مترجم: احسان طریقت
سیستم پیشگیری از نفوذ
یک راه حل مدیریت یکپارچه تهدید (UTM)، شامل معماری تحلیل بستههای مبتنی بر امضا است که به عنوان «تشخیص نفوذ و جلوگیری از آن» یا IPS نیز شناخته میشود. در واقع در این حالت تمامی ارتباطات درونی و بیرونی شبکه جهت شناسایی فعالیتهای مشکوک مورد بررسی قرار میگیرند.
بسته به انواع فعالیتها، این دسته از نرمافزار / سختافزارها میتواند به ثبت وقایع تمامی فعالیتها پرداخته، حتی آنها را مسدود کند. امضاهای جدید نیز برای مقابله با تهدیدها، به تناوب زمانی به پایگاه داده اضافه میشوند.
این سیستم در واقع برای جلوگیری از دسترسی غیرمجاز رباتهای اینترنتی و هکرها و همچنین محافظت از سرورهایی طراحی شده است که در پشت سر دیوارهای آتش قرار گرفتهاند. همچنین IPS از کاربران شبکه در زمینه بارگذاری فایلها یا برنامههای آلوده به بدافزارها محافظت میکند.
ایمنیسرورها
در بسیاری از موارد، سرورها در پشت دیوارهای آتش تعبیه میشوند و تنها به سرویسهای میزبانیشده حق دسترسی دارند. بسته به نوع سرویس میزبانیشده بر روی این سرورها (به طور مثالSQL Server)، دیوار آتش ممکن است توانایی تشخیص نوع برقراری ارتباط بین ایستگاه کاری و سرور را نداشته باشد. دیوار آتش در وهله اول وظیفه دارد تا از ارتباط امن بین ایستگاه کاری و سرور اطمینان حاصل کند و همچنین از روشهای اتصال غیرمجاز جلوگیری به عمل آورد. البته این روش برای جلوگیری از همه اتفاقات بدی که ممکن است رخ دهد، کافی نیست.
شاید به عنوان یکی از بهترین مثالهای این زمینه بتوان از حمله یک کرم اینترنتی با نام «Code Red» به سرورهای IIS مایکروسافت در سال 2001 یاد کرد. این بدافزار به شیوهای طراحی شده بود که یک سری دستور اجرایی را از طریق سرویس HTTP به سمت سرور ارسال میکرد و باعث سرریز بافر در فضای حافظه سرور میشد. این موضوع به هکرها اجازه میداد تا کدهای مورد نظرشان را اجرا کنند. برخی از این کدها دارای قابلیت تکثیر خودکار بر روی فضاهای دیگر بودند که همین موضوع باعث رشد سریع این خرابی در جاهای دیگر هم میشد.
اضافه کردن لایه IPS
بهروز نگه داشتن نرمافزارهای نصبشده روی سرور یکی از کارهای حیاتیای است که میتواند شما را در برابر تهدیدها در امان دارد. تولیدکنندگان نرمافزار به طور مداوم بستههای امنیتی را برای تولیداتشان عرضه می
کنند تا حفرههای امنیتی موجود را از بین ببرند. با این حال در برخی موارد، امکان بهروزرسانی به آخرین نسخه وجود نداشته یا حتی بسته امنیتی هنوز ارایه نشده است. اضافه کردن یک لایه IPS میتواند تاثیر بهسزایی در جلوگیری از حملات کدهای مخربی همچون Red Code داشته باشد.
سیستم IPS از پایگاه دادهای محلی برای نگهداری شناسههای مورد نیاز جهت شناسایی کدهای مخرب استفاده میکند. بدون تفسیر ارتباط بین سرویسگیرنده و سرویسدهنده، IPS میتواند یک شناسه یا امضا را از اتصال برقرارشده شناسایی و در پایگاه دادهاش جستجو کند. این نوع معماری در زمینه مبارزه با انواع خرابکاریها و کدهای آلوده بسیار موثر است.
از دیگر انواع حملاتی که به سرورها میشود، میتوان به حمله برای شناسایی رمزهای عبور یا بروت فورس، رد دسترسی به خدمات، اسکن کردن پورتها و ربودن جلسههای کاری اشاره کرد. این نوع حملات به طور کلی شامل تلاش برای به دست آوردن اطلاعاتی در مورد نرمافزار سمت سرور، از جمله نسخه و سازنده آن است. با به دست آوردن این اطلاعات، هکر میتواند در زمینه ضعفهای امنیتی برنامه مورد نظر تحقیق و کدهای مخرب خود را اجرا کند. در تمام این موارد، IPS میتواند مدیریت سیستم را از انواع تلاشها برای دسترسی غیرمجاز به سیستم مطلع کند و حتی آنهایی را که فعالیتشان مخرب تشخیص داده می شود، مسدود کند.
کاهش اثرات تروجانها، کرمها، جاسوسها و سایر بدافزارها
گذشته از تخریب برنامههای موجود و در حال کار از سوی برنامههای مخرب، راههای دیگری نیز برای آسیبرسانی به سیستمهای عامل وجود دارد. یکی از روشهای معمول در این زمینه، جا دادن یک کد مخرب در قالب برنامهای رایگان است. کاربر نیز با نصب برنامه رایگان، یا حتی سرزدن به یک سایت اینترنتی آلوده به کد مخرب، امکان اجرای آن را بر روی دستگاه خود فراهم میکند. این نوع حملات ممکن است برای کاربر چندان واضح و روشن نباشند، اما میتوانند صدمات بسیاری را به سیستمها یا اطلاعات سازمانی وارد کنند. این برنامهها همچنین ممکن است کارآیی سیستم را پایین آورده یا حتی آسیبهای دیگری به سایر برنامههای سیستم وارد کنند. از آن جایی که نصب این برنامهها کاملا درست و قانونی به نظر میرسد، تشخیص مخرب بودن آنها از طرف برنامههای ضدویروس امکانپذیر نیست.
یک سیستم IPS در شناسایی چنین برنامههایی به کار میآید. اگر کاربر برنامه مخربی را به اشتباه بارگذاری کرده باشد، سیستم آن را شناسایی و دسترسیاش را به منابع سیستمی مسدود میکند. در صورتی که شما یک کامپیوتر آلوده را وارد شبکه خود کنید، IPS میتواند فعالیتهای مخرب بدافزارهای موجود را شناسایی و آنها را مسدود کند. سیستم IPS در یک UTM در پشت صحنه با دیوار آتش و قابلیت فیلترینگ محتوا نیز فعالیت میکند تا بتواند بهترین اثر ممکن را از خود به جای بگذارد.
معماری
1. مکان: به طور معمول سیستم IPS در آن نقطهای از شبکه نصب میشود که بیشترین فعالیت ورودی و خروجی را داشته باشد. سیستم IPS باید در جایی که مسیریاب گذرگاه (Gateway Router) یا دیوار آتش (که وظیفه تقسیم ترافیک آیپی بین بخشهای مختلف شبکه را بر عهده دارد) مستقر شده قرار داشته باشد. به عنوان یک دیوار آتش مبتنی بر محیط، UTM های پیشرفته یک سیستم جلوگیری از نفوذ مبتنی بر شبکه را پیادهسازی میکند. به بیان دیگر، هر ترافیکی که از طریق مسیریاب بین اینترنت و شبکه مورد نظر گذشته باشد، از طریق IPSهای UTM مورد بررسی قرار میگیرند.
2. تحلیل بستهها: در عمق این فناوری، هر UTM مدرن از یک بسته تحلیلگر بسته (که میتواند مبتنی بر Snort باشد) بهره میگیرد. Snort یک سیستم IDS/IPS متنباز است که به طور خیلی مخفیانه ارتباطات شبکهای را اسکن میکند.
3. پایگاه داده: UTMهای مدرن عموما مجموعهای از قوانین را با بهرهگیری از سیستمی با نام «تهدیدهای در حال ظهور» آماده استفاده میکنند. هر قانون آماده شناسایی و عمل بر اساس اتفاقی است که رخ میدهد. این قوانین بر اساس سالها تجربه و بهروزرسانیهای متمادی به دست آمده است.
لیست سیاه آیپیها
علاوه بر این که پایگاه داده قوانین رفتارهای موجود در شبکه را مورد بررسی قرار میدهد، UTM از یک سیستم پایگاه داده آیپی نیز بهره میگیرد که در واقع حکم لیست سیاه را دارد. آدرس آیپیهایی که در این لیست قرار دارند ممکن است حتی مربوط به سازمانهای معتبری باشد که فعالیتهای مشکوک و مخربی مانند ارسال هرزنامه، باعث شده که این آدرسها در لیست سیاه قرار بگیرند. این آیپیها عموما از منابع معتبر مختلف اینترنتی مانند Dshield و Spamhaus به دست میآیند.
چگونه از یک IPS درست استفاده کنیم؟
1. بررسی ثبت رویدادهای امنیتی: هر فعالیتی که منجر به انسداد شده باشد، توسط رویدادنگار امنیتی ذخیره میشود. جزییات هر کدام از این فعالیتها، مانند «شناسه قانون» (rule ID) در این فایل وجود دارد. اگر کاربری اشکالی را در ارتباطش گزارش کند، بهترین راه حل اولیه بازبینی فایل ثبت رویدادهای امنیتی است.
2. تایید کنید که نرمافزار خطرناک نیست: اگر ارتباط یک برنامه به وسیله IPS مسدود شده باشد، برنامه باید مورد آزمایش قرار بگیرد تا از بیخطر بودن آن اطمینان حاصل شود.
3. ایجاد استثناها: اگر استثنایی باید در پایگاه داده وارد شود، باید به وسیله اخذ «شناسه قانون» از فایل رویدادنگار و وارد کردن آن در بخش «شناسههای چشمپوشی شده» صورت گیرد.
مدیریت بهروزرسانی
دقیقا مانند ویروسها، لیست تهدیدها هم روزانه بهروز میشوند. بسیار مهم است تا مطمئن شوید لیست پایگاه داده شما هم بهروز است. بخش بهروزرسانی همه UTMها کار روزانه بهروزرسانی پایگاه داده به عهده دارند.
خلاصه
فناوری پیشگیری از نفوذ که بر مبنای حجم عظیمی از قوانین فعالیت میکند، بسیار پیچیده است. هر شبکه شاخصهای ویژه خودش را دارد و نفوذ به آن میتواند یک موضوع کاملا جدید در این حوزه باشد. سیستم IPS تعبیه شده در ابزارهایی مانند Kerio Control طوری طراحی میشوند که بتوانند حملات را با دقت هرچه تمامتر جهت شناسایی و مسدود کنند، ضمن این که کارآیی شبکه را هم در حد مطلوب حفظ کنند.
| < قبلی | بعدی > |
|---|