توضیحات برای سیاست ها در زمانیکه نقایص یافت شده را مورد بررسی قرار می دهید به شما کمک می کند. به عنوان مثال دستگاه های مخرب هشدارهایی ایجاد می کنند که می توانند ثبت شوند یا دستیابی به شبکه را مسدود سازند.
وقتی سنسورهای در همپوشانی با مناطق تحت پوشش مورد استفاده قرار می گیرند، AirMagnet Distributed می تواند قدرت سیگنالی را که دریافت شده آنالیز کرده و محل فرد نفوذگر را بیابد. به عنوان مثال در صورتیکه شخصی یک AP غیرمجاز در بخش حسابداری قرار دهد با استفاده از این مشخصه به آسانی قابل تشخیص است. اما AirMagnet Distributed تمام نیازهای شما را در رابطه با مدیریت شبکه بی سیم برآورده نمی سازد. سیستم فوق به شما اجازه نمی دهد تا بسته ها را به منظور یافتن مشکل ایجاد شده توسط برنامه های کاربردی رمزگشایی کنید. در ضمن سرویس های احراز هویت برای یک شبکه بزرگ بی سیم را در اختیارتان قرار نمی دهد. آنچه این سرویس در اختیارتان می گذارد ترکیبی از تحلیل کارآیی WLAN و IDS است که برای کاربرانی که می خواهند دست به عمل زده و شبکه های بی سیم خود را به صورت عملی مدیریت کنند، از ارزش بسیار فراوانی برخوردار است. اگر یک مدیر شبکه WLAN می باشید که ساختن یک toolkit کارآیی و امنیت را آغاز نموده اید، AirMagnet Distributed را باید در لیست خرید خود جای دهید.