آبجی
18th February 2010, 12:35 PM
اگر کامپیوتر شما به اینترنتوصل است همواره در معرض انواع تهدیدات هستید. به عنوان رایجترین مورد میتوان بهامکان آلودگی دستگاه به انواع ویروسها و کرمهایی که از طریق اینترنت توزیعمیشوند اشاره نمود. نرمافزارهای جاسوس نمونه دیگری از این دست برنامهها هستند کهبر روی دستگاه قرار گرفته، فعالیتهای کاربر و همینطور اطلاعات شخصی مانندگذرواژهها، اطلاعات مربوط به کارتهای اعتباری و ... را ثبت کرده و بهمنتشرکنندگان خود گزارش میدهند. نفوذ در سیستمهای کاربران و انجام اعمال نامطلوبآنان از جمله موارد دیگری است که کامپیوترهای متصل به اینترنت را تهدید مینماید. نفوذ به روشهای مختلفی انجام میشود و در بسیاری از مواقع کاربر متوجه این مسئلهنمیشود. حتی بعضی از نفوذگران ردپای خود را هم پاک میکنند به نحوی که حمله بهسیستم قابل آشکارسازی نیست.
با این وجود نفوذ کنندگان بهسیستم به صورت معمول ردپاهایی از خود باقی میگذارند. با وجودی که تشخیص بعضی ازردپاها دشوار است ولی با استفاده از گامهایی که در ادامه بیان میشوند میتوانبسیاری از نفوذها را تشخیص داد.به عنوان اولین گامباید سیستمعامل و نرمافزارهای موجود در محیطی آزمایشی (مشابه شرایط عملیاتی) توصیف[1] شوند. توصیف به این معناست که عملکردبرنامهها در حال اجرا بررسی شده و موارد مختلفی مانند سرعت، زمان پاسخ، نحوه عمل وغیره به صورت دقیق شناسایی شوند. بنابراین باید برنامهها را اجرا نموده و آنها رادر شرایطی مشابه حالت عملیاتی قرار داد، سپس رفتار آنها را به دقت بررسینمود.
در گام بعدی، باید ازنرمافزارهای توصیف استفاده نمود. یکی از رایجترین ابزارها برای این کار نرمافزار TripWire محصول tripwiresecurity.com است. این نرمافزارنسخههایی برای سیستمعاملهای مختلف دارد و متن برنامه بعضی نسخههای آن بهکاربران عرضه میشود. غیر از این نرمافزار ابزارهای دیگری نیز وجود دارند که همینعملکرد را نشان میدهند. این دسته نرمافزارها در رده ابزارهای تشخیص نفوذ host-based قرار میگیرند. باجستجو بر روی اینترنت میتوان برنامههای دیگری نیز با عملکرد مشابهیافت.در نهایت باید همه فایلها، دایرکتوریها،تجهیزات و پیکربندی سیستم شناسایی شده و تغییرات آنها در زمان مورد بررسی قرارگیرند. در محیط آزمایشی کنترل شده، شرایط طبیعی شناسایی میشود. به خاطر داشتهباشید هرگاه سیستم وارد فاز عملیاتی شود، شرایط طبیعی بهتر شناسایی میشوند، زیراهرچقدر که سیستمهای تست خوب و قوی طراحی شوند تنها نشان دهنده تخمینی از محیطعملیاتی هستند. باید مجموعه تغییرات جدید را درک کرده و آنها را در توصیف سیستموارد نمود.فایلها، دایرکتوریها، تجهیزات و پیکربندیتنها بخشی از توصیف کامل سیستم کامپیوتری هستند. سایر مواردی که باید بررسی شوند بهشرح زیر میباشند:
برنامههای در حال اجرا
منابعی که این برنامهها مورد استفاده قرار میدهند و زمان اجرای آنها. به عنوان مثال اگر برنامه تهیه کننده نسخههای پشتیبان هر روزه در زمان مقرری اجرامیشود، آیا این فعالیت طبیعی قلمداد میشود؟ در مورد برنامه واژهپردازی که مدتزمان زیادی از وقت CPU رااشغال نموده است چطور؟
ترافیک شبکه
آیاایجاد ناگهانی تعداد زیادی اتصال HTTP توسط سرور email طبیعی است؟ افزایش ناگهانی بار سرور وب چگونه ارزیابی میشود؟
کارایی
آیا سرعتوب سرور کاهش یافته است؟ سرور تراکنش، توان مدیریت چه تعداد تراکنش رادارد؟
سیستم عامل
نفوذگذان در سیستم میتوانند عملکرد سیستم عامل را به گونهای عوض کنندکه برنامههای کاربردی بدون اینکه تغییر کنند رفتاری متفاوت نشان دهند. تصور کنیدیک فراخوانی سیستم عامل که باید منجر به اجرای یک برنامه شود، برنامه دیگری را اجرانماید.
متاسفانه ابزارهایی که برایبررسی این پارامترها وجود دارند به اندازه نرمافزارهایی که فایلها، دایرکتوریها،تجهیزات و پیکربندی را بررسی میکنند، رشد نداشتهاند. با این وجود برای مدیریتهوشیارانه سیستمها باید این پارامترها هم به صورت دقیق در توصیف سیستم قیدشوند.
تنها در صورت انجام دقیق موارد فوق و نظارت برتغییر مشخصات سیستم میتوان به امن بودن کامپیوتر خود امیدوار بود .
با این وجود نفوذ کنندگان بهسیستم به صورت معمول ردپاهایی از خود باقی میگذارند. با وجودی که تشخیص بعضی ازردپاها دشوار است ولی با استفاده از گامهایی که در ادامه بیان میشوند میتوانبسیاری از نفوذها را تشخیص داد.به عنوان اولین گامباید سیستمعامل و نرمافزارهای موجود در محیطی آزمایشی (مشابه شرایط عملیاتی) توصیف[1] شوند. توصیف به این معناست که عملکردبرنامهها در حال اجرا بررسی شده و موارد مختلفی مانند سرعت، زمان پاسخ، نحوه عمل وغیره به صورت دقیق شناسایی شوند. بنابراین باید برنامهها را اجرا نموده و آنها رادر شرایطی مشابه حالت عملیاتی قرار داد، سپس رفتار آنها را به دقت بررسینمود.
در گام بعدی، باید ازنرمافزارهای توصیف استفاده نمود. یکی از رایجترین ابزارها برای این کار نرمافزار TripWire محصول tripwiresecurity.com است. این نرمافزارنسخههایی برای سیستمعاملهای مختلف دارد و متن برنامه بعضی نسخههای آن بهکاربران عرضه میشود. غیر از این نرمافزار ابزارهای دیگری نیز وجود دارند که همینعملکرد را نشان میدهند. این دسته نرمافزارها در رده ابزارهای تشخیص نفوذ host-based قرار میگیرند. باجستجو بر روی اینترنت میتوان برنامههای دیگری نیز با عملکرد مشابهیافت.در نهایت باید همه فایلها، دایرکتوریها،تجهیزات و پیکربندی سیستم شناسایی شده و تغییرات آنها در زمان مورد بررسی قرارگیرند. در محیط آزمایشی کنترل شده، شرایط طبیعی شناسایی میشود. به خاطر داشتهباشید هرگاه سیستم وارد فاز عملیاتی شود، شرایط طبیعی بهتر شناسایی میشوند، زیراهرچقدر که سیستمهای تست خوب و قوی طراحی شوند تنها نشان دهنده تخمینی از محیطعملیاتی هستند. باید مجموعه تغییرات جدید را درک کرده و آنها را در توصیف سیستموارد نمود.فایلها، دایرکتوریها، تجهیزات و پیکربندیتنها بخشی از توصیف کامل سیستم کامپیوتری هستند. سایر مواردی که باید بررسی شوند بهشرح زیر میباشند:
برنامههای در حال اجرا
منابعی که این برنامهها مورد استفاده قرار میدهند و زمان اجرای آنها. به عنوان مثال اگر برنامه تهیه کننده نسخههای پشتیبان هر روزه در زمان مقرری اجرامیشود، آیا این فعالیت طبیعی قلمداد میشود؟ در مورد برنامه واژهپردازی که مدتزمان زیادی از وقت CPU رااشغال نموده است چطور؟
ترافیک شبکه
آیاایجاد ناگهانی تعداد زیادی اتصال HTTP توسط سرور email طبیعی است؟ افزایش ناگهانی بار سرور وب چگونه ارزیابی میشود؟
کارایی
آیا سرعتوب سرور کاهش یافته است؟ سرور تراکنش، توان مدیریت چه تعداد تراکنش رادارد؟
سیستم عامل
نفوذگذان در سیستم میتوانند عملکرد سیستم عامل را به گونهای عوض کنندکه برنامههای کاربردی بدون اینکه تغییر کنند رفتاری متفاوت نشان دهند. تصور کنیدیک فراخوانی سیستم عامل که باید منجر به اجرای یک برنامه شود، برنامه دیگری را اجرانماید.
متاسفانه ابزارهایی که برایبررسی این پارامترها وجود دارند به اندازه نرمافزارهایی که فایلها، دایرکتوریها،تجهیزات و پیکربندی را بررسی میکنند، رشد نداشتهاند. با این وجود برای مدیریتهوشیارانه سیستمها باید این پارامترها هم به صورت دقیق در توصیف سیستم قیدشوند.
تنها در صورت انجام دقیق موارد فوق و نظارت برتغییر مشخصات سیستم میتوان به امن بودن کامپیوتر خود امیدوار بود .