انظمة كشف التطفل

انظمة كشف التطفل 

الكاتبة : صيتة محمد السلامة

نظرة عامة


كثرت في الآونة الأخيرة اعتمادات الناس على الاتصالات والانترنت لما جاءت به التكنولوجيا هذه الأيام من تطور وسهولة في الاستعمال وتوفرها لدى فئة كبيرة من الناس ,فأصبحت الشركات وحتى الأشخاص يعتمدون في التواصل بين بعضهم البعض على الانترنت وقد يكون عملها بالكامل عليه وعلى شبكات الاتصالات.ومن الناحية الأخرى هناك من يطمع في التخريب أو من يكون عنده بعض العداوات فيطمع المخربون إلى وجود الوسائل الشتى لاختراق المعلومات وسرقتها , وبما أن الأعمال أصبحت تعتمد على الانترنت والشبكات كما أوضحنا سابقا أصبح هناك طرق ووسائل كثيرة تسهل على المخترق الاختراق والتسلل على بيانات ومعلومات الأشخاص أو الشركات, حتى عديمي الخبرة بالتجسس والتخريب قد يجدون الطرق متوفرة على الانترنت بكل توضيح وسهولة. مع زيادة احتمالية الاختراق تحرص الشركات والأشخاص لحماية معلوماتهم بشتى الطرق والوسائل.ففي المقابل تتواجد لدينا برامج وأجهزة الحماية ,فهي مختلفة ومتعددة الأنواع والأصناف.منها برنامج الحماية من الفيروسات, فمثل هذه البرامج تحمي من الفيروسات التي ترفق في بعض الملفات الموجودة في الانترنت أو التي تأتي عبر الانترنت فهي تكشف عن وجودها. أما النوع الآخر هو الكشف من وجود القنابل المؤقتة في الجهاز والتحذير منها. وهو كشف التطفل فمثل هذه البرامج تقوم بكشف الأشخاص أو الأجهزة التي تقوم بالتجسس أو التطفل على الأجهزة أو الشبكات المراد حمايتها, وهذا النوع الأخير من البرامج هو ما نريد شرحه والبحث فيه في هذا المقال.
 

مقدمة


إن أنظمة كشف التطفل مهمة جدا لمن يريد حماية معلوماته أو أجهزته من السرقة , أو لإبقاء المعلومات سرية وفي الكتمان. فهي تكتشف وجود المتطفلين إذا تم اختراق الجهاز لتنبه المستخدم فيقوم بالاحتياطات اللازمة إما بقفل البرامج أو تشغيل جهاز الحماية ونحو ذلك.بدون هذه البرامج والأنظمة قد لا يتنبه المستخدم لمن يخترق الجهاز ويقوم بعمليات تساعد المخترق وتسهل عليه كشف المعلومات السرية وسرقتها. ففي هذه الأوقات التقنيات المستخدمة في الانترنت متطورة و متشعبة , وقد يستخدمها البعض للاختراق والهجوم التي لا يرغب الجميع بها , لما تسببه من أضرار جسيمة في الأجهزة , والشبكات أو في الأموال .

لو أردنا معرفة أهداف المخربين لوجدنا أهداف كثيرة ومتنوعة. فقد يكون الهدف السرقة أو التخريب والتعطيل أو قد يكون فقط للتطفل وكشف الأمور السرية.وهذا قد اضر بالكثير من الأشخاص والشركات وسبب خسائر مادية كثيرة.وقد يكون سبب زيادة الاختراقات الاستعمال الذي قد نقول عنه أساسي في جميع الشركات والأشخاص الانترنت مما سهل طريقة الاختراقات و أوجب وجود أنظمة حماية وحراسة للمعلومات والأجهزة المهمة وأيضا الشبكات المستخدمة للاتصال بالانترنت ومن هذه الأجهزة والأنظمة نظام كشف التطفل وهو ما سنتكلم عنه في هذا المقال.

من الأهداف الأساسية لهذه الأنظمة أو لأي نظام في امن المعلومات هي

 

خصوصية وسلامة البيانات والقدرة للوصول إليها وهذا تفصيل لكل هدف :
• الخصوصية: تكمن في إطلاع من يجب إطلاعهم على معلومات أو بيانات محددة من غير سواهم.
• السلامة : تكمن في ضمان سلامة محتوى المعلومات أو بيانات محددة من عدم تغيرها من قبل جهة غير مسؤولة عن البيانات.
• القدرة على الوصول : تكمن في ضمان وصول المخولين للبيانات والمعلومات المسئولين عنها وعدم حرمانهم ذلك من أي شخص غير مخول لذلك.

المشكلة التي تحلها كل الأنظمة الأمنية هي محاولة المخترقين لكسر الأهداف الأمنية واختراقها بشتى الأشكال . فالخصوصية يمكن اختراقها وانتهاكها في عدة آليات منها البحث في الشبكة , التجسس على المستخدم من غير علمه ,سرقة كلمات المرور .إما السرية فيتم انتهاكها عن طريق الفيروسات , القنابل المنطقية _ التي تعتبر من البرامج الخبيثة_ أو إحداث ثغرات خلفية في النظام مما يفتح المجال لتدميره , إحداث تغيرات خبيثة أو تبديل المعلومات بمعلومات أخرى إما بالتأثير بالقدرة في الوصول إما بواسطة أجهزة أو خلل في البرامج كما توجد حالات أخرى تنتج عن الظروف الطبيعية من الحرارة والبرودة أو من زيادة الضغط الجوي وما شابهه ذلك , واشهر الطرق استخدام تقنية منع الخدمة لتخريب قدرة تواصل الشركات والمؤسسات ومثال ذلك إرسال آلاف الرسائل الاتوماتيكية من عدد كبير من الأجهزة في وقت واحد لموقع معين مما يسبب انهيار في النظام.
بداية نريد أن نقوم بتعريف التطفل أو التجسس في مجال الانترنت وشبكات الاتصال, فهي الدخول إلى جهاز أو كائن من غير تصريح ولا ترحيب , وهو إضافة غير مرغوب فيها أو غير ملائمة.فالمستخدم أو صاحب الأجهزة يقوم بحماية أجهزته بعدة أنظمة للحماية من مثل هذه التدخلات منها أنظمة كشف التطفل Intrusion Detection System (IDS ) وهذا ما سنقوم بتفصيلة بالوقت الحالي.
أما آلية عمل هذه الأنظمة هي كالتالي : تقوم هذه الأنظمة على تعقب المتطفلين أو محاولة إيجاد أية إشارة تدل على وجود نشاط غير مألوف أو اعتيادي , عملها شبيه بما تقوم به برامج الحماية من الفيروسات. وهناك أنواع مختلفة تعتمد عليها هذه الأنظمة فهناك أنظمة تعتمد على تعقب شبكات الاتصال ( NIDS ) أو قد تعتمد على التعقب في مجال المضيف أو الجهاز نفسه ( HIDS ).

 

Figure 1 : البنية التحتية لانظمة كشف التطفل
 

 

أنظمة كشف التطفل المعتمدة على الشبكات Network Intrusion Detection System (NIDS) :
وهي توضع في نقاط مدروسة في الشبكة التي يراد حمايتها أو قد تكون في عدة نقاط موزعة بالشبكة ,بحيث تقوم بمراقبة جميع العمليات على الشبكة الصادرة والواردة إليها , وأية نشاط مريب يقوم النظام بتنبيه المسئول عن الشبكة أو من يحل محله . ولكن المراقبة المستمرة لكل الأمور في الشبكة الخارجة منها والداخلية قد يؤدي إلى ضعف السرعة العامة في الشبكة وهذا شي غير جيد أبدا.

 

 

Figure 1: مثال لموقع نظام كشف التطفل في الشبكة
 

 

أنظمة كشف التطفل المعتمدة على المضيف : Host Intrusion Detection System (HIDS)
في هذه الحالة تكون الأنظمة تعمل على المضيف أو الأجهزة الموجودة بالشبكة, في هذه الحالة النظام يراقب النشاطات في الجهاز نفسه وما يدخل ويخرج إليه من رزم. في حال وجود أية ملاحظات يقوم بتنبيه المستخدم للجهاز أو من يحل محلة. ونلاحظ هنا عدم وجود نقطة الضعف التي كانت موجودة في النوع السابق.


ملاحظة:
عندما يقوم النظام بحجب عملية التطفل ومنعها يكون في هذه الحالة النظام نشط , أما إذا قام النظام بالاكتفاء بإرسال تنبيه للمستخدم فيكون النظام في هذه الحالة غير نشط .
ما يستطيع نظام كشف التطفل عمله :
• يستطيع أن يتتبع نشاط مستعمل من نقطة الدخول إلى نقطة التأثير
• يستطيع أن يعرف ويبلغ عن تعديلات البيانات
• يستطيع أن يكتشف متى الجهاز في موضع هجوم
• يستطيع أن يكتشف الأخطاء في ترتيب الجهاز
• يستطيع معرفة أحدث الهجمات من مراقبة الانترنت
• يخول إدارة الأشخاص ضعيفي الخبرة للأمن بكل سهولة

مالا يستطيع نظام كشف التطفل عمله :

• لا يستطيع تحليل كل المرور على شبكة مشغولة
• لا يستطيع التعويض للضعف في الشبكة
• لا يستطيع التعامل مع بعض مميزات الشبكات والأجهزة الحديثة
• لا يستطيع إجراء تحقيقات الهجمات بدون تدخل إنساني
فمن ما لاحظناه أنها لا تحل جميع مشاكل الأمن بل مختصة بأمور معينة تساعدنا فيها.
 

الخلاصة

 


رأينا فعالية برامج كشف التطفل وما توفره لنا من خاصية مختلفة من الحماية, ولكن ليس من المشترط أن تكون جميع أنظمة كشف التطفل بنفس الآلية والعمل , فبعضها قد يستعمل طرق واستراتيجيات مختلفة. فقد تكون لشبكات معقدة تستلزم الكثير من المراقبة والفعالية العالية للوصول للهدف المطلوب. وقد تكون لشبكات أو أجهزة بسيطة تكون اقل تعقيدا.
في النهاية أن ما دار النقاش حوله في هذا المقال هو جزء بسيط وبرنامج واحد من العديد والعديد من البرامج الأمنية المختلفة, المتعددة الوسائل والأغراض .ففي كل يوم يتم استخراج برنامج جديد وطريقة جديدة لحماية الشبكات والأجهزة بمختلف الطرق والوسائل.

 

المراجع

 

M. Ciampa, "Security+ Guide to Network Security Fundamentals", 2nd edition, Thomson, 2005
2. J. Brook, "Network IDS: To Tailor, or Not to Tailor", SANS Institute, 2002
3. P. Innella,” The Evolution of Intrusion Detection Systems”, 2001,

http://www.securityfocus.com/infocus/1514
4. D. Rozenblum, “understanding Intrusion Detection System”, SANS Institute, 2001
5. P. Kazienko and P. Dorosz ,“ Intrusion Detection “ ,2004

http://www.windowsecurity.com/articles%20Intrusion_Detection_Systems_IDS_Part_I__network_intrusions_attack_symptoms_IDS_tasks_and_IDS_architecture.html
6. Seminar handout from school of computer science , “Spyware and Trojan Horses“ , 2004

http://www.cs.bham.ac.uk/~mdr/teaching/modules03/security/students/SS1/handout/handout.html

الكاتب geek4arab

geek4arab

مواضيع متعلقة

التعليقات مغلقة