یک رهجو

فناوری تشخیص نفوذ و پیشگیری از آن

یک راه حل مدیریت یک‌پارچه تهدید (UTM)، شامل معماری تحلیل بسته‏‌های مبتنی بر امضا است که به عنوان «تشخیص نفوذ و جلوگیری از آن» یا IPS نیز شناخته می‌‏شود. در واقع در این حالت تمامی ارتباطات درونی و بیرونی شبکه جهت شناسایی فعالیت‏‌های مشکوک مورد بررسی قرار می‏‌گیرند.

بسته به انواع فعالیت‏‌ها، این دسته از نرم‌افزار / سخت‌افزارها می‌‏تواند به ثبت وقایع تمامی فعالیت‏‌ها پرداخته، حتی آن‌ها را مسدود کند. امضاهای جدید نیز برای مقابله با تهدیدها، به تناوب زمانی به پایگاه داده اضافه می‌‏شوند.

این سیستم در واقع برای جلوگیری از دسترسی غیرمجاز ربات‌های اینترنتی و هکرها و همچنین محافظت از سرورهایی طراحی شده است که در پشت ‌سر دیوار‏های آتش قرار گرفته‌‏اند. همچنینIPS از کاربران شبکه در زمینه بارگذاری فایل‌ها یا برنامه‌‏های آلوده به بدافزارها محافظت می‌‏کند.

DS-16-IPS_Technology_Overview-1

ایمنی‌سرورها

در بسیاری از موارد، سرورها در پشت دیوار‏های آتش تعبیه می‌‏شوند و تنها به سرویس‌های میزبانی‌شده حق دسترسی دارند. بسته به نوع سرویس میزبانی‌شده بر روی این سرورها (به طور مثالSQL Server)، دیوار آتش ممکن است توانایی تشخیص نوع برقراری ارتباط بین ایستگاه کاری و سرور را نداشته باشد. دیوار آتش در وهله اول وظیفه دارد تا از ارتباط امن بین ایستگاه کاری و سرور اطمینان حاصل کند و همچنین از روش‏‌های اتصال غیرمجاز جلوگیری به عمل آورد. البته این روش برای جلوگیری از همه اتفاقات بدی که ممکن است رخ دهد، کافی نیست.

شاید به عنوان یکی از بهترین مثال‏های این زمینه بتوان از حمله یک کرم اینترنتی با نام «Code Red» به سرورهای IIS مایکروسافت در سال ۲۰۰۱ یاد کرد. این بدافزار به شیوه‏ای طراحی شده بود که یک سری دستور اجرایی را از طریق سرویس HTTP به سمت سرور ارسال می‏‌کرد و باعث سرریز بافر در فضای حافظه سرور می‌شد. این موضوع به هکرها اجازه می‌داد تا کدهای مورد نظرشان را اجرا کنند. برخی از این کدها دارای قابلیت تکثیر خودکار بر روی فضاهای دیگر بودند که همین موضوع باعث رشد سریع این خرابی در جاهای دیگر هم می‏شد.

اضافه کردن لایه IPS

به‌روز نگه داشتن نرم‏‌افزارهای نصب‌شده روی سرور یکی از کارهای حیاتی‌ای است که می‏تواند شما را در برابر تهدیدها در امان دارد. تولید‏کنندگان نرم‌‏افزار به طور مداوم بسته‌‏های امنیتی را برای تولیداتشان عرضه می‏‌کنند تا حفره‌‏های امنیتی موجود را از بین ببرند. با این حال در برخی موارد، امکان به‌‌روزرسانی به آخرین نسخه وجود نداشته یا حتی بسته امنیتی هنوز ارایه نشده است. اضافه کردن یک لایه IPS می‌تواند تاثیر به‌سزایی در جلوگیری از حملات کدهای مخربی همچونRed Code داشته باشد.

بخوانید  یک نامه به وزیر ارشاد آینده

سیستم IPS از پایگاه داده‌ای محلی برای نگه‌داری شناسه‏‌های مورد نیاز جهت شناسایی کدهای مخرب استفاده می‏‌کند. بدون تفسیر ارتباط بین سرویس‌گیرنده و سرویس‌دهنده، IPS می‏‌تواند یک شناسه یا امضا را از اتصال برقرارشده شناسایی و در پایگاه داده‌‏اش جستجو کند. این نوع معماری در زمینه مبارزه با انواع خراب‌کاری‏‌ها و کدهای آلوده بسیار موثر است.

از دیگر انواع حملاتی که به سرورها می‏‌شود، می‌توان به حمله برای شناسایی رمزهای عبور یا بروت فورس، رد دسترسی به خدمات، اسکن کردن پورت‏‌ها و ربودن جلسه‏‌های کاری اشاره کرد. این نوع حملات به طور کلی شامل تلاش برای به دست آوردن اطلاعاتی در مورد نرم‌افزار سمت ‌سرور، از جمله نسخه و سازنده آن است. با به دست آوردن این اطلاعات، هکر می‏‌تواند در زمینه ضعف‏‌های امنیتی برنامه مورد نظر تحقیق و کدهای مخرب خود را اجرا کند. در تمام این موارد، IPSمی‏‌تواند مدیریت سیستم را از انواع تلاش‏‌ها برای دسترسی غیرمجاز به سیستم مطلع کند و حتی آن‌هایی را که فعالیتشان مخرب تشخیص داده می ‏شود، مسدود کند.

UTM

کاهش اثرات تروجان‌ها، کرم‌ها، جاسوس‌ها و سایر بدافزارها

گذشته از تخریب برنامه‌‏های موجود و در حال کار از سوی برنامه‏‌های مخرب، راه‏‌های دیگری نیز برای آسیب‏‌رسانی به سیستم‌های عامل‏ وجود دارد. یکی از روش‌های معمول در این زمینه، جا دادن یک کد مخرب در قالب برنامه‌ای رایگان است. کاربر نیز با نصب برنامه رایگان، یا حتی سرزدن به یک سایت اینترنتی آلوده به کد مخرب، امکان اجرای آن را بر روی دستگاه خود فراهم می‏‌کند. این نوع حملات ممکن است برای کاربر چندان واضح و روشن نباشند، اما می‏‌توانند صدمات بسیاری را به سیستم‏‌ها یا اطلاعات سازمانی وارد کنند. این برنامه‏‌ها همچنین ممکن است کارآیی سیستم را پایین آورده یا حتی آسیب‏‌های دیگری به سایر برنامه‏‌های سیستم وارد کنند. از آن جایی که نصب این برنامه‏‌ها کاملا درست و قانونی به نظر می‏‌رسد، تشخیص مخرب بودن آن‌ها از طرف برنامه‏‌های ضدویروس امکان‌‏پذیر نیست.

بخوانید  خرید آگاهانه، نقد منصفانه، طرفداری متعصبانه

یک سیستم IPS در شناسایی چنین برنامه‌‏هایی به کار می‏‌آید. اگر کاربر برنامه مخربی را به اشتباه بارگذاری کرده باشد، سیستم آن را شناسایی و دسترسی‌‏اش را به منابع سیستمی مسدود می‏‌کند. در صورتی که شما یک کامپیوتر آلوده را وارد شبکه خود کنید، IPS می‌‏تواند فعالیت‌‏های مخرب بدافزارهای موجود را شناسایی و آن‌ها را مسدود کند. سیستم IPS در یکUTM در پشت صحنه با دیوار آتش و قابلیت فیلترینگ محتوا نیز فعالیت می‌کند تا بتواند بهترین اثر ممکن را از خود به جای بگذارد.

معماری

  1. مکان: به طور معمول سیستم IPS در آن نقطه‌ای از شبکه نصب می‌‏شود که بیشترین فعالیت ورودی و خروجی را داشته باشد. سیستم IPS باید در جایی که مسیریاب گذرگاه(Gateway Router) یا دیوار آتش (که وظیفه تقسیم ترافیک آی‌پی بین بخش‏‌های مختلف شبکه را بر عهده دارد) مستقر شده قرار داشته باشد. به عنوان یک دیوار آتش مبتنی بر محیط، UTM های پیشرفته یک سیستم جلوگیری از نفوذ مبتنی بر شبکه را پیاده‌‏سازی می‏‌کند. به بیان دیگر، هر ترافیکی که از طریق مسیریاب بین اینترنت و شبکه مورد نظر گذشته باشد، از طریق IPSهای UTM مورد بررسی قرار می‏‌گیرند.
  2. تحلیل بسته‏‌ها: در عمق این فناوری، هر UTM مدرن از یک بسته تحلیلگر بسته (که می‌تواند مبتنی بر Snort باشد) بهره ‏می‏‌گیرد. Snort یک سیستم IDS/IPS متن‌باز است که به طور خیلی مخفیانه ارتباطات شبکه‏‌ای را اسکن می‌‏کند.
  3. پایگاه داده: UTMهای مدرن عموما مجموعه‌ای از قوانین را با بهره‏‌گیری از سیستمی با نام «تهدیدهای در حال ظهور» آماده استفاده می‌کنند. هر قانون آماده شناسایی و عمل بر اساس اتفاقی است که رخ می‌‏دهد. این قوانین بر اساس سال‌ها تجربه و به‌روزرسانی‌‏های متمادی به دست آمده است.

لیست سیاه آی‌پی‌ها

علاوه بر این که پایگاه داده قوانین رفتارهای موجود در شبکه را مورد بررسی قرار می‌‏دهد، UTM از یک سیستم پایگاه داده آی‌پی نیز بهره می‏‌گیرد که در واقع حکم لیست‌ سیاه را دارد. آدرس آی‌پی‌هایی که در این لیست قرار دارند ممکن است حتی مربوط به سازمان‌های معتبری باشد که فعالیت‏‌های مشکوک و مخربی مانند ارسال هرزنامه، باعث شده که این آدرس‌‏ها در لیست ‌سیاه قرار بگیرند. این آی‌پی‌ها عموما از منابع معتبر مختلف اینترنتی مانند Dshield و Spamhaus به دست می‌‏آیند.

بخوانید  دیتا هیچگاه نمی خوابد: در هر دقیقه چقدر داده در اینترنت جا به جا می شود؟

چگونه از یک IPS درست استفاده کنیم؟

  1. بررسی ثبت رویدادهای امنیتی: هر فعالیتی که منجر به انسداد شده باشد، توسط رویدادنگار امنیتی ذخیره می‌شود. جزییات هر کدام از این فعالیت‏‌ها، مانند «شناسه قانون» (rule ID) در این فایل وجود دارد. اگر کاربری اشکالی را در ارتباطش گزارش کند، بهترین راه حل اولیه بازبینی فایل ثبت رویدادهای امنیتی است.
  2. تایید کنید که نرم‌‏افزار خطرناک نیست: اگر ارتباط یک برنامه به وسیله IPS مسدود شده باشد، برنامه باید مورد آزمایش قرار بگیرد تا از بی‏‌خطر بودن آن اطمینان حاصل شود.
  3. ایجاد استثناها: اگر استثنایی باید در پایگاه داده وارد شود، باید به وسیله اخذ «شناسه‌ قانون» از فایل رویدادنگار و وارد کردن آن در بخش «شناسه‏‌های چشم‌پوشی شده» صورت گیرد.

مدیریت به‌روزرسانی

دقیقا مانند ویروس‏‌ها، لیست تهدیدها هم روزانه به‌روز می‌‏شوند. بسیار مهم است تا مطمئن شوید لیست پایگاه داده شما هم به‌روز است. بخش به‌روزرسانی همه UTMها کار روزانه به‌روزرسانی پایگاه داده به عهده دارند.

خلاصه

فناوری پیش‌گیری از نفوذ که بر مبنای حجم عظیمی از قوانین فعالیت می‌‏کند، بسیار پیچیده است. هر شبکه شاخص‌‏های ویژه خودش را دارد و نفوذ به آن می‏‌تواند یک موضوع کاملا جدید در این حوزه باشد. سیستم IPS تعبیه شده در ابزارهایی مانند Kerio Control طوری طراحی می‌شوند که بتوانند حملات را با دقت هرچه تمام‌تر جهت شناسایی و مسدود کنند، ضمن این که کارآیی شبکه را هم در حد مطلوب حفظ کنند.

منبع: کریو تکنولوجیز (Kerio Technologies)

این مقاله در مجله فناوری و دانش شماره ۱۶ به چاپ رسیده و همچنین در سایت مجله علمی کائسنا بازنشر شده  است.

پست‌هایی که احتمالا دوست دارید بخوانید

نظر دهید