آشنايي با سيستم هاي IDS
IDS(Intrusion Detection System
يا سيستم هاي تشخيص نفوذگر سيستمهايي هستند كه به رديابي نفوذها و گزارش حملاتي كه به رايانه ها شده مي پردازند و علاوه بر سد كردن راه اين نفوذها به كاربر اطلاعات مناسب در مورد نوع نفوذ ، زمان و شخص نفوذ گر مي دهند شايد اين سئوال براي شما پيش آيد كه تفاوت IDS با يك فايروال چيست؟
فايروال معمولا سيستمي است كه با تعريف يك سري قوانين مشخص روي آن از ورود و يا خروج بسته هاي خاص جلوگيري مي كند اما IDS بسته هايي را كه از نظر فايروال اجازه عبور را دارند نيز كنترل نموده و در صورت تشخيص امكان نفوذ آنها را مسدود مي نمايند براي توضيح بيشتر درنظر بگيريد كه ما در برنامه فايروال خود قوانين را تعريف كرده ايم كه امكان دسترسي كاربران اينترنت به پورت 80 رايانه سرور وب خود را داده و به كاربران شبكه محلي خودمان نيز امكان اتصال به پورت 80 رايانه هاي موجود در شبكه اينترنت را داده ايم . از نظر فايروال هر بسته خروجي كه به مقصد پورت 80 ساير رايانه ها باشد مجوز عبور دارد در حالي كه براي مثال ويروس code red از رايانه ميزبان وب ما اتصالات زيادي به پورت 80 ساير رايانه ها بر قرار ساخته و با اشغال كردن مسير ارتباط باعث از كار افتادن سرويس وب ما مي گردد كه اين از نظر يك فايروال بدون اشكال مي باشد اما سيستم IDS با بررسي بسته هاي ارتباطي و اطلاع از نوع عملكرد اين تروجان پي مي برد كه اين يك ويروس Red code بوده و عمليات آنرا متوقف مي نمايد .
IDS داراي يك بانك اطلاعاتي كامل راجع به تروجانها ، نوع عملكرد آنها ، ساختار بسته هاي آنها و پورتي كه معمولا جهت اتصال استفاده مي كنند مي باشند كه به سيستم اين امكان را مي دهد كه از نفوذ به داخل سيستم جلوگيري نمايد ضمنا معمولا يك نفوذ گر قبل از شروع به نفوذ جهت كسب اطلاعات از وضعيت امنيتي سيستم ما اقدام به عملياتي خاص مي نمايد كه اين از ديد يك فايروال مخفي مي ماند براي مثال اولين كاري كه معمولا نفوذ گران انجام مي دهند عمليات بررسي پورتها (Port scan) مي باشد كه جهت كسب اطلاعات راجع به پورتهاي باز و بسته سيستم و اينكه اگر يك پورت باز است چه سرويسي روي سرور فعال شده مي باشد از نظر فايروال يك سري اتصال به پورت هاي مختلف اتفاق افتاده كه نسبت به قوانين تعريف شده در فايروال (باز بودن يا بسته بودن پورت) با آنها برخورد مي شود اما از ديد يك IDS اگر يك شخصي تعداد زيادي اتصال در مدتي كوتاه به پورتهاي سيستم داشته باشد به عنوان يك نفوذ گر كه عمليات Port scan را انجام مي دهد شناخته مي شود و گزارش از عملكرد و همچنين موقعيت او و شناسه (IP) او به كار مي دهد
مديران شبكه با بررسي وضعيت گزارشهاي نفوذ مي توانند تدابير خاص خود را در نظر گرفته و در صورت مشخص بودن موقعيت شخص نفوذگر نسبت به طي مراحل قانوني جهت جلوگيري از نفوذ هاي بعدي و احيانا جبران خسارت اقدام كنند امروزه با وجود ابزارهاي زياد جهت نفوذ به رايانه ها و همچنين وجود هزاران تروجان در روي شبكه
اينترنت نياز به استفاده از يك سيستم IDS بيشتر از پيش احساس مي گردد
منبع: شركت مهران رايانه
جواب بصورت نقل قول
