29-04-2021, 01:48 AM
پرديس فناوري کيش _ طرح ملي مشاوره متخصصين صنعت و مديريت _ گروه فناوري اطلاعات و ارتباطات
سيستم تشخيص نفوذ ياIDSچيست؟
IDS مخفف Intrusion Detection System به معنای سیستم تشخیص نفوذ می باشد . IDS یک دیوایس یا اپلیکیشن نرم افزاری است که شبکه یا سیستم را به منظور بررسی فعالیت های مخرب یا نقض سیاست مانیتور کرده و گزارش کار را به ایستگاه مدیریت خود ارسال می کند . هدف یک IDS تشخیص ترافیک مشکوک به شیوه های مختلف است.
انواع سيستم تشخيص نفوذ چيست؟
دو نوع کلي سيستم تشخيص نفوذ يا همان IDS داريم :
[list]
[*]Passive یا کنش پذیر و منفعل : در این نوع یک نفوذ امنیتی بالقوه را شناسایی کرده , آن را لاگ می کند و یک هشدار در داخل کنسول یا به مدیر می دهد . همچنین به دنبال حملاتی که از یک سیستم خاص منشا می گیرند می گردد .
[*]Reactive یا واکنشی : این نوع را IPS مخفف Intrusion Prevension System هم می نامند که به منظور سیستم ممانعت و جلوگیری از نفوذ است . این نوع به صورت خودکار نسبت به فعالیت های مخرب و مشکوک پاسخ می دهد . چگونه ؟ با ریست کردن کانکشن ها یا با برنامه نویسی مجدد فایروال به منظور بلاک کردن ترافیک ورودی شبکه از منشا مشکوک . مثلا اگر شما روی سیستمی که دارای IPS هست .فعالیت مشکوک مثل اسکن تهاجمی با انمپ را انجام دهید در این حالت آدرس آیپی شما به مدت زمانی مشخصی (بنابرتنظیمات IPS) بلاک می شود . یا حتی در برخی شرایط یک پورت خاص کلا برای مدت زمان محدودی بسته می شود .
کدامیک را بایستی به کار گرفت ؟
[/list]اگر فقط می خواهید فعالیت ها را مشاهده و رویت کنید بایستی از IDS استفاده کنید .
اگرمی خواهید علاوه بر مشاهده فعالیت ها را کنترل کنید بایستی از IPS استفاده کنید
کمپانی های زیادی وجود دارند که سیستم های IPS یا IDS را به فروش می رسانند.
محصولی تحت عنوان Snort وجود دارد که بسیار مناسب است چرا ؟
[list]
[*]کاملا رایگان است .
[*]متن باز است .
[*]قابلیت انجام آنالیز در لحظه ترافیک شبکه و لاگ بسته ها بر روی شبکه آیپی را دارد .
[*]بر روی اکثر سیستم عامل های رایج مثل ویندوز , یونیکس , لینوکس مثل اوبنتو , فدورا و سنت او اس و حتی مک در دسترس است .
[*]استاندارد طلایی و برتر است .
[*]بروزرسانی رول ها به صورت رایگان در دسترس است .
[*]دارای بخش جلویی و مدیریتی است .
[*]از لاگ ها یا پایگاه داده استفاده می کند .
[/list]
اسنورت(Snort) چيست؟
اسنورت یک اپلیکیشن IDS/IPS متن باز است که توسط سورس فایر SourceFire توسعه یافته است . این ابزار قابلیت آنالیز پروتکل , جستجو و مطابقت محتوا , تشخیص حملات CGI , تشخیص پروب ها یا کاوشگرهای SMB و تشخیص تلاش های هکرها برای انگشت نگاری سیستم عامل ها (یعنی زمانی که شما با مثلا ابزار انمپ می خواهید نوع سیستم عامل خاصی را شناسای کنید) را دارد .
براي استفاده از اسنورت(Snort)چه بسته هايي لازم است؟
قبلا از نصب و استفاده از ابزار اسنورت یکسری بسته ها وجود دارد که حتما بایستی بر روی سیستم شما نصب شود . این بسته ها به شرح زیر می باشند :
[list]
[*]Libpcap
[*]PCRE
[*]Libnet
[*]Barnyard
[*]DAQ
[/list]در حالت عادی شما به نصب بسته Barnyard نیاز ندارید . در حالت ایده آل این بسته مورد نیاز است . اگر که بخواهید لاگ های خود را به درون یک پایگاه داده وارد کنید به این بسته نیاز خواهید داشت که ما این مورد را توضیح نخواهیم داد .
اسنورت را از کجا دريافت کنيم؟
به وبسایت snort.org رفته و بسته های مورد نیاز خود را دریافت کنید . علاوه بر خود بسته نیاز به دریافت فایل های رول نیز خواهید بود . رول های اسنورت به صورت جداگانه از موتور اپلیکیشن توزیع می شوند پس بایستی به صورت جداگانه آن را دریافت نمایید .
چگونه با اسنورت يک IDSطراحي کنيم ؟
به منظور طراحی یک IDS با ابزار Snort ابتدا بایستی بسته های اسنورت را بر روی سیستم ایجاد و نصب کنیم . فایل ها و پوشه های موردنیاز را ایجاد کنیم . فایل snort.conf را به نحوی ویرایش کنیم که نشان دهنده مشخصات شبکه شما باشد . اسنورت را اجرا کنید .
قرار دادن یک IDS درون فایروال به شما کمک می کند تا حملاتی که از خارج شبکه شما نشات می گیرند را درک کنید .
اهداف IDS
[list]
[*]به صورت ایده آل همه ترافیک ورودی و خروجی شبکه را اسکن می کند و به منظور نگهداری شبکه داخلی پشت فایروال استفاده می شود . این ابزار به منظور تشخیص حملات و ارایه کردن هشدارهایی برای حملات معروف به کار می رود .
[*]این ابزار فعالیت های روت سیستم را مانیتور می کند .
[*]به منظور یکپارچگی و حفاظت از داده های موجود در سیستم استفاده می شود .
[*]هدف از IDS تشخیص و شناسایی موجودیت هایی که تلاش می کنند تا به لایه های امنیتی زیرین شبکه نفوذ کنند . وظیفه IDS این است که داده ها را جمع آوری کند , خطرات شناسایی کند و در نهایت لاگ و هشدار دهی کند .
[/list]
www.kishtech.ir
سيستم تشخيص نفوذ ياIDSچيست؟
IDS مخفف Intrusion Detection System به معنای سیستم تشخیص نفوذ می باشد . IDS یک دیوایس یا اپلیکیشن نرم افزاری است که شبکه یا سیستم را به منظور بررسی فعالیت های مخرب یا نقض سیاست مانیتور کرده و گزارش کار را به ایستگاه مدیریت خود ارسال می کند . هدف یک IDS تشخیص ترافیک مشکوک به شیوه های مختلف است.
انواع سيستم تشخيص نفوذ چيست؟
دو نوع کلي سيستم تشخيص نفوذ يا همان IDS داريم :
[list]
[*]Passive یا کنش پذیر و منفعل : در این نوع یک نفوذ امنیتی بالقوه را شناسایی کرده , آن را لاگ می کند و یک هشدار در داخل کنسول یا به مدیر می دهد . همچنین به دنبال حملاتی که از یک سیستم خاص منشا می گیرند می گردد .
[*]Reactive یا واکنشی : این نوع را IPS مخفف Intrusion Prevension System هم می نامند که به منظور سیستم ممانعت و جلوگیری از نفوذ است . این نوع به صورت خودکار نسبت به فعالیت های مخرب و مشکوک پاسخ می دهد . چگونه ؟ با ریست کردن کانکشن ها یا با برنامه نویسی مجدد فایروال به منظور بلاک کردن ترافیک ورودی شبکه از منشا مشکوک . مثلا اگر شما روی سیستمی که دارای IPS هست .فعالیت مشکوک مثل اسکن تهاجمی با انمپ را انجام دهید در این حالت آدرس آیپی شما به مدت زمانی مشخصی (بنابرتنظیمات IPS) بلاک می شود . یا حتی در برخی شرایط یک پورت خاص کلا برای مدت زمان محدودی بسته می شود .
کدامیک را بایستی به کار گرفت ؟
[/list]اگر فقط می خواهید فعالیت ها را مشاهده و رویت کنید بایستی از IDS استفاده کنید .
اگرمی خواهید علاوه بر مشاهده فعالیت ها را کنترل کنید بایستی از IPS استفاده کنید
کمپانی های زیادی وجود دارند که سیستم های IPS یا IDS را به فروش می رسانند.
محصولی تحت عنوان Snort وجود دارد که بسیار مناسب است چرا ؟
[list]
[*]کاملا رایگان است .
[*]متن باز است .
[*]قابلیت انجام آنالیز در لحظه ترافیک شبکه و لاگ بسته ها بر روی شبکه آیپی را دارد .
[*]بر روی اکثر سیستم عامل های رایج مثل ویندوز , یونیکس , لینوکس مثل اوبنتو , فدورا و سنت او اس و حتی مک در دسترس است .
[*]استاندارد طلایی و برتر است .
[*]بروزرسانی رول ها به صورت رایگان در دسترس است .
[*]دارای بخش جلویی و مدیریتی است .
[*]از لاگ ها یا پایگاه داده استفاده می کند .
[/list]
اسنورت(Snort) چيست؟
اسنورت یک اپلیکیشن IDS/IPS متن باز است که توسط سورس فایر SourceFire توسعه یافته است . این ابزار قابلیت آنالیز پروتکل , جستجو و مطابقت محتوا , تشخیص حملات CGI , تشخیص پروب ها یا کاوشگرهای SMB و تشخیص تلاش های هکرها برای انگشت نگاری سیستم عامل ها (یعنی زمانی که شما با مثلا ابزار انمپ می خواهید نوع سیستم عامل خاصی را شناسای کنید) را دارد .
براي استفاده از اسنورت(Snort)چه بسته هايي لازم است؟
قبلا از نصب و استفاده از ابزار اسنورت یکسری بسته ها وجود دارد که حتما بایستی بر روی سیستم شما نصب شود . این بسته ها به شرح زیر می باشند :
[list]
[*]Libpcap
[*]PCRE
[*]Libnet
[*]Barnyard
[*]DAQ
[/list]در حالت عادی شما به نصب بسته Barnyard نیاز ندارید . در حالت ایده آل این بسته مورد نیاز است . اگر که بخواهید لاگ های خود را به درون یک پایگاه داده وارد کنید به این بسته نیاز خواهید داشت که ما این مورد را توضیح نخواهیم داد .
اسنورت را از کجا دريافت کنيم؟
به وبسایت snort.org رفته و بسته های مورد نیاز خود را دریافت کنید . علاوه بر خود بسته نیاز به دریافت فایل های رول نیز خواهید بود . رول های اسنورت به صورت جداگانه از موتور اپلیکیشن توزیع می شوند پس بایستی به صورت جداگانه آن را دریافت نمایید .
چگونه با اسنورت يک IDSطراحي کنيم ؟
به منظور طراحی یک IDS با ابزار Snort ابتدا بایستی بسته های اسنورت را بر روی سیستم ایجاد و نصب کنیم . فایل ها و پوشه های موردنیاز را ایجاد کنیم . فایل snort.conf را به نحوی ویرایش کنیم که نشان دهنده مشخصات شبکه شما باشد . اسنورت را اجرا کنید .
قرار دادن یک IDS درون فایروال به شما کمک می کند تا حملاتی که از خارج شبکه شما نشات می گیرند را درک کنید .
اهداف IDS
[list]
[*]به صورت ایده آل همه ترافیک ورودی و خروجی شبکه را اسکن می کند و به منظور نگهداری شبکه داخلی پشت فایروال استفاده می شود . این ابزار به منظور تشخیص حملات و ارایه کردن هشدارهایی برای حملات معروف به کار می رود .
[*]این ابزار فعالیت های روت سیستم را مانیتور می کند .
[*]به منظور یکپارچگی و حفاظت از داده های موجود در سیستم استفاده می شود .
[*]هدف از IDS تشخیص و شناسایی موجودیت هایی که تلاش می کنند تا به لایه های امنیتی زیرین شبکه نفوذ کنند . وظیفه IDS این است که داده ها را جمع آوری کند , خطرات شناسایی کند و در نهایت لاگ و هشدار دهی کند .
[/list]
www.kishtech.ir