چه كسی روی شبكه شماست

شبكه IDS – سیستم آشكاركننده متجاوز Intrusion Detection System شركت Cisco Systems مشكل Williamson را حل خواهد كرد

شبكه IDS – سیستم آشكاركننده متجاوز - (Intrusion Detection System) شركت Cisco Systems مشكل Williamson را حل خواهد كرد. زمانیكه شبكه با ویروسی مواجه می‌شود و یا مورد حمله یك هكر قرار می‌گیرد، IDS مدیریت مركزی را از آن مطلع می‌سازد. اگر عملیات خراب‌سازی خیلی جدی باشد، سیستم بصورت اتوماتیك كاربران IT را چك كرده و دسترسی كسی را كه احتمال می‌دهد از جانب آن، این مشكلات پدپد آمده باشد قطع می‌نماید و حتی توانایی شناسایی اتاقی را كه هكر در خوابگاه از آنجا وارد شبكه شده است را نیز دارد و سپس سیستم امنیتی دانشكده را از این خرابكاری مطلع می‌سازد.

● IDS چیست؟

بسیاری از سازمانها، شبیه دانشگاه ایالتی آركانزاس به دنبال چنین سیستمهایی می‌گردند. چرا كه سیاستهای شناسایی و تعیین هویت كاربران و نرم‌افزارهای ضدویروس برای امنیت شبكه كافی نمی‌باشند.

فعالیت شركتهایی چون Cisco Systems، EnteraSys Networks، Internet Security Systems در این زمینه نشان از رشد بازار تكنولوژی آشكارسازی متجاوز دارد. شركتهای جدیدی كه در این زمینه شروع به فعالیت كرده‌‌اند عبارتند از IntruVert، One Secure و Resource Technologies (Resource به تازگی توسط شركت Symantec خریداری شده است) و حتی I DSهایی از طرف منابع آزاد چون Snort نیز معرفی شده‌اند.

در ساده‌ترین حالت سیستم آشكاركننده متجاوز، وضعیت امنیتی كار كاربران را شناسایی نموده و آن را ثبت می‌كند. مثلا اگر كسی در حال اسكن كردن پورت‌های سرور و یا تلاش برای lo g i n شدن به شبكه با استفاده از اسم رمزی تصادفی باشد، را شناسایی می‌كند. البته آن جایگزین كلیه موارد امنیتی شبكه نمی‌باشد. به گفته S tuart McClure مدیر آموزشی و مشاوره امنیتی Foundstone در كالیفرنیا و Misson Viejo، IDS مشابه یك دوربین ویدیویی كه در بانك و یا یك فروشگاه بكار گرفته می‌شود، می‌باشد.

چنین دوربین ویدیویی جایگزین سیستم امنیتی و یا قفل درها نمی‌باشد، اما اگر كسی كار خلافی انجام دهد و به نحوی از سیستم امنیتی بكار گرفته شده عبور نماید، دوربین از آن یك ركورد تهیه كرده كه در شناسایی مجرم و یا رفع اشكال سیستم امنیتی بكار رفته می‌تواند موثر باشد.

سیستمهای آشكار كننده متجاوز به چند روش كار می‌كنند. IDS مبتنی بر شبكه شامل سنسورهایی می‌باشد كه پكتها (Packet) را ضمن عبور از شبكه نظارت می‌كند. بطور نمونه یك IDS مبتنی بر شبكه سنسورهایی را در نقاط ورود به شبكه (برای مثال در كنار فایروالها) یا در مرز بین زیر شبكه‌ها با سطوح امنیتی مختلف (مثلا بین شبكه LAN و مركز دیتا) قرار می‌دهد.

IDS مبتنی بر میزبان (Host-based) با شفافیت و وضوح فعالیت بر روی سرورهای خاص را بررسی می‌‌كند. میزبانهای main frame به دنبال فایلهای بحرانی می‌گردند و حتی سیستم عاملهای خاصی را بررسی می‌كنند (مثلا به دنبال پیامهای خطای مشكوك و یا پردازشهای غیرمتعارف سرور می‌گردند.)

IDS مبتنی بر میزبان و شبكه (Network & host Based) مشابه اسكنر ویروس به اسكن كردن امضاها پرداخته و به دنبال نشانه‌هایی كه حاكی از انواع حمله‌ها می‌باشند می‌گردد. ضعف چنین سیستم‌هایی آن است كه امضاها باید مرتبا و با توجه به پیشرفت تكنیك‌هایی كه هكرها بكار می‌برند، به هنگام شوند.

برای پیدا كردن این خرابكاری‌ها، بعضی از سیستم‌های آشكار كننده متجاوز به دنبال هرگونه فعالیت شبكه‌ای خارج از حیطه تعریف شده فعالیتهای مجاز می‌گردند. این نوع عملكرد به عنوان آشكارسازی چیزهای غیرمعمول شناخته شده ملهای خاصی را بررسی می شبكه (برای مثال در كنار فایروالها) یا در مرز بین زیر شبكه از آن یك ركورد تهیه كرده كه داست.

مشكل تمام سیستمهای آشكار كننده متجاوز آن است كه Plug & Play نبوده و احتمالا در آینده نیز نخواهند بود. برخلاف فایروالها، اغلب سیستمهای آشكار كننده متجاوز، برای نصب و راه‌اندازی به افراد متخصص و وارد به كار نیاز دارند. مسئله مهمتر سیستم آلارم آنها جهت كنترل و مدیریت شبكه می‌باشد. هر IDS زمانیكه به فعالیت مشكوكی برخورد می‌كند، هشداری را تولید می‌نماید. از آنجائیكه شبكه‌ها یكسان نمی‌باشند. كامپیوترها در بیان این شبكه‌ها نمی‌توانند به خوبی عمل نمایند. مثلا كامپیوتر نمی‌تواند بین یك فایل ویروسی با عنوان “I Love You” و یك پیام email با همین موضوع تفاوت قائل شود. به عنوان نتیجه می‌توان گفت كه اغلب سیستمهای آشكار كننده متجاوز مرتبا پیام هشدار می‌فرستند و در نتیجه پیامهای خطای زیادی، شاید بیش از هزاران پیام خطا در روز و در زمینه‌های مختلف تولید می‌شوند.

Lioyd Hession سرپرست بخش امنیتی Radianz، در شهر نیویورك كه فراهم كننده سرویسهای شبكه IP برای صنایع مالی است می‌گوید: "هر فروشنده‌ای برای نمایش كار محصولات خود روشی دارد". به گفته Hession: "مدیران موفق IT با توده انبوهی از اضافه بار اطلاعاتی مواجه شده‌اند. هر كدام از این هشدارها با ارزش می‌باشند و مسئول امنیتی شبكه مجبور به ارزیابی آن به منظور تعیین اینكه آیا استفاده از آن قانونی و یا یك حمله غیرقانونی می‌باشد، است.

به علاوه مسئول رسیدگی و كنترل IDS باید نحوه تشخیص حمله‌های واقعی از هشدارهای خطا را بیاموزند و آنها باید نحوه تنظیم IDS به منظور كاهش هشدارهای خطا را نیز یاد بگیرند.

Williamson از دانشگاه ایالتی آركانزاس می‌گوید: "كارمندانش در روز ۳۰ الی ۴۰ پیام خطا را كه توسط IDS شبكه تولید می‌شد، دریافت می‌كردند. بعد از اینكه سیستم برای چند ماهی استفاده شد تعداد پیامهای خطا به ۲ الی ۳ اشتباه در روز رسید.

Michael Rusmussen مدیر پژوهشی امنیت اطلاعات در Mass Based Giga كمبریج می‌گوید: "شاید شش ماه طول بكشد تا تمام پیامهای خطایی را كه IDS تولید می‌نماید، برطرف كنید.