أنظمة كشف و حماية الإختراق (IPS)

السلام عليكم..

موضوعي الأول الذي سيكون مقدمة مبسطة عن أنظمة الحماية و كشف الاختراقات والتسلل (IDPS)  وسيكون لي عودة إلى مواضيع متخصصة في هذا المجال بشكل علمي (من ناحية النظريات المستخدمة) وبشكل تجاري  ( من ناحية التطبيقات والشركات الرائدة في  هذا المجال)في المستقبل القريب.

مقدمة:

الدفاع في العمق يعد من أفضل الطرق المتبعة حين يصمم مهندسي الأمن والحماية برمجياتهم و معداتهم وانظمتهم بشكل عام. وتعد أنظمة كشف التسلل (IDS) و انظمة مكافحة التسلل (IPS) من أهم المكونات التي ينصح باستخدامها عند تطبيق طريقة الدفاع في العمق. حتى وقت قريب كانت جميع الشركات تسوق منتجاتها بشكل منفرد كأنظمة كشف التسلل (IDS) أو  انظمة مكافحة التسلل (IPS) ولكن بسبب التقدم التقني في الاجهزة والبرمجيات ؛ أصبحت تسوق الاّن كنظام موحد يسمى نظام كشف و مكافحة الإختراق (IDPS) ( تنبيه: ملف PDF).

قبل التفاصيل أود أن أوضح أن هذه الأنظمة ليست جدارا ناريا (Firewall) ولا برامج لمكافحة الفيروسات (Anti-Virus). بل هي عبارة عن أنظمة تجهز بشكل معين ويتم توصيلها في الشبكات بطريقة خاصة  بحيث تتمكن من مراقبة كل المعلومات المتدفقة إلى داخل الشبكة.

شكل (1) - إحدى طرق تجهيز وتركيب نظام كشف و مكافحة الإختراقات

أين يوصل هذا النظام؟

يوضح الشكل رقم (1) إحدى أفضل الطرق بالنسبة لي لتركيب نظام كشف و مكافحة الإختراق. حيث يتم وضعه عادة على حدود الشبكة. في أغلب الأحيان تكون الحدود عبارة عن جدار ناري يفصل بين الشبكة الخارجية (الانترنت أو أي شبكة غير موثوقة) و الشبكة الداخلية (الانترانت: حيث توجد كل البيانات الداخلية الخاصة بشبكتك). الطريقة الأولى والمتبعة عادة هي تركيب النظام عند النقطة رقم (1) كما هو موضح في الشكل (1) لمرقبة البيانات المتجهة إلى داخل الشبكة الخاصة بك. من فوائد هذه الطريقة هي إمكانية مراقبة جميع البيانات المتجهة إلى الشبكة  لكشف ومكافحة أي محاولة إختراق. الطريقة الثانية هي توصيل النظام عند النقطتين (1) و (2) .تهدف هذه  الطريقة إلى مراقبة البيانات الداخلة قبل الجدار الناري و البيانات التي تمت فلترتها بعد الجدار الناري ومن فوائدها مكافحة الإختراقات بالإضافة إلى دراسة فعالية الجدار الناري ومدى الإفادة منه. الطريقة الثالثة التي قد يتم اعتمادها هي توصيل النظام عند النقطة (2) فقط وهي طريقة تمكن مراقبي الشبكة من مكافحة الإختراقات بعد فلترة البيانات مما قد يمنع من معرفة المحاولات الفاشلة التي توقفت قبل الجدار الناري.

هل هناك تدخل بشري في هذا النظام؟

طبعا نلاحظ في الشكل(1) وجود غرفة لمراقبة أمن الشبكة أو مركز عمليات الأمن (Security Operations Center – SOC) (طبعا في الشركات الكبيرة)  طبعا لا يكتفي المراقبون في هذه الغرف بمراقبة النظام. بل يقومون بتحليل البيانات الواردة من هذه الأنظمة و يقومون بدراستها وتحليلها وتقديم التقارير عنها. وطبعا لأن هذه الأنظمة عبارة عن برمجيات وأجهزة حاسب فإنها لا تستطيع دائما الكشف عن الإختراقات أو حتى مكافحتها. قد تكون هذه الإختراقات معقدة جدا أو جديدة عليها. وهنا يأتي الدور البشري للتدخل مكافحة هذه الإختراقات والرد عليها.

ماذا عن البيانات المتجهة من داخل الشكة إلى خارجها؟

تساؤل يتبادر إلى الأذهان عند ملاحظة ان هذا النظام يراقب فقط البيانات المتجهة من الخارج إلى الداخل. طبعا مراقبة البيانات الداخلة من الانترنت إلى داخل الشبكة  أسبابه واضحة لآن مستخدمي الانترنت  والشبكات الخارجية غير موثوق بهم بالنسبة لشبكتك الداخلية ولذلك فإن الشبكات تعتمد على هذه الأنظمة لمراقبة أي محاولة إختراق خارجية. ولكن  ماذا عن البيانات التي قد يرسلها مستخدمين الشبكة الداخلية إلى الخارج. هل نحتاج إلى مراقبتها. يعتمد هذا السؤال على نوعية البيانات. فمثلا يفضل مهندسي الشبكات في المؤسسات الأمنية والعسكرية مراقبة البيانات الداخلة والخارجة. وهي طبعا طريقة مكلفة حيث يضطر صاحب الشبكة إلى مضاعفة الأجهزة و الموظفين.

كيف تحلل  هذه الأنظمة عن الإختراقات وتكشفها؟

هناك  عدة طرق تحلل بها هذه الأنظمة البيانات للكشف عن الإختراقات:

1- الإعتماد على نمطية (توقيع) الإختراقات (Signature – based) : وهي عن طريق تحليل جميع البيانات ومقارنتها بقاعدة بيانات هائلة تحوي جميع الأنماط والإحتمالات لإختراقات سابقة ومعروفة. وهي أكثر الطرق فعالية وأبسطها.

2- الإعتماد على البيانات غير المألوفة (Anomaly-based) : وهي طريقة تعتمد على واقع أنه حين يحدث إختراقات فإن البيانات ستتغير وتصبح غير طبيعية أو مألوفة بالنسبة للنظام.ولتفعيل هذا النظام يجب على النظام ان يتعلم من خلال مراقبة الشبكة في الوضع الطبيعي قبل تفعيل  خاصية مراقبة الشبكة أو أن يقول مسؤول الشبكة يدويا بإدخال مدخولات تحدد الوضع الطبيعي للشبكة. تعرف هذه الطريقة تعرف أحيانا بطريقة الكشف عن طريق التصرف (Behavior-based).

طبعا  بسبب تقدم التقنيات وتطور أجهزة الحاسب الالي سوف نجد أن بعض الأنظمة تستخدم الطريقتين.

كيف يعمل هذا النظام وماهي مكوناته؟

شكل (2) اّلية عمل النظام

نظام كشف الإختراقات قد يكون جهاز حاسب الي مخصص للمراقبة (مثلا من سيسكو CISCO ) أو برنامج يعمل على نظام لينيكس (مثلا من شركة ISS التي امتلكتها IBM  مؤخرا)

يعمل النظام عن طريق أجهزة أو قد تكون برامج تسمى الحساسات تقوم  بجمع البيانات من الشبكة من ثم إرسالها إلى جهاز أو برنامج (يسمى المحلل) يقوم بتحليل البيانات ودراستها بالإعتماد على الطرق السابق شرحها إما عن طريق نمط الإختراق أو عند وجود بيانات غير طبيعية. بعدها يقوم المحلل بإرسال إنذار إلى برنامج المراقبة الذي يقوم بمراقبته أحد مختصي أمن المعلومات.  بالطبع هذا الشرح مبسط جدا وهو غير وافي لأن النظام يحتوي على العديد من المكونات و برمجيات الذكاء الإصطناعي و سجلت فيه عدة وثائق لبراءة الإختراع. ولكن هذه المقالة  هدفها الأساسي تقديم القاري إلى هذه الأنظمة.

أنواع أخرى من أنظمة كشف ومكافحة الإختراق

1- نظام كشف ومكافحة إختراق الشبكات (NIPS): هي التي تركب وتوصل فعليا في الشبكات و هي التي حاولت الشرح عنها. من أشهرها :

1- cisco  ips

2-Mcafee IPS

3- ISS IBM IPS

2- نظام كشف ومكافحة إختراق الأجهزة  (HOST-based IPS): وهي عباة عن حزمة برامج تعمل بنفس طريقة ال(IPS) ولكنها تراقب جهازا واحد (سواء خادم أو حتي جهاز شخصي). ,و طبعا يمكن الحصول على هذه البرامج من شركات كبيرة مثل Mcafee ..ISS..Bitdefender..Norton..CISCO. ويلاحظ أن العديد من مسؤولي النظم يستخدمون ال HIPS بالإضافة إلى برامج مكافح الفيروسات لرفع درجة الحماية.

أرجو أن أكون قد أفدتكم بمعلوماتي المتواضعة والرجاء توجيه الإستفسارات دون أي تردد.

الصورة رقم 3 توضح ما يراه محلل النظم في يوم عادي

 

نبذة عن الكاتب

يعمل حالياً كمهندس نظم. مهتم بأمن الأنظمة و أنظمة و عمليات الحماية و إدارة أمن المعلومات. حاصل على الماجستير في إدارة النظم الهندسية و بكالوريوس في هندسة الحاسب الاّلي من الجامعة الامريكية في الشارقة

التعليقات:

اترك تعليقاً | عدد التعليقات: (15)

  1. يقول بشار:

    أخي سامر موضوعك أكثر من رائع. جهد مبارك تشكر عليه يا طيّب.

  2. يقول صبري صالح:

    ماشاء الله تبارك الله موضوع روعة ,,
    أخي سامر ,, بحكم إنك جربت أكثر من IPS أو عندك خلفية عملية عن أكثر من نوع

    ما رأيك بعمل الـ Snort + IPtables في وضع الـ inline ؟
    حيث بعضهما مع بعض يكونان IPS

    أقصد رأيك بالنسبة للجوانب الأساسية
    – سرعة الاستجابة
    – دقة التحليل
    – قوة و فعالية التواقيع
    – قوة ملاحظة السلوك
    – الإنذار و أخذ القرارات
    – المرونه في الإعداد و التشغيل

    تحياتي و احترامي

    • يقول سامر مقدادي:

      أخ بشار : شكرا لك على الترحيب الجميل , وأتمنى أن أكون مفيدا

      أخ صبري:
      طبعا SNORT غني عن التعريف وأعتقد أن معظم التطبيقات التجارية استفادت وما زالت من قوة وسرعة SNORT.
      لكن للأسف لقد جربت SNORT ولكن فقط في بيئة تجريبية. ولم أجرب SNORT_Inline.
      ولكن من خلال متابعتي للموضوع أعتقد أن استخدام الIP_tables لتقديم المعلومات إلىinline SNORT سيعطي النظام مرونة أكبر ومعلومات أكثر.

      طبعا أنت أعطيتني تجربة جديدة وسأحاول تجربتها وان شاء الله استطيع تقديم الأجوبة إليك

  3. […] من الجامعة الامريكية في الشارقة. وأول موضوع له هو أنظمة كشف التسلسل، وهو موضوع […]

  4. يقول صبري صالح:

    عذرا ,,
    أرجوا أن تقبل هذه الإضافة
    http://king-sabri.net/?p=1482

    شكرا

    • يقول سامر مقدادي:

      شكرا جزيلا أخ صبري.. سأقوم بقراءة مدونتك تفصيليا في وقت لاحق .. وقد أععجيتني طريقتك في توصيل المعلومة…

  5. يقول علي الشّمري:

    مشكور اخي سامر على المقال … صراحة أستمتعت جداً وأنا أقرأ فيه … مقدمة وبداية مفيدة جداً لمن لا يعرف أي شيء عن هذه الأنظمة … شكراً أخي، الله يعطيك الصحة والعافية …

  6. يقول علي الشّمري:

    أحببت أن أعرف ما هو النظام خلف الصورة رقم (3) وإذا هي لـ Sax2

    أضفت رابطه، فقط إذا رغب أحد غيري بمعرفة ذلك …

  7. يقول هلاليه:

    الف شكر لك اخوي

  8. يقول نور:

    لو سمحتو كيف ممكن ابدأ بتطبيق نظام IPS + snort على ubuntu ممكن تفيدوني ؟؟؟

    • يقول أحمد:

      يمكن تطبيق الـ ips على برنامج الـ snort وانا استخدمت في مشروع التخرج برنامج smooth-sec ويمكن من خلاله تطبيق ال ips و ال ids طبعا الرنامج يخدم على توزيعة لينيكس

      • يقول الصادق:

        السلام عليكم
        انا قمت بتطبيق Smooth-sec ولم اتمكن من تفعيل IPS عليه ولم أجد مراجع توضح دالك ولاحتي موقع خاص بيه او usermanule
        لو سمحت تفيدني لو عندك خلفية

  9. يقول دلال ختم:

    موضوع رايع جدا
    بس انا عايزه اسشيرك
    انا خريجه ونفسي اشتغل في هذا المجال مشروعي حق التخرج فرايك انو الفكره جميلة جدا للتخرج

  10. يقول mohamed:

    commente télécharger les ips

أكتب تعليق