در خصوص نرم افزار Snort در این سایت قبلا صحبت شده است اما به صورت کلی داریم:
نرم افزار Snort یک نرم افزار تشخیص نفوذ در شبکه می باشد که 3 حالت اصلی دارد:
- Sniffer
- Packet Logger
- NIDS
نسخه Basic این نرم افزار فقط محیط دستوری (Command Line) دارد و برای هر دو نسخه سیستم عامل ویندوز و لینوکس تولید شده است. به منظور راحتی در کار می توانید UI هایی را به این نرم افزار اضافه نمایید (مانند SnortSnarf و IDS Center). قوانین در Snort به 2 دسته کلی تقسیم می شوند:
- Header
- Option
قوانین در Header می تواند شامل موارد زیر باشد:
- Action
- Protocol
- Source/Destination IP
- Source/Destination Port
قوانین در Option نیز می تواند شامل موارد زیر شود:
- Action
- Message
- Common Keywords
در بخش Action ها با مراجعه به وب سایت Snort می توانید لیست تمام Action ها را مشاهده نمایید.
نکته : نحوه بررسی قوانین در سیستم تشخیص نفوذ Snort به این صورت می باشد که زمانیکه همخوانی یافت شد ارزیابی را تا پایان تمام قوانین ادامه می دهد.
اما در اینجا بد نیست بدانیم که در مقابله با IDS ها چه نوع حملاتی را می توان پیاده سازی کرد:
- IDS Flooding
- OS + Services
- Session Splicing
- Obfuscation
- Invalid RST
- Stick
- SNOT
- ADMutate
روش نصب نرم افزار Snort :
- به منظور نصب این نرم افزار ابتدا فایل Winpcap را از سایت Winpcap.org دانلود و نصب نمایید.
- فایل Snort را از سایت Snort.org دانلود و نصب نمایید.
- قوانین از پیش تعریف شده Snort را در مسیر مشخص آن کپی نمایید.
- در محیط CMD با دسترسی Administrator جهت بررسی فعال بودن و عملکرد Snort دستور زیر را اجرا نمایید:
Snort –v
- در صورتیکه چند شبکه بر روی سیستم شما متصل می باشد به منظور بررسی اینکه کدام شبکه توسط این نرم افزار در حال مانیتور می باشد دستور زیر را اجرا نمایید:
Snort –w
نکته : جهت دریافت قوانین کامل نرم افزار Snort می بایست در سایت سازنده این نرم افزار به صورت رایگان ثبت نام کنید.
تکنیکهای دفاعی در شبکه:
در این قسمت می خواهیم از یکی از تکنیک های دفاعی در شبکه صحبت نماییم. این تکنیک با واژه Honeypot شناخته می شود. اگر بخواهیم این واژه را تعریف نماییم، بهترین تعریف می تواند جمله این باشد: Honeypot یک سیستم اطلاعاتی است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.
براساس این تعریف و به بیان ساده تر، یک Honeypot به عنوان یک طعمه درون شبکه می باشد که توسط آن می توانیم جدیدترین روش های به کار گرفته شده توسط هکرها را شناسایی نماییم. این Honeypot ها می تواند در حد یک سرویس دهنده معمولی و حتی در شکل گسترده تر به صورت یک شبکه کامل باشند. هدف اصلی آنها منحرف ساختن مسیر هکرها به منظور کسب اطلاعات از روش های نفوذ آنها می باشد.
نکته : سایت atomicsoftwaresolutions.com ارائه دهنده نرم افزار Honeybot می باشد که به منظور ایجاد یک Honeypot در شبکه به کار می رود. با پیکربندی مناسب این نرم افزار می توانید یک Honeypot در شبکه خود ایجاد کرده و در صورت بروز حمله به این بخش، با روش های مختلف حملات شما را آگاه می سازد.
مزایای استفاده از Honeypot
- Honeypot ها صرفا مجموعه های کوچکی از داده ها را جمع آوری می کنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می نمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها را جمع می کنند، که البته این داده ها بسیار ارزشمندند. این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
- Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش می دهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص می دهند که در حقیقت تهدیدی در کار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می شود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می دهند، چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
- Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.
- Honeypot ها فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند SSH، IPsec، و SSL استفاده می کنند، این مساله بیشتر خود را نشان می دهد. Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با Honeypot به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.
- Honeypot با IPv6 کار می کند. اغلب Honeypot ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
- Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص علیه حملات داخلی.
- Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه OC-12 را نظارت نماید.
معایب استفاده از Honeypot
- Honeypot ها نیز مانند هر تکنولوژی دیگری معایبی دارند. آنها برای این طراحی نشده اند که جای هیچ تکنولوژی خاصی را بگیرند.
- Honeypot ها دارای یک محدوده دید کوچک و محدود هستند. Honeypot ها فقط همان کسانی را می بینند که با آنها به تعامل می پردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعاملات انجام شده با سایر سیستمها را مشاهده نمی کنند. این نکته در عین حال که یک مزیت است، یک عیب نیز به شمار می رود. یک Honeypot به شما نمی گوید که سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینکه سیستمی که مورد سوء استفاده قرار گرفته با خود Honeypot تعاملی برقرار نماید. برای برطرف کردن این عیب راههای زیادی وجود دارد که از طریق آنها می توانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان می توان به Honeytoken ها و تغییر مسیر اشاره کرد.
- ریسک هر زمان که شما یک تکنولوژی جدید را به کار می گیرید، آن تکنولوژی ریسکهای مخصوص به خود را نیز به همراه دارد، مثلا این ریسک که یک مهاجم بر این سیستم غلبه کرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ که هیچ پشته IP به آنها تخصیص داده نشده است نیز می توانند در معرض خطر قرار داشته باشند. Honeypot ها نیز در این مورد استثناء نیستند. Honeypot های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای کاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند.
