نوشته ای از داگ چیک: نکاتی برای سرپرست شبکه

یکی از این نرم افزارها، Snort است. Snort یک برنامه شناسایی و جلوگیری از ورود غیر مجاز به شبکه (NIDS) است. این برنامه باید در جعبه ابزار هر مدیر امنیتی وجود داشته باشد. اگر شما طرفدار لینوکس باشید، مطمئناً در مورد Snort چیزهایی شنیده اید. Snort روی توزیع هایی مانند BackTrack 4 و Knoppix استاندارد از پیش نصب شده است. همچنین فایل نصبی برای نصب روی ویندوز نیز دارد.

وظیفه Snort مونیتور کردن، شکار و تحلیل پکت های ورودی و بررسی الگوهای ورود بدون اجازه در این پکت ها می باشد. بعبارت دیگر، امضاهای خاصی را که در پکت های هکرها یا برنامه های هک وجود دارد شناسایی می کند. Snort قادر اسن حملات، پراب ها(سرکشی قبل از ورود بدون اجازه)، اثرانگشت برداری از سیستم عامل، سرریز بافر، پورت اسکن و اسکن بلوک های پیغام سرور را شناسایی کند. این یعنی تمام ترافیک شبکه بررسی می شود.

من اخیراً از Snort و برنامه مورد علاقه دیگرم یعنی EtherApe برای شناسایی ورود غیرمجاز روی شبکه خود استفاده کرده ام. در چند دقیقه، میلیون ها نفر روی شبکه فیبر خصوصی من بودند. وقتی من متوجه مشکل شدم، فوراً با ISP خود تماس گرفتم. آنها مانند بسیاری از ISPها، آن را رد کردند و به من توصیه کردند تا به جدول مسیریابی خود نگاهی بیاندازم. اگر شما یک مدیر شبکه باشید، می دانید که در بسیاری از موارد باید قبل از اینکه بتوانید از ISP خود پشتیبانی بگیرید، باید چیزی برای اثبات ادعای خود داشته باشید. در این مورد، من واقعه ای (Event) را که نشانگر حضور صدها هزار و شاید یک میلیون نفر در ترافیک شبکه بود، ذخیره کردم. این گزارشات را همراه با ویدئویی که از نمایش Snort و EtherApe تهیه کرده بودم، برای آنها ایمیل کردم. سپس دو رابط روی روتر خود را خاموش کردم و منتظر تماس ISP شدم. آنها به سرعت با من تماس گرفتند.

روتر هسته اصلی ISP هک شده بود و مسیرهای آن تغییر پیدا کرده بودند. دو ساعت بعد، تمام مهندسین شبکه ISP فراخوانده شدند. من سمت خود را با قطع کردن دو رابط ورودی قطع کردم، ولی بیش از 2 روز طول کشید تا ISP این مشکل را در سمت خود حل کند. من مدارات افزوده دیگری از فراهم کننده دیگر داشتم و در این مدت از آنها استفاده کردم. اثر مستقیم این مشکل روی من بسیار کم بود. با وجود حضور هزاران نفر روی شبکه خصوصی من که بیش از بیست دفتر را به هم متصل می کرد، من هنوز منتظر کشف خرابی های مزمن در شبکه هستم. یکی از متخصصین ISP بطور خصوصی به من گفت که آنها فکر می کنند که این ورود غیرمجاز از چین انجام شده است.

با کمک Snort و EtherApe، من به سرعت از این ترافیک ناخواسته روی شبکه مطلع شدم. از نظر من این نشانگر لزوم برنامه های شناسایی ورود غیرمجاز است و همچنین این اتفاق باعث شد تا من تحقیقی در باره انواع این برنامه ها داشته باشم.

 

انواع سیستم های شناسایی ورودغیرمجاز

سیستم های جلوگیری از ورود غیرمجاز (IPS):

این دستگاه که نام دیگر آن سیستم شناسایی و جلوگیری از ورود غیرمجاز می باشد، یکی از لوازم امنیت شبکه است که فعالیت های مشکوک و خرابکارانه را مونیتور می کند. این ابزار مستقل فعالیت های مشکوک را شناسایی کرده و آنها را ایزوله کرده و از آنها گزارش گیری می کند و نهایتاً آنها را بلوک می کند.

سیستم شناسایی تداخل بر اساس هاست (HIDS):

سیستم های شناسایی ورود غیرمجاز بر اساس هاست، در سطح کامپیوتر نصب می شوند و آن را از نظر فعالیت های مشکوک بررسی می کند و ISP از این سیستم برای شبکه و آنالیز پکت های خود استفاده می کند.

سیستم شناسایی ورودغیرمجاز بر اساس پروتکل (PIDS):

این سیستم شناسایی معمولاً روی وب سرور نصب می شود و جریان HTTP و HTTPs و یا شماره پورت ها را تحلیل می کند.

سیستم شناسایی ورود غیرمجاز بر اساس پروتکل برنامه کاربردی (APIDS):

APIDS معمولاً بین سرور ها قرار گرفته و وضعیت برنامه کاربردی را مونیتور می کند یا دقیق تر اینکه پروتکل های تبادل شده بین آنها را تحلیل می کند. برای مثال، یک وب سرور ممکن است یک دیتابیس را فراخوانی کند تا یک صفحه وب را تکمیل کند.

من Snort را به دو دلیل دوست دارم. یکی برای اینکه رایگان است و دیگری برای پشتیبانی و انعطاف پذیری آن. (این که شد سه تا...)

 

قوانین Snort

درست مانند هر دستگاه شناسایی ورود غیرمجاز، Snort نیز دارای قوانینی است.

Alert tcp any any -> 192.168.1.0/24 111 \

                (content:"|00 01 86 a5|"; msg:"mountd access";)

قوانین اعمالی هستنى که به اسنورت می گویند در هنگام یافتن پکتی که با شرایط قانون منطبق باشد، چه اعمالی انجام دهد. 5 عمل پیش فرض در این مورد وجود دارد. Alert, log, pass, activate و dynamic. اگر Snort را در حالت Inline اجرا کنید، گزینه های اضافی دیگری مانند drop, reject و sdrop را نیز در اختیار خواهید داشت.

  1. Alert: یک اخطار با استفاده از روش اخطار انتخابی ایجاد می کند و سپس پکت را گزارش گیری می کند.
  2. Log: پکت را گزارش گیری می کند.
  3. Pass: پکت را نادیده می گیرد.
  4. Activate: اخطار ایجاد ی کند و سپس یک قانون دینامیک دیگر را فعال می کند.
  5. Dynamic: تا زمانی که توسط قانون Activate فعال نشده باشد، غیرفعال باقی می ماند و سپس بعنوان قانون Log عمل می کند.
  6. Drop: پکت را انداخته و از آن گزارشگیری می کند.
  7. Reject: پکت را بلاک کرده، از آن گزارشگیری می کند و سپس یک ریست TCP در صورتی که پروتکل TCP باشد و در صورتی که پروتکل UDP باشد، یک پیغام عدم دسترسی به پورت ICMP ارسال می کند.
  8. Sdrop: پکت را بلاک می کند ولی از آن گزارشگیری نمی کند.

اگر می خواهید بیشتر در مورد Snort بدانید، توصیه من این است که به آدرس www.snort.org بروید. می دانم که برنامه های NIDS دیگری نیز وجود دارند و مطمئناً آنها نیز بخوبی Snort کار می کنند، ولی بعنوان یک مدیر شبکه می گویم که Snort توانایی خود را به من ثابت کرده است.

EtherApe: جنگ افزار مجازی گوریل

بطوریکه قبلاً نیز اشاره کردم، برنامه مورد علاقه دیگری بنام EtherApe نیز در جعبه ابزار من وجود دارد. EhterApe یک مونیتور گرافیکی شبکه است که در سیستم عامل های مدل UNIX کار می کند. این برنامه تمام قابلیت های Snort را ندارد، ولی نمایشی گرافیکی از وضعیت موجود ارائه می کند. من EtherApe را روی یک نمایشگر بزرگ روی میزم اجرا می کنم. وقتی مشکلی پیش می آید، می توانم به سرعت از تغییر رنگ ها متوجه تغییر وضعیت شوم. این برنامه بارها مرا از بحران نجات داده است. EtherApe دارای توانایی فیلتر یک شماره پورت مورد نظر شما می باشد. یا اینکه بطور پیش فرض، تمام پورت ها را مونیتور می کند. همانطور که از نام آن بر می آید، این برنامه روی شبکه های معماری Ethernet کار می کند، ولی روی معماری های FDDI، Token Ring، ISDN، PPP و SLIP نیز جواب داده است.

 

.: استفاده از این نوشته در هر جایی کاملاً آزاد است. روشن است که ذکر منبع مقاله، نشانگر احترام شما به علم است و بازخوردهای حاصل از این نوشته، دنیای زیبای کامپیوتر را در ارائه مطالب بهتر یاری خواهد کرد :.

/ 1 نظر / 53 بازدید
rajaiee

ba salam donbal detail action bodam ke inja pida kardam ba sepas faravan