دوره آموزش اسنورت – کاملترین دوره آموزشی تخصصی SNORT

محرمانگی تمامیت و در دسترس بودن نگرانی های اصلی
در توسعه و استخراج سیستم های رایانه ای مبتنی بر شبکه است. عظمت فراساختار های شبکه ای موجب
افزایش آسیب پذیری این سیستم ها در قبال تهدیدهای امنیتی حملات و نفوذ هاست. ارتباط شبکه های مختلف با یکدیگر و تنوع استفاده کنندگان سبب بروز مشکلات عمده ای نظیر سرقت تخریب و دستکاری اطلاعات شده است. بدین منظور سیستم هایی تحت عنوان سیستم های تشخیص نفوذ به منظور شناسایی رفتارهای مشکوک به وجود آمده اند به طوریکه امروزه در شبکه های کامپیوتری از این سیستم ها به عنوان یک ابزار تدافعی در برابر حملات و به منظور حفاظت از اطلاعات استفاده میکنند.

روش های تشخیص نفوذ به شبکه های کامپیوتری

تشخیص رفتار غیر عادی : به منظور تشخیص رفتار غیر عادی می توان ابتدا نماهایی از رفتارهای
عادی هر یک از کاربران ایجاد کرد، سپس رفتار فعلی کاربران را با این نماها مقایسه کرد و در صورت بروز هرگونه مغایرت رفتار غیر عادی را به مسئول امنیتی سیستم اطلاع داد. نماهای رفتار ادی کاربران به صورت مجموعه ای از معیارهای قابل اندازه گیری تعریف می شود. این معیارها جنبه های به خصوصی از رفتار کاربران هستند. به طور کلی استفاده روزانه کاربران از یک سیستم کامپیوتری از الگوهای رفتاری قابل تشخیص پیروی می کند.

تشخیص سوء استفاده : ایده اصلی در تشخیص سوء استفاده اینست که روش هایی وجود داشته باشد
که به کمک آن ها بتوان هر نفوذ را در قالب یک الگو نمایش داد به طوری که انواع متفاوتی از همان نفوذ قابل شناسایی باشد. این مساله به واسطه دامنه ساده موضوعاتی که الگو یا مدل شده اند می تواند به سطح بالایی از صحت و دقت دست پیدا کند.

سیستم های تشخیص نفوذ

در مبحث امنیت کامپیوتر و شبکه، سیستم های تشخیص نفوذ در نقش هشدار دهنده هستند
و هر زمان که امنیت شبکه در معرض خطر قرار گیرد آن را اعلام می کنند. سیستم تشخیص نفوذ، یک سیستم محافظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند. روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل کامپیوتر ها و نهایتا هک کردن می باشد، می تواند نفوذ خراب کاری ها را گزارش و کنترل کند. از قابلیت های دیگر این سیستم، امکان تشخیص ترافیک غیر متعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه است.

ما در این دوره اسنورت (دوره آموزشی تخصصی Snort) سعی کرده ایم
به بهترین نوع مبحث آموزش این نرم افزار را از همه جهت بررسی کرده و به صورت عملی با روش کار با این نرم افزار قدرتمند را به شما آموزش دهیم.

اسنورت (SNORT) چیست ؟

برنامه Snort (اسنورت) یکی از قویترین سیستم های تشخیص و مقابله با نفوذ است
که نرم افزاری رایگان و متن باز که دارای واکنش سریع تجزیه و تحلیل داده های شبکه در جهت تشخیص و جلوگیری از ورود این ترافیک های آلوده در شبکه ها می باشد. برنامه Snort توسط توسعه دهندگان Sourcefire که متعلق به کمپانی معروف سیسکو هستند فروخته و توسعه داده می شوند. برنامه Snort از بهترین برنامه های عصر خود در 2009 شناخته شد.

• با بیش از 5 میلیون دریافت و بیش از 600000 کاربر ثبت نام شده، این سیستم گسترده ترین سیستم پیشگیری از حمله شبکه در جهان است.

Snort در چهار حالت میتواند مورد استفاده قرار گیرد !

1. Inline Mode : در این حالت Snort در حالت IPS قرار گرفته و تلاش می نماید جلوی حملات، نفوذ و یا رفتارهای غیر عادی شناسایی شده را بگیرد.
2. IDS Mode : در این حالت Snort در حالت IDS قرار گرفته و میتواند ترافیک هایی که Sniff شده اند را بررسی و تجزیه و تحلیل نماید و در صورت وجود حملات ، نفوذ و یا رفتارهای غیرعادی آنها را شناسایی و گزارشی از آنها ایجاد نماید.
3. Sniffer Mode : در این حالت اسنورت به Sniff نمودن ترافیک های شبکه می پردازد.در این حالت نیاز هست که کارت شبکه سیستمی که Snort بر روی آن نصب هست در حالت Promiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.
4. Packet Logger Mode : در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی Log از آنها ایجاد می نماید.

مجموعه های مهم برای نصب Snort

1. Libpcap : توسط این پکیج میتوان Packet های شبکه را Capture نمود.
2. Libdnet : یک ابزار ساده برای تجزیه و تحلیل و دستکاری Packet های شبکه می باشد.
3. Tcpdump : یک ابزار Sniffer می باشد که برای Sniff نمودن ترافیک های شبکه از آن استفاده می شود.
4. Pcre : مجموعه از Library هایی است، که برای پیاده سازی الگوهای با قاعده برای Rule های Snort از آنها استفاده می شود.
5. DAQ : مجموعه از  API Library که به جمع آوری اطلاعات برای Snort می پردازد. DAQ از پکیج Libdnet برای جمع آوری اطلاعات استفاده می نماید.

IDS چیست ؟

IDS یا همان Intrusion Detection System به معنای سیستم کشف یا تشخیص نفوذ
و یک تجهیز نرم افزاری و یا سخت افزاری است که میتواند حملات و یا نفوذ هایی که در حال اتفاق بر روی شبکه و سیستم های مختلفی وجود دارند را شناسایی نموده و همچنین گزارشی را از نحوه عملکرد آنها ایجاد نماید.

IPS چیست ؟

 IPS و یا همان Intrusion Prevension System به معنای سیستم ممانعت یا جلوگیری از نفوذ
و یک تجهیز نرم افزاری و یا سخت افزاری است که تلاش می نماید جلوی حملات و نفوذهایی که توسط IDS شناسایی شده را بگیرد.

انواع IDS 

1. (Host Base IDS (HIDS
2. (Network Base IDS (NIDS
3. File Integrity Checker
4. (Distributed IDS (DIDS

File Integrity Checker چیست ؟

در این نوع Intrusion Detection System در ابتدا برای تمامی فایل های سیستم Signature هایی را ایجاد
و آنها را در پایگاه داده ای ذخیره می نماید سپس در بازه های زمانی که ما مشخص می نماییم وضعیت جاری فایل های سیستم را با Signature های موجود در پایگاه داده مقایسه می نماید و در صورت وجود تغییرات در فایلها و یا ایجاد و حذف فایلی آنها را گزارش می نماید.

NIDS چیست ؟

در این نوع Intrusion Detection System ترافیک های شبکه را Capture و بررسی نموده و در صورت وجود حملات
نفوذ و یا ترافیک مخرب آنها را شناسایی و گزارش می نماید.در این نوع IDS نیاز هست که کارت شبکه سیستم IDS در حالت Promiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.

HIDS چیست ؟

این نوع از IDS برای شناسایی و تشخیص حملات نفوذ و فعالیت های غیر مجاز
برروی سیستم های میزبان Host می باشد و در این نوع با توجه IDS مورد استفاده، در برخی موارد نیاز هست که Agent را بر روی سیستم های مورد نیاز نصب، تا بواسط Agent حملات، نفوذ و فعالیت های غیر مجاز را بروی سیستم های مذکور شناسایی و گزارش نماییم.

DIDS چیست ؟

در این نوع Intrusion Detection System از چندین نوع NIDS یا HIDS و یا بصورت ترکیبی استفاده و همچنین از یک ایستگاه مرکزی برای مدیریت آنها استفاده می شود.