اولین روتکیتها در اوایل دهه 90 میلادی مشاهده شدند و در آن زمان سیستم عاملهای Sun و لینوکس هدف اصلی حملات بودند. در حال حاضر روتکیتها برای اغلب سیستم عاملها از جمله سیستم عاملهای مایکروسافت وجود دارند. توجه: دقت داشته باشید که ممکن است RATها و ابزارهای دیگری که روتکیتها را تشکیل میدهند، حق دسترسی قانونی را برای کنترل از راه دور یا نظارت دارا باشند. به هرحال این ابزارها خطر کلی را در محیطی که استفاده میشوند، افزایش میدهند.
2-3- مروری بر سیستمهای تشخیص نفوذ
تشخیص نفوذ عبارت است از تحلیل بی درنگ دادههای شبکه به منظور تشخیص و ثبت و اخطار به هنگام بروز حملات و یا اقدامات مخرب امنیتی. در عمل انواع مختلفی از روشهای تشخیص حمله وجود دارد که با توجه با انواع مختلف اقدامات درون شبکه قادر هستند اقدامات مخرب و نفوذی را کشف کنند. در عین این سیستمها از بخشهای مختلفی تشکیل شدهاند و به طرق مختلفی این اجزا میتوانند در کنار هم قرار گیرند و عملکرد خاصی راایجاد کنند.
در این بخش به ارائه چارچوب کلی در مورد امنیت شبکه و سیستمهای کامپیوتری میپردازیم. ابتدا انواع حملات و تهدیدهای موجود در شبکههای کامپیوتری را طبقه بندی میکنیم. سپس به طبقه بندی سیستمهای تشخیص نفوذ از حیث ساختار میپردازیم. در نهایت هم در مورد تکنولوژیهای تشخیص نفوذ و کارکردهای مختلف این ابزارها در مدیریت و حفظ امنیت و نظارت بر شبکههای کامپیوتری بحث میکنیم.
2-3-1- انواع حملات شبکه
انواع حملات با توجه به حمله کننده به این شرح است:
2-3-1-1- انواع حملات شبکهای با توجه به طریقه حمله
یک نفوذ به شبکه معمولا یک حمله قلمداد میشود. حملات شبکهای را میتوان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکهای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از کار انداختن سرویس ( DoS) یا دسترسی غیر مجاز به منابع شبکه است.
• حملات از کار انداختن سرویس: در این نوع حملات مهاجم استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواستهای بی شمار مهاجم مشغول میشود و از پاسخگویی به کاربران واقعی باز میماند.
• حملات دسترسی به شبکه: در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند. برای مثال از شبکه به عنوان مبدا حملات DoS خود استفاده میکند تا در صورت شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را میتوان به دو گروه تقسیم کرد.
o دسترسی به داده: در این نوع دسترسی، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند. حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. دادههای ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرد و سایرین حق دسترسی به آنها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه را ندارند، اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد. این روش به تعدیل امتیاز95 مشهور است.
o دسترسی به سیستم: این نوع حمله خطرناکتر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاهها دسترسی پیدا میکند. این دسترسی میتواند شامل اجرای برنامهها بر روی سیستم و به کارگیری منابع آن در جهت اجرای دستورات حمله کننده باشد. همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربینها، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب ترواها، حمله تست همه حالات ممکن96 و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرمافزار نصب شده بر روی سیستم از جمله نمونههای قابل ذکر از این نوع حملات هستند.
فعالیت مهمی که معمولا پیش از حملات DoS و دسترسی به شبکه انجام میشود، شناسایی97 است. یک حمله کننده از این فاز جهت یافتن حفرههای امنیتی و نقاط ضعف شبکه استفاده میکند. این کار میتواند به کمک بعضی ابزارهای آماده انجام پذیرد که به بررسی درگاههای باز و در حال کار رایانههای موجود بر روی شبکه میپردازند و آمادگی آنها را جهت انجام حملات مختلف بر روی آنها بررسی میکنند.
2-3-1-2- انواع حملات شبکهای با توجه به حمله کننده
حملات شبکهای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد:
• حملات انجام شده توسط کاربر مورد اعتماد ( داخلی ): این حمله یکی از مهمترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند.
• حملات انجام شده توسط افراد غیر معتمد ( خارجی): این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار میدهد. این افراد معمولا سختترین راه را پیش رو دارند زیرا بیشتر سیاستهای امنیتی درباره این افراد تنظیم شدهاند.
• حملات انجام شده توسط مهاجمهای بی تجربه: بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. درواقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکهایجاد مشکل کنند.
• حملات انجام شده توسط کاربران مجرب: مهاجمهای با تجربه و حرفهای در نوشتن انواع کدهای
خطرناک متبحرند. آنها از شبکه و پروتکلهای آن و همچنین از انواع سیستمهای عامل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشوند. آنها معمولا پیش از هر مرحله، آگاهی کافی درباره هدف خود و آسیب پذیریهای آن کسب میکنند.
2-3-2- مکملهای سیستمهای تشخیص نفوذ در برقراری امنیت
همانطور که گفته شد، سیستمهای تشخیص نفوذ به عنوان یکی از راه کارهای برقراری امنیت در شبکههای کامپیوتری مورد استفاده قرار میگیرند. به عبارت دیگر این سیستمها یکی از فناوریهای مورد استفاده برای برقراری امنیت هستند و از گذشته سیستمهای دیگری به صورت مکمل در کنار این سیستمها برای برقراری امنیت استفاده میشدند که هر کدام جایگاه خاصی در برقراری امنیت دارند. در اینجا به معرفی دیواره آتش، سازوکارهای رمزنگاری و تایید هویت و نیز لیستهای کنترل دسترسی میپردازیم. [27]
2-3-2-1- دیواره آتش98
دیواره آتش به عنوان یکی از قدمیترین و شناختهشده ترین راه حلهای مقابله با نفوذ در شبکههای کامپیوتری مورد استفاده قرار گرفته است. دیواره آتش میتواند بر اساس تنظیمات مدیر سیستم، انواع سیاستهای امنیتی را اعمال کند. از جمله تعیین جریانهای مجاز، تعیین امکان برقراری ارتباطات از بیرون شبکه و نیز تعیین سرویسهای مجاز برای کاربران خارج از شبکه. در حالت کلی دو نوع سیاست عمده در دیوارههای آتش مورد استفاده قرار میگیرد:
• امکان عبور به ارتباطاتی که به طور صریح منع نشدهاند.
• جلوگیری از تمام ارتباطات و جریانها مگر آنهایی که به طور صریح برای آنها مجوز وجود دارد.
نوع دوم بیشتر مورد استفاده است ولی با وجود استفاده از چنین سیاستی حمله کننده میتواند از همین روزنههای تعریف شده به سیستم آسیب برساند. برای مثال دیواره آتشی که اجازه عبور ترافیک وب را بر روی درگاه 80 میدهد، این امکان را فراهم میکند تا حمله کننده در پوشش ترافیک وب باایجاد ارتباطات زیاد میانگیر99 سرور را پر کند و یا با مشغول کردن منابع آن امکان سرویس دهی آن را از بین ببرد، چیزی که به عنوان حملات جلوگیری از سرویسدهی شناخته میشود.
یکی از تفاوتهای دیگری که بین سیستمهای تشخیص نفوذ و دیوارههای آتش وجود دارد این است که دیواره آتش معمولا در نقطه دسترسی شبکه قرار میگیرد و جریانهای وارد شونده و یا خارج شونده از شبکه در صورت امکان از آن عبور میکنند. این در حالی است که سیستمهای تشخیص نفوذ به عنوان اجزایی منفعل در شبکه عمل میکنند و مسئولیت پاسخدهی مربوط به سیستمهای پاسخ در برابر حمله است ( این پاسخ بر اساس معیارهای مختلف به منظور بهینه سازی پارامترهای در دسترس بودن سیستم برای کاربران در مقابل حفظ امنیت آن، پاسخ مورد نظر در مقابل اقدامات مشکوک را تعیین میکنند). سیستمهای تشخیص نفوذ با حسگرهای خود ترافیک شبکه را پویش میکنند و انواع محدودی از آن وجود دارند که برای کاربری در نقاط دسترسی شبکه مثل مسیریابها 100مورد استفاده قرار میگیرند.
یکی از روشهایی که سیستمهای تشخیص نفوذ به همراه دیواره آتش مورد استفاده قرار میگیرند این است که حسگر در نقاط خارج از شبکه قبل از دیواره آتش، در ناحیه به اصطلاح « غیر نظامی » قرار گیرند و تمام ارتباطات وارد شونده به شبکه را پویش کنند. همچنین سیستم تشخیص نفوذ میتواند ارتباطات درون شبکه را پویش کند و بر اساس رخدادهای در جریان سیاست امنیتی دیواره آتش را تعیین کند.
2-3-2-2- ساز و کارهای رمزنگاری و تایید هویت
رمزنگاری یکی از معمولترین و موثرترین راه کارهای حفظ امنیت اطلاعات میباشد. این مکانیزم قادر است انتقال نقطه به نقطه مطمئن را برای اطلاعات فراهم کند. این انتقال میتواند بین مشتریها و یا سرورها و مسیریابها نیز باشد. با این حال رمزنگاری نمیتواند به تنها راه حفظ امنیت بدل شود.
فرض کنید یک سرور وب با استفاده از رمزنگاری قصد حفظ امنیت را داشته باشد (با استفاده از پروتکل لایه انتقال SSL). این رمزنگاری برای کاربرانی که فقط قصد مرور صفحات را دارند کاری بی فایده خواهد بود. از طرفی خطرات دیگری این سرور را تهدید میکند. با پیدا شدن یک شکاف امنیتی در شبکه اطلاعات موجود در دیسک میتوانند در معرض تهدید حمله کننده واقع شوند. همچنین درمورد حملات DoS سیستم بی دفاع است. درمورد مکانیزمهای تصدیق هویت هم باید گفت استفاده از رمز عبور نمیتواند در مورد کاربرانی که رمز عبور ضعیف دارند خیلی کارساز باشد.
2-3-2-3- لیستهای کنترل دسترسی
لیستهای کنترل دسترسی مجموعه قوانینی هستند که دیوارههای آتش و مسیریاب برای محدود کردن عبور ترافیک و دسترسیهای خاص مورد استفاده قرار میدهند. این لیستها به تنهایی قابلیت مقابله با حملات را ندارند، بلکه بر اساس سیاست امنیتی میتوان این لیستها را به دیواره آتش و مسیریابها اعمال کرد و بر اساس آن میتوان جلو دسترسی محدوده خاصی از آدرسهای IP را به سرویسهای خاص گرفت. همچنین دیوارههای آتش و مسیریابها میتوانند از طرف مدیر سیستم به نحوی پیکربندی شوند که نسخههای گزارشی مربوط به فعالیتهای انجام شده، ارتباطات بلوکه شده و دیگر هشدارهای صادره را ارائه کنند.
2-3-3- انواع سیستمهای تشخیص نفوذ
سیستمهای تشخیص نفوذ با توجه به نحوه کاربری و محل نصب و میزبان یا شبکهای که از آن محافظت میکنند، میتوان مبتنی بر میزبان، شبکه یا به صورت توزیع شده عمل کنند.
2-3-3-1- سیستمهای تشخیص نفوذ مبتنی بر میزبان101
این سیستمها از یک میزبان در مقابل
عملیات نفوذی و مخرب محافظت میکند.[27] این سامانه محافظتی بر روی سیستم اجرا میشود و تمام فعالیتها و فرآیندهای درون سیستم را کنترل میکند. HIDS میتواند واسط شبکهای را نیز پویش دهد و بر دسترسیهایی که از خارج به سیستم میشود، نظارت کند. این نوع از سیستم تشخیص نفوذ بر روی خود سیستم اجرا میشود و از منابع خود سیستم مثل حافظه و پردازنده و… استفاده میکند. HIDS عمل کنترل دسترسیها را انجام میدهد و بررسی میکند که چه پردازههایی از چه منابعی استفاده میکنند. برای مثال دسترسی یک برنامه با عنوان پردازشگر متن به اطلاعات حساس سیستم مثل رمز محل ذخیره عبور، یک اقدام مشکوک است. همچنین به بررسی مداوم وضعیت سیستم میپردازد و منابع سختافزاری و اطلاعاتی سیستم را در مورد دسترسی و ویرایش توسط عوامل مشکوک بررسی میکند. امروزه بسیاری از برنامههای امنیتی تحت عنوان ضد ویروس برای حفظ امنیت سیستم کامپیوتری به کار میروند. این سیستمها بیشتر وقت خود را صرف کنترل دسترسی پردازهها میکنند. این که هر کدام از پردازهها به چه

Written by 

دیدگاهتان را بنویسید