منبع پایان نامه با موضوع سیستمهای مدیریت، مدیریت شبکه، قابلیت اطمینان

دانلود پایان نامه ارشد

میپردازیم.
2-3-5-1- اجزای سامانههای تشخیص نفوذ
• حسگر یا عامل: جزئی از سیستم است که به پویش ترافیک شبکه میپردازد. این اصطلاح گاهی اشاره به سیستمهای تشخیص نفوذ مبتنی بر میزبان دارد.
• سرور مدیریت: سرور مدیریت واحد مرکزی سامانههای تشخیص نفوذ است که اطلاعات و دادهها را از حسگرهای سیستم و بخشهای مختلف سیستم دریافت میکند. بعضی از سرورهای مدیریت قادرند بر روی اطلاعات و ویژگیهای دریافتی تحلیلهایی انجام دهند و به این ترتیب بروز رخدادهایی را در شبکه پویش کنند. برقراری رابطه بین دادههای دریافتی از حسگرهای مختلف، مانند آدرسهای یکسانی که در سنسورهای مختلف رویدادهایی ایجاد کردهاند منجر به کشف همبستگی بین رخدادهای در جریان در کل بستر شبکه میشود.
• سرور پایگاه داده: سرور پایگاه داده مسئول ثبت تمام رخدادها و هشدارهای دریافت شده توسط حسگرها یا سرور مدیریت است. سرور پایگاه داده در بیشتر سیستمهای تشخیص نفوذ مورد استفاده قرار میگیرد.
• واسط کاربری: واسط کاربری یا کنسول، برنامهای است که بر روی یک کامپیوتر رومیزی نصب میشود و واسط کاربران و یا مدیر سیستم است. مدیر سیستم میتواند از طریق آن به پیکربندی اجزای سیستم، حسگرها و یاایجاد تغییرات و بروز رسانی نرمافزار بپردازد. همچنین امکان مشاهده رخدادهای ثبت شده و نیز پویش وضعیت فعلی و رخدادهای در جریان وجود دارد.
• طعمه مجازی117: بسیاری از سیستمها برای کشف اقدامات جدید و نفوذی که ممکن است الگوهای ناشناخته داشته باشند از تکنیک طعمه مجازی استفاده میکنند. طعمه مجازی یکی از میزبانهای شبکه است که هیچگونه سرویسی را ارائه نمی دهد و تنها کاربر آن مدیر طعمه مجازی میباشد. به این دلیل هیچگونه دسترسی به آن از داخل و یا خارج شبکه نباید داشته باشد. به این ترتیب هرگونه دسترسی به آن میتواند به عنوان یک اقدام مشکوک تلقی شود و منبع این دسترسی و IP مربوطه شناسایی میشود و برای بررسی اقدامات لازم صورت میگیرد.
2-3-5-2- ساختار و همبندی اجزای سیستم تشخیص نفوذ
اجزای سیستمهای تشخیص نفوذ میتوانند از طریق شبکه مجزا با هم ارتباط پیدا کنند. همچنین این امکان وجود دارد که بر روی بستر شبکه اصلی، ارتباط اجزای سیستم برقرار شود. در روش اول یک شبکه کاملا مجزا و جدا از شبکه اصلی به نام شبکه مدیریت برای ارتباط ایجاد میشود، بنابراین حسگرهای به کار رفته در سیستم نیاز به واسط شبکه جداگانهای برای ارتباط با شبکه مدیریت دارند، ولی بخشهای دیگر سیستم مثل سرور پایگاه داده و سرور تحلیل، تنها به شبکه مدیریت اتصال دارند. از مزایای این طرح این است که سیستم تشخیص نفوذ از دید مهاجمین پنهان میماند و امنیت آن در مقابله با انواع حملات حفظ میشود. در مقابل هزینه اضافی نصب و ایجاد ارتباطات برای ایجاد شبکه لازم میباشد. در مواردی که ایجاد شبکه فیزیکی مجزا امکان پذیر نباشد، استفاده از شبکههای مجازی بر روی بستر شبکه اصلی مرسوم میباشد، تا امنیت ارتباطات تامین گردد. با این حال این روش در مقایسه با روش قبل، امنیت و کارآیی کمتری دارد. برای مثال در حملات سیستم تشخیص نفوذ میتواند خود قربانی حمله شود و امکان برقراری ارتباطات و کارکرد مناسب مختل شود.
2-3-5-3- عملکرد امنیتی سیستمهای تشخیص نفوذ
این سیستمها میتوانند عملکردهای امنیتی و شناسایی مختلفی را داشته باشند که خروجی آنها برای واحد مدیریت داخلی شبکه کاربرد دارد. این قابلیتها را میتوان در سه دسته قابلیتهای شناسایی شبکه، پویش و ثبت رخدادها و فعالیتهای مرتبط با بازدارندگی از بروز حملات و آسیبهای ممکن دسته بندی نمود.
قابلیتهای شناسایی شامل بررسی و شناسایی میزبانهای فعال در شبکه، فعالیتهای آن، پروتکلهای ارتباطی مورد استفاده، نرمافزارهای مورد استفاده و دیگر خصوصیات عمومی شبکه میباشند.
سیستمهای تشخیص نفوذ کارکرد گستردهای در پویش و ثبت انواع رخدادهای شبکه دارند. این رخدادهای ثبت شده میتوانند برای بررسی صحت هشدارهای صادر شده و بررسی ارتباط میان رخدادهای به وقوع پیوسته مورد استفاده قرار گیرند. در مورد هر کدام از رویدادها، زمان وقوع، نوع رخداد، درجه اهمیت آن و نیز اقدام بازدارنده صورت گرفته (در صورت وجود) در پایگاه داده ثبت میشود. این وقایع ثبتشده118 هم به صورت محلی هم به صورت متمرکز در سرور مرکزی ذخیره میشوند تا امنیت آنها حفظ شود. زمان ثبت رویدادهای مختلف از جانب اجزای مختلف شبکه باید بر اساس یک ساعت مرکزی هماهنگ باشد. برای ایجاد این هماهنگی میتوان از پروتکلی مانند پروتکل زمانبندی شبکهای119 یا هر روش خاص دیگری استفاده کرد که در نهایت تمام وقایع بر اساس برچسبهای زمانی هماهنگی ثبت شوند.
مهمترین قابلیت ابزارهای تشخیص نفوذ، همان تشخیص حملات و اقدامات مخرب میباشد. برای این کار از روشهای مختلف تشخیص نفوذ استفاده میشود. عمده ابزارهای تشخیص نفوذ از ترکیبی از روشهای یاد شده به منظور تشخیص انواع حملات استفاده میکنند، تا به دقت و بازدهی مورد نظر دست یابند. تکنولوژیهای مختلف ابزارهای IDS قابلیتهای مختلفی را برای فاز تنظیم و نصب سیستم و نیز سفارشی کردن آن ارائه میدهند. هر چه قابلیتهای سیستم در موقع نصب و سفارشی کردن بیشتر و بهتر باشد، سیستم نصب به پیکربندی اولیه عملکرد بهتری را میتواند ارائه دهد. به این دلیل در هنگام انتخاب ابزار تشخیص نفوذ مناسب این قابلیتها باید به دقت مورد بررسی قرار گیرد. از جمله این قابلیتها میتوان به این موارد اشاره کرد:
• حدود آستانه: حدود آستانه فاصله کمیتهای مربوط به حالت عادی از حالت غیر عادی سیستم را مشخص میکند. این کمیتها میتوانند مثلا تعداد تلاشهای مجاز یک مشتری برای ورود به سیستم در مدت 60 ثانیه اخیر باشد که اگر از حدی تجاوز کند مشکوک است. یا مثلا طول آرگومانهای فرامین پروتکلی مختلف، از مقادیر حدود آستانه بیشتر در روشهای مبتنی بر تشخیص ناهنجاری و روشهای مبتنی بر پروتکل ارتباطی استفاده میشود.
• لیستهای سیاه و سفید: لیست سیاه شامل انواع موجودیتهای مختلفی است بنا به سابقه سیستم، مرتبط با فعالیتهای مخرب تشخیص داده شدهاند. این موجودیتها میتوانند شامل مشتریهای خاص، آدرس IP، شماره درگاه TCP یا UDP، اسامی کاربری، اسامی فایل و… باشند. لیستهای سیاه این امکان را فراهم میآورند تا با استفاده از تجربه گذشته سیستم و سابقه اقدامات مخرب کشف شده توسط سیستم، عوامل آنها را شناسایی کنیم و در دسترسیهای بعدی در مورد آنها سیاستهای خاصی را اعمال کنیم. بسیاری از ابزارهای تشخیص نفوذ امکان ایجاد لیست سیاه را به صورت پویا فراهم میکنند. لیستهای سفید به لیست عواملی گفته میشوند که برعکس لیست سیاه، به سیستم به عنوان فعالیتهای خوشخیم شناسانده میشوند. لیستهای سفید برای کاهش هشدارهای امنیتی نادرست سیستم به عوامل مورد اعتماد کاربر دارند. لیستهای سیاه و سفید بیشتر در روشهای تشخیص نفوذ مبتنی بر ناهنجاری و روشهای مبتنی بر تحلیل پروتکل ارتباطی و روشهای مبتنی بر امضا کاربرد دارند. در واقع پایه روشهای مبتنی بر امضا همین لیستهای سیاهی هستند که از سابقه اقدامات مخرب درست شدهاند.
• تنظیمات هشداردهی: بسیاری از ابزارهای تشخیص نفوذ این امکان را دارند که روی نحوه هشدار دهی آنها تنظیمات خاصی صورت گیرد، از جمله:
1) هشدار کلا خاموش شود.
5) به هر کدام از انواع هشدارهای تولید شده درجه اولویت برای بررسی داده شود.
6) مشخص کردن اینکه چه اطلاعاتی باید ذخیره شوند.
7) از چه روشی برای هشداردهی استفاده شود (برای مثال از ایمیل برای اطلاع مدیر سیستم استفاده شود) و هشدارهای تولید شده از طریق چه واسطی به واحد مدیریت شبکه منتقل شوند ( تا بر اساس سیاستهای امنیتی و پیشگیرانه پاسخی برای مقابله با آن فعالیت ایجاد شود).
8) در مورد فعالیتهای متعدد منجر به ایجاد هشدار تصمیم گرفته شود به طوری که از ایجاد تعداد زیاد هشدارها جلوگیری شود. بسیاری از حمله کنندهها میتوانند با مشغول کردن سیستم به تعداد زیادی هشدار، از این مساله سود برند و در لابلای هشدارهای بی مورد کار اصلی خود را انجام دهند.
• مشاهده کدهای خاص برنامه: بعضی از ابزارهای تشخیص نفوذ امکان دیدن بعضی کدهای مربوط به تشخیص نفوذ را برای مدیر سیستم فراهم میکنند. این کدها معمولا محدود به مجموعه امضاهای مربوط به روشهای مبتنی بر امضا است. بعضی دیگر امکان دیدن کدهای منجر به تشخیص نفوذ روشهای مبتنی بر پروتکل را فراهم میکنند. این مساله کمک میکند تا دلیل بعضی هشدارها مشخص شود و بتوان فهمید هشدارهای داده شده در وضعیتهای خاص چقدر اهمیت دارند و آیا بی مورد هستند یا نه. همچنین این امکان هست تا کد بر اساس ویژگیهای خاص شبکه تغییر کند. البته این اقدام باید شناخت کامل از ابزار و برنامهنویسی آن صورت گیرد تا عملکرد ابزار دچار اشکال نشود.
مدیران شبکه باید در دورههای زمانی منظم به شرایط بارگذاری و پیکربندی سیستم توجه کنند، به بازبینی لیستهای سیاه و سفید اقدام کنند و همینطور با بررسی دقت سیستم مقدار متغیرهای حدود آستانه را مورد بررسی قرار دهند. همچنین ممکن است نیاز باشد تنظیمات هشدار سیستم بر اساس شرایط گوناگون تنظیم مجدد شود، زیرا شرایط و بار سیستم به مرور زمان تغییر میکند.
2-3-5-4- قابلیتهای مدیریتی ابزارهای تشخیص نفوذ
بیشتر ابزارهای تشخیص نفوذ کارکردهای مدیریتی متنوعی را ارائه میدهند. در این قسمت جنبههای مختلف مدیریت شبکه (پیاده سازی، راه اندازی و نگه داری) را در رابطه با ابزارهای تشخیص نفوذ بررسی میکنیم.
• پیاده سازی: بعد از انتخاب ابزار تشخیص نفوذ مناسب باید اقدام به طراحی معماری مناسب نمود و بعد از همبندی اجزای سیستم تستهای لازمه را روی آنها انجام داده و تدابیری برای حفظ امنیت وایمنی آن اندیشیده شود.
• طراحی ساختار سیستم: اولین گام در پیاده سازی ابزارهای تشخیص نفوذ، طراحی ساختار و معماری سیستم است. ملاحظات معماری شامل موارد زیر است:
1) حسگرها کجا باید قرار داده شوند.
2) انتظار میرود سیستم تا چه حد قابل اتکا باشد و برای برآورده کردن این نیاز چه هزینههایی لازم است به چه مقدار صرف شود. برای مثال استفاده از چندین حسگر برای بررسی دقیق ترافیک شبکه در صورتی که یکی از حسگرها در عملکرد خود دچار وقفه شود یا استفاده از سرور مدیریت پشتیبان به منظور استفاده در مواردی که سیستم دارای بار زیادی میباشد یا سرور اصلی در پاسخگویی ناکام میماند.
3) هر کدام از اجزای دیگر سیستم (سرور مدیریت و پایگاه داده و…) کجا قرار میگیرند و برای برآورده کردن نیازهای سرعت، دقت و قابلیت اطمینان، در دسترس بودن و تعادل بار به چند نمونه از آنها لازم است.
4) سیستم تشخیص نفوذ با سیستمهای مختلفی در ارتباط است از جمله:
أ‌. سیستمهای مدیریت امنیت، سرورهای رخدادهای مرکزی، سرورهای ایمیل و…
ب‌. سیستمهای مدیریتی که تولید پاسخ در برابر حملات را بر عهده دارند: دیوارههای آتش و مسیریابها.
ت‌. سیستمهای مدیریتی که به منظور مدیریت اجزای IDS به کار میروند؛ نرمافزارهای مدیریت شبکه و نرمافزارهای مدیریت بروز رسانی سیستم که برای بروز بودن نسخه نرمافزار IDS کاربرد دارند.
5) اینکه برای ارتباط اجزای شبکه از شبکه مجزا ( شبکه مدیریتی) استفاده میشود یا آنکه ارتباطات اجزای بر روی بستر شبکه اصلی با هم ارتباط داشته باشند، که در این صورت باید در نظر داشت که از چه راهکاری برای امنیت ارتباطات استفاده شود.
6) برای عملکرد IDS در چه بخشهایی از سیستم باید هماهنگیهای لازم صورت پذیرد. مثلا تنظیمات مربوطه بر روی دیواره آتش انجام شود.
• نصب سیستم، انجام تستهای لازمه و اطمینان از صحت عملکرد اجزای سیستم: منطقی است هر کدام از اجزای سیستم قبل از جایگذاری در سیستم و بکارگیری، در شرایط آزمایشی مورد تست قرار بگیرند. در مراحل نصب سیستم هم باید ابتدا تعداد محدودی حسگر نصب شده و خروجی آن بدون هیچ استفادهای مورد بررسی قرار گیرد. در این فاز امکان هشدارهای بی مورد زیاد است، بنابراین راه اندازی تعداد زیادی حسگر میتواند سرورهای مدیریت و پایگاه داده را از جهت ثبت رخدادها

پایان نامه
Previous Entries منبع پایان نامه با موضوع تشخیص ناهنجاری، تغییر رفتار Next Entries منبع پایان نامه با موضوع سیستم مدیریت، آسیب پذیری، دسترسی به اطلاعات