سیستم پیشگیری از نفوذ – قسمت دوم – تکنیک های فورتی گیت برای شناسایی حملات

همانطور که در بخش اول مطرح شد، IPS یا سیستم پیشگیری از نفوذ، شبکه شما را در مقابل حملات داخلی و خارجی ایمن میکند. بسیاری از ابزارهای IPS مانند فورتی گیت، درمقابل این حملات از دو تکنیک Anomaly-based و signature-based بهره میبرد که در ادامه به تشریح هریک از آنها خواهیم پرداخت.

 

دفاع مبتنی بر Anomaly
در بسیاری از مواقع مهاجمین از ترافیک شبکه به عنوان یک سلاح استفاده میکنند. یک سیستم هدف ممکن است با میزان ترافیکی بیش از آنچه که می تواند کنترل کند، مورد هجوم قرار گیرد که این امر سیستم مورد نظر را از دسترس خارج خواهد کرد. برای مقابله با چنین حملاتی از دفاع مبتنی بر آنومالی استفاده میشود. بهترین مثال میتواند حملات از نوع DoS باشد که در آن مهاجم سعی میکند، ترافیک زیادی از مبداهای مختلف را با دسترسی طبیعی به سیستم هدف ارسال کند. اگر ترافیک به اندازه کافی ایجاد شود، سیستم هدف، مغلوب شده و امکان سرویس دهی به کاربران واقعی را نخواهد داشت. در این نوع حمله، هدف مهاجم گرفتن دسترسی از سیستمی که مورد حمله قرار می دهد نیست بلکه هدف ایجاد اختلال در سرویس دهی عادی به مخاطبین واقعی می باشد.
در تجهیز فورتی گیت، به منظور مقابله با این نوع حملات از DoS پالیسی استفاده میشود که در آن میتوان با تعیین یک مقدار آستانه مشخص، از برقراری ارتباط با سیستم مورد نظر بیشتر ازمقدار آستانه جلوگیری کرد.

 

دفاع مبتنی بر signature
دفاع مبتنی بر signature برای مقابله با حملات شناخته شده یا بهره برداری مهاجم از آسیب پذیری ها استفاده میشود. در این نوع حملات، مهاجم سعی دارد به منظ.ور دسترسی به سیستم مورد نظر، با اجرای دستورات خاص یا فرمانهای متوالی و یا تغییر متغیرها با سیستم قربانی ارتباط برقرار کند. signature های IPS این دنباله ها و دستورات را شناسایی کرده و ابزار حفاظتی را قادر به متوقف ساختن این حملات می کند.

 

Signature ها
هر حمله میتواند به یک رشته خاص از فرامین یا یک دنباله از فرامین و متغیرها خلاصه شود. نظر به اینکه Signature ها بر اساس این اطلاعات نوشته شده اند، فورتی گیت با استفاده از ابزار امنیتی IPS میداند که به دنبال چه چیزی در ترافیک شبکه باشد. در واقع Signatureها شامل مشخصه ها و ویژگی های حمله مانند پروتکل شبکه، سیستم عامل آسیب پذیر و نرم افزار آسیب پذیر و … هستند. به طور مثال، سیستم عامل لینوکس، پروتکل HTTP و سرویس Apache.
در تصویر زیر نمونه ای از signature ها با شرایط فوق لیست شده اند.

 

 

رمزگشایی پروتکل (Protocol Decoders) قبل از بررسی ترافیک شبکه برای حملات، موتور IPS از رمزگشای پروتکل برای شناسایی هر پروتکلی که در ترافیک ظاهر میشود استفاده می کند. از آنجا که حملات به پروتکل خاصی اختصاص دارند، شناسایی حمله توسط ابزار IPS، تنها در پروتکلی انجام میشود که از آن برای انتقال حمله استفاده میگردد. به طور مثال جهت شناسایی حملات مبتنی بر پروتکل HTTP، ترافیک HTTP بررسی خواهد شد.

 

موتور IPS یا IPS Engine:
زمانی که رمزگشای پروتکل (protocol decoders) ترافیک شبکه را بر اساس نوع پروتکل تفکیک کرد، موتور IPS ترافیک شبکه را با signature های حمله بررسی میکند.

 

نتیجه گیری :
امروزه استفاده از سیستم تشخیص و جلوگیری از حملات در شبکه های دارای حساسیت، امری اجتناب ناپذیر است. کارشناسان شبکه باید با شناخت دقیق این قابلیت نسبت به تنظیم بهینه آن اقدام کنند چرا که عدم تشخیص صحیح ترافیک، عدم جایگزاری صحیح سیستم پیشگیری از نفوذ و در نهایت عدم تنظیم صحیح IPS میتواند صدمات جبران ناپذیری را به دارایی های یک سازمان وارد سازد.
در این مقاله سعی بر آن شد تا با شناخت تکنیکها و چگونگی عملکرد IPS، یک دید کلی در رابطه با IPS به علاقه مندان این حوزه ارائه شود.