شبکه IDS - سیستم آشکارکننده متجاوز - (Intrusion Detection System) شرکت Cisco Systems مشکل Williamson را حل خواهد کرد.
زمانیکه شبکه با ویروسی مواجه می شود و یا مورد حمله یک هکر قرار می گیرد، IDS مدیریت مرکزی را از آن مطلع می سازد. اگر عملیات خراب سازی خیلی جدی باشد، سیستم بصورت اتوماتیک کاربران IT را چک کرده و دسترسی کسی را که احتمال می دهد از جانب آن، این مشکلات پدپد آمده باشد قطع می نماید و حتی توانایی شناسایی اتاقی را که هکر در خوابگاه از آنجا وارد شبکه شده است را نیز دارد و سپس سیستم امنیتی دانشکده را از این خرابکاری مطلع می سازد. ● IDS چیست؟ بسیاری از سازمانها، شبیه دانشگاه ایالتی آرکانزاس به دنبال چنین سیستمهایی می گردند. چرا که سیاستهای شناسایی و تعیین هویت کاربران و نرم افزارهای ضدویروس برای امنیت شبکه کافی نمی باشند. فعالیت شرکتهایی چون Cisco Systems، EnteraSys Networks، Internet Security Systems در این زمینه نشان از رشد بازار تکنولوژی آشکارسازی متجاوز دارد. شرکتهای جدیدی که در این زمینه شروع به فعالیت کرده اند عبارتند از IntruVert، One Secure و Resource Technologies (Resource به تازگی توسط شرکت Symantec خریداری شده است) و حتی I DSهایی از طرف منابع آزاد چون Snort نیز معرفی شده اند. در ساده ترین حالت سیستم آشکارکننده متجاوز، وضعیت امنیتی کار کاربران را شناسایی نموده و آن را ثبت می کند. مثلا اگر کسی در حال اسکن کردن پورت های سرور و یا تلاش برای lo g i n شدن به شبکه با استفاده از اسم رمزی تصادفی باشد، را شناسایی می کند. البته آن جایگزین کلیه موارد امنیتی شبکه نمی باشد. به گفته S tuart McClure مدیر آموزشی و مشاوره امنیتی Foundstone در کالیفرنیا و Misson Viejo، IDS مشابه یک دوربین ویدیویی که در بانک و یا یک فروشگاه بکار گرفته می شود، می باشد. چنین دوربین ویدیویی جایگزین سیستم امنیتی و یا قفل درها نمی باشد، اما اگر کسی کار خلافی انجام دهد و به نحوی از سیستم امنیتی بکار گرفته شده عبور نماید، دوربین از آن یک رکورد تهیه کرده که در شناسایی مجرم و یا رفع اشکال سیستم امنیتی بکار رفته می تواند موثر باشد. سیستمهای آشکار کننده متجاوز به چند روش کار می کنند. IDS مبتنی بر شبکه شامل سنسورهایی می باشد که پکتها (Packet) را ضمن عبور از شبکه نظارت می کند. بطور نمونه یک IDS مبتنی بر شبکه سنسورهایی را در نقاط ورود به شبکه (برای مثال در کنار فایروالها) یا در مرز بین زیر شبکه ها با سطوح امنیتی مختلف (مثلا بین شبکه LAN و مرکز دیتا) قرار می دهد. IDS مبتنی بر میزبان (Host-based) با شفافیت و وضوح فعالیت بر روی سرورهای خاص را بررسی می کند. میزبانهای main frame به دنبال فایلهای بحرانی می گردند و حتی سیستم عاملهای خاصی را بررسی می کنند (مثلا به دنبال پیامهای خطای مشکوک و یا پردازشهای غیرمتعارف سرور می گردند.) IDS مبتنی بر میزبان و شبکه (Network & host Based) مشابه اسکنر ویروس به اسکن کردن امضاها پرداخته و به دنبال نشانه هایی که حاکی از انواع حمله ها می باشند می گردد. ضعف چنین سیستم هایی آن است که امضاها باید مرتبا و با توجه به پیشرفت تکنیک هایی که هکرها بکار می برند، به هنگام شوند. برای پیدا کردن این خرابکاری ها، بعضی از سیستم های آشکار کننده متجاوز به دنبال هرگونه فعالیت شبکه ای خارج از حیطه تعریف شده فعالیتهای مجاز می گردند. این نوع عملکرد به عنوان آشکارسازی چیزهای غیرمعمول شناخته شده ملهای خاصی را بررسی می شبکه (برای مثال در کنار فایروالها) یا در مرز بین زیر شبکه از آن یک رکورد تهیه کرده که داست. مشکل تمام سیستمهای آشکار کننده متجاوز آن است که Plug & Play نبوده و احتمالا در آینده نیز نخواهند بود. برخلاف فایروالها، اغلب سیستمهای آشکار کننده متجاوز، برای نصب و راه اندازی به افراد متخصص و وارد به کار نیاز دارند. مسیله مهمتر سیستم آلارم آنها جهت کنترل و مدیریت شبکه می باشد. هر IDS زمانیکه به فعالیت مشکوکی برخورد می کند، هشداری را تولید می نماید. از آنجاییکه شبکه ها یکسان نمی باشند. کامپیوترها در بیان این شبکه ها نمی توانند به خوبی عمل نمایند. مثلا کامپیوتر نمی تواند بین یک فایل ویروسی با عنوان “I Love You” و یک پیام email با همین موضوع تفاوت قایل شود. به عنوان نتیجه می توان گفت که اغلب سیستمهای آشکار کننده متجاوز مرتبا پیام هشدار می فرستند و در نتیجه پیامهای خطای زیادی، شاید بیش از هزاران پیام خطا در روز و در زمینه های مختلف تولید می شوند. Lioyd Hession سرپرست بخش امنیتی Radianz، در شهر نیویورک که فراهم کننده سرویسهای شبکه IP برای صنایع مالی است می گوید: "هر فروشنده ای برای نمایش کار محصولات خود روشی دارد". به گفته Hession: "مدیران موفق IT با توده انبوهی از اضافه بار اطلاعاتی مواجه شده اند. هر کدام از این هشدارها با ارزش می باشند و مسیول امنیتی شبکه مجبور به ارزیابی آن به منظور تعیین اینکه آیا استفاده از آن قانونی و یا یک حمله غیرقانونی می باشد، است. به علاوه مسیول رسیدگی و کنترل IDS باید نحوه تشخیص حمله های واقعی از هشدارهای خطا را بیاموزند و آنها باید نحوه تنظیم IDS به منظور کاهش هشدارهای خطا را نیز یاد بگیرند. Williamson از دانشگاه ایالتی آرکانزاس می گوید: "کارمندانش در روز 30 الی 40 پیام خطا را که توسط IDS شبکه تولید می شد، دریافت می کردند. بعد از اینکه سیستم برای چند ماهی استفاده شد تعداد پیامهای خطا به 2 الی 3 اشتباه در روز رسید. Michael Rusmussen مدیر پژوهشی امنیت اطلاعات در Mass Based Giga کمبریج می گوید: "شاید شش ماه طول بکشد تا تمام پیامهای خطایی را که IDS تولید می نماید، برطرف کنید. سازمان آموزش و پرورش استان خراسان |
