تاپیک اختصاصی محصولات COMODO - || آرشیو شماره 1 ||

[outpost]

بارها گفتم و باز هم میگم،متاسفانه شما یک باور اشتباه دارین،
از نظر شما یک نرم افزار امنیتی می تونه سایر لایر های پروتکل tcp/ip رو کنترل کنه....

در حالی که این طور نیست،فایروال تنها داده های جاری به سوی لایه application و داده های out از application layer به لایه های پایینی رو کنترل می کنه....

اگه دوست دارید سایر لایرها نیز مطمئن و ایمن باشن،چاره ای جز استفاده از "شمخ" ندارین...

پیشنهاد من خواندن کتاب فوق العاده

هست،

موفق باشید....

توي اون مقايسه كه گذاشتم فقط صحبت از فايروال نيست.
در خيلي از مسايل كمودو از رقبا پايين تره .
جالب اينه كه هر ويژگي و برتري كه در نرم افزارهاي رقيب وجود داره از نظر شما كاملا بي فايده است !

[santamove]

توي اون مقايسه كه گذاشتم فقط صحبت از فايروال نيست.
در خيلي از مسايل كمودو از رقبا پايين تره .
جالب اينه كه هر ويژگي و برتري كه در نرم افزارهاي رقيب وجود داره از نظر شما كاملا بي فايده است !

اصلا من صحبتم خاص نیست که بگم کومودو یا زون آلارم یا آوت پست،

ماهیت فایروال ها یکی هست،و این که شما می گید فایروال قادر به نظارت از بسته ها تا رسیدن به dbms هست....
از لحاظ تئوری و منطقی امری اشتباه تلقی میشه....


یکبار دیگر پست بالایی منو بخونین....

[M.Hashemi]

بحث مقايسه فايروالها رو ما در تاپيك مقايسه فايروالها انجام ميديم نه اينجا.

طبق درخواست شما يه مقايسه كوچيك از Comodo و Outpost برات ميزارم.

بريد بخونيد.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

البته اينو ميتونم با قاطعيت بگم اگه HIPS كمودو رو در نظر نگيريم از هر نظر از محصولات شركتهاي رقيب مثل Kaspersky - Outpost - F-secure - Online Armor و .... در درجه پايين تري قرار ميگيره.

با سلام
از شما به دلیل این تست متشکرم.
و از بقیه دوستان نیز می خواهم در تاپیک زیر رفته و نظر خودشان را بیان کنند.
http://forum.p30world.com/showpost.php?p=5782945&postcount=573 با تشکر

[santamove]

دیدگاه outpost

يك مقايسه كوتاه بين نرم افزار هاي امنيتي Comodo و Outpost


1- در بحث فايروال Outpost داراي NIDS و فايروال بسيار قوي هستش .طوري كه بسياري از شركتهاي امنيتي از Engine نرم افزاري Outpost در محصولاتشون استفاده ميكنن. - كمودو NIDS نداره

2- Outpost داراي Banking Mode هستش - كمودو Banking Mode نداره.

3- Outpost داراي Web Control بسيار قوي هستش - كمودو Banking Mode نداره.

4- Outpost تمام گواهينامه هاي VB100 رو گرفته - كمودو توي همشون شكست خورده.

5- كمودو داراي SandBox هستش كه Outpost نداره. ولي همين Sanbox كمودو در خيلي از تستها Fail شده.

6- Outpost داراي حجم آپديت كمتر هستش به اضافه اينكه با تكنولوژي Smart Scan داراي سرعت بسيار زيادي در اسكن فايلها هستش.

7- Outpost داراي Anti Spam هستش - كمودو نداره.

8- Outpost داراي ويژگي File & Folder Lock هستش جهت محافظت از فايلهاي شخصي شما.

9- طبق بررسيهاي Matausec كمودو 100 درصد حملات HIPS رو دفع ميكنه. البته Outpost هم بسيار نزديك به كمودو تا 97 درصد حملات رو دفع ميكنه.

10-Outpost داراي Self Defense بسيار قوي تري هستش.(اگه خواستيد بگردم و لينك منبع رو بزارم)

11- Outpost داراي Application Guard هستش كه ميتونه از نرم افزار ها و اطلاعات حياتي اين نرم افزارها محافظت كنه كه در هيچ برنامه امنيتي اين ويژگي وجود نداره.

***نظر ها طبق بازه زمانی مرتب شدند...
نظر خودم....

  محتوای مخفی: نظر خودم 

يك مقايسه كوتاه بين نرم افزار هاي امنيتي Comodo و Outpost


1- در بحث فايروال Outpost داراي NIDS و فايروال بسيار قوي هستش .طوري كه بسياري از شركتهاي امنيتي از Engine نرم افزاري Outpost در محصولاتشون استفاده ميكنن. - كمودو NIDS نداره

2- Outpost داراي Banking Mode هستش - كمودو Banking Mode نداره.

3- Outpost داراي Web Control بسيار قوي هستش - كمودو Banking Mode نداره.

4- Outpost تمام گواهينامه هاي VB100 رو گرفته - كمودو توي همشون شكست خورده.

5- كمودو داراي SandBox هستش كه Outpost نداره. ولي همين Sanbox كمودو در خيلي از تستها Fail شده.

6- Outpost داراي حجم آپديت كمتر هستش به اضافه اينكه با تكنولوژي Smart Scan داراي سرعت بسيار زيادي در اسكن فايلها هستش.

7- Outpost داراي Anti Spam هستش - كمودو نداره.

8- Outpost داراي ويژگي File & Folder Lock هستش جهت محافظت از فايلهاي شخصي شما.

9- طبق بررسيهاي Matausec كمودو 100 درصد حملات HIPS رو دفع ميكنه. البته Outpost هم بسيار نزديك به كمودو تا 97 درصد حملات رو دفع ميكنه.

10-Outpost داراي Self Defense بسيار قوي تري هستش.(اگه خواستيد بگردم و لينك منبع رو بزارم)

11- Outpost داراي Application Guard هستش كه ميتونه از نرم افزار ها و اطلاعات حياتي اين نرم افزارها محافظت كنه كه در هيچ برنامه امنيتي اين ويژگي وجود نداره.

1- در بحث فايروال Outpost داراي NIDS و فايروال بسيار قوي هستش .طوري كه بسياري از شركتهاي امنيتي از Engine نرم افزاري Outpost در محصولاتشون استفاده ميكنن. - كمودو NIDS نداره

nids چه ربطی به انجین داره؟؟؟
معمولا از دیتابیس سوئیت ها استفاده می شود،مثلا" g-data دارای دو انجین هست،یکی کسپر و یکی دیگه هم الن لازم نیست،
شما بحث لایرهای امنیتی رو به هم مربوط می دونید،در حالی که وظیفه ی هر کدوم مجزا هستند،

فایروال چه ربطی به دیتابیس آنتی ویروس دارد؟

دیاگرام لایرهای امنیتی


لایه های امنیتی:

1.hips
2.آنتی ویروس+گارد
3.سندباکس

به همراه فایروال
لایه آنلاینdns secure server
============================================

2- Outpost داراي Banking Mode هستش - كمودو Banking Mode نداره.

این بحث قبلا" جمع بندی شد....

نتیجه رو دوباره می گم...

1)
ابتدا با دقت به دیاگرام زیر توجه کنید:


2)
توجه داشته باشید،اطلاعات ارسالی مستقیما" به دیتابیس تزریق نمیشن،
بلکه ابتدا وارد dbms میشن،و اونجا توسط tps یا cis وارد database میشن،

3)
من یک مثال ساده زدم،
1.یک تفنگ(همان ارسال کننده اطلاعات)
2.یک گلوله(اطلاعات)
3.یک لوله دراز تو خالی (لایه های شبکه)
4.یک هدف (دیتابیس)

توجه داشته باشید،که ارسال اطلاعات به dbms از لایه بالایی به لایه پائین تر...
توسط پروتکل HTTPS
انجام میشه،که همان پروتکل HTTP هست،به همراه گواهی SSL
که داده ها رو رمزنگاری می کنه و ارسال می کنه
***بعضی از گواهی های SSL به دلیل رمزنگاشت 2048بیتی ،تقریبا" غیرقابل شکست هستند،

4)
پس تا اینجای کار یک ارتباط ایمن وجود دارد،
ولی....

متخصصان دنیای امنیت به دلیل پیچیدگی فنی ساختار اینترنت(پایینترین لایه،در شکل اول)
امکان عدم مقصد یابی صحیح یا گم شدن داده های ارسالی وجود داره،
پس استفاده از "ش.م.خ" به منظور ایزولیشن صحیح اطلاعات و تراکنش های مبادله شده،رو شدیدا" توصیه می کنن،

5)
تا اینجای کار فکر نکنم،جایی برای بحث باشه،
و در آخر برای جلوگیری از key.l.ogger ها ، استفاده از کیبرد مجازی توصیه میشه....

*****

با این وجود باز فکر می کنید،آیا این امکانات نرم افزاری که شما می فرمائید ، ضروری هست؟

با تشکر از دوستان خوبم....
=======================================

3- Outpost داراي Web Control بسيار قوي هستش - كمودو Banking Mode نداره.

؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
چرا این چنین فکری می کنید؟؟؟
اگه منظورتان نداشتن web control هست....
فکر می کنم شما تا حالا 20دقیقه هم با کومودو کار نکردید!!!!

===============================================

4- Outpost تمام گواهينامه هاي VB100 رو گرفته - كمودو توي همشون شكست خورده.

عنوان این تاپیک "تاپيك اختصاصی مقایسه فایروال ها"، دیتابیس آنتی ویروس چه ارتباطی با فایروال دارد؟

تنها لابراتوار معتبر در زمینه تست....

===============================================

5- كمودو داراي SandBox هستش كه Outpost نداره. ولي همين Sanbox كمودو در خيلي از تستها Fail شده.

واقعا" که حرف می زنید،ولی یه دونه مدرک معتبر هم نمی دین.....

سندباکس کجا فیل شده؟؟؟کی بود ؟چی بود؟!

بار دیگر به شکل زیر توجه کنید...

  محتوای مخفی: لایرهای امنیتی 

==============================================

6- Outpost داراي حجم آپديت كمتر هستش به اضافه اينكه با تكنولوژي Smart Scan داراي سرعت بسيار زيادي در اسكن فايلها هستش.

تمامی سوئیت های جدید دیتابیس را جدا دریافت می کنن،
من تا حالا ندیدم،پس از دریافت دیتابیس آپدیت کومودو به مگابایت برسه.....
===============================================

7- Outpost داراي Anti Spam هستش - كمودو نداره.

آنتی اسپم؟؟؟
این آنتی اسپم باید روی mail server نصب بشه!!!
مگه سرور mail شما روی کامپیوتر شخصیتان هست؟؟؟
================================================== ====

8- Outpost داراي ويژگي File & Folder Lock هستش جهت محافظت از فايلهاي شخصي شما.

پس این چیه؟؟؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

================================================== =====

9- طبق بررسيهاي Matausec كمودو 100 درصد حملات HIPS رو دفع ميكنه. البته Outpost هم بسيار نزديك به كمودو تا 97 درصد حملات رو دفع ميكنه.

10-Outpost داراي Self Defense بسيار قوي تري هستش.(اگه خواستيد بگردم و لينك منبع رو بزارم)

11- Outpost داراي Application Guard هستش كه ميتونه از نرم افزار ها و اطلاعات حياتي اين نرم افزارها محافظت كنه كه در هيچ برنامه امنيتي اين ويژگي وجود نداره.

........ و افتادن بر تسلسل علل.....

===========
نظر محمد M.HAshemi

  محتوای مخفی: نظر محمد 

با سلام
از شما به خاط تستی که انجام دادید متشکرم.
1- همان گونه که t g e r عزیز گفتند NIDS تنها می تواند جلوی hacker های مبتدی را بگیرد و عملا در برابر hacher های حرفه ای ناتوان است و این قسمت در نگارش های قبلی کومودو وجود داشته اما در نگارش جدید حذف شده.
کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

2- باز هم طبق گفته t i g e r عزیز این قسمت شرط لازم برای فایروال نیست
کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- در این مورد هم اقای مصطفی اکبری عزیز جواب دادند(البته کومودو network monitoring قدرتمندی دارد)
کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

4- من تست شرکت ها را قبول ندارم اما برای دوستانی که این تست ها را قبول دارند حرف شما صحیح است.
5- حرشما صحیح. اما من تست دیگرا را قبول ندارم شما یک مخرب برای دانلود بگذارید بنده اجرا می کنم و نتایج را در همین جا اعلام می کنم(اما باز هم میگم برای دوستانی که تست شرکت ها را قبول دارند حرف شما صحیح)
6- سرعت اسکن کومودو به نظر من بالاست اما در مقایسه با outpost اطلاع ندارم. در مورد update هم باید بگم update اولیه کومودو حدود 120 مگابایت است اما در دفعات بعد به کیلوبایت می رسد(دقیقا مانند کسپراسکی).
7- در این مورد اطلاع ندارم پس حرفی نمیزنم. اما مشخصات اخرین نگارش کومودو را می توانید از لینک زیر ببینید :
کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

8- این قسمت به نظر من هیچ ربطی به سوئیت امنیتی ندارد چون file $ folder lock در برابر دسترسی های غیر مجاز کاربران است نه ربطی به فایروال دارد نه ربطی به مخرب ها و ضدویروس ها. اما خوب است یک سوئیت امنیتی این گزینه را نیز داشته باشد اما نبود این گزینه ضعف نیست.
9- تست را دیدم و حرف شما صحیح اما باز هم میگم من نتایج تست ها را قبول ندارم ولی برای دوستانی که قبول دارند حرف شما صحیح(اگر ممکنه ذکر کنید که به چه دلیل میگید این تست ها مربوط به hips است چون من اطلاع ندارم)
10- حرف شما صحیح اما باید بگم self defense کومودو در برابر کاربر ضعیف است نه در برابر مخرب اما با این حال حرف شما صحیح است و از نظر self defence نرم افزار outpost قویتر عمل کرده(به گفته خود نویسندگان کومودو تا نسخه ای 6 این گزینه اضافه می شود).

نتیجه گیری :
نمی توانیم بگوییم که کومودو به کار نمی اید و باید ان را حذف کنیم و یک سوئیت امنیتی دیگر نصب کنیم. کومودو هم مثل بقیه نرم افزار ها از خیلی جهات قوی عمل کرده و از خیلی جهات ضعیف .

حالا من یک چیز به این مقایسه اضافه می کنم :
- کومودو در برابر مخرب هاب ناشناخته خیلی عالی عمل کرده (طبق تست های خودم در این انجمن) اما outpost تا جای که من اطلاع دارم خوب عمل نکرده.
(ایا شما حاضر هستید مخرب های نا شناخته را در سیستم خود با وجود outpost اجرا کنید؟؟)
-----------------------
در نهایت باید بگم شاید هم outpost در برابر مخرب های ناشناخته ضعیف عمل کند اما باز هم outpost یک سوئیت امنیتی قدرتمند است و یک ضعف نمی تواند امنیت کل سیستم را زیر سوال ببرد دقیقا مانند کومودو.
با تشکر

***لینک تاپیکـــــــــ

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

جوابیه outpost

  محتوای مخفی: جوابیه های آوت پست 

[

[outpost]

هرچند NIDS عملا در برابر حملات دقیق و هکرهای واقعی کارایی نداره اما دربرابر حملات کور و هکرهای مبتدی موثره

با عبارت حملات كور و مبتدي كاملا مخالفم.

حملات ساده و مبتدي با يه فايروال ساده كه پورتها رو ببنده دفع ميشه.اما NIDS براي سطح بالاتري از حملات شبكه اي هستش.

NIDS چه در فايروالهاي نرم افزاري و چه در فايروالهاي سخت افزاري براي دفع حملات پيچيده استفاده ميشه.

هر چند كه هيچ سيستم NIDS ي به صورت 100 درصد امنيت رو نمياره ، اما در فايروالها براي سيستم NIDS يه ديتابيس وجود داره كه جديدترين روشهاي نفوذ به شبكه و هك در اون قرار ميگيره تا فايروال بتونه در برابر حملات شناخته شده تا اون لحظه عملكرد مناسبي داشته باشه.

من حتي الان برام سواله كه با نبود NIDS فايروال كمودو ميتونه متوجه Port Scanning بشه و جلوي IP هكر رو بگيره؟

[santamove]

با عبارت حملات كور و مبتدي كاملا مخالفم.

حملات ساده و مبتدي با يه فايروال ساده كه پورتها رو ببنده دفع ميشه.اما NIDS براي سطح بالاتري از حملات شبكه اي هستش.

NIDS چه در فايروالهاي نرم افزاري و چه در فايروالهاي سخت افزاري براي دفع حملات پيچيده استفاده ميشه.

هر چند كه هيچ سيستم NIDS ي به صورت 100 درصد امنيت رو نمياره ، اما در فايروالها براي سيستم NIDS يه ديتابيس وجود داره كه جديدترين روشهاي نفوذ به شبكه و هك در اون قرار ميگيره تا فايروال بتونه در برابر حملات شناخته شده تا اون لحظه عملكرد مناسبي داشته باشه.

من حتي الان برام سواله كه با نبود NIDS فايروال كمودو ميتونه متوجه Port Scanning بشه و جلوي IP هكر رو بگيره؟

General Note: Your computer sends and receives data to other computers and to the Internet through an interface called a 'port'. There are over 65,000 numbered ports on every computer - with certain ports being traditionally reserved for certain services. For example, your machine almost definitely connects to Internet using port 80 and port 443. Your e-mail application connects to your mail server through port 25. A 'port scanning' attack consists of sending a message to each of your computer ports, one at a time. This information gathering technique is used by hackers to find out which ports are open and which ports are being used by services on your machine. With this knowledge, a hacker can determine which attacks are likely to work if used against your machine

توضیحات بیشتر....

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[outpost]

General Note: Your computer sends and receives data to other computers and to the Internet through an interface called a 'port'. There are over 65,000 numbered ports on every computer - with certain ports being traditionally reserved for certain services. For example, your machine almost definitely connects to Internet using port 80 and port 443. Your e-mail application connects to your mail server through port 25. A 'port scanning' attack consists of sending a message to each of your computer ports, one at a time. This information gathering technique is used by hackers to find out which ports are open and which ports are being used by services on your machine. With this knowledge, a hacker can determine which attacks are likely to work if used against your machine

توضیحات بیشتر....

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

من ميدونم كه Comodo ميتونه جلوي Port Scaning رو بگيره.اين كه ديگه خيلي واضحه. اين يه كار ساده است كه همه فايروال ها ميكنن.

سوال من اينه كه اصلا متوجه Port Scanning ميشه. ميتونه براش لاگ و Alert بده ؟

ميتونه IP هكر رو كه داره Port Scanning ميكنه به صورت اتومات ببره تو Black List ؟

آخه من با Comodo كار كردم و هيچوقت خطا با Alert مربوط به Port Scanning و همچنين Option ي براي اينكه بصورت اتوماتيك IP هكر رو ببره تو بلك ليست ، نديدم.

[mostafa akbari]

کتاب به زبان فارسی در مورد IDS

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

  محتوای مخفی: برای آشنایی با ids و ips 

امنیت شبکه(IDS و IPS)

سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی اشاره دارد. شبکه داخلی ممکن است شامل چند کامپیوتر و سرور و یا پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند

IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) :تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار
ترافیک آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی هااین است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند
IDS چیست؟
IDS يك سيستم محافظتي است كه خرابكاريهاي در حال وقوع روي شبكه را شناسايي مي كند.
روش كار به اين صورت است كه با استفاده از تشخيص نفوذ كه شامل مراحل جمع آوري اطلاعات ، پويش پورتها ، به دست آوري كنترل كامپيوترها و نهايتا هك كردن مي باشد ، مي تواند نفوذ خرابكاريها را گزارش و كنترل كند.
از قابليتهاي ديگر IDS ، امكان تشخيص ترافيك غيرمتعارف از بيرون به داخل شبكه و اعلام آن به مدير شبكه و يا بستن ارتباطهاي مشكوك و مظنون مي باشد.
ابزار IDS قابليت تشخيص حملات از طرف كاربران داخلي و كاربران خارجي را دارد.
بر خلاف نظر عمومي كه معتقدند هر نرم افزاري را مي توان به جاي IDS استفاده كرد، دستگاههاي امنيتي زير نمي توانند به عنوان IDS مورد استفاده قرار گيرند:
1 - سيستم هايي كه براي ثبت وقابع شبكه مورد استفاده قرار مي گيرند مانند : دستگاههايي كه براي تشخيص آسيب پذيري در جهت از كار انداختن سرويس و يا حملات مورد استفاده قرار مي گيرند.
2- ابزارهاي ارزيابي آسيب پذيري كه خطاها و يا ضعف در تنظيمات را گزارش مي دهند.
3- نرم افزارهاي ضدويروس كه براي تشخيص انواع كرمها، ويروسها و به طوركلي نرم افزارهاي خطرناك تهيه شده اند.
4- ديواره آتش (Firewall )
5- مكانيزمهاي امنيتي مانند SSL ، --- و Radius و ...




چرا ديواره آتش به تنهايي كافي نيست ؟
به دلايل زير ديواره هاي آتش نمي توانند امنيت شبكه را به طور كامل تامين كنند :
1. چون تمام دسترسي ها به اينترنت فقط از طريق ديواره آتش نيست.
2. تمام تهديدات خارج از ديواره آتش نيستند.
3. امنيت كمتر در برابر حملاتي كه توسط نرم افزارها مختلف به اطلاعات و داده هاي سازمان مي شود ، مانند Active ، Java Applet، Virus Programs.


تكنولوژي IDS
NIDS (Network Base)
گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS (Host Base)
تعداد زيادي از شركتها در زمينه توليد اين نوع IDS فعاليت مي كنند.روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.داراي اعلان خطر در لحظه مي باشد.
جمع آوري اطلاعات در لايه Application
مثال اين نوع IDS ، نرم افزارهاي مديريتي مي باشند كه ثبت وقايع را توليد و كنترل مي كنند.
Honey pot
سيستمي مي باشد كه عملا طوري تنظيم شده است كه در معرض حمله قرار بگيرد. اگر يك پويشگري از NIDS ، HIDS و ديواره آتش با موفقيت رد شود متوجه نخواهد شد كه گرفتار يك Honey pot شده است. و خرابكاري هاي خود را روي آن سيستم انجام مي دهد و مي توان از روشهاي اين خرابكاريي ها براي امن كردن شبكه استفاده كرد.
Honey pot چیست؟
Honeypotها يك تكنولوژي جديد می باشند که قابليتهاي فراواني براي جامعه امنيتي دارند. البته مفهوم آن در ابتدا به صورتهاي مختلفي تعريف شده بود به خصوص توسط Cliff Stoll در كتاب « The Cuckoos Egg » . از آنجا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسيله ابزارهاي امنيتي قوي توسعه يافتند و رشد آنها تا به امروز ادامه داشته است. هدف اين مقاله تعريف و شرح واقعي Honeypot مي باشد و بيان منفعت ها و مضرات آنها و اينكه آنها در امنيت چه ارزشي براي ما دارند.
تعريف
قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.

. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.

فوايد Honeypot ها

Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.

2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.

3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.

4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.


مضرات Honeypot ها
شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژيهاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.

تفاوت شکلی تشخیص با پیش گیری
در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال، آنها لیست بلندبالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به حفظ وضعیت، گردآوری بخش های TCP، ارزیابی پروتکل و تطبیق امضاء دارند. اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته می شوند. یک IPS (Intrusion Prevention System) یا سیستم پیش گیری مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک IDS (Intrusion Detection System) یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.

تشخیص نفوذ
هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه است. این سیستم روی بسته های داده که از ابزار کنترل دسترسی عبور کرده اند، عمل می کند. به دلیل وجود محدودیت های اطمینان پذیری، تهدیدهای داخلی و وجود شک و تردید مورد نیاز، پیش گیری از نفوذ باید به بعضی از موارد مشکوک به حمله اجازه عبور دهد تا احتمال تشخیص های غلط (false positive) کاهش یابد. از طرف دیگر، روش های IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه، نفوذها و سوء استفاده ها بهره می گیرند. یک IDS معمولاً به گونه ای از پهنای باند استفاده می کند که می تواند بدون تأثیر گذاشتن روی معماری های محاسباتی و شبکه ای به کار خود ادامه دهد.امنیت شبکه
طبیعت منفعل IDS آن چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته ها را ایجاد می کند. همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار می دهد:
حملات شناخته شدهv از طریق امضاءها و قوانین
تغییرات در حجم و جهت ترافیک با استفاده ازv قوانین پیچیده و تحلیل آماری
تغییرات الگوی ترافیک ارتباطی با استفاده ازv تحلیل جریان
تشخیص فعالیت غیرعادی با استفاده از تحلیل انحرافv معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان وv تشخیص خلاف قاعده

بعضی حملات تا درجه ای از یقین بسختی قابل تشخیص هستند، و بیشتر آنها فقط می توانند توسط روش هایی که دارای طبیعت غیرقطعی هستند تشخیص داده شوند. یعنی این روش ها برای تصمیم گیری مسدودسازی براساس سیاست مناسب نیستند.
پیش گیری از نفوذ
چنانچه قبلاً هم ذکر شد، روش های پیش گیری از نفوذ به منظور محافظت از دارایی ها، منابع، داده و شبکه ها استفاده می شوند. انتظار اصلی از آنها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار می دهند. هدف نهایی یک سیستم کامل است- یعنی نه تشخیص غلط حمله (false positive) که از بازدهی شبکه می کاهد و نه عدم تشخیص حمله (false negative) که باعث ریسک بی مورد در محیط شبکه شود. شاید یک نقش اساسی تر نیاز به مطمئن بودن است؛ یعنی فعالیت به روش مورد انتظار تحت هر شرایطی. بمنظور حصول این منظور، روش های IPS باید طبیعت قطعی (deterministic) داشته باشند.
قابلیت های قطعی، اطمینان مورد نیاز برای تصمیم گیری های سخت را ایجاد می کند. به این معنی که روش های پیش گیری از نفوذ برای سروکار داشتن با موارد زیر ایده آل هستند:
v برنامه های ناخواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی، با استفاده از قوانین قطعی و لیست های کنترل دسترسی
بسته های دیتای متعلق بهv حمله با استفاده از فیلترهای بسته داده ای سرعت بالا
سوءاستفاده ازv پروتکل و دستکاری پروتکل شبکه با استفاده از بازسازی هوشمند
حملاتv DoS/DDoS مانند طغیان SYN و ICMP با استفاده از الگوریتم های فیلترینگ برپایه حد آستانه
سوءاستفاده از برنامه ها و دستکاری های پروتکل ـ حملات شناخته شدهv و شناخته نشده علیه HTTP، FTP، DNS، SMTP و غیره با استفاده از قوانین پروتکل برنامه ها و امضاءها
باراضافی برنامه ها با استفاده از ایجاد محدودیت هایv مصرف منابع

تمام این حملات و وضعیت آسیب پذیری که به آنها اجازه وقوع می دهد به خوبی مستندسازی شده اند. بعلاوه، انحرافات از پروتکل های ارتباطی از لایه شبکه تا لایه برنامه جایگاهی در هیچ گونه ترافیک صحیح ندارند.
در نتیجه اینکه تفاوت بین IDS و IPS به فلسفه جبرگرایی می انجامد. یعنی IDS می تواند (و باید) از روش های غیرقطعی برای استنباط هرنوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند IDS به درد افرادی می خورد که واقعاً می خواهند بدانند چه چیزی در شبکه شان در حال رخ دادن است. از طرف دیگر، IPS باید در تمام تصمیماتش برای انجام وظیفه اش در پالایش ترافیک قطعیت داشته باشد. از یک ابزار IPS انتظار می رود که در تمام مدت کار کند و در مورد کنترل دسترسی تصمیم گیری کند. فایروال ها اولین رویکرد قطعی را برای کنترل دسترسی در شبکه ها با ایجاد قابلیت اولیه IPS فراهم کردند. ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اضافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترل دسترسی ها مشارکت دارند.


مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.
سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند. تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای --- و RAS می گیرد.
روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
کنترل دسترسی\تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
مزایا
تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.
سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.
روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.

معایب
IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.
سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.

[santamove]

من ميدونم كه Comodo ميتونه جلوي Port Scaning رو بگيره.اين كه ديگه خيلي واضحه. اين يه كار ساده است كه همه فايروال ها ميكنن.

سوال من اينه كه اصلا متوجه Port Scanning ميشه. ميتونه براش لاگ و Alert بده ؟

ميتونه IP هكر رو كه داره Port Scanning ميكنه به صورت اتومات ببره تو Black List ؟

آخه من با Comodo كار كردم و هيچوقت خطا با Alert مربوط به Port Scanning و همچنين Option ي براي اينكه بصورت اتوماتيك IP هكر رو ببره تو بلك ليست ، نديدم.

شما بروید دو کتاب firewall و tcp/ip رو بخونید!!!

****وقتی پورت ها مخفی هستن،افراد دیگه چه طور می تونن پورت هاتونو اسکن کنند؟؟؟

شما سطح اطلاعاتتان در دو حوزه security و network بسیار پایین هست....

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[outpost]

شما بروید دو کتاب firewall و tcp/ip رو بخونید!!!

****وقتی پورت ها مخفی هستن،افراد دیگه چه طور می تونن پورت هاتونو اسکن کنند؟؟؟

شما سطح اطلاعاتتان در دو حوزه security و network بسیار پایین هست....

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اسكن كردن پورتها از طريق فرستادن Packet هاي اطلاعاتي به اون پورتها انجام ميشه.

درسته كه همه فايروالها جلوي اون Packet رو ميگيرن و به اصلاح Port رو Stealth ميكنن.

اما فايروالهاي پيشرفته گزينه اي دارن كه به محض اينكه ببينن يك يا چند Port داره اسكن ميشه ، سريعا IP اون هكر رو ميبرن تو بلك ليست تا از (حملات احتمالي) جلوگيري كنن.

من دارم ميپرسم آيا در كمودو اين سيستم وجود داره كه براي جلوگيري از (حمله احتمالي) ، بصورت اتوماتيك IP هكر رو ببره تو بلك ليست ؟

ببينم ، احيانا پرسيدن سوال تو تاپيك كمودو جزو جرايم كه نيست ؟