أنظمة كشف التسلل. مبادئ التشغيل

لسيمبيان 30.04.2021
لسيمبيان
في الأساس، هذه البرامج عبارة عن محللات معدلة ترى جميع تدفقات البيانات على الشبكة، وتحاول تحديد حركة مرور الشبكة التي قد تكون ضارة وتحذرك عند ظهورها. وتتمثل طريقة عملها الرئيسية في فحص حركة المرور ومقارنتها بقاعدة بيانات لأنماط معروفة من النشاط الضار، تسمى التوقيعات. يشبه استخدام التوقيعات إلى حد كبير كيفية عمل برامج مكافحة الفيروسات. تتمتع معظم أنواع الهجمات على مستوى TCP/IP بميزات مميزة. يمكن لنظام كشف التسلل اكتشاف الهجمات بناءً على عناوين IP وأرقام المنافذ محتوى المعلوماتوعدد تعسفي من المعايير. هناك طريقة أخرى للكشف عن عمليات التطفل على مستوى النظام، والتي تتمثل في مراقبة سلامة الملفات الرئيسية. بالإضافة إلى ذلك، يتم تطوير تقنيات جديدة تجمع بين مفاهيم كشف التسلل وجدار الحماية أو تتخذ خطوات إضافية تتجاوز الاكتشاف البسيط (انظر الشريط الجانبي "الجيل القادم من أنظمة كشف التسلل"). ومع ذلك، تركز هذه المحاضرة على الطريقتين الأكثر شيوعًا للكشف عن عمليات التطفل على الشبكات والأنظمة: كشف اختراق الشبكات و مراقبة النزاهةملفات.

يمكن لنظام كشف التطفل على الشبكة أن يحمي من الهجمات التي تمر عبرها جدار الحمايةإلى الشبكة المحلية الداخلية. يمكن أن يتم تكوين جدران الحماية بشكل خاطئ، مما يسمح بدخول حركة المرور غير المرغوب فيها إلى الشبكة. حتى عند العمل بشكل صحيح، تسمح جدران الحماية عادةً ببعض حركة مرور التطبيقات داخلها، مما قد يكون خطيرًا. غالبًا ما تتم إعادة توجيه المنافذ من جدار الحماية إلى الخوادم الداخلية مع حركة المرور المخصصة للبريد الإلكتروني أو أي خادم عام آخر. يمكن لنظام كشف التطفل على الشبكة مراقبة حركة المرور هذه ووضع علامة على الحزم التي يحتمل أن تكون خطرة. يمكن لنظام كشف التطفل على الشبكة الذي تم تكوينه بشكل صحيح التحقق من قواعد جدار الحماية وتوفير حماية إضافية خوادم التطبيقات.

تعد أنظمة كشف التطفل على الشبكات مفيدة في الحماية من الهجمات الخارجية، ولكن إحدى مزاياها الرئيسية هي القدرة على اكتشاف الهجمات الداخلية و نشاط مشبوهالمستخدمين. جدار الحمايةسوف يحمي من العديد من الهجمات الخارجية، ولكن عندما يكون المهاجم على الشبكة المحلية، جدار الحمايةمن غير المرجح أن تكون قادرة على المساعدة. فهو يرى فقط حركة المرور التي تمر عبره وعادةً ما يكون غير قادر على رؤية النشاط على الشبكة المحلية. النظر في نظام كشف التسلل إلى الشبكة و جدار الحمايةأجهزة أمنية تكميلية مثل قفل الباب الآمن ونظام إنذار أمان الشبكة. أحدهما يحمي حدودك الخارجية والآخر يحمي الجزء الداخلي (الشكل 7.1).


أرز. 7.1.

هناك سبب وجيه لمراقبة حركة مرور الشبكة الداخلية عن كثب. تظهر إحصائيات مكتب التحقيقات الفيدرالي أن أكثر من 70 بالمائة من جرائم الكمبيوتر تنشأ من مصدر داخلي. على الرغم من أننا نميل إلى الاعتقاد بأن زملائنا لن يفعلوا أي شيء يؤذينا، إلا أن هذا ليس هو الحال في بعض الأحيان. المهاجمين من الداخل- ليس دائما المتسللين الليليين. قد يتم الإساءة إلى مسؤولي النظام أو الموظفين المهملين. إن مجرد تنزيل ملف أو فتح ملف مرفق برسالة بريد إلكتروني يمكن أن يدخل حصان طروادة إلى نظامك، مما يترك ثغرة في جدار الحماية الخاص بك لجميع أنواع الأذى. بمساعدة نظام كشف التطفل على الشبكة، يمكنك إيقاف مثل هذا النشاط، بالإضافة إلى مؤامرات الكمبيوتر الأخرى المحتملة. يمكن لنظام كشف التسلل إلى الشبكة الذي تم تكوينه جيدًا أن يعمل بمثابة "نظام إنذار" إلكتروني لشبكتك.

جيل جديد من أنظمة كشف التسلل

أنظمة كشف التسلل على أساس كشف الأنشطة الشاذة

بدلاً من استخدام التوقيعات الثابتة التي يمكنها فقط اكتشاف الأنشطة الضارة بشكل واضح، تقوم أنظمة الجيل التالي بمراقبة المستويات العادية لأنواع مختلفة من الأنشطة على الشبكة. إذا كان هناك زيادة مفاجئة في حركة مرور FTP، فسيقوم النظام بتحذيرك بشأن ذلك. المشكلة في هذه الأنواع من الأنظمة هي أنها عرضة جدًا للإيجابيات الكاذبة - أي إطلاق الإنذارات عند حدوث نشاط عادي وصالح على الشبكة. لذلك، في مثال حركة مرور FTP، فإن تنزيل ملف كبير بشكل خاص من شأنه أن يثير إنذارًا.

وينبغي أيضًا أن يؤخذ في الاعتبار أن نظام كشف التسلل القائم على اكتشاف النشاط الشاذ يستغرق وقتًا لبناء نموذج دقيق للشبكة. في البداية، يُصدر النظام عددًا كبيرًا من الإنذارات مما يجعلها قليلة الفائدة. بالإضافة إلى ذلك، يمكن خداع أنظمة كشف التسلل هذه من خلال معرفة الشبكة جيدًا. إذا كان المتسللون متخفيين بدرجة كافية ويستخدمون البروتوكولات المستخدمة بشكل نشط على الشبكة، فلن يجذبوا انتباه هذه الأنواع من الأنظمة. ومن ناحية أخرى، فإن الميزة المهمة لهذه الأنظمة هي عدم الحاجة إلى تحديث مجموعة التوقيعات باستمرار. وبمجرد أن تصل هذه التكنولوجيا إلى مرحلة النضج والذكاء الكافي، فمن المرجح أن تصبح طريقة شائعة لكشف التسلل.

أنظمة منع التسلل

تم الإعلان عن نوع جديد من أنظمة كشف التطفل على الشبكة، يسمى أنظمة منع التطفل، كحل لجميع مشكلات أمان الشركات. الفكرة الأساسية هي اتخاذ إجراءات الاستجابة عند إنشاء الإنذارات، مثل كتابة قواعد جدار الحماية المخصصة بسرعة أجهزة التوجيهأو حظر نشاط عناوين IP المشبوهة أو الطلبات أو حتى الهجمات المضادة للأنظمة المخالفة.

وعلى الرغم من أن هذه التكنولوجيا الجديدة تتطور وتتحسن باستمرار، إلا أنها لا تزال بعيدة عن التحليل واتخاذ القرار على المستوى البشري. تظل الحقيقة أن أي نظام يعتمد بنسبة 100% على الآلة والبرمجيات يمكن دائمًا أن يتعرض للغش من قبل شخص متخصص (على الرغم من أن بعض أساتذة الشطرنج الفاشلين قد يختلفون مع ذلك). مثال على نظام منع التطفل مفتوح المصدر هو نظام Jed Hale’s Inline Snort، وهو عبارة عن وحدة مجانية لنظام كشف التطفل على شبكة Snort تمت مناقشته في هذه المحاضرة.

تعد أنظمة IDS/IPS أدوات فريدة مصممة لحماية الشبكات من الوصول غير المصرح به. إنها أجهزة أو أدوات كمبيوتر يمكنها اكتشاف عمليات التطفل بسرعة ومنعها بشكل فعال. تشمل الإجراءات المتخذة لتحقيق أهداف IDS/IPS الرئيسية إبلاغ المتخصصين في مجال الأمن بمحاولات القرصنة والبرامج الضارة، وإنهاء الاتصالات مع المهاجمين، وإعادة تكوين جدار الحماية لمنع الوصول إلى بيانات الشركة.

ما هي أنظمة كشف التسلل إلى الشبكة المستخدمة؟

تعد الهجمات السيبرانية إحدى المشكلات الرئيسية التي تواجهها الكيانات التي تمتلك موارد المعلومات. حتى برامج مكافحة الفيروسات وجدران الحماية المعروفة هي أدوات فعالة فقط في حماية نقاط الوصول الواضحة إلى الشبكات. ومع ذلك، يستطيع المهاجمون العثور على مسارات الالتفافية والخدمات المعرضة للخطر حتى في أنظمة الأمان الأكثر تقدمًا. نظرًا لمثل هذا الخطر، ليس من المستغرب أن تصبح حلول UTM الأجنبية والروسية ذات شعبية متزايدة بين المنظمات التي ترغب في القضاء على إمكانية التطفل وانتشار البرامج الضارة (الديدان وأحصنة طروادة وفيروسات الكمبيوتر). تقرر العديد من الشركات شراء جدار حماية معتمد أو أي أداة أخرى لتوفير حماية شاملة للمعلومات.

مميزات أنظمة كشف التسلل

تتحد جميع أنظمة كشف التسلل ومنعه الموجودة اليوم من خلال العديد من الخصائص والوظائف والمهام المشتركة التي يستخدمها متخصصو أمن المعلومات لحلها. في الواقع، تقوم هذه الأدوات بإجراء تحليل مستمر لتشغيل بعض الموارد وتحديد أي علامات لأحداث غير نمطية.

يمكن أن يخضع التنظيم الأمني ​​لشبكات الشركات إلى العديد من التقنيات، والتي تختلف في أنواع الحوادث المكتشفة والطرق المستخدمة للكشف عن مثل هذه الأحداث. بالإضافة إلى وظائف المراقبة والتحليل المستمر لما يحدث، تؤدي جميع أنظمة IDS الوظائف التالية:

  • جمع وتسجيل المعلومات؛
  • إشعارات لمسؤولي الشبكة حول التغييرات التي حدثت (تنبيه)؛
  • إنشاء تقارير لتلخيص السجلات.

تقنية IPS، بدورها، تكمل تلك الموصوفة أعلاه، لأنها قادرة ليس فقط على تحديد التهديد ومصدره، ولكن أيضًا حظرهما. يتحدث هذا أيضًا عن الوظيفة الموسعة لمثل هذا الحل. إنه قادر على القيام بالإجراءات التالية:

  • إنهاء الجلسات الضارة ومنع الوصول إلى الموارد الحيوية؛
  • تغيير تكوين البيئة "المحمية"؛
  • تنفيذ إجراءات على أدوات الهجوم (على سبيل المثال، حذف الملفات المصابة).

ومن الجدير بالذكر أن جدار الحماية UTM وأي أنظمة حديثة لكشف التسلل ومنعه هي مزيج مثالي من تقنيات نظام IDS وIPS.

كيف يتم اكتشاف الهجمات الضارة

تستخدم تقنيات IPS أساليب تعتمد على التوقيعات - وهي الأنماط التي ترتبط بها الحوادث المقابلة. يمكن أن تكون التوقيعات عبارة عن اتصالات ورسائل بريد إلكتروني واردة وسجلات نظام التشغيل وما إلى ذلك. تعتبر طريقة الكشف هذه فعالة للغاية عند التعامل مع التهديدات المعروفة، ولكنها ضعيفة جدًا عند التعامل مع الهجمات التي ليس لها توقيع.

هناك طريقة أخرى لكشف التلاعب، تسمى HIPS، تتضمن مقارنة إحصائية لمستوى نشاط الأحداث الجارية مع مستوى النشاط الطبيعي الذي يتم الحصول عليه خلال ما يسمى "فترة التدريب". يمكن لأداة كشف التسلل أن تكمل تصفية التوقيع وتمنع هجمات المتسللين الذين تمكنوا من تجاوزها.

بتلخيص وظائف ومبادئ تشغيل أنظمة منع التطفل IDS وIPS، يمكننا القول أنها تحل مشكلتين رئيسيتين:

  • تحليل مكونات شبكة المعلومات؛
  • الاستجابة الكافية لنتائج هذا التحليل.

كاشفات الهجوم Suricata

أحد حلول منع التطفل في IPS هي أجهزة كشف الهجمات، والتي تم تصميمها لتحديد مجموعة متنوعة من التهديدات الضارة في الوقت المناسب. يتم تنفيذها في خادم التحكم بالإنترنت في شكل نظام Suricata - وهو أداة متقدمة ومتعددة المهام ومثمرة للغاية مصممة للحماية الوقائية للشبكات، بالإضافة إلى جمع وتخزين المعلومات حول أي إشارات واردة. يعتمد تشغيل كاشف الهجوم على تحليل التوقيع والاستدلال، وترجع ملاءمته إلى توفر الوصول المفتوح إلى كود المصدر. يتيح لك هذا الأسلوب تكوين معلمات تشغيل النظام لحل المشكلات الفردية.

تشتمل معلمات Suricata القابلة للتحرير على القواعد التي سيخضع لها تحليل حركة المرور، والمرشحات التي تحد من عرض التحذيرات للمسؤولين، ونطاقات العناوين للخوادم المختلفة، والمنافذ والشبكات النشطة.

وبالتالي، فإن Suricata كحل IPS هو أداة مرنة إلى حد ما، ويخضع عملها للتغييرات اعتمادًا على طبيعة الهجوم، مما يجعلها فعالة قدر الإمكان.

يقوم ICS بتسجيل وتخزين المعلومات حول الأنشطة المشبوهة، وحظر شبكات الروبوت، وهجمات DOS، بالإضافة إلى TOR، ومخفيات الهوية، وعملاء P2P والتورنت.

عند الدخول إلى وحدة، يتم عرض حالتها والزر "تعطيل" (أو "تمكين" إذا كانت الوحدة معطلة) وأحدث الرسائل في السجل.

إعدادات

في علامة تبويب الإعدادات، يمكنك تعديل معلمات كاشف الهجوم. هنا يمكنك تحديد الشبكات الداخلية والخارجية، ونطاقات العناوين للخوادم المختلفة، بالإضافة إلى المنافذ المستخدمة. يتم تعيين قيم افتراضية لجميع هذه المتغيرات، والتي يمكن من خلالها بدء تشغيل كاشف الهجوم بشكل صحيح. افتراضيًا، يتم تحليل حركة المرور على الواجهات الخارجية.

قواعد

يمكن توصيل كاشف الهجوم بالقواعد التي سيتم من خلالها تحليل حركة المرور. في علامة التبويب هذه، يمكنك عرض وجود ملف معين ومحتوياته مع القواعد، بالإضافة إلى تمكين أو تعطيل الإجراء الخاص به (باستخدام مربعات الاختيار الموجودة على اليمين). يوجد في الزاوية اليمنى العليا بحث حسب الاسم أو عدد القواعد في الملف.

المرشحات

من أجل تكوين القيود على إخراج التحذيرات بواسطة كاشف الهجوم، يجب عليك الانتقال إلى علامة التبويب "المرشحات". هنا يمكنك إضافة القيود التالية:

  • التصفية حسب عدد الرسائل،
  • تصفية الرسائل حسب تكرار حدوثها،
  • مرشح نوع مختلط,
  • حظر الرسائل من نوع معين؛

عند الإعداد، يجب أن تتذكر أن حقل "معرف القاعدة" في المرشحات المختلفة يجب أن يكون مختلفًا.

نوع المنظمة

اختر نوع المنظمة مؤسسة تعليمية مؤسسة ميزانية منظمة تجارية

لا تنطبق الأسعار على المؤسسات الخاصة غير الحكومية ومؤسسات التعليم المهني بعد التخرج

إصدارات ICS

لا يتطلب ICS معيار ICS FSTEC

لحساب تكلفة FSTEC، يرجى الاتصال بقسم المبيعات

نوع التوصيل

ICS ICS + SkyDNS ICS + تصفية الويب من Kaspersky

نوع الرخصة

ترخيص جديد تحديث الترخيص

ملحق ترخيص التحديث المميز

مبادئ استخدام IDS

كشف التسلل والوقاية منه(IDP) هو نظام فرعي من NetDefendOS مصمم للحماية من محاولات التطفل. يعرض النظام حركة مرور الشبكة التي تمر عبرها جدار الحماية، ويبحث عن أنماط مطابقة حركة المرور. يشير اكتشاف مثل هذه الحركة إلى محاولة التسلل. بمجرد اكتشاف مثل هذه الحركة، يتخذ IDP خطوات لتحييد كل من التطفل ومصدره.

لاكتشاف ومنع التطفل، يجب عليك تقديم المعلومات التالية:

  1. ما هي حركة المرور التي ينبغي تحليلها.
  2. ما الذي تبحث عنه في حركة المرور التي تم تحليلها.
  3. ما الإجراء الذي يجب اتخاذه عند اكتشاف التسلل؟

يشار إلى هذه المعلومات في قواعد آي دي بي.

الصيانة وIDP المتقدمة

يوفر D-Link نوعين من IDP:

  1. صيانة IDP

    تعد صيانة IDP جوهر نظام IDP وهي مضمنة بشكل قياسي في NetDefendDFL-210 و800 و1600 و2500.

    يعد IDP الصيانة هو IDP مبسط يوفر الحماية الأساسية ضد الهجمات، ويمكن توسيعه إلى IDP متقدم أكثر شمولاً.

    IDP ليس قياسيًا في DFL-260 و860 و1660 و2560 و2560G؛ تتطلب نماذج جدار الحماية هذه اشتراك IDP متقدم.

  2. آي دي بي المتقدم

    Advanced IDP هو نظام IDP محسّن مع نطاق أوسع من قواعد بيانات التوقيع ومتطلبات الأجهزة الأعلى. يعد الاشتراك لمدة 12 شهرًا قياسيًا ويوفر تحديثات تلقائية لقاعدة بيانات توقيع IDP.

    يتوفر خيار IDP هذا في جميع طرز D-Link NetDefend، بما في ذلك تلك التي لا تأتي بشكل قياسي مع Maintenance IDP.

    يمكن اعتبار IDP الصيانة مجموعة فرعية محدودة من IDP المتقدم. دعونا نلقي نظرة على أداء IDP المتقدم.

    يتم شراء IDP المتقدم كمكون إضافي لترخيص NetDefendOS الأساسي. الاشتراك يعني أنه يمكن تنزيل قاعدة بيانات توقيعات IDP على NetDefendOS، وأنه يتم تحديث قاعدة البيانات بانتظام عند ظهور تهديدات جديدة.

    يتم تنزيل تحديثات قاعدة بيانات التوقيع تلقائيًا بواسطة NetDefendOS على فترات زمنية محددة. ويتم ذلك باستخدام اتصال HTTP بخادم شبكة D-Link، الذي يوفر آخر تحديثات قاعدة بيانات التوقيع. في حالة وجود إصدار جديد من قاعدة بيانات التوقيع على الخادم، فسيتم تحميله ليحل محل الإصدار القديم.

    يتم استخدام مصطلحات كشف التطفل ومنعه (IDP)، ونظام منع التطفل (IDP)، ونظام كشف التطفل (IDS) بالتبادل. كلهم ينتمون إلى وظيفة IDP.

تسلسل معالجة الحزمة

يكون تسلسل معالجة الحزمة عند استخدام IDP كما يلي:

  1. تصل الحزمة إلى جدار الحماية. إذا كانت الحزمة جزءًا من اتصال جديد، فإن الخطوة الأولى هي البحث عن قاعدة عامل تصفية IP المقابلة. إذا كانت الحزمة جزءًا من اتصال موجود، فإنها تنتقل فورًا إلى وحدة IDP. إذا لم تكن الحزمة جزءًا من اتصال موجود أو تم تجاهلها بواسطة قاعدة IP، فلن تحدث أي معالجة إضافية لتلك الحزمة.

    2. تتم مقارنة عناوين مصدر ووجهة الحزمة بمجموعة قواعد IDP. إذا تم العثور على قاعدة مناسبة، يتم إرسال الحزمة إلى نظام IDP للمعالجة، والذي يبحث عن تطابق بين محتويات الحزمة وأحد القوالب. إذا لم يتم العثور على أي تطابق، فسيتم تمرير الحزمة بواسطة نظام IDP. يمكن تحديد المزيد من الإجراءات في قواعد تصفية IP، مثل NAT والتسجيل.

بحث مطابقة الأنماط

التوقيعات

لتحديد الهجمات بشكل صحيح، يستخدم نظام IDP أنماطًا مرتبطة بأنواع مختلفة من الهجمات. يتم تخزين هذه الأنماط المحددة مسبقًا، والتي تسمى أيضًا التوقيعات، في قاعدة بيانات محلية ويستخدمها نظام IDP لتحليل حركة المرور. كل توقيع له رقم فريد.

لنفكر في مثال لهجوم بسيط يتكون من الوصول إلى خادم FTP. قد يحاول مستخدم غير مصرح له الحصول على ملف كلمة المرور passwd من خادم FTP باستخدام الأمر FTP RETR passwd. سيكشف التوقيع الذي يحتوي على سلاسل نصية ASCII RETR وpasswd عن تطابق يشير إلى هجوم محتمل. في هذا المثال، يتم تحديد النمط كنص ASCII، ولكن يتم البحث عنه نمط مطابقةيعمل بالمثل للبيانات الثنائية.

التعرف على التهديدات غير المعروفة

غالبًا ما يقوم المهاجمون الذين يطورون هجمات جديدة بتعديل التعليمات البرمجية القديمة. وهذا يعني أن الهجمات الجديدة يمكن أن تظهر بسرعة كبيرة كامتدادات وتعميمات للهجمات القديمة. ولمواجهة ذلك، يستخدم D-Link IDP أسلوبًا حيث تقوم الوحدة بمسح، مع الأخذ في الاعتبار إمكانية إعادة استخدام المكونات، وتحديد نمط مطابقةكتل عامة، وليس رمز محدد. وهذا يحقق الحماية من التهديدات المعروفة والجديدة، التي تم تطويرها مؤخرًا، وغير المعروفة والتي تم إنشاؤها عن طريق تعديل كود الهجوم.

أوصاف التوقيع

يحتوي كل توقيع على وصف نصي توضيحي. من خلال قراءة الوصف النصي للتوقيع، يمكنك فهم نوع الهجوم أو الفيروس الذي سيساعد هذا التوقيع في اكتشافه. نظرًا للطبيعة المتغيرة لقاعدة بيانات التوقيع، لا يتم تضمين الأوصاف النصية في وثائق D-Link، ولكنها متاحة على موقع D-Link الإلكتروني: http://security.dlink. com.tw

أنواع توقيعات النازحين

لدى IDP ثلاثة أنواع من التوقيعات التي توفر مستويات مختلفة من الثقة في تحديد التهديدات:

  • توقيعات الحماية من التطفل (IPS)- هذا النوع من التوقيع دقيق للغاية، وحركة المرور المطابقة لهذا النمط في معظم الحالات تعني هجومًا. بالنسبة لهذه التهديدات، يوصى بتحديد إجراء الحماية. يمكن لهذه التوقيعات اكتشاف هجمات المسؤول والماسحات الضوئية الأمنية.
  • توقيعات كشف التسلل (IDS)- يتميز هذا النوع من التوقيع بدقة أقل من IPS ويمكن أن يسبب نتائج إيجابية خاطئة، لذا يوصى باستخدام إجراء التدقيق قبل تحديد إجراء الحماية.
  • توقيعات السياسة- يكتشف هذا النوع من التوقيع أنواعًا مختلفة من حركة مرور التطبيقات. يمكن استخدام هذه التوقيعات لحظر بعض التطبيقات المصممة لمشاركة التطبيقات والمراسلة الفورية.

منع هجمات رفض الخدمة

آليات هجمات DoS

يمكن تنفيذ هجمات DoS بعدة طرق، ولكن يمكن تقسيمها جميعًا إلى ثلاثة أنواع رئيسية:

  • استنفاد موارد الحوسبة مثل عرض النطاق الترددي ومساحة القرص ووقت وحدة المعالجة المركزية.
  • تغيير معلومات التكوين مثل معلومات التوجيه.
  • تلف مكونات الشبكة المادية.

إحدى الطرق الأكثر استخدامًا هي استنفاد موارد الحوسبة، أي. استحالة الأداء الطبيعي للشبكة بسبب العدد الكبير من الطلبات، التي غالبًا ما يتم تنسيقها بشكل غير صحيح، واستهلاك الموارد المستخدمة لتشغيل التطبيقات المهمة. يمكن أيضًا استخدام الثغرات الأمنية في أنظمة التشغيل Unix وWindows لتدمير النظام عمدًا.

فيما يلي بعض هجمات DoS الأكثر استخدامًا:

  • بينغ الموت / هجمات الهزة
  • تراكب الأجزاء: دمعة / بونك / بوينك / نيستيا
  • هجمات الأرض ولاتييرا
  • هجوم ويننوك
  • هجمات التعزيز: Smurf، Papasmurf، Fraggle
  • فيضان TCP SYN
  • هزة2

هجمات Ping of Death و Jolt

يعد "Ping of Death" أحد أقدم الهجمات التي يتم تنفيذها على الطبقتين 3 و4 من مكدس البروتوكول. إحدى أبسط الطرق لتنفيذ هذا الهجوم هي تشغيل ping -l 65510 1.2.3.4 على نظام التشغيل Windows 95، حيث 1.2.3.4 هو عنوان IP للكمبيوتر الضحية. "Jolt" هو برنامج مكتوب خصيصًا لإنشاء حزم في نظام التشغيل حيث لا يمكن لأمر ping إنشاء حزم تتجاوز الحجم القياسي.

الهدف من الهجوم هو أن إجمالي حجم الحزمة يتجاوز 65535 بايت، وهو الحد الأقصى للقيمة التي يمكن تمثيلها بعدد صحيح 16 بت. إذا كان الحجم أكبر، يحدث الفائض.

تهدف الحماية إلى منع التجزئة التي تتسبب في أن يتجاوز حجم الحزمة الإجمالي 65535 بايت. بالإضافة إلى ذلك، يمكنك تكوين قيود على طول حزمة IP.

يتم تسجيل هجمات Ping of Death وJolt كحزم مسقطة تشير إلى قاعدة "LogOversizedPackets". يجب أن نتذكر أنه في هذه الحالة يمكن تزوير عنوان IP الخاص بالمرسل.

هجمات متداخلة الأجزاء: Teardrop وBonk وBoink وNestea

الدمعة هي هجوم يتضمن شظايا متداخلة. العديد من تطبيقات مكدس البروتوكولات لا تتعامل مع الحزم التي تستقبل الأجزاء المتداخلة بشكل جيد. في هذه الحالة، من المحتمل حدوث استنفاد الموارد وفشلها.

يوفر NetDefendOS الحماية ضد هجمات تداخل الأجزاء. لا يُسمح للأجزاء المتداخلة بالمرور عبر النظام.

يتم تسجيل هجمات Teardrop والهجمات المشابهة في سجلات NetDefendOS كحزم مُسقطة بقاعدة "IllegalFrags". يجب أن نتذكر أنه في هذه الحالة يمكن تزوير عنوان IP الخاص بالمرسل.

هجمات الأرض ولاتييرا

تتكون هجمات Land وLaTierra من إرسال حزمة إلى كمبيوتر الضحية تجعله يستجيب لنفسه، والذي بدوره يولد ردًا آخر على نفسه، وهكذا. سيؤدي هذا إما إلى التوقف الكامل للكمبيوتر أو انهيار أي من أنظمته الفرعية

يتكون الهجوم من استخدام عنوان IP الخاص بالكمبيوتر الضحية في حقلي المصدر والوجهة.

يوفر NetDefendOS الحماية ضد الهجوم الأرضي من خلال تطبيق حماية انتحال IP على جميع الحزم. عند استخدام الإعدادات الافتراضية، تتم مقارنة جميع الحزم الواردة بمحتويات جدول التوجيه؛ إذا وصلت حزمة إلى واجهة من المستحيل الوصول إلى عنوان IP المصدر منها، فسيتم تجاهل الحزمة.

يتم تسجيل هجمات Land وLaTierra في سجلات NetDefendOS كحزم مسقطة تشير إلى قاعدة الوصول التلقائي الافتراضية، أو، إذا تم تحديد قواعد وصول أخرى، تحدد قاعدة الوصول التي أدت إلى إسقاط الحزمة. في هذه الحالة، عنوان IP الخاص بالمرسل ليس مهمًا، لأنه يطابق عنوان IP الخاص بالمستلم.

هجوم ويننوك

مبدأ هجوم WinNuke هو الاتصال بخدمة TCP التي لا يمكنها معالجة البيانات "خارج النطاق" (حزم TCP مع مجموعة بتات URG)، ولكنها لا تزال تقبلها. يؤدي هذا عادةً إلى تكرار الخدمة واستهلاك كافة موارد وحدة المعالجة المركزية.

إحدى هذه الخدمات كانت NetBIOS عبر TCP/IP على أجهزة WINDOWS، والتي أعطت الاسم لهذا الهجوم على الشبكة.

يوفر NetDefendOS الحماية بطريقتين:

  • عادةً ما يتم تطوير سياسات حركة المرور الواردة بعناية شديدة، وبالتالي يكون عدد الهجمات الناجحة صغيرًا. يمكن الوصول إلى الخدمات العامة المفتوحة فقط من الخارج. هم فقط يمكن أن يصبحوا ضحايا للهجمات.
  • قم بإزالة بت URG من كافة حزم TCP.

واجهة ويب

الإعدادات المتقدمة -> TCP -> TCPUrg

عادةً، يتم تسجيل هجمات WinNuke كحزم مسقطة تشير إلى قاعدة رفضت محاولة الاتصال. بالنسبة للاتصالات المسموح بها، يظهر إدخال فئة "TCP" أو "DROP" (اعتمادًا على إعداد TCP URG)، مع اسم القاعدة "TCP URG". لا يجوز انتحال عنوان IP المصدر، حيث يجب إنشاء الاتصال بالكامل بحلول الوقت الذي يتم فيه إرسال الحزم خارج النطاق.

الهجمات التي تزيد من حركة المرور: Smurf، Papasmurf، Fraggle

تستخدم هذه الفئة من الهجمات شبكات تم تكوينها بشكل غير صحيح لزيادة تدفق حركة المرور وتوجيهها إلى النظام المستهدف. الهدف هو استخدام النطاق الترددي للضحية بشكل مكثف. قد لا يتمكن المهاجم ذو النطاق الترددي العالي من استخدام تأثير التضخيم لتحميل النطاق الترددي الكامل للضحية بالكامل. تسمح هذه الهجمات للمهاجمين الذين لديهم نطاق ترددي أقل من الضحية باستخدام التضخيم لشغل النطاق الترددي للضحية.

  • يرسل "Smurf" و"Papasmurf" حزم صدى ICMP إلى عنوان بث باستخدام عنوان IP الخاص بالضحية كعنوان IP المصدر. بعد ذلك، تقوم جميع أجهزة الكمبيوتر بإرسال حزم الاستجابة إلى الضحية.
  • يعتمد "Fraggle" على "Smurf"، ولكنه يستخدم حزم صدى UDP ويرسلها إلى المنفذ 7. بشكل عام، يكون هجوم "Fraggle" أضعف، حيث يتم تمكين خدمة الصدى على عدد صغير من المضيفين.

يتم تسجيل هجمات Smurf في سجلات NetDefendOS كعدد كبير من حزم رد صدى ICMP التي تم إسقاطها. يمكن استخدام عنوان IP مزيف للتسبب في ازدحام الشبكة. تظهر هجمات Fraggle أيضًا في سجلات NetDefendOS على شكل عدد كبير من الحزم المسقطة. يتم استخدام عنوان IP مزيف لزيادة التحميل على الشبكة.

عند استخدام الإعدادات الافتراضية، يتم تجاهل الحزم المرسلة إلى عنوان البث.

واجهة ويب

الإعدادات المتقدمة -> IP -> البث المباشر

يجب أن تدرك السياسات الواردة أن أي شبكة غير آمنة يمكن أن تكون أيضًا مصدرًا لمثل هذه الهجمات التضخيمية.

الحماية على جانب الكمبيوتر الضحية

تعتبر هجمات Smurf والهجمات المشابهة هجمات تستهلك الاتصال. على العموم جدار الحمايةيمثل عنق الزجاجة في الشبكة ولا يمكنه توفير الحماية الكافية ضد هذا النوع من الهجمات. وبحلول الوقت الذي تصل فيه الحزم إلى جدار الحماية، يكون الضرر قد حدث بالفعل.

ومع ذلك، يمكن لـ NetDefendOS تقليل الحمل على الخوادم الداخلية من خلال إتاحة خدماتها داخليًا أو من خلال اتصال بديل ليس هدفًا للهجوم.

  • تبدو أنواع هجمات الفيضان Smurf وPapasmurf مثل استجابات صدى ICMP من جانب الضحية. إذا لم يتم استخدام قواعد FwdFast، فلن يُسمح لهذه الحزم ببدء اتصالات جديدة، بغض النظر عما إذا كانت القواعد موجودة للسماح للحزم بالمرور أم لا.
  • يمكن أن تصل حزم Fraggle إلى أي منفذ وجهة UDP يستهدفه المهاجم. يمكن أن تساعد زيادة القيود في مجموعة القواعد في هذا الموقف.

يساعد تشكيل حركة المرور أيضًا على منع بعض هجمات الفيضان على الخوادم المحمية.

هجمات الفيضانات TCP SYN

يتمثل مبدأ هجمات TCP SYN Flood في إرسال عدد كبير من حزم TCP مع تعيين علامة SYN على منفذ معين وتجاهل الحزم المرسلة ردًا على مجموعة أعلام SYN ACK. يسمح هذا للخادم الضحية باستنفاد موارد مكدس البروتوكول، مما يجعله غير قادر على إنشاء اتصالات جديدة حتى تنتهي مهلة الاتصال نصف المفتوحة.

يوفر NetDefendOS الحماية ضد هجمات فيضانات TCP SYN إذا تم تثبيت خيار SYN Flood Protection في الخدمة المقابلة، والتي تم تحديدها في قاعدة تصفية IP. في بعض الأحيان قد يتم تسمية الخيار باسم SYN Relay.

يتم تمكين الحماية ضد هجمات الفيضانات افتراضيًا في خدمات مثل http -in وhttps-in وsmtp -in وssh-in.

آلية الحماية من هجوم الفيضانات SYN

تحدث الحماية ضد هجمات SYN Flood أثناء المصافحة ثلاث مرات التي تحدث عند إنشاء اتصال مع العميل. عادةً لا تنفد موارد نظام NetDefendOS لأنه يؤدي الأداء الأمثل إدارة المواردولا توجد أية قيود تحدث في أنظمة التشغيل الأخرى. في حين أن أنظمة التشغيل قد تواجه مشكلات مع ما لا يقل عن 5 اتصالات نصف مفتوحة لم يتعرف عليها العميل، فقد يقوم NetDefendOS بملء جدول الحالة بالكامل قبل استنفاد أي موارد. عندما يمتلئ جدول الحالة، يتم تجاهل الاتصالات القديمة التي لم يتم الإقرار بها لإفساح المجال للاتصالات الجديدة.

الكشف عن الفيضانات SYN

يتم تسجيل هجمات فيضانات TCP SYN في سجلات NetDefendOS كعدد كبير من الاتصالات الجديدة (أو الحزم المسقطة إذا كان الهجوم موجهًا إلى منفذ مغلق). يجب أن نتذكر أنه في هذه الحالة يمكن تزوير عنوان IP الخاص بالمرسل.

توفر ALG الحماية تلقائيًا ضد هجمات الفيضانات

وتجدر الإشارة إلى أنه ليست هناك حاجة لتمكين حماية SYN Flood للخدمة التي تم تحديد ALG لها. توفر ALG الحماية تلقائيًا ضد هجمات فيضان SYN.

هجوم جولت 2

مبدأ هجوم Jolt2 هو إرسال دفق مستمر من الأجزاء المتطابقة إلى جهاز الكمبيوتر الضحية. يؤدي تدفق عدة مئات من الحزم في الثانية إلى توقف أجهزة الكمبيوتر الضعيفة عن العمل حتى يتوقف التدفق تمامًا.

يوفر NetDefendOS حماية كاملة ضد هذا الهجوم. يتم وضع الجزء الأول الذي تم استلامه في قائمة الانتظار حتى وصول الأجزاء السابقة، بحيث يمكن إرسال جميع الأجزاء بالترتيب المطلوب. في حالة حدوث هجوم، لن يتم نقل أي جزء إلى التطبيق المستهدف. سيتم تجاهل الأجزاء اللاحقة لأنها مطابقة للجزء الأول الذي تم استلامه.

إذا كانت قيمة إزاحة الجزء الذي اختاره المهاجم أكبر من الحدود المحددة في الإعدادات المتقدمة -> إعدادات حد الطول في NetDefendOS، فسيتم إسقاط الحزم على الفور. يمكن تسجيل هجمات Jolt2 في السجلات. إذا اختار أحد المهاجمين قيمة إزاحة جزء كبيرة جدًا بحيث لا يمكن الهجوم عليها، فسيتم تسجيل ذلك كحزم مسقطة مع الإشارة إلى قاعدة LogOversizedPackets. إذا كانت قيمة إزاحة الجزء صغيرة بما يكفي، فلن يكون هناك أي تسجيل. يمكن انتحال عنوان IP الخاص بالمرسل.

هجمات DoS الموزعة (DDoS).

هجوم DoS الأكثر تطوراً هو هجوم رفض الخدمة الموزعة. يستخدم المتسللون مئات أو آلاف أجهزة الكمبيوتر عبر الإنترنت لتثبيتها برمجةلتنفيذ هجمات DDoS والسيطرة على كافة هذه الحواسيب لتنفيذ هجمات منسقة على مواقع الضحية. عادةً، تستهلك هذه الهجمات النطاق الترددي أو طاقة معالجة جهاز التوجيه أو موارد معالجة مكدس البروتوكول، مما يؤدي إلى عدم القدرة على إنشاء اتصالات الشبكة بالضحية.

على الرغم من أن هجمات DDoS الأخيرة تم إطلاقها من كل من الشبكات الخاصة والعامة، إلا أن المتسللين غالبًا ما يفضلون ذلك شبكات الشركاتبسبب طبيعتها المفتوحة والموزعة. تشمل الأدوات المستخدمة لشن هجمات DDoS Trin00 وTribeFlood Network (TFN) وTFN2K وStacheldraht.

وصف العمل العملي

القائمة العامة للتوقيعات

في واجهة الويب، يتم إدراج كافة التوقيعات في قسم IDP / IPS -> توقيعات IDP.

قواعد آي دي بي

تحدد قاعدة IDP نوع حركة المرور التي يجب تحليلها. يتم إنشاء قواعد IDP بشكل مشابه للقواعد الأخرى، مثل قواعد تصفية IP. تحدد قاعدة IDP مجموعة من عنوان/واجهة المصدر/الوجهة، والخدمة التي تحدد البروتوكولات التي سيتم فحصها. يتمثل الاختلاف الرئيسي عن قواعد التصفية في أن قاعدة IDP تحدد الإجراء الذي يجب اتخاذه عند اكتشاف التطفل.

واجهة ويب:

IDP/IPS -> قواعد IDP -> إضافة -> قاعدة IDP

إجراءات النازحين

إذا تم اكتشاف أي تطفل، فسيتم تنفيذ الإجراء المحدد في قاعدة IDP. يمكن تحديد أحد الإجراءات الثلاثة:

  1. تجاهل - إذا تم اكتشاف أي تطفل، فلا تتخذ أي إجراء واترك الاتصال مفتوحًا.
  2. التدقيق - اترك الاتصال مفتوحًا ولكن قم بتسجيل الحدث.
  3. الحماية - إعادة تعيين الاتصال وتسجيل الحدث. من الممكن استخدام الخيار الإضافي المتمثل في إدراج مصدر الاتصال في القائمة السوداء.

تطبيع HTTP

يقوم IDP بإجراء تطبيع HTTP، أي. يتحقق من صحة معرفات URI في طلبات HTTP. في قاعدة IDP، يمكنك تحديد الإجراء الذي يجب تنفيذه عند اكتشاف عنوان URI غير صالح.

قد يكتشف IDP عناوين URI التالية غير الصالحة:

ترميز UTF8 غير صحيح

يبحث عن أي أحرف UTF8 غير صالحة في URI.

رمز سداسي عشري غير صالح

التسلسل السداسي العشري الصحيح هو الذي توجد فيه علامة النسبة المئوية متبوعة بقيمتين سداسيتين عشريتين تمثلان رمزًا لبايت واحد. التسلسل السداسي العشري غير الصالح هو تسلسل يحتوي على علامة النسبة المئوية ولا يتبعه قيمة سداسية عشرية تمثل رمز بايت.

ترميز مزدوج

يبحث عن أي تسلسل سداسي عشري تم ترميزه باستخدام تسلسلات هروب سداسية عشرية أخرى. من الأمثلة على ذلك التسلسل %2526، بينما يمكن تفسير %25 بواسطة خادم HTTP كـ %، مما يؤدي إلى التسلسل %26، والذي سيتم تفسيره كـ &.

منع هجمات حقن الشخصية أو تجاوز آليات IDP

في قاعدة IDP، يمكنك تعيين خيار الحماية ضد هجوم الإدراج/التهرب. هذه حماية ضد الهجمات التي تهدف إلى تجاوز آليات النازحين. تستفيد هذه الهجمات من حقيقة أنه في بروتوكولات TCP/IP يمكن تجزئة الحزمة ويمكن أن تصل الحزم الفردية بترتيب عشوائي. عادةً ما تستخدم هجمات حقن الأحرف وتجاوز آليات IDP تجزئة الحزمة وتحدث أثناء عملية تجميع الحزمة.

هجمات الإدراج

تتكون هجمات الإدراج من تعديل تدفق البيانات بحيث يتم السماح بتسلسل الحزم الناتج من خلال نظام IDP، ولكن التسلسل عبارة عن هجوم على التطبيق المستهدف. يمكن تنفيذ هذا الهجوم عن طريق إنشاء تدفقين مختلفين للبيانات.

على سبيل المثال، افترض أن تدفق البيانات يتكون من 4 أجزاء من الحزمة: p1 وp2 وp3 وp4. يمكن للمهاجم أولاً إرسال أجزاء من حزم p1 وp4 إلى التطبيق المستهدف. سيتم الاحتفاظ بها من قبل كل من نظام IDP والتطبيق حتى وصول الأجزاء p2 وp3، وبعد ذلك سيتم إجراء إعادة التجميع. تتمثل مهمة المهاجم في إرسال شظيتين p2' وp3' إلى نظام IDP وجزئين آخرين p2 وp3 إلى التطبيق. والنتيجة هي تدفقات البيانات المختلفة التي يتلقاها نظام IDP والتطبيق.

تجاوز الهجمات

هجمات التجاوز لها نفس النتيجة النهائية مثل هجمات الإدراج، كما تنتج أيضًا تدفقين مختلفين من البيانات: أحدهما يراه نظام IDP، والآخر يراه التطبيق المستهدف، ولكن في هذه الحالة يتم تحقيق النتيجة بالطريقة المعاكسة، وهي إرسال أجزاء من الحزم التي سيتم رفضها بواسطة نظام IDP، ولكن سيتم قبولها بواسطة التطبيق المستهدف.

الكشف عن هجمات مماثلة

إذا تم تمكين خيار هجمات الإدراج/التهرب، و

كشف التسلل

1. كشف التسلل السريع يسمح بتحديد هوية الدخيل وطرده قبل أن يسبب الأذى.

2. يعمل نظام كشف التسلل الفعال كرادع لمنع عمليات التسلل.

3. 3 يقوم كشف التسلل بجمع معلومات حول طرق التسلل التي يمكن استخدامها لتحسين موثوقية الدفاعات.

طرق كشف الاختراقات

· كشف الانحرافات الإحصائية (كشف العتبة، كشف الملف الشخصي).

· الكشف المبني على القواعد (كشف الانحرافات عن الخصائص الطبيعية، تحديد التسلل – البحث عن السلوك المشبوه).

تعمل أنظمة كشف التطفل (IDS) على تشغيل عمليات أو أجهزة تقوم بتحليل النشاط على الشبكة أو النظام بحثًا عن نشاط غير مصرح به و/أو ضار. تعتمد بعض أنظمة IDS على المعرفة وتنبه المسؤولين بشكل استباقي إلى عمليات الاقتحام باستخدام قاعدة بيانات للهجمات الشائعة. وفي المقابل، تكتشف أنظمة IDS القائمة على السلوك الحالات الشاذة التي غالبًا ما تكون علامة على نشاط المهاجم من خلال مراقبة استخدام الموارد. بعض IDS عبارة عن خدمات منفصلة تعمل في الخلفية وتحلل النشاط بشكل سلبي، وتسجل جميع الحزم المشبوهة من الخارج. تأتي أدوات كشف التسلل القوية الأخرى من مجموعة من أدوات النظام القياسية والتكوينات المعدلة والتسجيل التفصيلي مع حدس المسؤول وخبرته.

الأداة الرئيسية لكشف الاختراقات هي تدقيق سجلات البيانات.

مراجعة(التدقيق) – التسجيل في سجل النظام للأحداث التي تحدث في نظام التشغيل والمتعلقة بالأمان والمتعلقة بالوصول إلى موارد النظام المحمية.

· تسجيل الأعمال الناجحة وغير الناجحة:

· التسجيل في النظام.

· ادارة الحساب؛

· الوصول إلى خدمات الدليل.

· الوصول إلى المنشأة.

· استخدام الامتيازات.

· تغييرات في السياسات.

· تنفيذ العملية وأحداث النظام.

تم تمكين التدقيق في سياسة التدقيق المحلية (المجموعة).

يحتوي سجل الأمان على إدخالات تتعلق بنظام الأمان.

تشير المحاسبة والمراقبة إلى قدرة نظام الأمان على "التجسس" على كائنات محددة ومستخدميها وإصدار إنذارات عندما يحاول شخص ما قراءة ملف نظام أو تعديله. إذا حاول شخص ما تنفيذ الإجراءات التي حددها نظام الأمان للمراقبة، فسيقوم نظام التدقيق بكتابة رسالة إلى السجل لتحديد المستخدم. يمكن لمدير النظام إنشاء تقارير أمنية تحتوي على معلومات السجل. تشتمل الأنظمة "فائقة الأمان" على أجهزة إنذار صوتية وفيديو مثبتة على أجهزة مسؤولي الأمن.

وبما أنه لا يوجد نظام أمني يضمن الحماية بنسبة 100%، فإن الخط الأخير في مكافحة الانتهاكات هو نظام التدقيق.

في الواقع، بعد أن تمكن المهاجم من تنفيذ هجوم ناجح، ليس أمام الضحية خيار سوى اللجوء إلى خدمة التدقيق. إذا تم تحديد الأحداث التي تحتاج إلى مراقبة بشكل صحيح عند تكوين خدمة التدقيق، فيمكن أن يوفر التحليل التفصيلي لإدخالات السجل الكثير من المعلومات المفيدة. قد تتيح هذه المعلومات العثور على المهاجم أو على الأقل منع حدوث هجمات مماثلة مرة أخرى عن طريق إزالة الثغرات الأمنية.

النظام الفرعي لكشف التسلل ومنعهيشمل:

الجدول 1. كشف التسلل ومنع النظم الفرعية

كشف التطفل هو عملية مراقبة الأحداث التي تحدث في نظام المعلومات وتحليلها بحثًا عن علامات تشير إلى محاولات التطفل: انتهاكات السرية أو السلامة أو توفر المعلومات أو انتهاكات سياسات أمن المعلومات. منع التطفل هو عملية منع عمليات التطفل التي تم تحديدها.

تعمل أدوات النظام الفرعي لكشف التطفل ومنعه على أتمتة هذه العمليات وهي ضرورية في أي مؤسسة على أي مستوى لمنع الأضرار والخسائر التي يمكن أن تؤدي إليها عمليات الاقتحام.

بناءً على طريقة المراقبة، تنقسم أدوات النظام الفرعي إلى:

  • أدوات منع التطفل على مستوى الشبكة (IDS/IPS المستندة إلى الشبكة)، والتي تراقب حركة مرور الشبكة لقطاعات الشبكة.
  • أدوات منع التطفل على مستوى النظام (IDS/IPS المستندة إلى المضيف)، والتي تكتشف أحداث أمن المعلومات وتنفذ الإجراءات التصحيحية داخل المضيف المحمي.

هناك عدة طرق لتحليل الأحداث:

  • الكشف عن إساءة الاستخدام، حيث يتم فحص حدث أو مجموعة من الأحداث مقابل نمط محدد مسبقًا يصف هجومًا معروفًا. يسمى نمط الهجوم المعروف بالتوقيع.
  • الكشف عن الشذوذ، والذي يحدد الأحداث غير الطبيعية (غير الطبيعية). تفترض هذه الطريقة أنه عند محاولة التطفل، تختلف الأحداث الناتجة عن أحداث نشاط المستخدم العادي أو تفاعلات عقدة الشبكة وبالتالي يمكن تحديدها. تقوم أجهزة الاستشعار بجمع بيانات الأحداث، وإنشاء أنماط من النشاط العادي، واستخدام مقاييس مختلفة للكشف عن الانحرافات عن الظروف العادية.

يوفر النظام الفرعي الحماية ضد هجمات DDoS التي تحلل حركة مرور شبكة الحافة باستخدام طريقة الكشف عن الحالات الشاذة.

يتكون حل منع التطفل من أجهزة استشعار وخادم إدارة واحد أو أكثر ووحدة تحكم المشغل والمسؤولين. في بعض الأحيان يتم تخصيص قاعدة بيانات خارجية لتخزين المعلومات حول أحداث أمن المعلومات ومعلماتها.

يتلقى خادم التحكم المعلومات من أجهزة الاستشعار ويديرها. عادةً ما تقوم الخوادم بدمج الأحداث وارتباطها. من أجل معالجة أعمق للأحداث المهمة، يتم دمج أدوات منع التطفل على مستوى النظام مع النظام الفرعي للمراقبة وإدارة الحوادث.

توفر وحدات التحكم واجهات للمشغلين ومسؤولي النظام الفرعي. عادةً ما تكون هذه أداة برمجية مثبتة على محطة العمل.

لتنظيم الإدارة المركزية وإدارة تحديثات التوقيع وإدارة التكوينات، يتم استخدام التكامل مع النظام الفرعي لإدارة الأمان بالمؤسسة.

يجب أن يؤخذ في الاعتبار أن الاستخدام المتكامل لأنواع مختلفة من أدوات النظام الفرعي هو وحده الذي يجعل من الممكن تحقيق كشف شامل ودقيق للتطفل ومنعه.

منع التسلل على مستوى النظام

يوفر النظام الفرعي لمنع التطفل على مستوى النظام (IDS/IPS القائم على المضيف) حظرًا فوريًا للهجمات على مستوى النظام وينبه المسؤولين عنها. تقوم عوامل الكشف عن الهجمات (أجهزة الاستشعار) على مستوى النظام بجمع المعلومات التي تعكس النشاط الذي يحدث على نظام تشغيل فردي.

تتمثل مزايا هذا النظام الفرعي في القدرة على التحكم في الوصول إلى كائنات معلومات العقدة والتحقق من سلامتها وتسجيل الأنشطة غير الطبيعية لمستخدم معين.

تشمل العيوب عدم القدرة على اكتشاف الأحداث الشاذة المعقدة، واستخدام موارد إضافية للنظام المحمي، والحاجة إلى التثبيت على جميع العقد المحمية. بالإضافة إلى ذلك، يمكن أن تؤدي الثغرات الأمنية في نظام التشغيل إلى الإضرار بسلامة أجهزة الاستشعار وتشغيلها.

حلول:

وكيل الأمن سيسكو

تحقق من أمان نقطة النهاية
سيمانتيك حماية نقطة النهاية
تريند مايكرو OfficeScan إصدار الشركات
نظام منع التطفل على خادم IBM Proventia
كاسبيرسكي توتال سيكيوريتي


منع اختراق طبقة الشبكة

يضمن النظام الفرعي لمنع التطفل على مستوى الشبكة (IPS أو NIPS القائم على الشبكة) المنع الفوري لهجمات الشبكة وتنبيه المسؤولين عنها. تتمثل ميزة استخدام الأدوات على مستوى الشبكة في القدرة على حماية عدة عقد أو أجزاء من الشبكة باستخدام أداة واحدة.

يتم تثبيت أجهزة استشعار البرامج أو الأجهزة عند انقطاع الاتصال أو عرض حركة مرور الشبكة بشكل سلبي لعقد معينة أو قطاعات الشبكة وتحليل بروتوكولات تفاعل الشبكة والنقل والتطبيقات.

تتم مقارنة حركة المرور الملتقطة بمجموعة من الأنماط (التوقيعات) المحددة للهجمات أو انتهاكات قواعد سياسة الأمان. إذا تم العثور على التوقيعات في حزمة الشبكة، يتم تطبيق الإجراءات المضادة.

كإجراءات مضادة، يمكن القيام بما يلي:

  • حظر حزم الشبكة المحددة؛
  • تغيير تكوين الأنظمة الفرعية الأخرى لأمن المعلومات (على سبيل المثال، جدار الحماية) لمنع التطفل بشكل أكثر فعالية؛
  • حفظ الحزم المختارة لتحليلها لاحقا؛
  • تسجيل الأحداث وإخطار الأشخاص المسؤولين.

قد تكون الميزة الإضافية لهذه الأدوات هي جمع المعلومات حول العقد المحمية. للحصول على معلومات حول أمان وأهمية العقدة أو قطاع الشبكة، يتم استخدام التكامل مع نظام فرعي لمراقبة فعالية أمن المعلومات.

يظهر في الشكل مثال على حل منع التطفل على طبقة الشبكة استنادًا إلى منتجات Cisco Systems:

الشكل 1. مثال على حل منع التطفل على طبقة الشبكة استنادًا إلى منتجات Cisco Systems

حلول:


الحماية ضد هجمات DDoS

واحدة من أكثر فئات الهجمات الحاسوبية خطورة، من حيث العواقب، هي هجمات رفض الخدمة الموزعة (DDoS) التي تهدف إلى تعطيل توفر موارد المعلومات. يتم تنفيذ هذه الهجمات باستخدام مكونات برمجية متعددة مستضافة على الأجهزة المضيفة على الإنترنت. يمكن أن تؤدي ليس فقط إلى فشل العقد والخدمات الفردية، ولكن أيضًا إلى إيقاف تشغيل خوادم DNS الجذرية والتسبب في إيقاف تشغيل الشبكة جزئيًا أو كليًا.

الهدف الرئيسي للحماية من هجمات DDoS هو منع تنفيذها والكشف الدقيق عن هذه الهجمات والرد عليها بسرعة. وفي الوقت نفسه، من المهم أيضًا التعرف بشكل فعال على حركة المرور المشروعة التي لها خصائص مشابهة لحركة التسلل وضمان التسليم الموثوق لحركة المرور المشروعة إلى وجهتها المقصودة.

يتضمن النهج العام للحماية من هجمات DDoS الآليات التالية:

  • كشف التسلل؛
  • تحديد مصدر الاختراق؛
  • منع التطفل.


الحل لمشغلي الاتصالات

الفوائد التجارية للحل المطبق:

  • الفرصة لتقديم خدمة جديدة رفيعة المستوى مع إمكانية توسيع نطاقها للمؤسسات الكبيرة والمتوسطة والصغيرة؛
  • القدرة على وضع نفسه كشخص موثوق به يشارك في منع الضرر والخسائر التي تلحق بالعملاء؛
  • تحسين إمكانية التحكم في البنية التحتية للشبكة؛
  • القدرة على تزويد المشتركين بتقارير عن الهجمات.

يتيح هذا الحل لمشغلي الاتصالات توفير الحماية لعملائهم ضد هجمات DoS الموزعة، مع تعزيز شبكاتهم الخاصة وحمايتها في الوقت نفسه. الهدف الأساسي من الحل هو إزالة حركة المرور الشاذة من قناة الاتصال وتقديم حركة المرور المشروعة فقط.

يمكن لمزود الخدمة توفير حماية DDoS لعملائه من الشركات بطريقتين:

  • الخدمة المتفانية– مناسب للشركات التي ترتبط أعمالها بالإنترنت: وهي الشركات العاملة في مجال التداول “عبر الإنترنت”، والمؤسسات المالية وغيرها من المؤسسات العاملة في مجال التجارة الإلكترونية. وتوفر الخدمة المخصصة القدرة على تنظيف حركة المرور المرسلة، بالإضافة إلى إمكانات إضافية لاكتشاف هجمات DDoS وتفعيل إجراءات تنظيف حركة المرور بناءً على طلب العميل؛
  • الخدمة المشتركة- مصمم للعملاء من الشركات الذين يحتاجون إلى مستوى معين من الحماية ضد هجمات DDoS لخدماتهم "عبر الإنترنت". ومع ذلك، فإن هذه المشكلة ليست حادة بالنسبة لهم. توفر الخدمة القدرة على مسح حركة المرور بشكل جماعي لجميع العملاء وسياسة قياسية لاكتشاف هجمات DDoS


بنية الحل

الشكل 2. بنية حل حماية DDoS لمشغلي الاتصالات

توفر بنية الحل أسلوبًا مبسطًا لاكتشاف هجمات DoS الموزعة، وتتبع مصدرها، والتخفيف من هجمات DoS الموزعة.

للبدء، تحتاج أدوات الحماية من DDoS إلى الخضوع لعملية تعلم وإنشاء نموذج للسلوك الطبيعي لحركة المرور داخل الشبكة باستخدام دفق البيانات المتاح من أجهزة التوجيه. بعد عملية التعلم، ينتقل النظام إلى وضع مراقبة حركة المرور وإذا تم اكتشاف موقف غير طبيعي، يتم إرسال إشعار إلى مسؤول النظام. إذا تم تأكيد الهجوم، يقوم مسؤول أمان الشبكة بتحويل جهاز تنظيف حركة المرور إلى وضع الحماية. من الممكن أيضًا تكوين أجهزة المراقبة لتنشيط أدوات تنظيف حركة المرور تلقائيًا عند اكتشاف حركة مرور غير طبيعية. عند تمكينها في وضع الحماية، تقوم أداة التصفية بتعديل جدول التوجيه الخاص بجهاز توجيه الحافة لإعادة توجيه حركة المرور الواردة إلى نفسها وتنظيفها. ثم تتم إعادة توجيه حركة المرور التي تم مسحها إلى الشبكة.


حل المؤسسة

عند تطوير هذا الحل، تم استخدام نهج متكامل لبناء نظام أمني قادر على حماية ليس فقط خوادم المؤسسات الفردية، ولكن أيضًا قنوات الاتصال مع مشغلي الاتصالات المعنيين. الحل هو نظام متعدد المستويات مع خط دفاع واضح المعالم. يتيح لك تطبيق الحل زيادة أمان شبكة الشركة وأجهزة التوجيه وقناة الاتصال وخوادم البريد وخوادم الويب وخوادم DNS.

  • الشركات التي تمارس أعمالها عبر الإنترنت؛
  • توفر الموقع الإلكتروني للشركة؛
  • استخدام الإنترنت لتنفيذ العمليات التجارية.


بنية الحل

الشكل 3. بنية حل حماية DDoS للمؤسسات

يستخدم هذا الحل أجهزة استشعار للكشف عن الحالات الشاذة والتي تراقب باستمرار مرور حركة المرور الخارجية. يقع هذا النظام على الحدود مع مشغل الاتصالات، لذا تبدأ عملية التنظيف حتى قبل دخول حركة الهجوم إلى الشبكة الداخلية للشركة.

لا يمكن لطريقة الكشف عن الحالات الشاذة أن توفر احتمالًا بنسبة 100% لمسح حركة المرور، لذلك هناك حاجة للتكامل مع الأنظمة الفرعية لمنع الهجمات على مستوى الشبكة والنظام.

المزايا التقنية للحلول المنفذة:

  • الاستجابة الفورية لهجمات DDoS؛
  • تضمن القدرة على تشغيل النظام عند الطلب فقط أقصى قدر من الموثوقية وتقليل تكاليف التوسع.

حلول:

أربور بيك فلو SP

حارس سيسكو
كاشف شذوذ حركة المرور من سيسكو


نوصي بالقراءة