اجزای سیستم قبل از جایگذاری در سیستم و بکارگیری، در شرایط آزمایشی مورد تست قرار بگیرند. در مراحل نصب سیستم هم باید ابتدا تعداد محدودی حسگر نصب شده و خروجی آن بدون هیچ استفادهای مورد بررسی قرار گیرد. در این فاز امکان هشدارهای بی مورد زیاد است، بنابراین راه اندازی تعداد زیادی حسگر میتواند سرورهای مدیریت و پایگاه داده را از جهت ثبت رخدادها دچار مشکل کند. همچنین محدود کردن شبکه در موقع نصب آزمایش سیستم کار را برای انجام تستها بررسی مسائل مختلف هموار میکند.
• اجزای مبتنی بر سختافزار به راحتی میتوانند در جایگاه مورد نظر قرار گیرند، تنها لازم است اتصال مناسب با شبکه برقرار شود و نیازهای برق و… فراهم شود. در مقابل اجزای نرمافزاری برای نصب به تمهیدات بیشتری نیاز دارند؛ تعیین و تهیه سختافزار مناسب، کارت شبکه مناسب با پهنای بالا، سیستم عامل همخوان با نرمافزار و… از آن جملهاند. همچنین با بروز شدن نسخه نرمافزار نیاز است تا سیستم عامل و سختافزار هم بروز شوند. همچنین پیکربندیهای لازمه بر روی نرمافزار سیستم باید انجام شود. همین کار برای اجزای مبتنی بر سختافزار نیز لازم است.
• بعد از انجام این مراحل باید سیستم به نحو مناسبی پیکربندی شود. این مرحله بسته به روشهای تشخیص استفاده شده در ابزار متفاوت است. بدون پیکربندی اولیه سیستم قادر به تشخیص تعداد محدودی از حملات است.
• لحاظ کردن تدابیر امنیتی: IDSها یکی از اهداف اصلی مهاجمین شبکههای کامپیوتری هستند. اگر یک مهاجم بتواند درIDS سازش داشته باشد، قادر خواهد بود انواع آسیبها را به سیستم وارد آورد و سلسله نفوذهای مختلفی را به اجزای مختلف شبکه انجام دهد. همچنین IDSها دارای اطلاعات عمدهای درباره پیکربندی شبکه و سیستمهای درون آن دارند، که برای مهاجمین بسیار ارزشمند خواهد بود. برای حفاظت از سیستم تشخیص نفوذ راهکارهای زیر پیشنهاد میشود:
o مدیر سیستم با انجام پیکربندی مناسب بر روی دیوارههای آتش، مسیریابها و سوئیچها، دسترسی به اجزای سیستم تشخیص نفوذ را محدود نماید، به نحوی که چارچوب ارتباطات محدود به ارتباطات درون خود سیستم و در صورت لزوم کاربران خاص باشد.
o مدیر سیستم باید اطمینان داشته باشد ارتباطات بین اجزای سیستم در بستری مناسب صورت گیرند. این کار میتواند با استفاده از شبکهای مجزا (شبکه مدیریت) صورت گیرد و یا با استفاده از شبکه مجازی120 صورت پذیرد. در این صورت استفاده از ساز و کار مناسب برای رمزنگاری پیامها ضروری است. در صورت رمزنگاری باید از واسطهای استاندارد و شناخته شده برای این کار استفاده شود. برای مثال بنیاد بین المللی استاندارد و فناوری 121، استفاده از ماژولهای FIPS122 را توصیه کرده است. بسیاری از ابزارها از پروتکل امنیتی لایه انتقال123 استفاده میکنند. در مورد سیستمهایی که در آنها رمزنگاری لحاظ نشده است مدیر سیستم باید از یک شبکه خصوصی مجازی با VPN برای بستر ارتباطات فراهم نماید.
o یکی دیگر از مسائل مهم این است که اجزایی از شبکه که به عنوان اجزای IDS مورد استفاده قرار میگیرند، سرویس دیگری نداشته باشند. مثلا راه اندازی سرویسهای شبکهای روی حسگرها کاری معقول نیست.
• راه اندازی و نگه داری سیستم: بعد از طراحی سیستم و در نظر گرفتن تمام مسائل امنیتی و طرح پیاده سازی آن، نوبت به راه اندازی میرسد. معمولا ارتباط کاربران و مدیر سیستم با IDS از طریق واسط کاربری یا کنسول صورت میگیرد. واسط گرافیکی کاربر امکان دسترسی به سیستم و مشاهده و فعالیتهای جاری و وضعیت سیستم را میدهد. از دیگر مسائل مربوط به راه اندازی سیستم میتوان به این مسائل اشاره کرد:
• امکان دسترسی به قابلیتهای مختلف از طریق کنسول.
• رفع مشکلات و نظارت مداوم بر سیستم باید صورت پذیرد. همچنین ارزیابیهای امنیتی روی سیستم باید صورت پذیرد تا در طی فرآیند تست نفوذ، نقاط ضعف و آسیب پذیری سیستم مشخص شود. بعد از تشخیص این مشکلات میتوان با پیکربندی جدید شبکه، دیواره آتش و یا اعمال سیاستهای امنیتی خاص برای سیستمهای بازدارنده نفوذ، میزان امنیت سیستم را بالا برد.
• بروز کردن نسخه نرمافزار IDS و نیز استفاده از الگوها و پروتکلهای جدید باید در دورههای زمانی منظم صورت پذیرد. باید توجه داشت که این بستههای نرمافزاری قبل از به کارگیری در سیستم حتما تست شوند تا اطمینان از نتیجه از پیکربندی قبلی نسخه پشتیبان تهیه شود.
2-3-6- ویژگیهای ابزار تشخیص نفوذایده آل
در اینجا ما چارچوبی را برای معرفی ابزار تشخیص نفوذایده آل ارائه میدهیم. بر اساس بررسیهای انجام شده در این گزارش و منابع مشخص شده، ویژگیهای مطرح شده، ویژگیهای یک ابزارایده آل است.
2-3-6-1- دقت بالا، نرخ تشخیص بالا و کم بودن هشدارهای نادرست
در [28] معیارهایی که برای ارزیابی بهرهوری سیستم تشخیص نفوذ مبتنی بر کشف ناهنجارها در نظر گرفته شدهاند عبارتند از :
• نرخ تشخیص بالا و کم بودن هشدارهای نادرست: نرخ تشخیص عبارت است از کسری از ترافیک ناهنجار که به درستی تشخیص داده شدهاست. این هشدارها میتواند مربوط به اقدامات ناهنجار امنیتی باشند که سیستم را تحت تاثیر قرار میدهند، یا آن که صرفا تلاشهای نافرجامی برای نفوذ به سیستم باشند. نرخ هشدارهای نادرست هم به صورت درصدی از ترافیک خوش خیم که به نادرست ترافیک مخرب تشخیص داده شدهاست، تعریف شدهاست. همچنین میتوان آن را نسبت هشدارهایی که به نادرستی تشخیص داده شدهاند به کل هشدارهای صادره از
طرف IDS تعریف نمود.
در مورد نسبت هشدارهای نادرست باید توجه کرد که در بسیاری از حملات هدف حمله کننده خود IDS است و حمله کننده قصد دارد با استفاده از تعداد زیاد هشدار نادرست، IDS را مشغول و غرق آنها کند و عملا سیستم تشخیص نفوذ را از کار بیندازد[29]. بنابراین داشتن ساز و کار مناسب برای دفع چنین خطراتی از ویژگیهای مهم ابزار IDSایده آل است.
2-3-6-2- نحوه واکنش و ایجاد هشدار و کار با IDSهای دیگر
هر چند تولید هشدار جزء چارچوب عملکرد سیستمهای تشخیص نفوذ در نظر گرفته نمیشود. لکن بسیاری از ابزارهای IDS قابلیت جلوگیری از نفوذ و واکنش در برابر آن را دارند. از جمله مهمترین این ابزارها، ابزارهای Snort است که در حالت بر خط قادر است مانند دیواره آتش، جلو بروز حملات را بگیرد. هشدارها در واقع خروجی اصلی ابزار تشخیص نفوذ میباشند. با استفاده از این هشدارها بروز حملات مشخص میشود. هدف از نصب سیستم تشخیص نفوذ بکارگیری آن برای بالا بردن امنیت سیستم و دفع حملات است. بنابراین امکان ارتباط حسگرهای سیستم تشخیص نفوذ با سیستم مدیریت مرکزی یا پایگاه داده مرکزی برای ثبت رخدادها و هشدارها اهمیت زیادی دارد. ارتباط با دیوارههای آتش و اعمال پیکربندی مورد نظر برای جلوگیری از مبدا حملات یکی از راههای معمول دفع حملات میباشد. اصولا دیوارههای آتش به خاطر عملکرد و بازدهی سریعتر و بهتر در مقابل ترافیک ورودی بستر خوبی برای اعمال سیاست امنیتی هستند. همانطور که در مورد ابزار Snort هم توضیح داده شد، برای این ابزار ابزارهای جانبی به منظور مدیریت حسگرها و گروه بندی رخدادها و هشدارهای موجود در پایگاه داده وجود دارد.
به منظور داشتن چارچوب استاندارد و مقبول برای همکاری ابزارهای تشخیص نفوذ مختلف که وظیفه پویش شبکه را برعهده دارند، از گذشته این فکر مطرح بوده است که تمام پیغامها و هشدارهای های مختلف در قالب فرمت استانداردی به سیستم مدیریت و پاسخ دهی ارسال شود. فرمت استاندارد تبادل پیغام ابزارهای تشخیص نفوذ124 یکی از این ایدهها بوده است. این فرمت هشدارها و رخدادهای کشف شده در حسگرها و تحلیل گرهای ابزارهای تشخیص نفوذ مختلف را به صورت شئهایی با ساختار مشخص بیان میکند[30]. به این ترتیب امکان ارتباط با سامانه مرکزی مدیریت و پاسخ فراهم میشود. ابزار تشخیص نفوذ مناسب باید چنین قابلیتهایی را داشته باشد.
2-3-6-3- قابلیتهای پیکربندی و تنظیمات فاز نصب و سازگاری با شرایط سیستم
مرحله نصب و کارگذاری IDS و انجام پیکربندی مناسب برای به کارگیری مناسب در انتخاب ابزار مناسب اهمیت فوق العادهای دارد. سیستم تشخیص نفوذ باید قادر باشد بر اساس شرایط کاری سیستمهای مختلف به کار بیاید. وجود معماری انعطاف پذیر ابزار برای به کارگیری در ابزار در شرایط مختلف و استفاده از قابلیتهای خاص آن و همینطور غیرفعال کردن بخشهای غیر ضروری اهمیت زیادی دارد. برای مثال هنگامی که IDS برای محافظت از یک شبکه دارای سرورهای وب مورد استفاده قرار میگیرد، بخشهایی از IDS که به کشف حملات مربوط به سرورهای ایمیل مربوط میشود، غیر ضروری تشخیص داده شده و میتواند مورد استفاده قرار نگیرد. اغلب ابزارهای موجود مثل Snort و Bro آن قابلیت را دارند. به این ترتیب بهرهوری از منابع سختافزاری و نرمافزاری افزایش مییابد.
2-3-6-4- امکان اعمال سیاست امنیتی در نسخه امنیتی یا با استفاده از قوانین کارآمد
سیاست امنیتی عبارت است از مجموعه بایدها و نبایدهایی که برای تعیین سطح دسترسی به اطلاعات و منابع سیستم برای کاربران در نظر گرفته میشود. ابزار تشخیص نفوذ ایده آل باید قادر باشد انواع سیاستهای امنیتی را اعمال کند.
امکان اولویت دهی به قوانین مهمتر از قابلیتهای مهم ابزار است. طبعا بعضی آسیب پذیریها در سیستم اهمیت بیشتری دارند، بنابراین در صورت تشخیص حملات مرتبط با آنها در مقایسه با حملات دیگر تشخیص داده شده در همان زمان باید اولویت بیشتری برای آنها قائل بود. برای مثال، ابزار Snort به ازاء هر کدام از بستههای ورودی لیستی از حملات مرتبط را آماده میکند، سپس در فاز تولید هشدار بر اساس اولویت قوانین و جامعیت هر کدام از هشدارها نسبت به دیگران، هشدارهای لازم را صادر میکند.
2-3-6-5- مقیاس پذیری و توزیع پذیری
امروزه با بالا رفتن نرخ ارسال دادهها در شبکهها، نیاز به توسعه امکانات سیستمهای تشخیص نفوذ پیش میآید. وجود معماری قابل مقیاس پذیری قابلیت توسعه سیستم را برای جایگذاری در شبکههایی با اندازه مختلف فراهم میکند. به این ترتیب با توسعه شبکه اولیه و افزایش پهنای باند، قادر خواهیم بود با اضافه کردن امکانات جدید به سیستم تشخیص نفوذ دوباره از آن استفاده کنیم.
از طرف دیگر، گاهی امکان دارد سیستم تشخیص نفوذ نیاز به بکارگیری توان پردازشی زیادی داشته باشد. پیاده سازیهای مجتمع ممکن است نیاز به سیستمهای سختافزاری بزرگ و پیچیده داشته باشند. امکان پیاده سازی سیستم به صورت توزیع شده، و با به کارگیری تعداد اجزای بیشتر، هزینه پیاده سازی و اجرای طرح را پایین آورده و عملکرد آن را بهبود میدهد.
2-3-6-6- اجرای مداوم و تحمل پذیری خطا
ابزار تشخیص نفوذ باید قادر باشد ترافیک شبکه را به طور مداوم پویش کند و در مقابل شرایط خطایی که ممکن است در شبکه اتفاق بیفتد دچار آشفتگی و نقص عملکرد نشود. منظور از خطا میتواند از کار افتادن بخشی از سیستم به منظور اعمال تغییرات، یا شرایط مربوط به قطع ارتباط یا قطع و اتصال مجدد جریان برق باشد.
2-3-6-
7- قابلیت تشخیص حملات دیده نشده
به کارگیری روشهای مختلف تشخیص نفوذ به صورت مکمل در کنار هم میتواند باعث تصمیم گیری بهتری درمورد حملات باشد. انواع زیادی از حملات و سناریوهای مختلف ممکن است اتفاق بیفتد. همچنین ممکن است در پیاده سازیهای پروتکلهای مختلف تفاوتهایی وجود داشته باشد. ابزار ایده آل باید قادر باشد تمامی اقدامات سوء و مخربی را که تا کنون مشاهده نشدهاند را تشخیص دهد.
2-3-6-8- بهرهوری و عملکرد مناسب
به هنگام استفاده از ابزار تشخیص نفوذ، با توجه به قابلیتها و تواناییهای ابزار در تشخیص حملات معیار بهرهوری ابزار از منابع سختافزاری و هزینه راه اندازی سیستم مورد توجه هستند. این که ابزار مورد نظر از چه بخشهایی تشکیل شدهاست و برای راه اندازی آن چه تغییراتی باید در توپولوژی شبکه ایجاد شود. مساله بهرهوری در سیستمهای تحت شبکه و توزیع شده اهمیت ویژهای دارد. یکی از معیارهای تشخیص بهرهوری ابزارهای تشخیص نفوذ، تعداد بستههای بررسی شده در بازه زمانی مشخص، اندازه

Written by 

دیدگاهتان را بنویسید