دفاع در مقابل تهدیدها و حملات معمول

قسمت گذشته نشان میدهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و موثر شرکت میکند .

برخی حملات معمول شامل موار زیر می باشد :

حملات به وب سرور – حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریبا برای هر وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات dos امروزه حملات به وب سرور یکی از معمول ترین حملات هستند . Code rd , nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی برخوردارند .

بازپخش ایمیل ها بصورت نامجاز – سرورهای ایمیلی که به صورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص هستند .

دستکاری میزبان دور در سطح سیستم – تعدادی از اسیب پذیری ها یک سیستم را از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد .

فراهم بودن سرویس های اینترنتی غیر مجاز – توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا میبرند اغلب چنین سرویس هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند .

تشخیص فعالیت ویروسی – در حالی که برنامه ضد ویروسی در تشخیص ویروس ها مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط بکارگیری یک برنامه تشخیص نفوز یا ids شبکه برای تشخیص این نوع فعالیت بسیار مناسب است .

مقدمه ای بر تشخیص نفوز intrusion detection

تشخیص نفوز عبارت است از پردازه تشخیص تلاش های که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد .

سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حملات حملات برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است .

دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند به سرعت رفتار میشوند .
به همین دلیل است که بیشتر سیستم های تشخیص نفوز ids بر مکانیزم هایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند
البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد .

انواع حملات شبکه ای با توجه به طریقه حمله

یک نفوذ به شبکه معمولا یک حمله قلمداد میشود . حملات شبکه ای را میتوان بسته به چگونگی انجام ان به دو گروه اصلی تقسیم کرد یک حمله شبکه ای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد این اهداف معمولا از کار انداختن سرویس dos یا denial of service یا دسترسی غیر مجاز به منابع شبکه است .

حملات از کار انداختن سرویس

در این نوع حملات هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

حملات دسترسی شبکه

در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند .
برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده میکند تا در صورت شناسایی مبدا ، خود گرفتار نشود .

دسترسی به شبکه را میتوان به دو گروه تقسیم کرد :

دسترسی به داده – در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرند
سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد ، این روش تعدیل امتیاز یا PRIVILEGE ESCALATION مشهور است .

دسترسی به سیستم – این نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها دسترسی پیدا میکند.
این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد .

همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند حملات اسب تروا ها ، BRUTE FORCE و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند

فعالیت مهمی که معمولا پیش از حملات DOS و دسترسی به شبکه انجام میشود شناسایی یا RECONNAISSANCE است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حملات مختلف بر روی انها بررسی میکنند .

انواع حملات شبکه ای با توجه به حمله کننده

حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :

1 – حملات انجام شده توسط کاربر مورد اعتماد – داخلی - : این حمله یکی از مهمترین و خطرناکترین نوع حملات است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند .

2 – حملات انجام شده توسط افراد غیر معتمد – خارجی - : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد . این افراد معمولا سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .

3 – حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .

4 – حملات انجام شده توسط کاربران مجرب : هکرهای باتجربه و حرفه ای در نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشود انها معمولا پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند .

5 پردازش تشخیص نفوز – تا بحال با انواع حملات اشنا شدیم . حالا باید چگونگی شناسایی حملات و جلوگیری از انها را بشناسیم .

امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد :

ids مبتنی بر خلاف قاعده اماری

ids مبتنی بر امضا یا تطبیق الگو

روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان host اجرا میشود لذا در صورت بروز یک نفوذ امکان تشخیص ان به علت خلاف معمول بودن ان وجود دارد اما بسیاری از حملات به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .

در واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود ids مبتنی بر امضا یا تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود هر امضا دارای اطلاعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت .

هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد ids علاوه بر اگاه کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند .

مقایسه تشخیص نفوذ و پیش گیری از نفوذ

intrusion prevention

ایده پیش گیری از نفوذ این است کخ تمام حملات علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .

تفاوت شکلی تشخیص با پیش گیری

در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست بالایی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش های tcp ، ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود .

یک ips intrusion prevention system یا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش تعیین شده اجازه عبور میدهد .

یک ids intrusion detection system یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی های خود را انجام میدهند .