آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل
آموزش نصب انواع سیستم عامل ، شبکه ، سرویس هاست ، مجازی سازی و غیره...

مرتبه
تاریخ : یکشنبه 8 مرداد 1391


به نام خدا

Intrusion Detection System

در جلسه های قبل راجع به حملات رایج شبکه‌های کامپیوتری بحث نمودیم. در ادامه به راه کارهای مقابله می پردازیم.................

شناسایی حمله در مکانیزم های دفاعی برای پیشگیری از وقوع حمله مهم است. IDS:Intrusion Detection System از ابزاری است که در شبکه به این منظور استفاده  می شود.

سیستم IDS به صورت یک ابزار در شبکه(به عنوان مسیریاب- سوییچ...) با نرم افزاری که کار مونیتورینگ ترافیک عبوری را انجام می‌دهد، نصب می‌شود. معمولا دیوار آتش به همراه IDS کار تشخیص حمله را انجام می‌دهند. اگر از درون یک LAN به سمت بیرون حرکت کنید ابتدا به IDS سپس به دیوار آتش می‌رسید و پس از آن به شبکه بیرونی(اینترنت) می‌رسید. زیرا دیوار آتش یا از عبور بسته ممانعت می نماید و یا بسته را عبور می دهد. بنابراین ترافیک گسیل شده از شبکه بیرون در صورتی که از دیوار آتش عبور نمود توسط IDS بررسی می شود تا در مورد مشکوک بودن رفتار آن تصمیم‌گیری شود. در عمل این دو ابزار در یک آدرس IP می‌توانند پیاده‌سازی شوند. به علت منحرف نمودن توجه مهاجم از وجود ابزار امنیتی در شبکه، معمولا سیستم‌های امنیتی را در غالب یک مسیریاب، سوییچ در شبکه قرار می‌دهیم.

 یک IDS کار مونیتور نمودن ترافیک شبکه  و سرکشی به فایلهایlog راانجام میدهد. به این ترتیب هرگونه تخلف از سیاستهای امنیتی معمول شبکه را تشخیص می‌دهد.

انواع متفاوتی از این سیستم تعریف شده است. سیستم هایی که بر مبنای رفتار ترافیک شبکه، تنظیمات پورت‌ها، بر اساس نشانه‌ها و رفتار یک حمله که در منبع سیستم IDS ذخیره شده است و تغییر ترافیک با این الگو تطابق داده می‌شود، بر اساس تخطی از الگوی رفتاری معمول یک کاربر و یا سایر مشخصه ها به تشخیص یک حمله می‌پردازد و هشداری مبنی بر احتمال حمله را می‌دهد.  سیستمIDS کار مقابله با حمله و سد آن را نیز عهده دار می‌باشد.

سیستم‌های IDS‌ای که رفتار آماری غیر عادی را تشخیص می‌دهند(behavior-based) وسیستم‌هایی که بر روی سگمنت‌های شبکه و ترافیک آنها به صورت بلادرنگ شنود و تحلیل می‌نمایند، سیستمهای مبتنی بر شبکه می‌باشند که در واقع نشانه‌ها را تشخیص می‌دهند . این سیستمها شامل یک برنامه لایه کاربرد به همراه NIC می‌باشند. ترافیک بقیه سگمنتهای آن شبکه و یا بقیه خطوط ارتباطی همانند خطوط تلفن مونیتور نمی شوند.

سیستم‌های کارآمد باید بتوانند هر نوع حمله‌ای را با ترکیبی از این روش‌ها و بدون تلف نمودن منابع سیستم، داده‌های بلادرنگ و قابل اعتمادی از شبکه را بدست‌ آورند. این سیستم ها برای مقابله با حمله DOS کاربرد دارند.

می توان IDS را کنار سوییچ‌ها نصب نمود و با استفاده از پورت‌های  خاص این ابزار که  خاصیت یک هاب را دارند، ترافیک عبوری از سوییچ را به IDS فرستاد (forward نمود) به این ترتیب یک سیستم محافظتی خاموش در شبکه قرار داده‌ایم.

سیستم هایIDS  مشکلاتی نیز دارند:

 برخی هکرها حوصله زیادی در عملی نمودن حمله خود دارند. برخی حمله‌ها بر اساس تغییرات بسیار کند ترافیک عبوری و با گذشت زمان زیاد به وقوع می پیوندند و این یعنی سیستم IDS باید نمونه‌های زیادی از اطلاعات را در  پایگاه داده ذخیره  و تحلیل نماید! و تشخیص حمله نیازمند هزینه فضای حافظها و تحلیل رفتاری طولانی مدت شبکه است.

در مواردی مشخصه‌ها و شناسه‌هایی که در بخش کاربرد سیستم IDS تنظیم می‌شوند مانند نوع سیستم عامل و شماره نسخه آن و platform مربوطه باعث می‌شود حملاتی که به صورت موردی و یا با فرمت جدید انجام می شود از دید دور بماند. این نوع سیستمIDS به شدت به سیستم عامل و منابع خود وابسته است و برای داشتن شبکه سالم به پشتیبانی و به روز شدن مداوم نیازمند است تا شناسایی آسیب‌پذیری‌های جدید و هماهنگی با آنها را به خوبی انجام دهد. در واقع داشتن دید سازگار با تغییرات نوع حمله ها نیازمند همراهی با تغییرات کاربردها و امکانات مهاجمان می‌باشد.

در مورد سیستم‌های IDS که بر اساس رفتار ترافیک عبوری تصمیم‌گیری می‌نمایند، به روز شدن و پشتیبانی ضرورت کمتری دارد. آنها بر اساس تحلیل ترافیک به تصمیم‌گیری می‌پردازند.

گاهی سیستم آنقدر حساس تنظیم شده  است که با کوچکترین تغییر و تحولی در شبکه هشدار می‌دهد و این موقع‌هاست که مدیر شبکه شاکی از این ابزار محافظتی ترجیح می‌دهد خود با ترفندهای دستی همانند بستن پورت ICMP، کنترل دسترسی به ترافیک و برخی محدودیت های دیگر، خود به trace شبکه برای مقابله با حملات بپردازد.

نرم‌افزارهایی open source در شبکه با هسته Linux, Unix تعریف می‌شوند که ادعا می‌نمایند به scan پورتها‌ می‌پردازند و به ما در کنترل شبکه کمک می‌نمایند. این نرم‌افزارها گاهی از طریق Back door های تعریف شده به شنود ترافیک مشغولند.

نرم‌افزاری مانند snort که در عمل به همراه یک موتور IDS میتواند یک سیستم تشخیص نفوذ را ایجاد کند توسط مهاجم برای استراق سمع بسته های مربوط به دیگران استفاده می شود.

 سیستم‌های محافظتی دیگری بجز IDS همانند دیوار آتش و ... نیز وجود دارند. بقیه مطالب در پست آینده.

شاد باشین...




طبقه بندی: امنیت شبکه، 
برچسب ها: امنیت شبکه، امنیت در شبکه، برقراری امنیت در شبکه، سیستم‌های محافظتی، سیستم‌های IDS،
ارسال توسط پیمان کوره پز
مرتبه
تاریخ : پنجشنبه 5 مرداد 1391

به نام خدا

حمله­های شبکه­های کامپیوتری

حملات در شبکه­های کامپیوتری جزو جدانشدنی دنیای اینترنت شده اند. حملات به دلایل متفاوتی همانند منافع تجاری، دلایل کینه­جویانه، حیله­گری و تقلب، جنگ و منافع اقتصادی انجام می­پذیرند.

حمله­ها در نتیجه نقص یکی از ابعاد امنیتی همانند محرمانگی­، یکپارچگی و یا دسترس­پذیری در شبکه و منابع آن انجام می­پذیرند.

تقسیم­بندیهای مختلفی برای انواع حملات تعریف شده است. شما هر کتاب و مرجعی را که ببینید نوعی گروه­بندی را انجام داده­اند. در مجموع حملات را به گروه­های زیر تقسیم می­نماییم.

-        Modification Attacks  (تغییر غیرمجاز اطلاعات)

-        Repudiation Attacks  (جلوگیری از وقوع یک اتفاق و یا تراکنش)

-        Denial of service attacks (عملی که مانع می­شود از اینکه منابع شبکه بتوانند سرویس­های درخواستی را به موقع ارایه دهند.)

-        Access attacks  (دسترسی غیرمجاز به منابع شبکه و اطلاعات)

به طور عام هر عملی که باعث می­شود تا عملکرد شبکه ناخواسته گردد، حمله نامیده می­شود. ممکن است این عمل تغییر رفتار مشهودی در سیستم شبکه نباشد.

حمله غیرفعال: وقتی فرد غیرمجاز در حال شنود ترافیک ارسالی می­باشد، تغییر مشهودی در رفتار سیستم نداریم. این حمله، حمله غیرفعال است. در صورتی که شنودکننده موفق به رمزگشایی گردد، اطلاعات مفیدی به دست آورده است.

حمله فعال: حمله­ای که محتوای پیام را اصلاح نماید، فرستنده و یا گیرنده پیام را تغییر دهد و یا هر ترفندی که پاسخ مجموعه را تغییر دهد، حمله فعال نامیده می­شود.

در ادامه به معرفی حملات معروف شبکه و راه­های مقابله با آن خواهیم پرداخت.

 

Denial of Service (DOS)/ Distributed DOS

درحمله DOS ، منابع یک سیستم اشغال می­شود تا آن منبع توانایی پاسخگویی به درخواست­ها را نداشته باشد. این حمله با بمباران سیل آسای یک سرور با تعداد زیادی از درخواست­ها مواجه می­نماید که نمی­توان به همه آنها به صورت کارآمد پاسخ گفت. مورد دیگر فرستادن مجموعه درخواست­ها به هارد درایو یک سیستم است که تمام منابع آن را درگیر نماید.

 نوع دیگر DOS توزیع شده است که از طریق تعداد زیادی از host ها انجام می­پذیرد. برنامه حمله بدون اطلاع مالکان، بر روی این سیستم­ها نصب و در رابطه با اجرای حمله به سوی هدف، فعال می­گردند.

مثال­های زیر را می­توان برایDOS نام برد.

Buffer overflow (دریافت حجم زیادی از داده­ها در پاسخ یک درخواست مانند دریافت حجم زیادی از پاسخ­ها در مقابل دستور echo در پروتکل ICMP)

 SYN attack(بهره­برداری از فضای بافر درhandshake پروتکل  TCP)

Teardrop Attack(تغییر فیلد offset در بسته IP)

Smurf (فرستادن Broadcast یک دستور PING - ارسال پاسخ کلیه آنها به سمت هدف حمله- ایجاد ترافیک اشباع شده در سمت هدف)

Back door

حمله در مخفی از طریق مودم­های dial up و غیره انجام می­گردد. سناریو آن دسترسی به شبکه از طریق کنار گذاشتن مکانیزم­های کنترلی با استفاده از راه­های مخفی می­باشد.

IP Spoofing

در این حمله قربانی متقاعد می­گردد که به یک سیستم شناخته شده و قابل اطمینان متصل شده است. این حمله در لایه TCP انجام می­­پذیرد و آدرس یک مبدا مجاز (به جای مبدا غیرمجاز) داده می­شود و مقصد این بسته را گرفته و دستورات بسته را پذیرفته، اعمال می­نماید.

در جلسه ی آینده، ادامه حملات و راه­های مقابله با آن­­­­­­ها را توضیح می­دهیم.

شاد باشین..................




طبقه بندی: امنیت شبکه، 
برچسب ها: حمله­های شبکه­های کامپیوتری، امنیت شبکه، حمله DOS، آموزش امنیت در شبکه، برقراری امنیت در شبکه، network security،
ارسال توسط پیمان کوره پز
مرتبه
تاریخ : پنجشنبه 29 تیر 1391
به نام خدا
 
ایجاد امنیت برای محافظت از دارایی­ها تعریف می­گردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ دارایی­ها موجود است.
در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.

امنیت:
حفظ دارایی­ها برای جلوگیری از آسیب­رسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکه­های الماسی که در کهکشان موجود است، تعریف امنیت برای این دارایی­ها مادامی که تهدیدی برایشان نیست، معنی ندارد.
 
حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و می­تواند با سواستفاده از این آسیب­پذیری مورد حمله قرار بگیرد، انجام می­پذیرد. مثلا پایگاه داده­ای که در شبکه موجود است و اطلاعات و شناسه­های کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب می­شود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب می­رسد. پس این آسیب­پذیری می­تواند مورد سواستفاده قرار گیرد.

تشخیص:
زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حمله­ها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیام­ها و بسیاری از پارامترهای شبکه آگاهی دارد.
 
این ابزار وضعیت شبکه را همچون موجود زند­ه­ای گزارش می­دهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام می­دهند.
 
محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده می­شود.
 
دسته­ دیگر تشخیص  را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده می­شود و توانایی پیش­بینی و پیشگیری از حمله­ها وجود ندارد.
 
ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخش­ها و مفاهیم متفاوتی است.
 
 
هراستانداردی بخش­هایی را برای امنیت تعیین می­کند وحفظ امنیت هر داده­ای بعضی از این بخش­ها را شامل می­شود. در ادامه به بخش­های اساسی مفهوم حفظ امنیت می پردازیم.
 
1)          Access control
2)          Authentication
3)          Non-repudiation
4)          Data confidentiality
5)          Communication security
6)          Data integrity
7)          Availability
8)         Privacy
 
 
برخی مفاهیم ضروری هستند. حفظ محرمانگی داده از ضروریات اولیه است. داده ارسالی که در شبکه تنها باید برای گیرنده و مقصد مفهوم و قابل استفاده باشد و بقیه گیرندگان غیر مجاز قابلیت بهره بردن از آن را نداشته باشند.
 
بجز محرمانگی , احراز هویت فرستنده پیام هم ارزشمند است.
 
این هشت مفهوم بر اساس استاندارد  ITU-T X.805تعریف شده است و ما آنها را به ترتیب در جلسات بعدی بررسی می­نماییم.



طبقه بندی: امنیت شبکه، 
برچسب ها: امنیت شبکه، Security در شبکه، شبکه و امنیت، برقراری امنیت در شبکه، تعریف امنیت شبکه،
ارسال توسط پیمان کوره پز
آخرین مطالب
شبکه اجتماعی فارسی کلوب | Buy Website Traffic