دسترسی به اطلاعات و سیاستهای امنیتی

دانلود پایان نامه
لحاظ کردن تدابیر امنیتی: IDSها یکی از اهداف اصلی مهاجمین شبکههای کامپیوتری هستند. اگر یک مهاجم بتواند درIDS سازش داشته باشد، قادر خواهد بود انواع آسیبها را به سیستم وارد آورد و سلسله نفوذهای مختلفی را به اجزای مختلف شبکه انجام دهد. همچنین IDSها دارای اطلاعات عمدهای درباره پیکربندی شبکه و سیستمهای درون آن دارند، که برای مهاجمین بسیار ارزشمند خواهد بود. برای حفاظت از سیستم تشخیص نفوذ راهکارهای زیر پیشنهاد میشود:
مدیر سیستم با انجام پیکربندی مناسب بر روی دیوارههای آتش، مسیریابها و سوئیچها، دسترسی به اجزای سیستم تشخیص نفوذ را محدود نماید، به نحوی که چارچوب ارتباطات محدود به ارتباطات درون خود سیستم و در صورت لزوم کاربران خاص باشد.
مدیر سیستم باید اطمینان داشته باشد ارتباطات بین اجزای سیستم در بستری مناسب صورت گیرند. این کار میتواند با استفاده از شبکهای مجزا (شبکه مدیریت) صورت گیرد و یا با استفاده از شبکه مجازی صورت پذیرد. در این صورت استفاده از ساز و کار مناسب برای رمزنگاری پیامها ضروری است. در صورت رمزنگاری باید از واسطهای استاندارد و شناخته شده برای این کار استفاده شود. برای مثال بنیاد بین المللی استاندارد و فناوری ، استفاده از ماژولهای FIPS را توصیه کرده است. بسیاری از ابزارها از پروتکل امنیتی لایه انتقال استفاده میکنند. در مورد سیستمهایی که در آنها رمزنگاری لحاظ نشده است مدیر سیستم باید از یک شبکه خصوصی مجازی با VPN برای بستر ارتباطات فراهم نماید.
یکی دیگر از مسائل مهم این است که اجزایی از شبکه که به عنوان اجزای IDS مورد استفاده قرار میگیرند، سرویس دیگری نداشته باشند. مثلا راه اندازی سرویسهای شبکهای روی حسگرها کاری معقول نیست.
راه اندازی و نگه داری سیستم: بعد از طراحی سیستم و در نظر گرفتن تمام مسائل امنیتی و طرح پیاده سازی آن، نوبت به راه اندازی میرسد. معمولا ارتباط کاربران و مدیر سیستم با IDS از طریق واسط کاربری یا کنسول صورت میگیرد. واسط گرافیکی کاربر امکان دسترسی به سیستم و مشاهده و فعالیتهای جاری و وضعیت سیستم را میدهد. از دیگر مسائل مربوط به راه اندازی سیستم میتوان به این مسائل اشاره کرد:
امکان دسترسی به قابلیتهای مختلف از طریق کنسول.
رفع مشکلات و نظارت مداوم بر سیستم باید صورت پذیرد. همچنین ارزیابیهای امنیتی روی سیستم باید صورت پذیرد تا در طی فرآیند تست نفوذ، نقاط ضعف و آسیب پذیری سیستم مشخص شود. بعد از تشخیص این مشکلات میتوان با پیکربندی جدید شبکه، دیواره آتش و یا اعمال سیاستهای امنیتی خاص برای سیستمهای بازدارنده نفوذ، میزان امنیت سیستم را بالا برد.
بروز کردن نسخه نرمافزار IDS و نیز استفاده از الگوها و پروتکلهای جدید باید در دورههای زمانی منظم صورت پذیرد. باید توجه داشت که این بستههای نرمافزاری قبل از به کارگیری در سیستم حتما تست شوند تا اطمینان از نتیجه از پیکربندی قبلی نسخه پشتیبان تهیه شود.
ویژگیهای ابزار تشخیص نفوذایده آل
در اینجا ما چارچوبی را برای معرفی ابزار تشخیص نفوذایده آل ارائه میدهیم. بر اساس بررسیهای انجام شده در این گزارش و منابع مشخص شده، ویژگیهای مطرح شده، ویژگیهای یک ابزارایده آل است.
دقت بالا، نرخ تشخیص بالا و کم بودن هشدارهای نادرست
در [28] معیارهایی که برای ارزیابی بهرهوری سیستم تشخیص نفوذ مبتنی بر کشف ناهنجارها در نظر گرفته شدهاند عبارتند از :
نرخ تشخیص بالا و کم بودن هشدارهای نادرست: نرخ تشخیص عبارت است از کسری از ترافیک ناهنجار که به درستی تشخیص داده شدهاست. این هشدارها میتواند مربوط به اقدامات ناهنجار امنیتی باشند که سیستم را تحت تاثیر قرار میدهند، یا آن که صرفا تلاشهای نافرجامی برای نفوذ به سیستم باشند. نرخ هشدارهای نادرست هم به صورت درصدی از ترافیک خوش خیم که به نادرست ترافیک مخرب تشخیص داده شدهاست، تعریف شدهاست. همچنین میتوان آن را نسبت هشدارهایی که به نادرستی تشخیص داده شدهاند به کل هشدارهای صادره از طرف IDS تعریف نمود.
در مورد نسبت هشدارهای نادرست باید توجه کرد که در بسیاری از حملات هدف حمله کننده خود IDS است و حمله کننده قصد دارد با استفاده از تعداد زیاد هشدار نادرست، IDS را مشغول و غرق آنها کند و عملا سیستم تشخیص نفوذ را از کار بیندازد[29]. بنابراین داشتن ساز و کار مناسب برای دفع چنین خطراتی از ویژگیهای مهم ابزار IDSایده آل است.
نحوه واکنش و ایجاد هشدار و کار با IDSهای دیگر
هر چند تولید هشدار جزء چارچوب عملکرد سیستمهای تشخیص نفوذ در نظر گرفته نمیشود. لکن بسیاری از ابزارهای IDS قابلیت جلوگیری از نفوذ و واکنش در برابر آن را دارند. از جمله مهمترین این ابزارها، ابزارهای Snort است که در حالت بر خط قادر است مانند دیواره آتش، جلو بروز حملات را بگیرد. هشدارها در واقع خروجی اصلی ابزار تشخیص نفوذ میباشند. با استفاده از این هشدارها بروز حملات مشخص میشود. هدف از نصب سیستم تشخیص نفوذ بکارگیری آن برای بالا بردن امنیت سیستم و دفع حملات است. بنابراین امکان ارتباط حسگرهای سیستم تشخیص نفوذ با سیستم مدیریت مرکزی یا پایگاه داده مرکزی برای ثبت رخدادها و هشدارها اهمیت زیادی دارد. ارتباط با دیوارههای آتش و اعمال پیکربندی مورد نظر برای جلوگیری از مبدا حملات یکی از راههای معمول دفع حملات میباشد. اصولا دیوارههای آتش به خاطر عملکرد و بازدهی سریعتر و بهتر در مقابل ترافیک ورودی بستر خوبی برای اعمال سیاست امنیتی هستند. همانطور که در مورد ابزار Snort هم توضیح داده شد، برای این ابزار ابزارهای جانبی به منظور مدیریت حسگرها و گروه بندی رخدادها و هشدارهای موجود در پایگاه داده وجود دارد.
به منظور داشتن چارچوب استاندارد و مقبول برای همکاری ابزارهای تشخیص نفوذ مختلف که وظیفه پویش شبکه را برعهده دارند، از گذشته این فکر مطرح بوده است که تمام پیغامها و هشدارهای های مختلف در قالب فرمت استانداردی به سیستم مدیریت و پاسخ دهی ارسال شود. فرمت استاندارد تبادل پیغام ابزارهای تشخیص نفوذ یکی از این ایدهها بوده است. این فرمت هشدارها و رخدادهای کشف شده در حسگرها و تحلیل گرهای ابزارهای تشخیص نفوذ مختلف را به صورت شئهایی با ساختار مشخص بیان میکند[30]. به این ترتیب امکان ارتباط با سامانه مرکزی مدیریت و پاسخ فراهم میشود. ابزار تشخیص نفوذ مناسب باید چنین قابلیتهایی را داشته باشد.
قابلیتهای پیکربندی و تنظیمات فاز نصب و سازگاری با شرایط سیستم
مرحله نصب و کارگذاری IDS و انجام پیکربندی مناسب برای به کارگیری مناسب در انتخاب ابزار مناسب اهمیت فوق العادهای دارد. سیستم تشخیص نفوذ باید قادر باشد بر اساس شرایط کاری سیستمهای مختلف به کار بیاید. وجود معماری انعطاف پذیر ابزار برای به کارگیری در ابزار در شرایط مختلف و استفاده از قابلیتهای خاص آن و همینطور غیرفعال کردن بخشهای غیر ضروری اهمیت زیادی دارد. برای مثال هنگامی که IDS برای محافظت از یک شبکه دارای سرورهای وب مورد استفاده قرار میگیرد، بخشهایی از IDS که به کشف حملات مربوط به سرورهای ایمیل مربوط میشود، غیر ضروری تشخیص داده شده و میتواند مورد استفاده قرار نگیرد. اغلب ابزارهای موجود مثل Snort و Bro آن قابلیت را دارند. به این ترتیب بهرهوری از منابع سختافزاری و نرمافزاری افزایش مییابد.
امکان اعمال سیاست امنیتی در نسخه امنیتی یا با استفاده از قوانین کارآمد
سیاست امنیتی عبارت است از مجموعه بایدها و نبایدهایی که برای تعیین سطح دسترسی به اطلاعات و منابع سیستم برای کاربران در نظر گرفته میشود. ابزار تشخیص نفوذ ایده آل باید قادر باشد انواع سیاستهای امنیتی را اعمال کند.