إن الوسائل التقنية لـ IDS في الواقع ليست غامضة جدًا. بعد ذلك، ستستخدم هذه المقالة أسلوب "اتبع الكرمة" لتقدم لك بنية بسيطة نسبيًا لمستوى الدخول لـ IDS . من منظور توزيع السوق وسهولة الاستحواذ، فمن الأنسب اختيار NIDS كمثال للنشر. تستخدم هذه المقالة نظام التشغيل Windows الكامل للتشغيل خلال عملية كشف التسلل بأكملها، ونظرًا لقيود المساحة، فقد تم ذكرها من منظور التحليل النوعي.
المعرفة الأولية
IDS: نظام كشف التسلل، وهو مزيج ذكي من البرامج والأجهزة التي تجمع معلومات نظام الشبكة لإجراء كشف التسلل وتحليله.
هناك منظمتان تقومان بتنفيذ أعمال توحيد نظام كشف التسلل (IDS): مجموعة عمل كشف التسلل (IDWG، مجموعة عمل كشف التسلل) التابعة لـ IETF، واضعة معايير الإنترنت الدولية، وإطار عمل كشف التسلل المشترك (CIDF، إطار عمل كشف التسلل المشترك).
تصنيف IDS: معرفات الشبكة (المعتمدة على الشبكة)، IDS المستندة إلى المضيف (المعتمد على المضيف)، IDS الهجين (المختلط)، IDS لوحدات التحكم (وحدة التحكم)، فاحص سلامة الملفات (مدقق سلامة الملف)، مصائد الجذب (مصائد مخترقي الشبكات). نظام توليد الأحداث
وفقًا لفكرة النموذج العام لنظام كشف التسلل (IDS) التي شرحها CIDF، يظهر في الشكل أبسط مكون لكشف التسلل مع جميع العناصر. وفقًا لمواصفات CIDF، تسمى البيانات التي يحتاج IDS إلى تحليلها بشكل جماعي الأحداث. وقد تكون عبارة عن حزم بيانات في الشبكة، أو معلومات تم الحصول عليها من سجل النظام أو طرق أخرى.
بدون تدفق البيانات (أو جمع البيانات)، فإن IDS عبارة عن شجرة بدون جذور وعديمة الفائدة تمامًا.
باعتباره التنظيم الأساسي لـ IDS، يمكن لنظام توليد الأحداث أن يلعب دورًا كبيرًا، فهو يجمع كل الأحداث المحددة ثم ينقلها إلى المكونات الأخرى دفعة واحدة. في بيئة Windows، يتمثل الأسلوب الأساسي الحالي في استخدام Winpcap وWinDump.
كما نعلم جميعًا، بالنسبة لأنظمة إنشاء الأحداث وتحليلها، تحظى البرامج والبرامج المستندة إلى منصات Linux وUnix بشعبية كبيرة حاليًا، وفي الواقع، يوجد أيضًا على نظام Windows برنامج مشابه لـ Libpcap (وهو برنامج ضروري لنظام Unix أو Linux لالتقاط حزم الشبكة من النواة) الأداة هي Winpcap.
Winpcap عبارة عن واجهة برمجة تطبيقات مجانية لواجهة الشبكة تعتمد على نظام التشغيل Windows وتقوم بتعيين بطاقة الشبكة على الوضع "المختلط" ثم تقوم بالتكرار عبر الحزم التي تم التقاطها من الشبكة. تقنيتها سهلة التنفيذ، ومحمولة للغاية، ولا علاقة لها ببطاقات الشبكة، ولكنها ليست فعالة ومناسبة للشبكات التي تقل سرعتها عن 100 ميجابت في الثانية.
أداة استنشاق الشبكة المقابلة المستندة إلى Windows هي WinDump (نسخة منقولة من Tcpdump على نظام Linux/Unix الأساسي على Windows). يجب أن يعتمد هذا البرنامج على واجهة Winpcap (أحد الأشخاص هنا يسمي بوضوح Winpcap: برنامج تشغيل استنشاق البيانات). باستخدام WinDump، يمكنه عرض رؤوس حزم البيانات المطابقة للقواعد. يمكنك استخدام هذه الأداة للعثور على مشكلات الشبكة أو مراقبة ظروف الشبكة. ويمكنك مراقبة السلوكيات الآمنة وغير الآمنة من الشبكة بشكل فعال إلى حد ما.
يمكن العثور على كلا البرنامجين مجانًا عبر الإنترنت، ويمكن للقراء أيضًا مشاهدة البرامج التعليمية ذات الصلة باستخدام البرنامج.
فيما يلي مقدمة موجزة عن الخطوات اللازمة لإنشاء اكتشاف الأحداث وجمعها.
1. تجميع أنظمة البرمجيات والأجهزة. اعتمادًا على مدى انشغال الشبكة، حدد ما إذا كنت تريد استخدام جهاز كمبيوتر عادي متوافق أو خادم مخصص بأداء أعلى. لتثبيت نظام التشغيل Windows NT الأساسي، يوصى باستخدام Windows Server 2003 Enterprise Edition إذا لم يتم استيفاء الشروط ، يمكنك أيضًا استخدام Windows 2000 Advanced Server. يوصى بأن يكون تنسيق القسم هو تنسيق NTFS.
2. يجب أن يكون تقسيم مساحة الخادم معقولًا وفعالًا لتثبيت برامج التنفيذ وتخزين سجلات البيانات، ومن الأفضل وضع المساحتين في أقسام مختلفة.
3. تنفيذ بسيط لبرنامج Winpcap. قم أولاً بتثبيت برنامج التشغيل الخاص به. يمكنك تنزيل برنامج التثبيت التلقائي WinPcap (برنامج التشغيل + ملفات DLL) من صفحته الرئيسية أو موقع النسخة المتطابقة وتثبيته مباشرة.
ملاحظة: إذا كنت تستخدم Winpcap للتطوير، فستحتاج أيضًا إلى تنزيل حزمة المطور.
يتضمن WinPcap ثلاث وحدات: الوحدة الأولى NPF (عامل تصفية حزم Netgroup) هي ملف VxD (برنامج تشغيل الجهاز الظاهري). وتتمثل مهمتها في تصفية حزم البيانات وتمرير هذه الحزم سليمة إلى وحدة وضع المستخدم. توفر الوحدة النمطية الثانية packet.dll واجهة عامة لمنصة Win32 وهي مبنية على packet.dll وتوفر طريقة برمجة أكثر ملاءمة ومباشرة. الوحدة الثالثة Wpcap.dll لا تعتمد على أي نظام تشغيل، فهي مكتبة الارتباط الديناميكي الأساسية وتوفر وظائف عالية المستوى ومجردة. يتم تناول تعليمات محددة للاستخدام على مواقع الويب الرئيسية. تتطلب كيفية استخدام Winpcap بشكل أفضل قدرات برمجة قوية في بيئة C.
4. إنشاء WinDump. بعد التثبيت، قم بالتشغيل في وضع موجه أوامر Windows، ويمكن للمستخدمين التحقق من حالة الشبكة بأنفسهم دون الخوض في التفاصيل.
إذا لم تكن هناك مشكلات في توافق البرامج وكان التثبيت والتكوين صحيحين، فيمكن تحقيق اكتشاف الأحداث وجمعها.
[قص الصفحة]نظام تحليل الأحداث
نظرًا لأن معظم شبكاتنا متصلة بواسطة محولات Ethernet، فإن الغرض من إنشاء نظام تحليل الأحداث هو اكتشاف أجهزة جدار حماية الشبكة المتعددة ودعم طرق التجميع المتعددة (مثل التجميع بناءً على معلومات بيانات Snmp وSyslog)، وتوفير أحداث معينة وظائف معالجة السجل والإحصائيات والتحليل والاستعلام.
نظام تحليل الأحداث هو الوحدة الأساسية لـ IDS، وتتمثل مهمتها الرئيسية في تحليل الأحداث المختلفة واكتشاف السلوكيات التي تنتهك السياسات الأمنية، وهي النقطة الأساسية والصعبة. إذا كان بإمكانك كتابة نظام برمجي بنفسك أو بالتعاون مع آخرين، فأنت بحاجة إلى إجراء استعدادات صارمة للتطوير المبكر، مثل الحصول على فهم واضح لبروتوكولات الشبكة وهجمات القراصنة ونقاط ضعف النظام، ثم البدء في صياغة القواعد والاستراتيجيات، والتي يجب أن تعتمد على التقنيات القياسية والمواصفات، ومن ثم تحسين الخوارزمية لتحسين كفاءة التنفيذ، وإنشاء نموذج الكشف، ومحاكاة عملية الهجوم والتحليل.
يتواجد نظام تحليل الأحداث في محرك الكشف في قطاع شبكة المراقبة ويقوم عمومًا بإجراء التحليل من خلال ثلاث وسائل تقنية: مطابقة الأنماط، وتحليل البروتوكول، والتحليل السلوكي. عند اكتشاف نمط معين من سوء الاستخدام، يتم إنشاء رسالة تحذيرية مقابلة وإرسالها إلى نظام الاستجابة. في الوقت الحاضر، يعد استخدام تحليل البروتوكول هو أفضل طريقة للكشف في الوقت الفعلي.
إحدى الطرق الممكنة لهذا النظام هي استخدام محلل البروتوكول باعتباره الجسم الرئيسي، والذي يمكن بناؤه على أساس مجموعات أدوات تحليل البروتوكول الجاهزة والمفتوحة، ويمكن لمحلل البروتوكول عرض تدفقات نقل الشبكة على مستوى الحزمة وتنفيذ التحذيرات تلقائيًا استنادًا إلى قواعد بروتوكول الشبكة للكشف بسرعة عن وجود الهجمات، مما يسمح لمبرمجي الشبكة ومسؤوليها بمراقبة وتحليل نشاط الشبكة لاكتشاف الأخطاء وتحديد موقعها بشكل استباقي. يمكن للمستخدمين تجربة محلل بروتوكول الشبكة المجاني المسمى Ethereal، والذي يدعم أنظمة Windows. يمكن للمستخدمين تحليل البيانات التي تم التقاطها بواسطة نظام إنشاء الأحداث وحفظها على القرص الصلب. يمكنك تصفح الحزم الملتقطة بشكل تفاعلي وعرض الملخص والمعلومات التفصيلية لكل حزمة. يتمتع Ethereal بمجموعة متنوعة من الميزات القوية، مثل دعم جميع البروتوكولات تقريبًا ولغات التصفية الغنية وسهولة عرض تدفقات البيانات المُعاد بناؤها لجلسات TCP.
نظام استجابة
نظام الاستجابة هو نظام تفاعلي للأشخاص والأشياء ويمكن القول بأنه محطة النقل ومحطة التنسيق للنظام بأكمله. الأشخاص هم مسؤولو النظام والأشياء هي جميع المكونات الأخرى. لكي نكون أكثر تحديدًا، يتعين على منسق نظام الاستجابة الكثير للقيام به: تسجيل الأحداث الأمنية، وإنشاء رسائل إنذار (مثل رسائل البريد الإلكتروني)، وتسجيل سجلات إضافية، وعزل المتسللين، وإنهاء العمليات، وحظر الإيذاء بطريقة محددة مسبقًا يمكن اعتماد منفذ وخدمة المهاجم، أو حتى الرد اليدوي والاستجابة التلقائية (الاستجابة الآلية)، وسيكون الجمع بين الاثنين أفضل.
عناصر تصميم النظام سريعة الاستجابة
(1) تلقي معلومات إنذار الحدث من نظام توليد الحدث الذي تمت تصفيته وتحليله وإعادة بنائه بواسطة نظام تحليل الحدث، ثم التفاعل مع المستخدم (المسؤول) للاستعلام وإصدار أحكام القواعد واتخاذ إجراءات الإدارة.
(2) تزويد المسؤولين بواجهة لإدارة نظام قاعدة بيانات الأحداث، حيث يمكنهم تعديل قاعدة القاعدة وتكوين سياسات الأمان وفقًا لبيئات الشبكة المختلفة وقراءة نظام قاعدة البيانات وكتابته.
(3) عند العمل على نظام الواجهة الأمامية، يمكنه إدارة أنظمة إنشاء الأحداث وتحليلها (تسمى مجتمعة أجهزة كشف الأحداث)، وتصنيف وتصفية الأحداث التي تم جمعها واكتشافها وتحليلها بواسطة النظام، وإعادة تنفيذ قواعد الأمان وفقًا لـ المواقف الأمنية المختلفة.
عادةً ما يتم تنفيذ أنظمة الاستجابة وكاشفات الأحداث كتطبيقات.
فكرة التصميم: يمكن تقسيم نظام الاستجابة إلى قسمين للبرنامج، المراقبة والتحكم. يقوم جزء الاستماع بربط منفذ خامل، ويتلقى نتائج التحليل والمعلومات الأخرى المرسلة من كاشف الأحداث، ويحول الملفات المخزنة إلى نظام قاعدة بيانات الأحداث، كمسؤول، يمكن للمسؤول الاتصال بالقراءة فقط والتعديل والعمليات الخاصة وفقًا لذلك إلى أذونات المستخدم. يمكن لجزء التحكم استخدام GTK + لكتابة واجهة المستخدم الرسومية وتطوير واجهة مستخدم رسومية أكثر سهولة. والغرض الرئيسي هو منح المستخدمين واجهة أكثر ملاءمة وسهولة لتصفح معلومات التحذير.
نظام قاعدة بيانات الأحداث
في ظل نظام التشغيل Windows، على الرغم من أن إتقان Access أسهل، إلا أن بنائه باستخدام SQL Server 2000 أكثر فعالية من Access، وليس من الصعب البدء. والوظائف الرئيسية لهذا النظام هي: تسجيل معلومات الأحداث وتخزينها وإعادة ترتيبها. والتي يمكن للمسؤولين استدعاؤها لعرض ومراجعة استخدام الأدلة الجنائية لمراجعة الهجوم.
هيكل هذا النظام بسيط نسبيًا ولا يتطلب سوى بعض الوظائف الأساسية لبرنامج قاعدة البيانات.
لتنسيق الاتصال الهادف بين المكونات، يجب أن تفهم المكونات بشكل صحيح دلالات البيانات المختلفة التي يتم تمريرها فيما بينها. يمكنك الرجوع إلى آلية الاتصال الخاصة بـ CIDF لبناء نموذج ثلاثي الطبقات. انتبه إلى قابلية التشغيل البيني بين المكونات المختلفة لضمان السلامة والكفاءة والسلاسة.
وسيستمر التكامل في العمل اللاحق، وسيستمر تحسين وظائف كل مكون. تم الانتهاء من إطار عمل IDS الأساسي المستند إلى نظام التشغيل Windows. إذا كنت تستوفي متطلبات الإنترنت، فحاول صنع الجبن بنفسك، فهناك حلاوة لا توصف بعد العمل الشاق.
[قص الصفحة]نظام تحليل الأحداث
نظرًا لأن معظم شبكاتنا متصلة بواسطة محولات Ethernet، فإن الغرض من إنشاء نظام تحليل الأحداث هو اكتشاف أجهزة جدار حماية الشبكة المتعددة ودعم طرق التجميع المتعددة (مثل التجميع بناءً على معلومات بيانات Snmp وSyslog)، وتوفير أحداث معينة وظائف معالجة السجل والإحصائيات والتحليل والاستعلام.
نظام تحليل الأحداث هو الوحدة الأساسية لـ IDS، وتتمثل مهمتها الرئيسية في تحليل الأحداث المختلفة واكتشاف السلوكيات التي تنتهك السياسات الأمنية، وهي النقطة الأساسية والصعبة. إذا كان بإمكانك كتابة نظام برمجي بنفسك أو بالتعاون مع آخرين، فأنت بحاجة إلى إجراء استعدادات صارمة للتطوير المبكر، مثل الحصول على فهم واضح لبروتوكولات الشبكة وهجمات القراصنة ونقاط ضعف النظام، ثم البدء في صياغة القواعد والاستراتيجيات، والتي يجب أن تعتمد على التقنيات القياسية والمواصفات، ومن ثم تحسين الخوارزمية لتحسين كفاءة التنفيذ، وإنشاء نموذج الكشف، ومحاكاة عملية الهجوم والتحليل.
يتواجد نظام تحليل الأحداث في محرك الكشف في قطاع شبكة المراقبة ويقوم عمومًا بإجراء التحليل من خلال ثلاث وسائل تقنية: مطابقة الأنماط، وتحليل البروتوكول، والتحليل السلوكي. عند اكتشاف نمط معين من سوء الاستخدام، يتم إنشاء رسالة تحذيرية مقابلة وإرسالها إلى نظام الاستجابة. في الوقت الحاضر، يعد استخدام تحليل البروتوكول هو أفضل طريقة للكشف في الوقت الفعلي.
إحدى الطرق الممكنة لهذا النظام هي استخدام محلل البروتوكول باعتباره الجسم الرئيسي، والذي يمكن بناؤه على أساس مجموعات أدوات تحليل البروتوكول الجاهزة والمفتوحة، ويمكن لمحلل البروتوكول عرض تدفقات نقل الشبكة على مستوى الحزمة وتنفيذ التحذيرات تلقائيًا استنادًا إلى قواعد بروتوكول الشبكة للكشف بسرعة عن وجود الهجمات، مما يسمح لمبرمجي الشبكة ومسؤوليها بمراقبة وتحليل نشاط الشبكة لاكتشاف الأخطاء وتحديد موقعها بشكل استباقي. يمكن للمستخدمين تجربة محلل بروتوكول الشبكة المجاني المسمى Ethereal، والذي يدعم أنظمة Windows. يمكن للمستخدمين تحليل البيانات التي تم التقاطها بواسطة نظام إنشاء الأحداث وحفظها على القرص الصلب. يمكنك تصفح الحزم الملتقطة بشكل تفاعلي وعرض الملخص والمعلومات التفصيلية لكل حزمة. يتمتع Ethereal بمجموعة متنوعة من الميزات القوية، مثل دعم جميع البروتوكولات تقريبًا ولغات التصفية الغنية وسهولة عرض تدفقات البيانات المُعاد بناؤها لجلسات TCP.
نظام استجابة
نظام الاستجابة هو نظام تفاعلي للأشخاص والأشياء ويمكن القول بأنه محطة النقل ومحطة التنسيق للنظام بأكمله. الأشخاص هم مسؤولو النظام والأشياء هي جميع المكونات الأخرى. لكي نكون أكثر تحديدًا، يتعين على منسق نظام الاستجابة الكثير للقيام به: تسجيل الأحداث الأمنية، وإنشاء رسائل إنذار (مثل رسائل البريد الإلكتروني)، وتسجيل سجلات إضافية، وعزل المتسللين، وإنهاء العمليات، وحظر الإيذاء بطريقة محددة مسبقًا يمكن اعتماد منفذ وخدمة المهاجم، أو حتى الرد اليدوي والاستجابة التلقائية (الاستجابة الآلية)، وسيكون الجمع بين الاثنين أفضل.
عناصر تصميم النظام سريعة الاستجابة
(1) تلقي معلومات إنذار الحدث من نظام توليد الحدث الذي تمت تصفيته وتحليله وإعادة بنائه بواسطة نظام تحليل الحدث، ثم التفاعل مع المستخدم (المسؤول) للاستعلام وإصدار أحكام القواعد واتخاذ إجراءات الإدارة.
(2) تزويد المسؤولين بواجهة لإدارة نظام قاعدة بيانات الأحداث، حيث يمكنهم تعديل قاعدة القاعدة وتكوين سياسات الأمان وفقًا لبيئات الشبكة المختلفة وقراءة نظام قاعدة البيانات وكتابته.
(3) عند العمل على نظام الواجهة الأمامية، يمكنه إدارة أنظمة إنشاء الأحداث وتحليلها (تسمى مجتمعة أجهزة كشف الأحداث)، وتصنيف وتصفية الأحداث التي تم جمعها واكتشافها وتحليلها بواسطة النظام، وإعادة تنفيذ قواعد الأمان وفقًا لـ المواقف الأمنية المختلفة.
عادةً ما يتم تنفيذ أنظمة الاستجابة وكاشفات الأحداث كتطبيقات.
فكرة التصميم: يمكن تقسيم نظام الاستجابة إلى قسمين للبرنامج، المراقبة والتحكم. يقوم جزء الاستماع بربط منفذ خامل، ويتلقى نتائج التحليل والمعلومات الأخرى المرسلة من كاشف الأحداث، ويحول الملفات المخزنة إلى نظام قاعدة بيانات الأحداث، كمسؤول، يمكن للمسؤول الاتصال بالقراءة فقط والتعديل والعمليات الخاصة وفقًا لذلك إلى أذونات المستخدم. يمكن لجزء التحكم استخدام GTK + لكتابة واجهة المستخدم الرسومية وتطوير واجهة مستخدم رسومية أكثر سهولة. والغرض الرئيسي هو منح المستخدمين واجهة أكثر ملاءمة وسهولة لتصفح معلومات التحذير.
نظام قاعدة بيانات الأحداث
في ظل نظام التشغيل Windows، على الرغم من أن إتقان Access أسهل، إلا أن بنائه باستخدام SQL Server 2000 أكثر فعالية من Access، وليس من الصعب البدء. والوظائف الرئيسية لهذا النظام هي: تسجيل معلومات الأحداث وتخزينها وإعادة ترتيبها. والتي يمكن للمسؤولين استدعاؤها لعرض ومراجعة استخدام الأدلة الجنائية لمراجعة الهجوم.
هيكل هذا النظام بسيط نسبيًا ولا يتطلب سوى بعض الوظائف الأساسية لبرنامج قاعدة البيانات.
لتنسيق الاتصال الهادف بين المكونات، يجب أن تفهم المكونات بشكل صحيح دلالات البيانات المختلفة التي يتم تمريرها فيما بينها. يمكنك الرجوع إلى آلية الاتصال الخاصة بـ CIDF لبناء نموذج ثلاثي الطبقات. انتبه إلى قابلية التشغيل البيني بين المكونات المختلفة لضمان السلامة والكفاءة والسلاسة.
وسيستمر التكامل في العمل اللاحق، وسيستمر تحسين وظائف كل مكون. تم الانتهاء من إطار عمل IDS الأساسي المستند إلى نظام التشغيل Windows. إذا كنت تستوفي متطلبات الإنترنت، فحاول صنع الجبن بنفسك، فهناك حلاوة لا توصف بعد العمل الشاق.