أنظمة كشف و حماية الإختراق (IPS)

السلام عليكم..

موضوعي الأول الذي سيكون مقدمة مبسطة عن أنظمة الحماية و كشف الاختراقات والتسلل (IDPS)  وسيكون لي عودة إلى مواضيع متخصصة في هذا المجال بشكل علمي (من ناحية النظريات المستخدمة) وبشكل تجاري  ( من ناحية التطبيقات والشركات الرائدة في  هذا المجال)في المستقبل القريب.

مقدمة:

الدفاع في العمق يعد من أفضل الطرق المتبعة حين يصمم مهندسي الأمن والحماية برمجياتهم و معداتهم وانظمتهم بشكل عام. وتعد أنظمة كشف التسلل (IDS) و انظمة مكافحة التسلل (IPS) من أهم المكونات التي ينصح باستخدامها عند تطبيق طريقة الدفاع في العمق. حتى وقت قريب كانت جميع الشركات تسوق منتجاتها بشكل منفرد كأنظمة كشف التسلل (IDS) أو  انظمة مكافحة التسلل (IPS) ولكن بسبب التقدم التقني في الاجهزة والبرمجيات ؛ أصبحت تسوق الاّن كنظام موحد يسمى نظام كشف و مكافحة الإختراق (IDPS) ( تنبيه: ملف PDF).

قبل التفاصيل أود أن أوضح أن هذه الأنظمة ليست جدارا ناريا (Firewall) ولا برامج لمكافحة الفيروسات (Anti-Virus). بل هي عبارة عن أنظمة تجهز بشكل معين ويتم توصيلها في الشبكات بطريقة خاصة  بحيث تتمكن من مراقبة كل المعلومات المتدفقة إلى داخل الشبكة.

شكل (1) - إحدى طرق تجهيز وتركيب نظام كشف و مكافحة الإختراقات

أين يوصل هذا النظام؟

يوضح الشكل رقم (1) إحدى أفضل الطرق بالنسبة لي لتركيب نظام كشف و مكافحة الإختراق. حيث يتم وضعه عادة على حدود الشبكة. في أغلب الأحيان تكون الحدود عبارة عن جدار ناري يفصل بين الشبكة الخارجية (الانترنت أو أي شبكة غير موثوقة) و الشبكة الداخلية (الانترانت: حيث توجد كل البيانات الداخلية الخاصة بشبكتك). الطريقة الأولى والمتبعة عادة هي تركيب النظام عند النقطة رقم (1) كما هو موضح في الشكل (1) لمرقبة البيانات المتجهة إلى داخل الشبكة الخاصة بك. من فوائد هذه الطريقة هي إمكانية مراقبة جميع البيانات المتجهة إلى الشبكة  لكشف ومكافحة أي محاولة إختراق. الطريقة الثانية هي توصيل النظام عند النقطتين (1) و (2) .تهدف هذه  الطريقة إلى مراقبة البيانات الداخلة قبل الجدار الناري و البيانات التي تمت فلترتها بعد الجدار الناري ومن فوائدها مكافحة الإختراقات بالإضافة إلى دراسة فعالية الجدار الناري ومدى الإفادة منه. الطريقة الثالثة التي قد يتم اعتمادها هي توصيل النظام عند النقطة (2) فقط وهي طريقة تمكن مراقبي الشبكة من مكافحة الإختراقات بعد فلترة البيانات مما قد يمنع من معرفة المحاولات الفاشلة التي توقفت قبل الجدار الناري.

هل هناك تدخل بشري في هذا النظام؟

طبعا نلاحظ في الشكل(1) وجود غرفة لمراقبة أمن الشبكة أو مركز عمليات الأمن (Security Operations Center – SOC) (طبعا في الشركات الكبيرة)  طبعا لا يكتفي المراقبون في هذه الغرف بمراقبة النظام. بل يقومون بتحليل البيانات الواردة من هذه الأنظمة و يقومون بدراستها وتحليلها وتقديم التقارير عنها. وطبعا لأن هذه الأنظمة عبارة عن برمجيات وأجهزة حاسب فإنها لا تستطيع دائما الكشف عن الإختراقات أو حتى مكافحتها. قد تكون هذه الإختراقات معقدة جدا أو جديدة عليها. وهنا يأتي الدور البشري للتدخل مكافحة هذه الإختراقات والرد عليها.

ماذا عن البيانات المتجهة من داخل الشكة إلى خارجها؟

تساؤل يتبادر إلى الأذهان عند ملاحظة ان هذا النظام يراقب فقط البيانات المتجهة من الخارج إلى الداخل. طبعا مراقبة البيانات الداخلة من الانترنت إلى داخل الشبكة  أسبابه واضحة لآن مستخدمي الانترنت  والشبكات الخارجية غير موثوق بهم بالنسبة لشبكتك الداخلية ولذلك فإن الشبكات تعتمد على هذه الأنظمة لمراقبة أي محاولة إختراق خارجية. ولكن  ماذا عن البيانات التي قد يرسلها مستخدمين الشبكة الداخلية إلى الخارج. هل نحتاج إلى مراقبتها. يعتمد هذا السؤال على نوعية البيانات. فمثلا يفضل مهندسي الشبكات في المؤسسات الأمنية والعسكرية مراقبة البيانات الداخلة والخارجة. وهي طبعا طريقة مكلفة حيث يضطر صاحب الشبكة إلى مضاعفة الأجهزة و الموظفين.

كيف تحلل  هذه الأنظمة عن الإختراقات وتكشفها؟

هناك  عدة طرق تحلل بها هذه الأنظمة البيانات للكشف عن الإختراقات:

1- الإعتماد على نمطية (توقيع) الإختراقات (Signature – based) : وهي عن طريق تحليل جميع البيانات ومقارنتها بقاعدة بيانات هائلة تحوي جميع الأنماط والإحتمالات لإختراقات سابقة ومعروفة. وهي أكثر الطرق فعالية وأبسطها.

2- الإعتماد على البيانات غير المألوفة (Anomaly-based) : وهي طريقة تعتمد على واقع أنه حين يحدث إختراقات فإن البيانات ستتغير وتصبح غير طبيعية أو مألوفة بالنسبة للنظام.ولتفعيل هذا النظام يجب على النظام ان يتعلم من خلال مراقبة الشبكة في الوضع الطبيعي قبل تفعيل  خاصية مراقبة الشبكة أو أن يقول مسؤول الشبكة يدويا بإدخال مدخولات تحدد الوضع الطبيعي للشبكة. تعرف هذه الطريقة تعرف أحيانا بطريقة الكشف عن طريق التصرف (Behavior-based).

طبعا  بسبب تقدم التقنيات وتطور أجهزة الحاسب الالي سوف نجد أن بعض الأنظمة تستخدم الطريقتين.

كيف يعمل هذا النظام وماهي مكوناته؟

شكل (2) اّلية عمل النظام

نظام كشف الإختراقات قد يكون جهاز حاسب الي مخصص للمراقبة (مثلا من سيسكو CISCO ) أو برنامج يعمل على نظام لينيكس (مثلا من شركة ISS التي امتلكتها IBM  مؤخرا)

يعمل النظام عن طريق أجهزة أو قد تكون برامج تسمى الحساسات تقوم  بجمع البيانات من الشبكة من ثم إرسالها إلى جهاز أو برنامج (يسمى المحلل) يقوم بتحليل البيانات ودراستها بالإعتماد على الطرق السابق شرحها إما عن طريق نمط الإختراق أو عند وجود بيانات غير طبيعية. بعدها يقوم المحلل بإرسال إنذار إلى برنامج المراقبة الذي يقوم بمراقبته أحد مختصي أمن المعلومات.  بالطبع هذا الشرح مبسط جدا وهو غير وافي لأن النظام يحتوي على العديد من المكونات و برمجيات الذكاء الإصطناعي و سجلت فيه عدة وثائق لبراءة الإختراع. ولكن هذه المقالة  هدفها الأساسي تقديم القاري إلى هذه الأنظمة.

أنواع أخرى من أنظمة كشف ومكافحة الإختراق

1- نظام كشف ومكافحة إختراق الشبكات (NIPS): هي التي تركب وتوصل فعليا في الشبكات و هي التي حاولت الشرح عنها. من أشهرها :

1- cisco  ips

2-Mcafee IPS

3- ISS IBM IPS

2- نظام كشف ومكافحة إختراق الأجهزة  (HOST-based IPS): وهي عباة عن حزمة برامج تعمل بنفس طريقة ال(IPS) ولكنها تراقب جهازا واحد (سواء خادم أو حتي جهاز شخصي). ,و طبعا يمكن الحصول على هذه البرامج من شركات كبيرة مثل Mcafee ..ISS..Bitdefender..Norton..CISCO. ويلاحظ أن العديد من مسؤولي النظم يستخدمون ال HIPS بالإضافة إلى برامج مكافح الفيروسات لرفع درجة الحماية.

أرجو أن أكون قد أفدتكم بمعلوماتي المتواضعة والرجاء توجيه الإستفسارات دون أي تردد.

الصورة رقم 3 توضح ما يراه محلل النظم في يوم عادي