أنظمة كشف التطفل

الملف الشخصي · 12-22-2010 07:01 PM

أنظمة كشف التطفل

السلام عليكم ورحمة الله وبركاته :

مقدمة

إن أنظمة كشف التطفل مهمة جدا لمن يريد حماية معلوماته أو أجهزته من السرقة , أو لإبقاء المعلومات سرية وفي الكتمان. فهي تكتشف وجود المتطفلين إذا تم اختراق الجهاز لتنبه المستخدم فيقوم بالاحتياطات اللازمة إما بقفل البرامج أو تشغيل جهاز الحماية ونحو ذلك.بدون هذه البرامج والأنظمة قد لا يتنبه المستخدم لمن يخترق الجهاز ويقوم بعمليات تساعد المخترق وتسهل عليه كشف المعلومات السرية وسرقتها. ففي هذه الأوقات التقنيات المستخدمة في الانترنت متطورة و متشعبة , وقد يستخدمها البعض للاختراق والهجوم التي لا يرغب الجميع بها , لما تسببه من أضرار جسيمة في الأجهزة , والشبكات أو في الأموال .

لو أردنا معرفة أهداف المخربين لوجدنا أهداف كثيرة ومتنوعة. فقد يكون الهدف السرقة أو التخريب والتعطيل أو قد يكون فقط للتطفل وكشف الأمور السرية.وهذا قد اضر بالكثير من الأشخاص والشركات وسبب خسائر مادية كثيرة.وقد يكون سبب زيادة الاختراقات الاستعمال الذي قد نقول عنه أساسي في جميع الشركات والأشخاص الانترنت مما سهل طريقة الاختراقات و أوجب وجود أنظمة حماية وحراسة للمعلومات والأجهزة المهمة وأيضا الشبكات المستخدمة للاتصال بالانترنت ومن هذه الأجهزة والأنظمة نظام كشف التطفل وهو ما سنتكلم عنه في هذا المقال.

من الأهداف الأساسية لهذه الأنظمة أو لأي نظام في امن المعلومات هي

خصوصية وسلامة البيانات والقدرة للوصول إليها وهذا تفصيل لكل هدف :
• الخصوصية: تكمن في إطلاع من يجب إطلاعهم على معلومات أو بيانات محددة من غير سواهم.
• السلامة : تكمن في ضمان سلامة محتوى المعلومات أو بيانات محددة من عدم تغيرها من قبل جهة غير مسؤولة عن البيانات.
• القدرة على الوصول : تكمن في ضمان وصول المخولين للبيانات والمعلومات المسئولين عنها وعدم حرمانهم ذلك من أي شخص غير مخول لذلك.

المشكلة التي تحلها كل الأنظمة الأمنية هي محاولة المخترقين لكسر الأهداف الأمنية واختراقها بشتى الأشكال . فالخصوصية يمكن اختراقها وانتهاكها في عدة آليات منها البحث في الشبكة , التجسس على المستخدم من غير علمه ,سرقة كلمات المرور .إما السرية فيتم انتهاكها عن طريق الفيروسات , القنابل المنطقية _ التي تعتبر من البرامج الخبيثة_ أو إحداث ثغرات خلفية في النظام مما يفتح المجال لتدميره , إحداث تغيرات خبيثة أو تبديل المعلومات بمعلومات أخرى إما بالتأثير بالقدرة في الوصول إما بواسطة أجهزة أو خلل في البرامج كما توجد حالات أخرى تنتج عن الظروف الطبيعية من الحرارة والبرودة أو من زيادة الضغط الجوي وما شابهه ذلك , واشهر الطرق استخدام تقنية منع الخدمة لتخريب قدرة تواصل الشركات والمؤسسات ومثال ذلك إرسال آلاف الرسائل الاتوماتيكية من عدد كبير من الأجهزة في وقت واحد لموقع معين مما يسبب انهيار في النظام.
بداية نريد أن نقوم بتعريف التطفل أو التجسس في مجال الانترنت وشبكات الاتصال, فهي الدخول إلى جهاز أو كائن من غير تصريح ولا ترحيب , وهو إضافة غير مرغوب فيها أو غير ملائمة.فالمستخدم أو صاحب الأجهزة يقوم بحماية أجهزته بعدة أنظمة للحماية من مثل هذه التدخلات منها أنظمة كشف التطفل Intrusion Detection System (IDS ) وهذا ما سنقوم بتفصيلة بالوقت الحالي.
أما آلية عمل هذه الأنظمة هي كالتالي : تقوم هذه الأنظمة على تعقب المتطفلين أو محاولة إيجاد أية إشارة تدل على وجود نشاط غير مألوف أو اعتيادي , عملها شبيه بما تقوم به برامج الحماية من الفيروسات. وهناك أنواع مختلفة تعتمد عليها هذه الأنظمة فهناك أنظمة تعتمد على تعقب شبكات الاتصال ( NIDS ) أو قد تعتمد على التعقب في مجال المضيف أو الجهاز نفسه ( HIDS ).

[صورة مرفقة: Infrastructure-4-intrusion-detection-sys.jpg]

[صورة مرفقة: Infrastructure-4-intrusion-detection-sys.jpg]

Figure 1 : البنية التحتية لانظمة كشف التطفل

أنظمة كشف التطفل المعتمدة على الشبكات Network Intrusion Detection System (NIDS) :
وهي توضع في نقاط مدروسة في الشبكة التي يراد حمايتها أو قد تكون في عدة نقاط موزعة بالشبكة ,بحيث تقوم بمراقبة جميع العمليات على الشبكة الصادرة والواردة إليها , وأية نشاط مريب يقوم النظام بتنبيه المسئول عن الشبكة أو من يحل محله . ولكن المراقبة المستمرة لكل الأمور في الشبكة الخارجة منها والداخلية قد يؤدي إلى ضعف السرعة العامة في الشبكة وهذا شي غير جيد أبدا.

[صورة مرفقة: Intrusion-detection-in-network.jpg]

[صورة مرفقة: Intrusion-detection-in-network.jpg]

Figure 1: مثال لموقع نظام كشف التطفل في الشبكة

أنظمة كشف التطفل المعتمدة على المضيف : Host Intrusion Detection System (HIDS)
في هذه الحالة تكون الأنظمة تعمل على المضيف أو الأجهزة الموجودة بالشبكة, في هذه الحالة النظام يراقب النشاطات في الجهاز نفسه وما يدخل ويخرج إليه من رزم. في حال وجود أية ملاحظات يقوم بتنبيه المستخدم للجهاز أو من يحل محلة. ونلاحظ هنا عدم وجود نقطة الضعف التي كانت موجودة في النوع السابق.

ملاحظة:
عندما يقوم النظام بحجب عملية التطفل ومنعها يكون في هذه الحالة النظام نشط , أما إذا قام النظام بالاكتفاء بإرسال تنبيه للمستخدم فيكون النظام في هذه الحالة غير نشط .
ما يستطيع نظام كشف التطفل عمله :
• يستطيع أن يتتبع نشاط مستعمل من نقطة الدخول إلى نقطة التأثير
• يستطيع أن يعرف ويبلغ عن تعديلات البيانات
• يستطيع أن يكتشف متى الجهاز في موضع هجوم
• يستطيع أن يكتشف الأخطاء في ترتيب الجهاز
• يستطيع معرفة أحدث الهجمات من مراقبة الانترنت
• يخول إدارة الأشخاص ضعيفي الخبرة للأمن بكل سهولة

مالا يستطيع نظام كشف التطفل عمله :

• لا يستطيع تحليل كل المرور على شبكة مشغولة
• لا يستطيع التعويض للضعف في الشبكة
• لا يستطيع التعامل مع بعض مميزات الشبكات والأجهزة الحديثة
• لا يستطيع إجراء تحقيقات الهجمات بدون تدخل إنساني
فمن ما لاحظناه أنها لا تحل جميع مشاكل الأمن بل مختصة بأمور معينة تساعدنا فيها.

منقول

ادارة سكيورتي العرب

المواضيع المحتمل أن تكون متشابهة .
أنظمة الأمن المادي في مراكز المعلومات
أنظمة منع الاختراق وعلاقتها بامن المعلومات