سیستمهای توزیع شده، انواع ارتباطات، مدیریت ارتباط

دانلود پایان نامه ارشد

منابعی میتواند و یا نمیتوانند دسترسی داشته باشد. یک HIDS میتواند سیاستهای امنیتی خاص را بر روی سیستم اعمال کند و در مقابل حملات منجر به اشباع شدن منابع سیستم از آن حفاظت کند.
در بسیاری از موارد حمله کننده عملیات نفوذ را در چند مرحله صورت میدهند (مهاجمها). در بیشتر موارد هدف چنین مهاجمهایی تصاحب منابع سیستم است، به نحوی نرمافزار خاصی بر روی سیستم نصب کنند و یا تغییر مورد نظر خود را در اطلاعات سیستمایجاد کنند. از نظر تئوری کشف تمام اقدامات نفوذی به این نحو امکان پذیر است بسیاری از این اقدامات توسط سیستمهای تشخیص نفوذ تحت شبکه (NIDS) کشف میشوند. سیستمهای HIDS در تکمیل کار NIDS سعی در کشف نفوذهای کشف نشده توسط NIDS دارند. به لحاظ تکنیکی راه حلهای نرمافزاری برایایجاد همکاری بین این دو سیستم امکان پذیر است.
عمل نظارت معمولا به این صورت انجام میشود که از تمام اشیاءهای102 سیستمی مهم (به طور معمول اشیاءهای سیستم فایل) یک نمونه درهمسازی103 شده تولید میشود و در یک پایگاه داده مطمئن ذخیره میشود. به مرور زمان با بررسی آن میتوان فهمید که کدام یک از اشیاءهای سیستم دچار تغییر ناخواسته شدهاند. همچنین HIDS میتواند دسترسی به نقاط حساس سیستم را کنترل کند. به عنوان مثال قسمتهای خاصی از فضای حافظه یا جدول فراخوانیهای سیستمی مربوط به سیستم عامل.
2-3-3-2- سیستمهای تشخیص نفوذ مبتنی بر شبکه104
این سیستمها در بستر شبکه فعالیت میکنند و با پویش ترافیک شبکه و تحلیل آن در تمام لایههای مختلف شبکه، به دنبال کشف نشانههای اقدامات نفوذی و یا حملات هستند.[27] انواع حملاتی که در سطح شبکه میتوانند وجود داشته باشند شامل حملات DoS، حملات پویش درگاه هستند. معمولا این سیستمها از چندین حسگر نقاط مختلف برای دریافت ترافیک شبکه برخوردارند. ویژگیهای دریافت شده از این ترافیک به پایگاه مرکزی تحلیل فرستاده میشود تا بر اساس روشهای مختلف تشخیص نفوذ، اقدامات نفوذی آشکار شوند.
2-3-3-2-1- اجزای تشکیل دهنده سیستمهای تشخیص نفوذ مبتنی بر شبکه
اجزای اصلی این سیستمها عبارتند از حسگر، سرور مدیریت و تحلیل، سرور پایگاه داده، چندین واسط کاربری و سرورهای پایگاه داده. حسگر جزئی است که ترافیک شبکه مربوط به یک یا چند بخش را پویش میکند. واسط شبکهای حسگرها طوری پیکربندی شدهاند که تمام بستههای دریافتی را بدون در نظر گرفتن آدرس مقصد دریافت میکند. تمام حسگرها در یکی از این دو نوع هستند:
1) نوع مبتنی بر سختافزار: این نوع حسگر شامل سختافزار خاصمنظوره105 طراحی شده که به همراه نرمافزار اجرا شوند بر روی آن است. سختافزار برای استفاده جهت کاربرد حسگر بهینه سازی شدهاست و کارتهای واسط شبکهای خاصی بر روی آنها قرار گرفته که تمام ترافیک عبوری را دریافت میکند. این افزارها معمولا شامل سیستم عاملی هستند که به صورت مستقیم توسط مدیر سیستم مورد دسترسی نیست، ولی واسط نرمافزاری مناسب امکان ارتباط با کاربر و بخشهای دیگر سیستم تشخیص نفوذ را فراهم میکند.
2) نوع مبتنی بر نرمافزار: ابزار تشخیص نفوذ به عنوان یک نرمافزار عرضه میشود. در این حالت ممکن است نرمافزار به همراه سیستم عامل مربوط به آن ارائه شود یا آنکه نرمافزار قابل نصب بر روی سیستم عاملهای همه منظوره باشد. بسیاری از ابزارهای تشخیص نفوذ در این حالت قابل پیکربندی هستند.
2-3-3-2-2- معماری شبکهای و جایگذاری حسگرها
برای نصب سیستم، ابتدا باید تصمیم گرفته شود که شبکه مدیریت راه اندازی شود یا آنکه ارتباطات سیستم مدیریت و تشخیص نفوذ، بر روی بستر شبکه اصلی صورت پذیرد. بعد از این مرحله باید در مورد حالت کاری حسگرها تصمیم گیری شود. حسگرهای IDS میتوانند در حالت بی اثر106 یا بر خط107 پیکربندی شوند.
2-3-3-2-3- حالت بر خط
در این حالت حسگر به نحوی پیکربندی میشود که کل ترافیک شبکه مربوط به آن باید از آن گذر کند. به این منظور حسگر دارای دو واسط شبکهای است، یکی برای ورود ترافیک و یکی برای خروج ترافیک. بیشتر حسگرهای دارای این قابلیت به عنوان یک ابزار میانی با ویژگیهای «دیوار آتش» و «سیستم تشخیص و جلوگیری از نفوذ108» شناخته میشوند. این ابزارها قابلیت بلوکه کردن ترافیک مربوط به حمله را دارا میباشند. به علت عبور ترافیک از این حسگرها باید قابلیتهای سختافزاری و نرمافزاری آن به نحوی باشد که به گلوگاه بهرهوری تبدیل نشود. بر طبق پیشنهاد بنیاد بین المللی استاندارد و فناوری[27] توپولوژی شکل (2-2) برای همبندی اجزای سیستمهای تشخیص نفوذ تحت شبکه پیشنهاد شدهاست. در این ساختار حسگر IDS بعد از درگاه شبکه اینترنت عمومی و دیواره آتش قرار میگیرد. این حسگر دو واسط شبکهای برای ورود و خروج ترافیک و نیز یک واسط برای ارتباط با شبکه مدیریت دارد. با وجود دیواره آتش بعد از تشخیص نفوذ امکان اعمال سیاستهای مسدودسازی برای محدوده آدرس IP خاص در دورههای زمانی مشخص وجود دارد. همچنین حسگر IDS به محض تشخیص حمله امکان پاسخ سریع و بلوکه کردن آن را دارد. مدیریت و پیکربندی حسگرهای IDS از طریق سرور مرکزی مدیریت انجام میشود. دسترسی به این سرور و انجام پیکربندیهای مدیریتی نیز معمولا از طریق کنسولهای کاربری بر روی سیستمهای دیگر صورت میپذیرد. این سیستم همچنین میتواند دارای پایگاه داده باشد.

• حالت بی اثر
در این حالت حسگرها یک کپی از ترافیک واقعی شبکه را پویش میکنند و امکان بلوکه کردن مستقیم ترافیک را ندارند. بیشتر سوئیچهای شبکه دارای یک درگاه به نام درگاه پوشان هستند که تمام ترافیک مربوط به همه درگاهها روی آن قرار داده میشود. با اتصال واسط شبکهای IDS به این درگاه امکان دسترسی به تمام ترافیک شبکه وجود دارد. همچنین امکان انشعاب مستقیم از لینک ارتباطی وجود دارد109. حسگرهای تشخیص نفوذ میتوانند در نقاط کلیدی شبکه و در ورودی قسمتهای مختلف قرار گیرند. از جمله جاهای مهم عبارتند از : بعد از دیواره آتش، در ابتدای ناحیه غیر نظامی110 و همچنین در ورودی شبکه داخلی. ناحیه غیر نظامی زیر شبکه منطقی یا فیزیکی است که شامل سرویس دهندههایی مانند وب،ایمیل و… به شبکه اینترنت خارجی است. برای دسترسی به این سرویسها امکانایجاد ارتباط از خارج شبکه، نیاز است، که این مساله موجبایجاد آسیب پذیری در مورد حملات میشود. با جدا کردن این ناحیه از بقیه شبکه داخلی سازمان توسط دیواره آتش مجزا از شبکه داخلی سازمان در مورد حملات و نفوذهای احتمالی حفاظت میشود. در حالت کلی میتوان گفت سطح امنیتی و سیاست امنیتی این ناحیه نسبت به شبکه داخلی متفاوت و پایین تر است، به همین خاطر به آن ناحیه غیر نظامی گفته میشود.
امکان توزیع ترافیک بین حسگرها در نقاطی که ترافیک عبوری سنگین دارند، با استفاده از تسهیم کننده ترافیک وجود دارد. این ویژگی در سیستمهای شبکهای توزیع شده به تفصیل مورد بررسی قرار میگیرد. مانند حالت قبل هر کدام از حسگرها خواه با استفاده از شبکه مدیریت یا با استفاده از بستر شبکه اصلی با سرورهای مدیریت ارتباط برقرار میکنند. در این سیستمها انتخاب پاسخ مناسب برای حمله در سرور مدیریت اتفاق میافتد که سیاست مربوطه میتواند از طریق دیواره آتش اعمال شود.
2-3-3-3- سیستمهای توزیع شده
امروزه با روند افزایش پهنای باند شبکهها و نیاز به پویش بی وقفه این دادهها، سیستمهای تشخیص نفوذ تحت شبکه هم باید همگام با آنها توسعه پیدا کنند. امروزه روشهای معماریهای متمرکز مبتنی بر شبکه، جوابگوی شبکههای امروزی نیست[3]. این روشها برای تشخیص حملات چند مرحلهای و نگهداری وضعیت انواع ارتباطات و نیز مراودات پروتکلی در جریان، به خاطر وجود یک نقطه سرویس دهی، سیستم دچار کوبیدگی و افت گذردهی میشود. الگوریتمهای تشخیص نفوذ مبتنی بر یک سری قوانین هستند که به سرعت در حال بزرگ شدن هستند.ایجاد IDSهای توزیع شده نیاز به تمهیداتی برای معماری شبکهای، نرمافزار مناسب برای عملکرد توزیع شده و تقسیم ترافیک شبکه بین بخشهای موازی دارد.
برای عملکرد IDSهای توزیع شده، دو نوع تکنیک مطرح وجود دارد: تقسیم ترافیک111 و متعادل کردن بار112[3]. شکل (2-3) بیانگر این معماری است.
روشهای مبتنی بر تقسیم ترافیک بیشتر بر اساس جریانهای دادهای و سیاستهای امنیتی و ساختار IDS با این هدفها کار میکنند:
• بستههای مربوط به هر کدام از حمله کنندههای احتمالی به یک حسگر وارد شود.
• بر اساس سرعت و پهنای باند شبکه عملکرد و بهرهوری حفظ شود.
• تطابق پذیری سیستم در شرایطی با ترافیکهای مختلف.

روشهای مبتنی بر تعادل بار در هر زمان مقدار بار مناسبی برای هر کدام از حسگرها در نظر میگیرد به نحوی که از ظرفیت سیستم به نحو بهینه استفاده شود. تعادل بار میتواند به دو صورت برآورده شود:
• استفاده از تسهیم کننده113 بار: این ابزار در ورودی شبکه قرار میگیرد و کل ترافیک شبکه باید از آن عبور نماید. به همین دلیل بایستی ابزار مورد استفاده توانمندی بالایی داشته باشد تا به گلوگاه عبور ترافیک تبدیل نشود.
• هر کدام از حسگرها با استفاده از چندین الگوریتم تسهیم بار و انجام محاسبات خاص، حسگرهایی را که دچار بار بیش از حد شدهاند را تعیین کرده و با انجام تنظیمهای خاص، باعث میشود که بار ورودی به آنها کاهش یابد[3].
این عملیات با روشهای مختلفی میتواند صورت پذیرد. از جمله فیلتر کردن زودرس، که بعضی از بستهها در خود تسهیم کننده بار پردازش میشوند. روش دیگر استفاده از یک گره مرکزی است، که از دیگر گرهها پیغامهایی را دریافت میکند و بار زیاد بر روی هر کدام از حسگرها و یا بروز حملات توزیع شده در شبکه یا حملات چند مرحلهای را متوجه میشود. بعد از این مرحله این گره با ارسال فرمانهای کنترلی باعث میشود که جریان بستهها در حسگرها به نحو پویا تنظیم شود. این الگوریتمها پیچیدگی بالایی دارند ولی در صورت پیاده سازی موفق، بهرهوری قابل توجهی دارند.
به طور کلی برای سیستمهای توزیع شده، موازی سازی عملیات تشخیص نفوذ در چهار سطح میتواند صورت گیرد: سطح بستهها، سطح مراودات پروتکلی، سطح قانونهای امنیتی و سطح اجزای سیستم تشخیص نفوذ[3]. در شکل (2-4) این معماریها نشان داده شدهاند.
1) موازی سازی در سطح بستهها: در این حالت یک تسهیم کننده بار با سیاست گردشی، بستهها را بین حسگرها تقسیم میکند. در این صورت تعادل بار به نحو مناسبی صورت میگیرد. با این حال برای ایجاد حالتمندی و حفظ اطلاعات جریانهای مختلف و مراودات پروتکلی مختلف و همینطور داشتن اطلاعات کامل از هر ارتباط، نیاز به عنصری تحت عنوان تحلیل گر ارتباطات114 هستیم. این عنصر تمام دادههای مورد نیاز خود را از طریق پیش پردازندهها به دست میآورد. در ساختار چنین سیستمی باید هریک از حسگرها با این تحلیلگر ارتباطات، ارتباط مناسب و امنی داشته باشند. همچنین در پیاده سازی آن باید دقت بسیاری شود، چون به سادگی میتواند به گلوگاه بهرهوری تبدیل شود.
2) موازی سازی در سطح ارتباطات و مراودات پروتکلی: در این روش در تسهیم کننده بار، توزیع بستهها به روشی صورت میگیرد تا بستههای مربوط به هر کدام از ارتباطات به یک حسگر وارد شوند. در این حالت وجود جدولها و اطلاعات مربوط به هر کدام از جریانها در هر یک از حسگرها ضروری است. در این ساختار باید توجه شود که باید برای تشخیص حملات چند مرحلهای و حملات مربوط به چندین ارتباط، نیاز به عنصری تحت عنوان تحلیلگر شبکه115 داریم. این عنصر باید توانایی تحلیل رویدادهای مربوط به جریانهای مجزا و ایجاد ارتباط بین این رویدادها را داشته باشد. این روش موازی سازی هیچ تضمینی در مورد تقسیم عادلانه بار ارائه نمیدهد.
3) موازی سازی در سطح قوانین: در این روش قوانین موجود در IDS بین حسگرهای مختلف تقسیم میشود. عنصری در ابتدای مسیر تحت عنوان Traffic Duplicator یک کپی از ترافیک را برای هر کدام از بستهها میفرستد. به این ترتیب هر کدام از حسگرها مسئول اعمال تعداد محدودی از قوانین بر روی بستهها میباشد. در صورت تقسیم مناسب قوانین بین حسگرها و اعمال قوانین از یک کلاس و دسته به یک حسگر خاص، عمل تشخیص به

پایان نامه
Previous Entries دسترسی به اطلاعات، امنیت اطلاعات، اجرای برنامه Next Entries تشخیص ناهنجاری، تغییر رفتار