HIPS مخفف کلمات Host Intrusion Protection System به معنی محافظت از دسترسی غیر مجاز به میزبان و به گروه مهمی از نرم افزارهای امنیتی اطلاق میگردد که به منظور محافظت از اعمال مخرب و یا اشتباه کاربران در حذف محدودیتهای وضع شده توسط سرپرست Administrator طراحی گردیده باشند .
متاسفانه با وجود اهمیت نسبی نرم افزارهای فوق ، به این دسته از نرم افزارها خصوصا در زبان فارسی بسیار کم بها داده شده است چنانکه با وجود یک دهه حضور فعال هموطنان عزیزمان در عرصه Internet ، به جز چند اشاره گذرا در کمتر سایتی سخنی از آنها به میان آمده است .
از جایی HIPS در گروه Firewall ها و به عنوان نرم افزارهای مکمل طبقه بندی میشوند ، در ایتدا لازم است سخن مختصری پیرامون ، تعاریف ، وظایف و شرح مشکلات کنونی دیوارهای آتش ، بیان گردد .


Firewall یا دیوار آتش به نرم افزار و یا سخت افزاری گفته میشود که سطح دسترسی به سیستم را برای عوامل خارجی و یا داخلی ، تعریف نماید.
فایروالها به دو دسته بزرگ سخت افزاری و یا نرم افزاره تقسیم میگردند.
فایروالهای سخت افزاری بسیار سریع و پایدار میباشند ولی در مقام مقایسه از قیمت بالاتر و قابلیت انعطاف کمتر برخوردار میباشند . بیشتر فایروالهای سخت افزاری دارای طراحی یک سویه میباشند و از وظایف HIPS به هیج وجه پشتیبانی نمی نمایند .
منظور از وظایف یک سویه ، اصطلاح مقابل Two-Way Firewall به معنی اجرای کامل وظایف تعیین سطح دسترسی ، هم در مقابل عوامل خارجی و هم در مقابل عوامل داخلی میباشد . که در اغلب طراحی ها متاسفانه به عوامل غیر مجاز داخلی توجه چندانی نمیگردد.
در حقیقت در بیشتر نرم افزارهای دیوار آتش کاملا حرفه ای نیز کنترل سطح دسترسی کاربران ، تا حد زیادی فراموش گردیده و این گونه تنظیمات در غالب موارد ، در شبکه های Client Server توسط سرویس Active Directory و در شبکه های Workgroup توسط نرم افزارهای ویژه تعیین سطح دسترسی در ویندوز ، صورت میگیرد.


با فرض رفتار صحیح و دقیق استفاده کنندگان از سیستم ، بدون وجود مشکل خاصی میتوان با استفاده از همین روشها ، شبکه و یا سیستم مورد نظر را به خوبی کنترل نمود .در حقیقت مشکلات اصلی از زمانی آغاز میگردد که بخشی از کاربران به منظور فرار از محدودیتهای وضع شده توسط سرپرستی به اقدامات غیر معمول و بعضا مخرب توسل جویند. و یا اشتباه انسانی در استفاده غیر صحیح از منابع منجر به دسترسی نرم افزارهای مخرب به سیستم گردد.
وظایف نرم افزارهای HIPS پشتیبانی از این وظایف فراموش شده فایروالها و پوشش نقصهای ذاتی سیستم عامل در حمایت از عدم نقض محدودیتهای تعیین شده میباشد.
به عنوان مثال اگر محدودیتهای سطح کاربری را به پارتشینها و درب های جدا کننده بخشهای مختلف یک منزل تشبیه کنیم نرم افزارهای HIPS را میتوان به مثابه تسمه های فولادی تقویت کننده قفلها ، لولا ها و اتصالات تشبیه کرد .
یکی از بزرگترین دلایل نیاز به این گروه از نرم افزارها ضعف سیستم عامل ویندوز در عدم وجود کنترل مناسب بر فایلهای اجرایی میباشد . با بهره گیری از این نقص حتی با کمترین سطح دسترسی به سیستم عامل میتوان توسط اجرا یک Application یا فایل اجرایی exe به سهولت امکان دسترسی به Command Prompt ، Registry ، .... را فراهم آورد و یا User جدیدی با سطح دسترسی Admin به وجود آورد .
اجرا این قبیل نرم افزارها با محدودیت نصب نرم افرار که توسط برخی از سیستمها اعمال میگردد متفاوت میباشد و به طوری که ذکر آن رفت در فرآیند فوق در بسیار از موارد و فقط با یک کلیک قابل اجرا میباشد .
اصلی ترین وظیفه نرم افزارهای HIPS تعریف کلیه Process قابل اجرا ، حتی در سطح سرویسهای سیستم عامل میباشد .


در قسمت دوم این گفتار ابتدا به وظایف این گروه از نرم افزارها به صورت تفصیلی میپردازیم و سپس به معرفی نرم افزارهایی که صرفا به چنین منظوری طراحی گردیده اند خواهیم پرداخت .

:104:
گردآونده:طه-Borna66

در قسمت قبل دیدیم که نرم افزارهای HIPS از نظر تئوری به منظور تکمیل وظایف فایروال و جهت تعریف سطح دسترسی به سیستم طراحی میگردند ولی در عمل بیشتر نقش مکمل سیستم عامل را برای نظارت بر اجرای Task های مختلف و سایر کنترل های پیش بینی نشده ، بر عهده دارند .
نرم افزارهای HIPS بر خلاف نرم افزارهای آنتی ویروس از روسهای مقایسه ای Signature Based و مکاشفه ای Heuristic استفاده نمینمایند . و تنها برای آنها وظیفه نظارت بر فرآیندهای کاملا شناخته شده تعریف گردیده است .
همچنین ضرورت عملکرد کنترل و نظارت دقیق بر فرآیندهای صورت گرفته ایجاب مینماید نرم افزار در عمق بسیار نزدیک به هسته سیستم عامل (و غالبا در رینگهای 1 و 2 ) سرویس اصلی خود را قرار دهد .
به دلایل فوق این دسته از نرم افزارها معمولا بسیار کم حجم میباشند ولی نصب آنها امری بسیار دقیق و در پاره ای از موارد دشوار میباشد.
اکنون جا دارد مرور مختصری داشته باشیم بر وظایفی که به طور کلاسیک برای بسیاری از این گروه از نرم افزارها در نظر گرفته شده است .

Process Execution

نظارت و کنترل بر کلیه Process های اجرا شده در سیستم و عدم صدور مجوز جهت Task های ناشناس
در امکانات پیش بینی شده در غالب نرم افزارهای HIPS ، فایلی به عنوان Log جهت ثبت هر نوع تلاش برای آغاز Taskهای جدید و نیز در صورت نیاز ، امکان هشدار در نظر گرفته شده است .

DLL Loading

اجرای برخی از نرم افزار ها وابسته به Dynamic-link library یا DLL های خارجی میباشد . که در صورت اجرا با استفاده از Link پاره ای از وظایف خود را توسط سیستم مشترک از قبل تعریف شده Sommon System Dlls و یا Dll های اختصاصی به انجام میرسانند . معمولا در ابتدا شروع به کار ، نرم افزار در صورتی که DLL مورد نیاز قبلا در حافظه بارگذاری Load نشده باشد . اقدام به بارگذاری Dll مورد نظر خود مینماید . DLL Loading میتواند در پاره ای از موارد مشکلات امنیتی خاصی را ایجاد نماید به عنوان مثال برخی از بدافزارها Malware با جایگزین کرد DLL های محتوی Trojan با انواع حقیقی آن DLL Injection میتوانند به نوعی کنترل ارتباطی را در دست گیرند ، که میتوان آن را توسط نرم افزارهای HIPS محدود و یا غیرفعال نمود.

Access to Physical Memory

گرچه در بیشتر موارد ویندوز میتواند مدیریت بسیار خوبی را بر جافظه فعال سیستم اعمال نماید ولی هنوز در صورت غلبه پاره ای از آلودگیها بر قسمتهای مهم سیستم برنامه های خاطی میتوانند از محدوده قابل دسترسی برای خود تخطی کرده و به اطلاعات سایر برنامه های موجود در Ram دست یابند . برنامه های HIPS با اجرا در اعماق ویندوز به صورت مشخص به دسترسی هر Process اجرا بر حافظه به صورت مستقل از سیستم عامل نظارت مینمایند و در صورت تجاوز هر Tast از محدوده تعیین شده به اجرای آن خاتمه میدهند.

Global Hook Control

Hook به معنی لغوی قلاب ماهیگیری ، در سیستمهای مبتنی بر کنترل و انتقال دادها بر پابه Message به در اختیار گرفتن Message قبل از رسیدن به مقصد اصلی اطلاق میگردد. استفاده از تکنیک Hook در برنامه نویسی عملی مجاز محسوب میگردد ولی در غالب موارد این تکنیک مورد استفاده نرم افزارهای مهاجم و عوامل آلوده کننده قرار میگیرد.
Hook از مهمترین روشهای کنترلی به منظور اعمال تغییرات غیر متعارف در اجرا برنامه ها و یا رفتار سیستم میباشد در ویندوز با گذشت زمان ، حرکت موس ، استفاده از کیبرد و .... سیستم عامل Message های لازم را به صورت عمومی ایجاد مینماید و Process های در حال اجرا نیز به فراخور حال خود میتوانند از Message های فرستاده شده استفاده نمایند.
میتوان با Hook کردن Message خاصی سیستم را وادار به رفتار غیر عادی نمود به عنوان مثال در صورت کلیک بر روی ضربدر برای بستن برنامه میتوان از بسته شدن آن جلوگیری نمود و یا کلیدهای موس را برای نرم افزار خاصی جابجا کرد و ....
Global Hook به گرفتن کلیه Message ها توسط Process خاصی گفته میشود که میتواند در صورت استفاده غیر مجاز از آن کل امنیت سیستم را به خطر انداخت تقریبا همه آنتی ویروسها و نرم افزارهای امنیتی Kernel Level به نوعی بر فرآیند Hook کردن نظارت میکنند.

Learning Mode

حالت یادگیری از مهمترین وظایف نرم افزارهای HIPS میباشند زیرا بسیاری از کاربران حتی کاملا حرفه ای از کلیه Task های اجرا شده بر روی سیستم مورد نظر خود اطلاع کافی ندارند و لاجرم از آموزش نرم افزار برای اجرای برنامه های مورد نظر خود میباشند .
در حالت یاد گیری میتوان کلیه نرم افزارها و عملیات مجاز را به منظور آموزش نرم افزار مورد اجرا قرار داد و سپس با قرار دادن آن در حالت حداکثر امنیت از اجرای هر Process دیگر جلوگیری نمود.

Process Termination

از نظر تئوری سیستمی که تحت نظارت نرم افزارهای HIPS قرار گرفته باشد نباید هرگز آلوده گردد ولی متاسفانه در عمل مجبور به آزادی عمل به اجرای برخی از فرآیندها نظیر صفحات HTML و اسکریپت های جاوا میباشیم . در چنین شرایطی اگر برنامه های اجرا شده در پس زمینه منجر به ایجاد نوعی Process غیر مجاز گردد باید بتوانیم آنرا کنترل و غیر فعال نماییم Kill Process از جمله عملیاتی میباشد که به دلیل ضعف ذاتی ویندوز در قبال فایلهای در حال اجرا حتی توسط آنتی ویروسهای قدرتمند نیز تنها در Safe Mode امکانپذیر است . امکان خاتمه به هر Task غیر مجاز از وظایفی میباشد که در غالب نرم افزارهای HIPS پیش بینی گردیده است .

موارد ذکر از وظایف اصلی نرم افزارهای HIPS به شما میرفت که تقریبا در همه نرم افزارهای فوق مشترک میباشد موارد چندی نیز به تناسب در پاره ای از این قبیل نرم افزارها به صورت پراکنده منظور گردیده است که بد نیست مروری هم بر آنها داشته باشیم

Service/Driver control

این خصوصیت به منظور محافظت در برابر پاره ای از نرم افزارهای مهاجم در دسترسی به نقاط عمیق سیستم عامل Kernel و سرویسهایی از هسته که در رینگ صفر اجرا میگردد در نظر گرفته شده است .
نصب درایور میتواند ، با استفاده از نکته ضعف اکثر سیستمهای عامل در ارائه سرویس نصب آسان دست بسیاری از نفوذگران را به مرتبه خطرناکی از رخنه در اعماق غیر قابل دسترسی باز نماید .

System Shutdown protection

شروع به کار مجدد در سیستم عامل خصوصا در کامپیوترهای سرور همیشه عملی خطرناک محسوب میشود . چرا که صرفنظر از امکان از بین رفتن دیتا و قطع سرویس ممکن است توسط کاربرانی که شاید فقط به مدت اندکی امکان دسترسی فیزیکی به سیستم را داشته باشند جهت ورود به Safe Mode و یا تنظیمات Cmos مورد سو استفاده قرار گیرد .
همچنین بعضی از عوامل آلوده کننده Malware تلاش میکنند تا با Restart سیستم و در زمان بسیار حساس ساخت Temporary فایلها و یا Race conditions با استفاده از تکنیک تزریق Exploit کنترل سیستم را در دست گیرند .
یک HIPS خوب باید بتواند امکان Restart را در سیستم فقط برای دسترسی سرپرست آن محدود نماید .

Network control

استفاده نا بجا از امکانات شبکه همواره دغدغه بسیاری از مسئولان شبکه و امنیت سیستمها بوده است .
برخی از نرم افزارهای HIPS میتوانند استفاده از منابع مشترک را جهت دسترسی کاربران به دقت تعریف نمایند .
البته ایجاد محدودیت در موارد قبلی نیز ، کلیه کاربران اعم از کابران فیزیکی و یا سطوح دسترسی از راه دور را نیز شامل میگردد.

Registry Entries

در این قابلیت خاص نرم افزار به صورت بسیار جدی از بانک اطلاعاتی تنظیمات اساسی ویندوز که اصطلاحا Registry نامیده میشود ، در مقابل هر نوع تغییری محافظت مینماید .

Children Parent Control

این ویژیگی به منظور حفاظت والدین از افراد کم سن وسال در استفاده از برخی از نرم افزارها و نیز محدود سازی آنها در دسترسی به پاره ای از صفحات اینترنتی مورد استفاده قرار میگیرد.

کاربرد نرم افزارهای HIPS در سیستمهای عمومی :

به طور خلاصه و چنانکه شرح آن رفت به کمک این گروه از نرم افزارها میتوان از دسترسی غیر مجاز کاربران به اجرای فایلهای exe جلوگیری نمود و یا نصب و اجرای نرم افزارهای جدید را محدود ساخت . همچنین میتوان محدودیت بسیار کاملی در جهت عدم دسترسی به V.P.N و تونل زنی در شبکه ایجاد نمود به صورت مستقیم و یا با استفاده از نرم افزارهای ویژه ، ایجاد نمود .

کاربرد نرم افزارهای HIPS در سیستمهای شخصی :

محافظت از سیستم در مقابل اجرا اشتباه فایلهای اجرایی ، محافظت در مقابل فایلهای Auto Run و محافظت در مقابل فایلهایی که توسط Downloader ها وارد سیستم میگردند از مزایا استفاده از نرم افزارهای HIPS در کامپیوترهای شخصی میباشد .
منظور از Downloader ها نرم افزارهای بسیار کوچکی میباشد که ابتدا شروع بسیاری از آلودگی ها میباشند و به صورت غیر مجاز وارد سیستم میگردند
در صورت استفاده از HIPS تقریبا امکان آلوده شدن سیستم توسط حافظه های جانبی نظیر CD ، DVD ، Flopy و Flash Memory غیر ممکن میگردد تا حدی که حتی در صورت کلیک مستقیم بر روی عوامل آلوده کننده هیچ خطری سیستم را تهدید نمینماید .