IPS/IDS

سیستم کشف نفوذ و سیستم جلوگیری از نفوذ یا همان دستگاه IDS/IPS بهترین راه برای دفاع از شبکه در برابر حملات است که یکی از بهترین تولید کنندگان این سیستم Cisco است و نمونه Open source آن Snort است که به صورت نرم افزاری قابل نصب بر روی Linux می باشد . این سیستم ممکن است به ۲ حالت مختلف در شبکه به کار گرفته شود ۱٫ نصب به صورت نرم افزاری بر روی سیستم ها که به آن اصطلاحا” HIPS و یا Host based IPS می گویند.(این مطلب را در مقاله دیگری در همین سایت می توانید مشاهده کنید) ۲٫ نصب به صورت یک دستگاه جانبی در قسمت ورودی و یا DMZ در شبکه که به آن NIPS و یا Network IPS نیز می گویند.(در این مقاله بیشتر به توضیح این نوع سیستم می پردازیم) هر کدام از این حالت ها معایب و محاسنی است. مثلا” در حالت اول امنیت بسیار بالاتر است ولی مدیریت و Update تمامی سیستم ها بسیار مشکل تر می باشد و در حالت دوم دستگاه قرار گرفته قادر به Analyzed اطلاعات Encrypt شده نمی باشد و به ناچار، بدون پردازش آنها را عبور می دهد پس بیشترین حالت امنیت زمانی است که از هر دو روش استفاده شود . سیستم IDS و کشف حملات: این سیستم یک کپی از تمامی Packet های دریافتی را به صورت زنده و Real Time پردازش می کند که در اصطلاح به آن Promiscuous Mode می گویند. در این حالت که دارای امنیت کمتری می باشد ممکن است یک ترافیک مضر را قبل تشخیص حمله عبور دهد، زیرا همانطور که گفته شده این سیستم بر اساس Copy از Packet های ارسالی کار می کند این کار خواصی هم دارد به طور مثال اگر دستگاه IDS دچار مشکل شود شبکه از کار نخواهد افتاد و البته لازم به ذکر است که این دستگاه برای جلوگیری از حمله نیاز به دستگاه های جانبی از قبیل Firewall و یا Router دارد. امروزه IPS/IDS به صورت یک سنسسور(Sensor) تولید می شود که این سنسور ممکن است درون دستگاه های مختلف قرار گیرد.این دستگاهها عبارتند از: ۱٫ Router که دارای IOS مخصوص IPS/IDS باشد ۲٫ دستگاهی که مخصوص IPS/IDS ساخته شده باشد و صرفا” فقط همین کار را انجام دهد ۳٫ ماژول قابل نصب بر روی Router ,Switch و یا Firewall در شکل زیر میتوانید مدل های مختلف آن را مشاهده کنید که هر کدام دارای Performance خاص خود می باشند

حملات در IPS/IDS به ۲ دسته متفاوت تقسیم می شود: ۱٫ Atomic Pattern: در این حالت سعی می شود که به یک پورتِ خاصِ یک سیستم خاص اتصال صورت گیرد و تمامی محتویات مضر درون یک Packet جای می گیرد. پس در این صورت سیستم IDS نمی تواند از آن جلوگیری کند زیرا همیشه Packet اول از سیستم IDS عبور می کند. ولی در سیستم IPS این نوع حملات به راحتی شناسائی شده و این نوع Packet ها به اصطلاح Drop می شوند. ۲٫ Composite Pattern: حملات دنباله دار و توزیع یافته ای است که بر روی مقاصد مشخص و در زمانهایی مشخص صورت می گیرد. در شکل زیر می توانید نحوه قرار گیری IPS و IDS را مشاهده کنید

False Negative: در اصطلاح به زمانی گفته می شود که سیستم به اشتباه یک ترافیک معمولی را به عنوان ترافیک مضر شناسائی کرده و عملیات تعریف شده ای را برای آن انجام می دهد. به عنوان مثال ارتباط را قطع می کند. False Positive: در اصطلاح به زمانی گفته می شود که سیستم به اشتباه یک ترافیک مضر را شناسائی نکرده و آن را به عنوان ترافیک معمولی عبور می دهد. True Positive: زمانی اتفاق می افتد که سنسور به درستی یک Attack را شناسائی کند True Negative: به زمانی گفته می شود که سنسور برای ارتباطات معمولی و بدون مشکل هیچ اخطاری ارسال نمی کند. سیستم IPS و جلوگیری از حمله: این دستگاه به صورت Inline فعالیت می کند و تفاوت های زیادی با سیستم قدیمی IDS دارد. امنیت بسیار بالا یکی از این تفاوت ها می باشد یعنی بر خلاف IDS سیستم IPS قبل از پردازش کامل یک Packet به آن اجازه ورود به شبکه را نمی دهد سیستم IPS می تواند یک Analyzes کامل از لایه ۲ تا لایه ۷ داشته باشد و همین Analyzes کامل است که باعث می شود حملاتی که توسط فایروال ها به عنوان ترافیک معمولی شناخته می شود توسط IPS به عنوان حمله شناخته شده و از آن جلوگیری کند . این سیستم ممکن است به یکی از ۴ حالت زیر تنظیم شده باشد. ۱٫ Policy-based 2. Signature-based 3. Anomaly-based 4. Honey pot-based Signature: Signature ها به مجموعه قوانینی (Rule) گفته می شود که سنسور توسط آنها یک حمله و یا ترافیک مضر را شناسائی می کند. به صورت معمول از سنسور های Signature-Base برای محافظت از شبکه استفاده می شود. – Policy-Based: در این حالت شما یک Policy برای ارتباطات شبکه ایجاد و بر روی سنسور اعمال می کنید. هر ارتباطی که خارج از این Policy قرار گرفته باشد و شما آن را تعریف نکرده باشید به عنوان حمله شناسائی شده و آن را از کار می اندازد اگر مایل به اجرای این حالت باشید باید دارای مهارت کافی در Analyze شبکه باشید تا بتوانید Policy مناسبی تعریف کنید. – Signature-Based: در این حالت سنسور با استفاده از Signature هایی که دارد حملات را شناسائی می کند. به طور مثال وقتی یک حمله صورت می گیرد سنسور Packet را با موارد درون Database خود مقایسه می کند و در صورت نیاز و شناسائی آن به عنوان حمله آن را Drop می کند. پس در این صورت نیاز است که حداقل هفته ای یک بار این Database به روز رسانی(Update) شود. در این حالت False Positive کمتری نسبت به Policy-Based اتفاق می افتد. – Anomaly-Based : در این حالت سیستم مدتی به ترافیک شبکه نگاه می کند و این ترافیک را در اصطلاح Learn میکند یعنی به عنوان ترافیک طبیعی ذخیره می کند و بعد از آن مدت زمان هر ترافیکی را که با ترافیک ذخیره شده مطابقت نداشته باشد به عنوان ترافیک غیر طبیعی شناسائی می کند. در این سیستم مشکل ترین مرحله مشخص کردن ترافیک طبیعی و فاز Learning است.زیرا اگر در زمان اجرای این فاز شما قربانی یک حمله و یا یک Worm باشید، همیشه آن حمله به عنوان ترافیک معمولی شناخته خواهد شد. – Honey Pot-Based: این سیستم بیشتر در سازمان هایی استفاده می شود که هکر ها تمایل زیادی به ورود در آن دارند (مانند بانک ها) و هر لحظه ممکن است با یک نوع حمله جدید وارد عمل شوند. با این روش شما می توانید حملات جدید را شناسائی کرده و IPS خود را در اصطلاح Tuning و بهینه سازی نمایید. سیستم های Honey Pot را در مقاله ای جداگانه در این سایت قرار خواهد گرفت. واکنش های سنسور: وقتی سیستم IPS یکی از موارد حمله و یا ترافیک مضر را شناسائی می کند می تواند یک و یا همه واکنش های زیر را نسبت به آن ترافیک انجام دهد. Deny Attacker Inline:این واکنش باعث می شود Packet های ورودی از طرف مهاجم و تمامی Packet هایی که در آینده از طرف آدرس مهاجم ارسال می شود را برای زمانی معین Terminate و یا در اصطلاح تخریب و نابود کند. سیستم یک لیست از تمامی مهاجم ها تهیه می کند و برای قطع نگاه داشتن آنها زمانی را در نظر می گیرد. در این حالت اگر مهاجم دوباره حمله کرده و یا حمله دیگری را تکرار کند سیستم به صورت خودکار زمان را از اول آغاز میکند و زمان مجددی را برای آدرس مهاجم در نظر می گیرد. Packet :Deny Connection Inlineهای دریافتی و Packet هایی را که در آینده ممکن است بر روی همان جریان TCP جریان داشته باشد را نابود می کند. Packet:Deny Packet Inline مورد نظر را نابود می کند. Request Block Connection: یک در خواست به دستگاهی که قادر به Block کردن باشد جهت Block کردن ارتباط ارسال می شود. Request Block Host: یک در خواست به دستگاهی که قادر به Block کردن باشد جهت Block کردن ارتباط سیستم مهاجم به شبکه ارسال می گردد. Reset TCP Connection: یک در خواست Reset برای ارتباط TCP جاری ارسال می گردد. البته تعدادی واکنش هستند که به آنها Logging می گویند که هر کدام به نحوی یک Log برای مدیر شبکه ارسال می کنند که می توان آنها را با واکنش های بالا ترکیب کرد. IPS های Systems Cisco را در جدول زیر مشاهده می کنید، این IPS ها بر روی Router و به صورت IOS موجود می باشد.