سیستم های تشخیص نفوذ
مقدمه ای بر سیستم های تشخیص نفوذ
در راهنمای Cisco Security Professional برای ایمن سازی سیستم های تشخیص نفوذ ، 2003
شکست دادن IDS
سیستم های تشخیص نفوذ ابزاری بسیار مفید هستند که به مدیران امنیتی در کار همیشه در حال توسعه امنیت شبکه کمک می کنند. با استفاده از انواع تکنیک های قبلی که قبلاً بحث شد ، این سیستم ها می توانند تیم امنیتی را در بسیاری از شرایط بالقوه مضر کنترل و هشدار دهند. این بدان معنا نیست که IDS شکست ناپذیر است. هنر مدیریت سیستم های تشخیص نفوذ ساده نیست و نیاز به تلاش و توجه مداوم دارد.
ما قبلاً درباره چندین محدودیت در هر نوع سیستم تشخیص نفوذ بحث کردیم. همه انواع می توانند در شبکه های پهنای باند دچار اضافه بار اطلاعات شوند و بیشتر IDS ها به تنظیم و پشتیبانی مداوم نیاز دارند. به عنوان مثال ، اگر IDS مبتنی بر امضا با جدیدترین و رایج ترین امضاهای حمله به روز نشود ، در برابر آسیب پذیری های تازه کشف شده بی اثر خواهد بود. به همین ترتیب ، در صورت افزودن یا تغییر برنامه های جدید شبکه در شبکه ، IDS مبتنی بر ناهنجاری باید خطوط مقدماتی را بر خلاف حالت جدید "عادی" شبکه اجرا کند. حتی اگر IDS به درستی نگهداری و به روز شود ، تیم امنیتی باید به درستی و سریع به رویدادهای امنیتی پاسخ دهد ، در غیر این صورت IDS بی فایده است.
IDS شبکه باید به درستی در شبکه قرار گیرد و زیرساخت شبکه باید به طور مناسب پیکربندی شود تا ترافیک به IDS برسد. در بیشتر شبکه های مدرن و مطمئناً در محیط های شبکه بزرگ ، یک IDS کافی نیست. چندین ID (و اغلب اوقات ، انواع مختلفی از IDS) برای پوشش موثر شناسایی مورد نیاز است ، که به اقدامات مدیریتی مناسب و به طور بالقوه ، استفاده از سرورهای همبستگی رویداد IDS و بالقوه نیاز دارد.
همچنین روشهایی وجود دارد که قیمت خدمات اکتیو شبکه و توسط آنها ممکن است IDS بی اثر باشد. این حملات شامل حملات DoS به زیرساخت های IDS و سایر حملات متمرکزتر است. به عنوان مثال ، اگر یک هکر شبکه ای را با امضاهای حمله فریبنده بارگیری کند ، ممکن است بتواند به طور همزمان از سایر کدها مخفیانه سو explo استفاده کند و توسط IDS شناسایی نشود.
روش دیگری که مهاجمان ممکن است از IDS بگریزند ، عملی است که به عنوان برش جلسه شناخته می شود. این ممکن است هنگامی اتفاق بیفتد که محموله مخربی با موفقیت از طریق چند بسته تحویل داده شود و ممکن است سازوکارهای تطبیق ساده الگو یا امضا را از بین ببرد. اغلب اوقات ، این محموله را می توان در مدت زمان طولانی با استفاده از ابزارهای مختلف تحویل داد ، که منجر به آسیب پذیری دیگر IDS می شود. اسکن کند بسیاری از IDS حملاتی را که در مدت زمان طولانی اتفاق می افتد تشخیص نمی دهند. اگر یک مهاجم به اندازه کافی صبور باشد ، ممکن است بتواند به راحتی و با کندی از IDS فرار کند.
IDS همچنین می تواند با تغییر روش پیش فرض عملکرد برنامه ها یا ارتباطات شبکه ، کنار گذاشته شود. به عنوان مثال ، اگر یک سیستم مبتنی بر امضا به دنبال اتصالات Back Orifice در پورت TCP 31337 باشد ، یک هکر برای جلوگیری از شناسایی ، به راحتی پورت TCP را تغییر می دهد. به همین ترتیب ، اگر مهاجمی توالی رویدادهای سو explo استفاده را تغییر دهد ، ممکن است روال های معمول هشدار امضای شبکه را راه اندازی نکند.
سرانجام ، حملات پراکسی و کلاهبرداری روشی است که در آنها ترافیک حمله ممکن است از میزبانهای داخلی و قابل اعتماد ظاهر شود و بنابراین ممکن است توسط IDS.2.2.2 نادیده گرفته شود.
IDS مجموعه ای از اجزای نرم افزاری و سخت افزاری را نشان می دهد که عملکرد اصلی آنها شناسایی فعالیتهای غیرعادی یا مشکوک بر روی هدف تجزیه و تحلیل شده ، یک شبکه یا یک میزبان است. این یک خانواده از انواع مختلفی است: IDS ، سیستم تشخیص نفوذ میزبان (H-IDS) ، سیستم تشخیص نفوذ شبکه (NIDS) ، ترکیبی IDS ، سیستم پیشگیری از نفوذ (IPS) و هسته IDS / IPS هسته (K-IDS) / IPS-K). IDS دو مزیت عمده دارد. اول ، این قادر به شناسایی حملات جدید است ، حتی حملاتی که به نظر می رسد منزوی است. دوم ، می توان آن را به راحتی با هر کاری سازگار کرد. متأسفانه این امر باعث مصرف زیاد منابع و میزان هشدار کاذب بالایی می شود. Andromaly (Burguera و همکاران ، 2011) و Crowdroid (Burguera و همکاران ، 2011) نمونه هایی از IDS هستند که برای شناسایی بدافزار در سیستم عامل Android اختصاص داده شده است. Crowdroid به طور خاص برای شناسایی Trojans طراحی شده است. سیستم های جلوگیری از نفوذ
IDS تکنیک های انفعالی است. آنها معمولاً به مدیر سیستم اطلاع می دهند تا تحقیقات بیشتری را انجام دهد و اقدامات مناسب را انجام دهد. اگر سرپرست سیستم مشغول باشد یا این حادثه برای تحقیق وقت گیر باشد ، پاسخ ممکن است کند باشد.
یک تغییر به نام سیستم پیشگیری از نفوذ (IPS) به دنبال ترکیب عملکردهای سنتی نظارت و تجزیه و تحلیل یک IDS با پاسخ های خودکار فعال تر است ، مانند تنظیم مجدد خودکار فایروال ها برای جلوگیری از حمله. هدف IPS پاسخی سریعتر از آنچه انسان می تواند بدست آورد ، است اما دقت آن به همان تکنیک های IDS سنتی بستگی دارد. پاسخ نباید به ترافیک قانونی آسیب برساند ، بنابراین دقت بسیار حیاتی است.