سیستم تشخیص نفوذ snort
سیستم تشخیص نفوذ snort: در مقالات قبلی ساختار IDS مورد بررسی قرار گرفت (سیستم تشخیص نفوذ قسمت اول و دوم). .همان طور که بیان شد سیستمهای تشخیص نفوذ شبکه بهمنظور امنیت کامل در شبکههای مختلف بهطور گستره مورداستفاده قرار گرفته و از اهمیت بسیار بالایی برخوردار هستند. این سیستم ها بر اساس نحوه تشخیص نفوذ به دو دسته تقسیم می شوند: سیستم تشخیص نفوذ مبتنی بر ناهنجاری و سیستم تشخیص نفوذ مبتنی بر امضا.
در نوع اول حملات و تهدیدها توسط مقایسه رویدادهای جاری با وقایع عادی از پیش تعریف شده، تشخیص داده میشوند. در حالی که در نوع دوم نفوذها با مقایسه سرآیند و محتوای بسته با قوانین از پیش ساخته شده ی موجود در یک پایگاه داده، شناسایی می شوند.
سیستم های تشخیص نفوذ شبکه مبتنی بر امضا به دلیل نرخ هشدار پایین نسبت به نوع مبتنی بر ناهنجاری از عمومیت بالاتری برخوردار هستند.نرمافزار snort یک سیستم تشخیص نفوذ شبکه مبتنی بر امضا است که به دلیل رایگان، متن باز و سبک بودن مورد استفاده بسیاری از کاربران قرار می گیرد. از این رو در ادامه به بررسی این سیستم می پردازیم.
Snort
یک بسته نرمافزاری تشخیص و جلوگیری از نفوذ مبتنی بر شبکه و امضا است که به دلیل رایگان، سبک و متنباز بودن، امکان بهکارگیری و تجزیهوتحلیل یک نرمافزار تشخیص نفوذ واقعی را به کاربران میدهد. بهطورکلی سیستم تشخیص نفوذ snort برای تجزیهوتحلیل ترافیک بلادرنگ در مقابل حملات مختلف بر اساس مجموعهای از قوانین از پیش تعریفشده، استفاده میشود. قوانین snort میتواند به هر زبانی نوشته شود و بهراحتی قابل تغییر میباشد.
سیستم تشخیص نفوذ snort میتواند در سه حالت تنظیم گردد:
-
حالت شنود
در این حالت snort بستهها را از شبکه خوانده و سپس نمایش میدهد. میتوان طوری تنظیم کرد که تنها سرآیند بسته یا تمام بسته که شامل سرآیند و محتوای بسته است، نمایش داده شود.
-
ثبت بستهها
در این حالت snort میتواند برای ثبت تمام ترافیک شبکه درون یک فایل استفاده شود. میتوان طوری تنظیم گردد که ترافیک برای زیر شبکهها و یا پورتهای خاصی ثبت شود.
-
سیستم تشخیص نفوذ شبکه
پیچیدهترین حالت است که جهت تطبیق بستههای شبکه با مجموعه قوانین تعریفشده بکار گرفته می شود. در صورت تطبیق و درنتیجه تشخیص نفوذ اقداماتی شامل از بین بردن بسته، ارسال هشدار و عبور بسته انجام میگیرد.
معماری سیستم تشخیص نفوذ Snort
همانطور که در شکل 1 نشان دادهشده، سیستم تشخیص نفوذ snort از چهار جز اصلی تشکیلشده است:
- شنودکننده داده (Data sniffer)
- پیشپردازشگر (Preprocessor)
- موتور تشخیص (Detection Engine)
- سیستم ثبت و هشدار (Log System and Alert System)

شکل 1 معماری سیستم تشخیص نفوذ شبکه snort
شنودکننده داده
تمامی بستهها از انواع مختلف واسطهای شبکه (اترنت، SLIP، PPP و سایر) ضبط شده و برای فاز پیشپردازش آماده خواهند شد. برای گرفتن این بسته ها، واسط شبکه باید در حالت Promiscuous(بی قاعده) قرار داشته باشد تا همه بسته ها را بتواند ضبط کند. شنود کننده میتواند بهصورت نرمافزاری و یا سختافزاری باشد.
پیش پردازشگر
پیش پردازشگر قطعات و یا افزونههایی هستند که میتوانند بهمنظور تغییر و سازماندهی، تجزیهوتحلیل آماری و بررسی و شناسایی رفتارهای خاص (که بر مبنای قوانین نیستند) بستههای خام دریافت شده از شنود کننده و همچنین انجام تشخیص اولیه به منظور کاهش بار پردازشی موتور تشخیص، با snort ترکیب شوند. سپس بستهها جهت بررسی به موتور تشخیص ارسال میگردند.
موتور تشخیص
موتور تشخیص، قسمت اصلی از سیستم تشخیص نفوذ snort است که پس از دریافت بستهها از پیش پردازشگر، آنها را با مجموعهای از قوانین snort تطبیق میدهد و در صورت تطبیق، آن بسته را به قسمت سیستم ثبت و هشدار ارسال میکند. موتور تشخیص جهت شناسایی نفوذ در یک بسته بکار گرفته میشود.
سیستم ثبت و هشدار دهی
عملکرد سیستم ثبت و هشدار به خروجی قسمت قبل وابسته است. درصورتیکه دادهای در قسمت موتور تشخیص با یکی از قوانین مطابقت داشت، این قسمت فراخوانی شده تا هشداری ارسال گردد.
قوانین snort
مجموعه قوانین و امضاها نقش بسیار مهمی در کارایی یک سیستم تشخیص نفوذ شبکه ایفا می کنند. اکثر نفوذهای شناخته شده دارای امضا و الگوهایی هستند که بر اساس آنها وجود و یا عدم وجود نفوذها در بسته های دریافتی شناسایی می شوند. سیستم تشخیص نفوذ snort دارای مجموعه ای از قوانین حمله است که به منظور تشخیص نفوذ در ترافیک ورودی بکار گرفته می شوند. این قوانین به هنگام جستجو خط به خط خوانده شده سپس هر بسته جهت بررسی با این مجموعه قوانین مقایسه می گردد.
اساساً ساختار یک قانون سیستم تشخیص نفوذ شبکه مبتنی بر امضا دارای دو جز اصلی است قسمت سرآیند (Rule header) و قسمت اختیاری قانون(Rule option) که در شکل 2 نشان داده شده است.

شکل 2-ساختار یک قانون سیستم تشخیص نفوذ شبکه مبتنی بر امضا
هر قانون با یک عمل آغاز می گردد که در صورت تطبیق آن قانون با محتوای بسته، آن عمل اجرا می گردد. قسمت اختیاری یک قانون نیز به دسته های عمومی تشخیص محتوا و تشخیص غیر محتوا تقسیم می شوند. دسته های تشخیص محتوا و تشخیص غیر محتوا دارای برخی کلمات کلیدی هستند که مقادیر آنها می توانند موجب افزایش دقت تشخیص نفوذ گردد.
هیچ دیدگاهی نوشته نشده است.