بدلیل وجود حملات وسیع تحت شبکه ، اصل حفظ برقراری امنیت به یکی از مقوله های بسیار در مهم عرصه ارتباطات تبدیل شده است. شرکت های گوناگون امنیتی در تلاش هستند تا با ساخت سخت افزار ها  و نرم افزار های لازم تا حد امکان در ایجاد بستر های امنیتی کمک کنند و خطرات ناشی از این حملات را کاهش دهند. در میان طیف وسیع روش های موجود استفاده از ابزارهای IDS(Intrusion Detection System) و IPS(Intrusion Prevention system) مهم ترین ، ضروی ترین یا حتی یکی از بهترین راه کار ها محسوب می شود. البته استفاده از هر یک از این دو روش نام برده شده تنها یک هدف را به دنبال دارد ، آنهم انجام یک action بر حسب حمله انجام شده است. این عملیات می تواند یک alert باشد که مدیر شبکه را مطلع کند و یا اینکه با drop کردن packet از بروز حمله جلوگیری کند. روش Intrusion Detection یک ابزار بسیار قدرتمند است که در صورت بروز مشکل امنیتی و یا تحت تاثیر قرار  گرفتن شبکه از یک حمله می تواند مدیران آنرا اطلاع دهد. البته  این ابزار نمی تواند از بروزحملات جلوگیری نماید  ، بدلیل اینکه شناسایی (Detection) بر روی یک کپی از packet ها انجام می گیرد. در اکثر مواقع این packet های ورودی از روی device دیگری  نظیر یک پورت SPAN بر روی switch توسط IDS دریافت می شود تا توسط موتور (engine) مورد تحلیل قرار بگیرد. یک IDS پس از شناسایی حمله با فرستادن یک alert آن را اطلاع می دهد . به این روش قرار گرفتن در شبکه promiscuous  گفته می شود. تمامی alert های ارسالی دارای یکی از 4 درجه اهمیت Informational ، Low ، Medium و High می باشد. از آن سو ، Intrusion Prevention یک راه کار بسیار قدرتمند تر در مقایسه با IDS می باشد. بدلیل اینکه IPS علاوه بر شناسایی ، از وقوع حملات و خطر های شبکه نیز جلوگیری می کند. IPS در جریان ( flow forwarding path) packet قرار گرفته و علاوه بر شناسایی حملات از آنها جلوگیری نیز می نماید.  به این روش قرار گرفتن sensor در شبکه inline گفته می شود. کلمه sensor به دستگاه های سخت افزار هایی که مختص IDS/IPS می باشد در فرهنگ اصطلاحات Cisco اطلاق می شود. به طور پیش فرض sensor های IDS/IPS به صورت promiscuous عمل می کنند. برای تنظیم کردن یک IDS/IPS در حالت inline ، نیاز به استفاده از دو interface می باشد که در تنظیمات sensor به عنوان inline pair معرفی شوند. این دو interface به عنوان یک ساختار transparent در لایه 2 عمل می کنند که می تواند  packet ی را drop کند که در عین حال بر اساس یک signature شناسایی شده است. به علاوه باید به این نکته توجه داشت که می توان یک sensor را به نحوی تنظیم کرد در حالت  inline قرار بگیرد اما فقط عمل detection را انجام دهد. نسخه 6.0 از IPS این امکان را می دهد که device به طور همزمان در دو حالت promiscuous و inline عمل کند ، بگونه ای که یک segment توسط IDS مانیتور شود در حالی که segment دیگری توسط IPS مورد protection قرار گرفته است.

با وجود اینکه Cisco از تکنولوژی های detection و prevention متعددی استفاده می کند ، اما روش signature-based روش اصلی در راه کار های IPS مطرح محسوب می شود. با کمک یک signature ،  pattern ( قالب)  یک حمله قابل شناسایی کردن است. یک signature مجموعه ای از چند شرط است که بیانگر یک رخداد خرابکارانه و مخرب می باشد. به جهت همگامی با حملات ، Cisco  ، Signature هایی را منتشر می کند که در sensor اضافه می شوند. این روش کمتر در معرض شناسایی False Positive قرار دارد و جلوگیری IPS از حملات عادی را تضمین می کند. شناسایی False Positive به نوعی از detection گفته می شود یک alert ارسال شده است اما برای ترافیکی که حمله واقعی نبوده است. به این دسته از ترافیک ، benign traffic  گفته می شود. در مقابل این alert ، False Negative قرار دارد که در آن ترافیک یک حمله عبور کرده اما برای آن هیچ alert ارسال نشده است. این نوع ، بدترین حالت از  alert های اشتباه (False Alert ) می باشد.  بدلیل اینکه ساختار روش signature-based بر پایه pattern ها قرار دارد ، به آن pattern-matching نیز اطلاق می شود. در صورت ابداء روش های حملاتی جدید signature مربوط به آنها ایجاد ، اضافه ، tune و بروز رسانی (update) در IPS می شود. این Signature های طیف وسیعی از حملات مانند AIC ، ATOMIC ، FLOOD ، META ، NORMALIZER ، SERVICES ، TRAFFIC.ICMP و TROJAN ها و غیره را شامل می شود. اطلاعات جزئی مربوط به این signature ها از Cisco Network Security Database (NSDB) قابل دریافت می باشد. روش دیگر detection که بسیار مرسوم است Anomaly-Based نام دارد ، که نام دیگر آن Profile-based است. در این روش سعی می شود تا بر اساس آنچه در خارج از رده ترافیک “normal”  طبقه بندی شده ، حملات را شناسایی کند. به دلیل اینکه تشخیص و تعریف ترافیک “normal”  امر بسیار سختی است ، این روش تعداد زیادی alert های false positive ارسال می کند. دو نوع مرسوم کارکرد از IPS های مبتنی بر Anomaly-based  روش های شناسایی statistical و non-statistical می باشد. روش statistical خود patternترافیک شبکه را یاد می گیرد و non-statistical از اطلاعات coded شده توسط سازنده (vendor) استفاده می کند. روش دیگری در detection که بایدبه آن توجه کرد روش Policy-based می باشد. در این تکنولوژی security-policy مورد نظر سازمان نوشته شده و در داخل IPS اضافه می شود. تنها زمانی یک alarm ارسال می شود که فعالیت هایی شناسایی شوند که بر خلاف policy نوشته شده توسط سازمان باشد. موضوع بسیار مهم توجه به تفاوت بین این روش و signature-based می باشد. روش signature-based بیشتر بر روی جلوگیری از حملات معطوف شده در حالی که روش policy-based بر ضروت و اجبار در اجرای policy های سازمانی متمرکز است. البته روش دیگری که باز بسیار مشابه signature-based است ، روش Protocol Analysis-based می باشد. این روش از حیث عملکرد بسیار مشابه signature-based است با این تفاوت که به طور عمیق تر payload مربوط به یک packet را مورد بررسی قرار می دهد (Deep Packet Inspection) تا برخی از حملات را شناسایی کند.

به دلیل اینکه attacker ها از تکنولوژی های مورد استفاده IPS ها مطلع هستند تا کنون روش های متعددی را ایجاد کرده اند که از مرز حفاظتی عبور کرده و همچنان به هدف خود دست یابند. برخی از انواع این روش های مرسوم در زیر نوشته شده است :

String Match

Fragmentation

Session

Insertion

Evasion

TTL-Based

Encryption-Based

Resource Exhaustion

راه کار های ارائه شده توسط Cisco طیف محصولات در دو رده  Network IPS و Host IPS را شامل می شود. روش deployment نوع Host IPS یک نرم افزار است که بر روی server ها و workstation های شبکه نصب می شود.  در این روش هیچ نیازی به یک sensor اضافه در شبکه نمی باشد. به نرم افزار  IPS شرکت سیسکو که برای Host ها قابل استفاده است Cisco Security agent گفته می شود. وظیفه این نرم افزار برقراری integrity در نرم افزارها و سیستم عامل منصوب است. اما در روش Network IPS یک device سخت افزاری ( عموما یک sensor) وجود دارد که ترافیک عبوری از شبکه را capture کرده و آنرا بررسی می کند. به دلیل یک sensor ترافیک شبکه ( نه تنها یک host) را مورد آنالیز قرار می دهد ، می تواند به طور همزمان از چندین host محافظت کند. راه کار های Network IPSشرکت سیسکو در دو رده نرم افزاری ( software )و سخت افزاری (Sensor ) قابل پیاده سازی هستند.

خانواده senor های Cisco که طیف سخت افزاری را شامل می شود ، متشکل از device های زیر است :

• Cisco IDS Network Module (For Cisco Routers)
• Cisco Catalyst 6500 Series IDSM-2
• Cisco ASA AIP-SSM
• Cisco IDS 4215
• Cisco IDS 4240
• Cisco IPS 4255 Sensor
• Cisco IPS 4260 Sensor

راه کار نرم افزاری نیز IPS Sensor Software نسخه 6.0می باشد که بر روی یک سیستم عامل لینوکس قابل نصب است. به علاوه این نرم افزار را می توان بر روی Cisco IDS Sensor های مدل 4235  و 4250 XL نیز نصب کرد. برای مدیریت (Management) نیز ، در صورت داشتن یک Device می توان از CLI یا رابط گرافیکی Cisco IDM استفاده کرد. و در صورتی که management در سطح Enterprise مطلوب است،  Cisco IPS Event Viewer ، Cisco Security Manager و Cisco MARS قابل استفاده می باشند.

 

 

نظرات (4)

4  نوشته شده توسط baran, روشن 23 فروردين

نوشتن نظر
نام:
ايميل:
صفحه اصلي:
عنوان:
BBCode:
نظر:
كد:*
	من اين نظر را دوستانه جهت تماس ارسال ميكنم