اسنورت ابزاری قدرتمند برای مقابله با نفوذ غیرقانونی به سیستم
چکیده
نرم افزاری که در این مقاله مورد مطالعه قرار گرفته، نرم افزار اسنورت است، این نرم افزار یکی از محبوبترین نرم افزارهای تشخیص نفوذ می باشد تا آنجایی که تا سال 211 با بیش از 3 میلیون دانلود متداولترین فناوری تشخیص نفوذ در دنیا محسوب می شود. در نتایج به دست آمده و بر اساس مطالعات انجام شده، این نرم افزار در آخرین رتبه بندی جهانی در زمینه بهترین و کارامدترین برنامه های شبکه در رده سوم پس از نرم افزارهای اترال 1و نت کت 2قرار گرفت. این ابزار در سال 1998-1999 توسط آقای مارتین روزچ موسس شرکت Source fire توسعه داده شد.
واژههای کلیدی
اسنورت ، نرم افزارهای تشخیص نفوذ ، ابزار تشخیص ویروس ، موتور تشخیص ، مارتین روزچ ، Source fire
مقدمه
اسنورت یک سیستم تشخیص نفوذ بسیار سبک است که به صورت کلی رویداد ها و وقایع بسته های اطلاعاتی در شبکه را ثبت می کند این نرم افزار بر روی شبکه های کوچک قابل استفاده می باشد.یک کاربر حرفه ای در زمینه امنیت اطلاعات باید با نرم افزارهای شناسایی نفوذ و امنیتی آشنایی داشته باشد تا اگر با خطراتی از جانب مهاجمین و یا هکر ها مواجه شد بتواند با آن ها مقابله کرده و جلوی نفوذ این خطرات را به سیستم خود و در واقع به شبکه بگیرد.در دنیای امروزی نرم افزارهای کد باز جایگاه مناسبی در زمینه امنیت اطلاعات را بدست آورده اند و بازار خیلی خوبی را در این زمینه کسب کرده اند.در این زمینه بهترین نرم افزار از لحاظ تحلیل سیستم های دخول سرزده 3 اسنورت می باشد. این نرم افزار با جستجو در بسته های ورودی-خروجی و چک کردن آن ها به دنبال بسته هایی می باشد که در آن ها اطلاعاتی برای نفوذ باشد.
-1 دلیل استفاده از اسنورت
در خیلی از مواقع دسترسی به پورت های شبکه، برای هکرها کار بسیار ساده ای خواهد بود، بنابراین در این هنگام نمی توان بحث امنیت را کنار گذاشت و برای این کار می توان از یک ابزار تشخیص نفوذ استفاده کرد که یکی از این ابزارها اسنورت است.با استفاده از اسنورت امکان بررسی شبکه ی داخلی وجود خواهد داشت. این کار یک عمل بسیار اساسی در بحث امنیت اطلاعات محسوب می شود. این ابزار تشخیص نفوذ به صورت رایگان قابل دسترس بوده و بر روی اکثر سیستم عامل ها قابل پشتیبانی است.به خاطر اینکه بسیاری از مشکلات امنیتی از ساختار داخلی خود شبکه حاصل می شوند بنابراین قبل از پدیدار شدن مشکلات جدیدتر و خطرناکتر بهتر است که از یک نرم افزار تشخیص نفوذ استفاده شودکه این نرم افزار اسنورت می باشد. دلیل مهم استفاده از اسنورت و به صورت کلی یک سیستم تشخیص نفوذ این می باشد که با توجه به افزایش روز افزون استفاده از شبکه های کامپیوتری نیاز به برقراری امنیت به عنوان اصل اول مورد توجه دست اندرکاران و متخصصین شبکه قرار گرفته است. بنابراین ابزاری جهت کنترل و مانیتورینگ شبکه مورد استفاده قرار می گیرد که این ابزار ضمن ردیابی اتفاقات شبکه اقدام به کنترل ارتباطات و دسترسی های غیر مجاز می نماید.
-2نحوه ی استفاده از اسنورت
به صورت کلی اسنورت در یکی از سه حالت زیر پیکربندی می شود:
– استراق سمع کننده ی بسته ها: در این حالت این ابزار، تمامی ترافیک ورودی از طریق شبکه یا از طریق کارت شبکه را در کنسول سیستم نمایش می دهد و بدین شکل اسنورت تنها یک استراق سمع کننده ساده است و محتوای بسته های اطلاعاتی را نیز بر روی این کنسول نمایش می دهد.
– نسخه بردار از ترافیک: اسنورت، ترافیک ورودی را در روی دیسک ذخیره می کند و همچنین اطلاعات بسته های اطلاعاتی در شبکه را نیز در پرونده ای که قبلا مشخص شده ذخیره می نماید و می توان بعدا آن ها را چک کرده و اطلاعات آن ها را تجزیه و تحلیل نمود.
– سیستم تشخیص نفوذ: در این حالت اسنورتعمدتا با استفاده از قوانین به تشخیص الگوی حملات و نیز ناهنجاریهای موجود در ترافیک شبکه می پردازد.
شکل 1
-3 سیستم تشخیص نفوذ (IDS4)
به نرم افزار یا سخت افزار، یـا ترکیبـی از هـر دو اطـلاق مـی گـردد کـه در یـک سیسـتم کـامپیوتری (کـه مـی توانـد یـک شـبکه محلـی یـا گســترده باشــد) وظیفــه ی شناســایی تــلاش هــایی را کــه بــرای حملــه بــه شــبکه صــورت مــی گیــرد و ایجــاد هشــدار احتمــالی در مقابــل حملات را بر عهده دارد.به طـور کلـی ایـن سیسـتم هـا سـه بخـش اساسـی دارنـد: پـایش، تشـخیص،واکـنش. هـر چنـد کـه واکـنش در مـورد IDSهــا عمومــا بــه ایجـاد اخطــار، در قالــب هــای مختلـف محــدود مــی گــردد. نکتـه ای کــه قابــل ذکــر اسـت، تفــاوت و تقابــل میــان دیوارهای آتش و سیستم های تشـخیص نفـوذ مـی باشـد. از آنجـا کـه ماهیـت عملکـرد ایـن دو ابـزار بـا یکـدیگر بـه صـورت کلـی متفـاوت است هیچ کدام از این دو ابزار وظیفه ی دیگـری را بـه طـور کامـل برعهـده نمـی گیـرد بنـابراین ترکیبـی از ایـن دو ابـزار مـی توانـد امنیـت کلی سیستم را بالا ببرد. بنابراین در یک سیاست مبتنی بر IDS، چندین فرضیه در مورد شبکه وجود دارد:
-1به خوبی از شبکه خود اطلاع دارید، همانند سایر اجزای شبکه، محدوده ی آدرس های شبکه و نقاط دسترسی خارج از شبکه.
-2به خوبی از بحث امنیت اطلاع دارید و از این جهت، سرور خود را فقط برای سرویس های مورد نظر خود پیکربندی کرده اید به عنوان مثال، وب سرورها فقط پروتکل http را سرویس می دهند و پروتکل های انتقال فایل نیز فقط پروتکل ftp را سرویس می دهند.
-3یک نرم افزار امنیتی مانند پروکسی را دارا می باشید و ممکن است که در آینده نرم افزارهای دیگری نیز در زمینه امنیت داشته باشید.
Snortfp5-4
در این قسمت به معرفی پروژه مربوط به نرم افزارSnortfp می پردازیم. این نرم افزار در واقع از لحاظ ساختاری در نسخه های قبلی اسنورت یک پیش پردازنده محسوب می شد که تغییراتی را بر روی اسنورت 2,1,2 انجام داد و از پیش پردازنده ACID6 برای نمایش تکنولوژی اثرانگشت بر روی سیستم های میزبان استفاده کرد. در هر صورت این پروژه نرم افزاری هنوز برای نسخه های جدیدتر اسنورت ساخته نشده است. هر چند به نظر می رسد که این تکنولوژی باعث هماهنگی و سازگاری بیشتر با پلتفرم های مربوط به سیستم عامل لینوکس شود. بنابراین در صورتی که از نسخه های ویندوز استفاده می کنید, استفاده از این نرم افزار غیر ممکن است و بر روی پلتفرم لینوکس سازگاری
بیشتری دارد.این نرم افزار از قوانین اسنورت برای بررسی تکنولوژی اثرانگشت استفاده می نماید، سپس آن را تغییر می دهد و بعد از آن از طریق ACID آنها را به نمایش در می آورد.
PF7 -5
این ابزار یکی از بهترین ابزارهایی است که در آن شما نیازی به جستجوی مستقیم برای یافتن OS یا سیستم عامل مناسب ندارید. همچنین این ابزار به شما امکان، نگهداری فایل ها و رویدادهای ثبت شده مربوط به خود را می دهد و نگهداری فایل های ثبت شده به همراه فایل های ثبت شده مربوط به IDS شما که برای استفاده در یک سازمان خاص کافی هستند را، امکان پذیر می سازد.
تمامی فایل های ثبت شده در یک پایگاه داده ی خیلی بزرگ، نگهداری می شوند. یکی از امکانات خاص و تخصصی این پایگاه داده این است که داده های PF به داخل فایل های مربوط به ESM9/ISM8 وارد می شوند. این دو ابزار در واقع امکانات تحلیلی را به همراه اطلاعات مفید در هنگام وقوع یک رویداد فراهم می کنند.
Honeypot-6 و Honeynet
سیستمی است که عملا طوری تنظیم شده است که در معرض حمله قرار بگیرد. سازمان های مختلف، استفاده های متفاوتی از داده های مربوط به آن دارند، از تکنیکهای تحقیقاتی مربوط به آن گرفته تا گول زدن و دستگیری مجرمان، که قابل استفاده در راستای اجرای قوانین آن سازمان می باشد. و در واقع یک Honeynet گروهی و یا در واقع شبکه ای از Honeypot ها می باشد که در اصل هم شامل دستگاه ها و ماشینهای واقعی و هم شامل میزبان های مجازی هستند (مانند ابزارهایی شبیه نرم افزار (.VMware Workstation
-7 اسنورت و جستجوی قانونی بودن فعالیت ها
همانند تمامی مباحث دیگر، بحث قانونی بودن فعالیتها در شبکه و همچنین اسنورت از اهمیت بسزایی بر خوردار است. هر سازمانی که از شبکه های داخلی و خارجی استفاده می کند نیاز به داشتن مجوز و قانونی بودن فعالیت های مربوط به خود است. در بسیاری از سازمان ها گروهی متشکل از افراد متخصص در زمینه ی امنیت اطلاعات در شبکه وجود دارند که برای بررسی قانونی بودن فعالیت ها در شبکه، انجام وظیفه می نمایند که مزیت های وجود این گروه در هر سازمان عبارتند از:
-1 آنها حالت و عملکرد عملیاتی تیم شما را متوجه می شوند.
-2 می دانند که چه کسی به داده های شما دسترسی دارد و نیز محدوده ی IDS شما را نیز مشخص می کنند.
-3 مشخص می کنند که چه نوع اطلاعاتی در حال جستجو می باشد.
-8اسنورت به عنوان یک ابزار تشخیص ویروس
با استفاده از موتور و همچنین نرم افزاری تحت عنوان ClamAV1 چند توسعه ی دهنده ی اسنورت از انجمن متن باز، پیش پردازنده ای از اسنورت را ایجاد کرده اند که برای تشخیص ویروس هایی مانند ویروس هایی از نوع، Web-Based، Mail-Based و چندین نوع دیگر کاربرد دارد.