ویکی‌پدیا

سامانه تشخیص نفوذ: تفاوت میان نسخه‌ها

نمایش تاریخچه به صورت تعاملی
→ تفاوت قدیمی‌ترتفاوت جدیدتر ←
محتوای حذف‌شده محتوای افزوده‌شده
دیداریویکی‌متن
T.rahmati (بحث | مشارکت‌ها)
۱۰ ویرایش‌ها
بدون خلاصۀ ویرایش
T.rahmati (بحث | مشارکت‌ها)
۱۰ ویرایش‌ها
بدون خلاصۀ ویرایش
خط ۲۱:
#سامانه تشخیص رخنه توزیع شده (DIDS)
 
===سامانه تشخیص رخنه مبتنی بر میزبان (HIDS)===
این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص رخنه مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص رخنه مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکهٔ (NIC) آن‌ها به صورت پیش فرض در حالت باقاعده ۵ کار می‌کند. حالت باقاعده در بعضی از موارد می‌تواند مفید باشد چون همهٔ کارت‌های واسط شبکه‌ قابلیت حالت بی قاعده را ندارند. اچ‌آی‌دی‌اس‌ها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مساله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند.
===سامانه تشخیص رخنه مبتنی بر شبکه (NIDS)===
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص رخنه مبتنی بر شبکه‌است. ان‌آی‌دی‌اس‌ها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند.
===سامانه تشخیص رخنه توزیع شده (DIDS) ===
این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده‌است. بدین صورت که هر IDS که در شبکه موجود است گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می‌شود. شبکه بین ان‌آی‌دی‌اس‌ها با سامانه مدیریت مرکزی می‌تواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال داده‌ها استفاده شود. وقتی از شبکهٔ موجود برای ارسال داده‌های مدیریتی استفاده شود، امنیت‌های اضافی به وسیلهٔ رمزنگاری یا فناوری شبکه‌های خصوصی مجازی(VPN)حاصل می‌گردد.
==روش‌های برخورد و پاسخ به نفوذ==
برگرفته از «https://fa.wikipedia.org/wiki/سامانه_تشخیص_نفوذ»