یو وخت، یو عادي فایروال او د ویروس ضد پروګرامونه د محلي شبکې د ساتنې لپاره کافي وو، مګر دا ډول سیټ نور د عصري هیکرانو د بریدونو او مالویر په وړاندې کافي اغیزمن ندي چې پدې وروستیو کې پراخ شوي. یو ښه زوړ فایر وال یوازې د پیکټ سرلیکونه تحلیلوي، اجازه ورکوي یا د رسمي مقرراتو له مخې بند کړي. دا د پاکټونو د مینځپانګې په اړه هیڅ نه پوهیږي، او له همدې امله نشي کولی د برید کونکو ښکاري قانوني کړنې پیژني. د انټي ویروس برنامې تل مالویر نه نیسي ، نو مدیر د غیر معمولي فعالیت نظارت کولو او په وخت سره د اخته شوي کوربه جلا کولو دندې سره مخ کیږي.
د شرکت د آی ټي زیربنا ساتلو لپاره ډیری پرمختللي وسیلې شتون لري. نن ورځ موږ به د خلاصې سرچینې مداخلې کشف او مخنیوي سیسټمونو په اړه وغږیږو ، کوم چې د ګران تجهیزاتو او سافټویر جوازونو پیرود پرته پلي کیدی شي.
IDS/IPS طبقه بندي
IDS (د مداخلې کشف سیسټم) یو سیسټم دی چې په شبکه یا انفرادي کمپیوټر کې د شکمنو فعالیتونو ثبتولو لپاره ډیزاین شوی. دا د پیښې لاګونه ساتي او کارمند ته خبر ورکوي چې د دوی په اړه د معلوماتو امنیت مسؤلیت لري. لاندې عناصر د IDS برخې په توګه توپیر کیدی شي:
- د شبکې ترافیک لیدلو لپاره سینسرونه، مختلف لاګونه، او نور.
- د تحلیل فرعي سیسټم چې په ترلاسه شوي معلوماتو کې د ناوړه اغیزې نښې پیژني؛
- د لومړنیو پیښو او تحلیل پایلو راټولولو لپاره ذخیره کول؛
- مدیریت کنسول.
په پیل کې، IDS د موقعیت له مخې طبقه بندي شوي: دوی کولی شي د انفرادي نوډونو په ساتنه تمرکز وکړي (میزبان میشته یا د کوربه مداخلې کشف سیسټم - HIDS) یا د ټول کارپوریټ شبکې ساتنه (د شبکې پراساس یا د شبکې مداخلې کشف سیسټم - NIDS). دا د یادولو وړ ده چې په نامه یادېږي APIDS (د غوښتنلیک پروتوکول پر بنسټ IDS): دوی د ځانګړي بریدونو پیژندلو لپاره د غوښتنلیک کچې محدود پروتوکولونو څارنه کوي او د شبکې پاکټونو ژور تحلیل نه کوي. دا ډول محصولات معمولا پراکسي سره ورته وي او د ځانګړو خدماتو د ساتنې لپاره کارول کیږي: یو ویب سرور او ویب غوښتنلیکونه (د بیلګې په توګه، په PHP کې لیکل شوي)، د ډیټابیس سرور، او داسې نور. د دې ټولګي یوه ځانګړې بیلګه د اپاچي ویب سرور لپاره mod_security ده.
موږ د نړیوال NIDS سره ډیره علاقه لرو چې د مخابراتو پراخه پروتوکولونو او DPI (ژور پاکټ تفتیش) ټیکنالوژیو ملاتړ کوي. دوی ټول تیریدونکي ترافیک څاري ، د ډیټا لینک پرت څخه پیل کیږي ، او د شبکې بریدونو پراخه لړۍ کشف کوي ، او همدارنګه معلوماتو ته د غیر مجاز لاسرسي هڅې. ډیری وختونه دا ډول سیسټمونه توزیع شوي جوړښت لري او کولی شي د مختلف فعال شبکې تجهیزاتو سره اړیکه ونیسي. په یاد ولرئ چې ډیری عصري NIDS هایبرډ دي او ډیری طریقې سره یوځای کوي. په ترتیب او ترتیباتو پورې اړه لري، دوی کولی شي مختلف ستونزې حل کړي - د بیلګې په توګه، د یو نوډ یا ټول شبکې ساتنه. سربیره پردې ، د کار سټیشنونو لپاره د IDS دندې د ویروس ضد کڅوړو لخوا په لاره اچول شوي ، کوم چې د معلوماتو غلا کولو په هدف د ټروجن خپریدو له امله په څو اړخیزو اور وژونکو بدل شوي چې د مشکوک ترافیک پیژندلو او بندولو ستونزې هم حل کوي.
په پیل کې، IDS کولی شي یوازې د مالویر فعالیت کشف کړي، د پورټ سکینرونه، یا ووایه، د کارپوریټ امنیتي پالیسیو څخه سرغړونه. کله چې یوه ځانګړې پیښه رامنځته شوه، دوی مدیر ته خبر ورکړ، مګر دا په چټکۍ سره څرګنده شوه چې یوازې د برید پیژندل کافي ندي - دا باید بند شي. نو IDS په IPS (د مداخلې مخنیوي سیسټمونو) بدل شو - د نفوذ مخنیوي سیسټمونه چې د اور وژنې سره د متقابل عمل وړتیا لري.
د کشف میتودونه
عصري مداخلې کشف او مخنیوي حلونه د ناوړه فعالیت پیژندلو لپاره مختلف میتودونه کاروي، کوم چې په دریو کټګوریو ویشل کیدی شي. دا موږ ته د ډلبندۍ سیسټمونو لپاره بل اختیار راکوي:
- د لاسلیک پراساس IDS/IPS په ټرافیک کې نمونې کشف کوي یا د سیسټمونو حالت کې بدلونونو څارنه کوي ترڅو د شبکې برید یا د انفیکشن هڅې مشخص کړي. دوی په عملي توګه غلطې او غلطې مثبتې نه ورکوي، مګر د نامعلومو ګواښونو پیژندلو توان نلري؛
- د ګډوډۍ کشف کونکي IDSs د برید لاسلیکونه نه کاروي. دوی د معلوماتو سیسټمونو غیر معمولي چلند پیژني (د شبکې ترافیک کې بې نظمۍ په شمول) او حتی نامعلوم بریدونه کشف کولی شي. دا ډول سیسټمونه ډیری غلط مثبتونه ورکوي او که چیرې په غلط ډول وکارول شي، د محلي شبکې عملیات فلج کوي؛
- د قانون پر بنسټ IDS په اصولو کار کوي: که حقیقت وي نو عمل. په اصل کې، دا د پوهې اډې سره د ماهر سیسټمونه دي - د حقایقو یوه مجموعه او د منطقي تحلیل قواعد. دا ډول حلونه د تنظیم کولو لپاره د کار وړ دي او مدیر ته اړتیا لري چې د شبکې مفصل پوهه ولري.
د IDS پراختیا تاریخ
د انټرنیټ او کارپوریټ شبکو د ګړندۍ پراختیا دوره د تیرې پیړۍ په 90 لسیزه کې پیل شوه ، مګر متخصصین لږ دمخه د پرمختللي شبکې امنیت ټیکنالوژیو لخوا حیران شوي وو. په 1986 کې، ډوروتي ډینینګ او پیټر نیومن د IDES (د مداخلې کشف متخصص سیسټم) ماډل خپور کړ، کوم چې د ډیری عصري مداخلې کشف سیسټمونو اساس شو. دا د پیژندل شوي برید ډولونو پیژندلو لپاره د متخصص سیسټم کارولی ، په بیله بیا احصایوي میتودونه او د کارونکي / سیسټم پروفایلونه. IDES د لمر کاري سټیشنونو کې وګرځید، د شبکې ترافیک او غوښتنلیک ډیټا معاینه کوي. په 1993 کې، NIDES (د راتلونکي نسل د مداخلې کشف متخصص سیسټم) خپور شو - د نوي نسل د مداخلې کشف متخصص سیسټم.
د ډینینګ او نیومن د کار پراساس ، MIDAS (Multics intrusion detection and alerting system) د متخصص سیسټم د P-BEST او LISP په کارولو سره په 1988 کې څرګند شو. په ورته وخت کې، د احصایوي میتودونو پر بنسټ د Haystack سیسټم رامینځته شو. یو بل احصایوي اضطراب کشف کونکی ، W&S (حکمت او احساس) ، یو کال وروسته د لاس الاموس ملي لابراتوار کې رامینځته شو. صنعت په چټکۍ سره وده وکړه. د مثال په توګه، په 1990 کې، د TIM (د وخت پر بنسټ د انډکټیو ماشین) سیسټم لا دمخه د ترتیبي کاروونکي نمونو (عام LISP ژبه) کې د انډکټیو زده کړې په کارولو سره د بې نظمۍ کشف کول پلي کړي. NSM (د شبکې امنیت مانیټر) د بې نظمۍ موندلو لپاره د لاسرسي میټریکونه پرتله کړي، او ISOA (د معلوماتو امنیت افسر معاون) د کشف مختلف ستراتیژیو ملاتړ کړی: احصایوي میتودونه، د پروفایل چک کول او د متخصص سیسټم. د کمپیوټر واچ سیسټم په AT&T بیل لابراتوار کې رامینځته شوی د تصدیق لپاره احصایوي میتودونه او مقررات کارولي ، او د کالیفورنیا پوهنتون پراختیا کونکو په 1991 کې د توزیع شوي IDS لومړی پروټوټایپ ترلاسه کړ - DIDS (د توزیع شوي مداخلې کشف سیسټم) هم یو ماهر سیسټم و.
په لومړي سر کې، IDS ملکیت وو، مګر دمخه په 1998 کې، ملي لابراتوار. لارنس برکلي برو (په 2018 کې د زیک نوم بدل کړ) خپور کړ، د خلاصې سرچینې سیسټم چې د libpcap ډیټا تحلیل لپاره د ملکیت قواعدو ژبه کاروي. د همدې کال په نومبر کې، د Libpcap په کارولو سره د APE پاکټ سنیفیر ښکاره شو، چې یوه میاشت وروسته د Snort په نوم بدل شو، او وروسته په بشپړ ډول IDS/IPS شو. په ورته وخت کې، ډیری ملکیت حلونه څرګندیدل پیل کړل.
Snort او Suricata
ډیری شرکتونه وړیا او خلاصې سرچینې IDS/IPS غوره کوي. د اوږدې مودې لپاره، مخکې ذکر شوی Snort معیاري حل ګڼل کیده، مګر اوس دا د سوریکاټا سیسټم لخوا ځای پرځای شوی. راځئ چې د دوی ګټې او زیانونه په لږ تفصیل سره وګورو. سنورټ د لاسلیک پراساس میتود ګټې په ریښتیني وخت کې د ګډوډي موندلو وړتیا سره ترکیب کوي. Suricata تاسو ته اجازه درکوي د لاسلیکونو لخوا د بریدونو پیژندلو سربیره نورې میتودونه وکاروئ. سیسټم د پراختیا کونکو یوې ډلې لخوا رامینځته شوی چې د Snort پروژې څخه جلا شوی او د IPS افعال ملاتړ کوي چې د 1.4 نسخه څخه پیل کیږي ، او سنورټ وروسته د مداخلې مخنیوي وړتیا معرفي کړه.
د دوه مشهور محصولاتو ترمینځ اصلي توپیر د IDS حالت کې د GPU کمپیوټري کارولو لپاره د Suricata وړتیا ده ، په بیله بیا خورا پرمختللي IPS. سیسټم په پیل کې د څو تارونو لپاره ډیزاین شوی، پداسې حال کې چې سنورټ یو واحد تار شوی محصول دی. د دې اوږد تاریخ او میراثي کوډ له امله، دا په مناسبه توګه ملټي پروسیسر / ملټي کور هارډویر پلیټ فارمونه نه کاروي، پداسې حال کې چې سوریکاټا کولی شي په منظم عمومي هدف کمپیوټرونو کې تر 10 Gbps پورې ترافیک اداره کړي. موږ کولی شو د دواړو سیسټمونو ترمنځ د ورته والي او توپیرونو په اړه د اوږدې مودې لپاره خبرې وکړو، مګر که څه هم د سوریکاټا انجن ګړندی کار کوي، د ډیرو پراخو چینلونو لپاره دا بنسټیز اهمیت نلري.
د ځای پرځای کولو اختیارونه
IPS باید په داسې ډول ځای په ځای شي چې سیسټم کولی شي د شبکې برخې تر خپل کنټرول لاندې وڅاري. ډیری وختونه ، دا یو وقف شوی کمپیوټر دی ، یو انٹرفیس چې د څنډې وسیلو وروسته وصل دی او د دوی له لارې غیر خوندي عامه شبکو (انټرنېټ) ته "لیږي". د IPS بل انٹرفیس د خوندي شوي برخې ان پټ سره وصل دی ترڅو ټول ترافیک د سیسټم له لارې تیریږي او تحلیل شي. په ډیرو پیچلو قضیو کې، ممکن ډیری خوندي برخې شتون ولري: د بیلګې په توګه، په کارپوریټ شبکو کې یو غیر نظامي زون (DMZ) ډیری وختونه د انټرنیټ څخه د لاسرسي وړ خدماتو سره تخصیص کیږي.
دا ډول IPS کولی شي د پورټ سکین کولو یا پاسورډ وحشي ځواک بریدونو مخه ونیسي ، د میل سرور ، ویب سرور یا سکریپټونو کې د زیانونو استثمار او همدارنګه د بهرني بریدونو نور ډولونه. که چیرې په محلي شبکه کې کمپیوټرونه په مالویر اخته وي، IDS به دوی ته اجازه ورنکړي چې د بوټنیټ سرورونو سره چې بهر موقعیت لري اړیکه ونیسي. د داخلي شبکې د لا جدي ساتنې لپاره، د توزیع شوي سیسټم سره یو پیچلي ترتیب او ګران مدیریت سویچونه چې د IDS انٹرفیس لپاره د ټرافیک منعکس کولو توان لري د بندرونو څخه یو سره نښلول به ډیر احتمال ته اړتیا وي.
کارپوریټ شبکې اکثرا د خدماتو د توزیع شوي انکار (DDoS) بریدونو سره مخ دي. که څه هم عصري IDS کولی شي د دوی سره معامله وکړي، د پورته ګمارلو اختیار دلته د مرستې امکان نلري. سیسټم به ناوړه فعالیت پیژني او جعلي ترافیک بند کړي، مګر د دې کولو لپاره، پاکټونه باید د بهرني انټرنیټ اتصال څخه تیر شي او د هغې شبکې انٹرفیس ته ورسیږي. د برید په شدت پورې اړه لري، د معلوماتو لیږد چینل ممکن د بار سره مقابله ونه کړي او د برید کونکي هدف به ترلاسه شي. د داسې قضیو لپاره، موږ وړاندیز کوو چې IDS په مجازی سرور کې ځای په ځای کړئ چې په ښکاره ډول خورا پیاوړی انټرنیټ اتصال لري. تاسو کولی شئ VPS د VPN له لارې محلي شبکې سره وصل کړئ، او بیا تاسو اړتیا لرئ چې د دې له لارې د ټولو بهرني ټرافیک روټینګ تنظیم کړئ. بیا، د DDoS برید په صورت کې، تاسو اړتیا نلرئ د پیکټو له لارې چمتو کونکي ته واستوئ؛ دوی به په بهرني نوډ کې بند شي.
د انتخاب ستونزه
د آزادو سیسټمونو په منځ کې د مشر پیژندل خورا ستونزمن کار دی. د IDS/IPS انتخاب د شبکې ټوپولوژي، د اړتیا وړ امنیتي دندو، او همدارنګه د مدیر شخصي غوره توبونو او د ترتیباتو سره د ټکر کولو لپاره د هغه لیوالتیا لخوا ټاکل کیږي. سنورټ اوږد تاریخ لري او ښه مستند شوی، که څه هم د سوریکاټا په اړه معلومات آنلاین موندل هم اسانه دي. په هر حالت کې، د سیسټم ماسټر کولو لپاره تاسو باید ځینې هڅې ترسره کړئ، چې بالاخره به یې تادیه کړي - سوداګریز هارډویر او هارډویر - سافټویر IDS/IPS خورا ګران دي او تل په بودیجه کې مناسب نه وي. د وخت په ضایع کولو افسوس کول هیڅ معنی نلري، ځکه چې یو ښه مدیر تل د کارمند په لګښت خپل مهارتونه ښه کوي. په دې حالت کې، هرڅوک وګټي. په راتلونکې مقاله کې به موږ د سوریکاټا ګمارنې ځینې اختیارونه وګورو او یو ډیر عصري سیسټم به په عمل کې د کلاسیک IDS/IPS Snort سره پرتله کړو.
سرچینه: www.habr.com