برترین ابزارهای رایگان تشخیص نفوذ

امنیت موضوعی داغ است که اخیرا نیز به آن توجه بسیاری شده است. سال‌ها پیش ویروس‌ها تنها نگرانی ادمین‌ها بودند. ویروس‌ها به‌حدی مرسوم بودند که موجب پدیدآمدن تعداد زیادی از ابزارهای مقابله با آن‌ها شدند. امروزه، کمتر کسی از آنتی‌ویروس‌ها روی سیستم خود بهره نبرد؛ اما خطر نوپدیدی که کاربران را بیش‌از‌پیش تهدید می‌کند و کمتر مدنظر کاربران قرار می‌گیرد، «نفوذ رایانه‌ای» است. نفوذ رایانه‌ای به‌معنای دسترسی غیرمجاز کاربران مشکوک به داده‌های سیستم است. شبکه‌ها به هدف هکرهای بیماری تبدیل‌شده که از هیچ تلاشی برای دسترسی به اطلاعاتتان دریغ نمی‌کنند. بهترین دفاع درمقابل چنین تهدیداتی استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ است.

در این مقاله، ابتدا درباره‌ی روش‌های تشخیص نفوذ توضیحاتی می‌دهیم. به تعداد روش‌های ممکن برای نفوذ به سیستم، روش‌ برای تشخیص و مقابله با نفوذ وجود دارد. پس از معرفی روش‌ها، آن‌ها را به دو گروه اصلی سیستم‌های تشخیص نفوذ و تفاوت آن‌ها اشاره و در انتها نیز، ۱۰ ابزار برتر و رایگان برای پیشگیری و تشخیص نفوذ را معرفی می‌کنیم.

روش‌های تشخیص نفوذ

به‌طور کلی دو روش متفاوت برای شناسایی نفوذها وجود دارد: ۱. مبتنی بر اثر (Signature-Based)؛ ۲. مبتنی بر آنومالی. روش تشخیص مبتنی بر اثر، داده‌ها را تحلیل می‌کند و به‌دنبال الگوهای خاص مرتبط با نفوذ می‌گردد. این روش تقریبا مانند روش قدیمی آنتی‌ویروس‌ها در تشخیص ویروس‌ها است که مبتنی بر تغییرات ایجادشده‌ی ویروس است. مشکل اصلی این روش کارایی آن در زمان حضور الگوها است. این موضوع بدین معناست که حداقل چندین حمله باید اتفاق افتاده باشد و اثرها شناخته‌شده باشند.

در سوی دیگر، روش مبتنی بر آنومالی عملکرد بهتری دربرابر «حملات روز صفر» (Zero-Day Attack) دارد. در این روش، نفوذ قبل از اینکه بتواند تأثیرش را ایجاد کند، شناسایی‌شدنی است. این روش به‌جای جست‌وجوی الگوهای شناخته‌شده‌ی نفوذ، به‌دنبال آنومالی‌ها (آنومالی: تفاوت‌ها با حالت عادی) می‌گردد. برای مثال، این سیستم‌ها تلاش‌های مکرر برای دسترسی به سیستم با ورود گذرواژه‌ی اشتباه را شناسایی می‌کنند که نشانه‌ی معمولی از حملات جست‌وجوی فراگیر (Brute Force Attack) است. احتمالا دریافته‌اید که هرکدام از این روش‌ها مزایا و معایب خود را دارند؛ به‌همین‌دلیل، ابزارهای برتر این زمینه از ترکیبی از هر دو روش بهره می‌برد تا برترین امنیت را ارائه دهند.

انواع سیستم‌های تشخیص نفوذ

همانند روش‌های تشخیص نفوذ، دو نوع اصلی از سیستم‌های تشخیص نفوذ وجود دارد. تفاوت اصلی این سیستم‌ها به مکان تشخیص نفوذ برمی‌گردد؛ در سطح «میزبان» یا «شبکه». این دو سیستم مزایا و معایب خود را دارند و بهترین سناریو استفاده از هر دو روش است.

۱. سیستم‌های تشخیص نفوذ در سطح میزبان (HIDS)

این نوع از سیستم‌های تشخیص نفوذ در سطح میزبان عمل می‌کند. این سیستم‌ها فایل‌های ثبت رویداد (log) برای یافتن هرگونه ردی از فعالیت مشکوک و تغییرات بدون اجازه‌ی فایل‌های تنظیمی مهم را بررسی می‌کنند. البته، این فعالیتی است که HIDS مبتنی بر آنومالی انجام می‌‌دهد. در نقطه‌ی مقابل، سیستم‌های مبتنی بر اثر را داریم که در فایل‌های ثبت رویداد و تنظیمی به‌دنبال الگوهای شناخته‌شده نفوذ می‌گردند. همان‌گونه که احتمالا حدس زده‌اید، HIDS به‌طور مستقیم بر دستگاهی نصب می‌شود که قرار است از آن حفاظت شود.

۲. سیستم‌های تشخیص نفوذ در سطح شبکه (NIDS)

سیستم‌های تشخیص نفوذ در سطح شبکه پا را از HIDS فراتر می‌گذارند و در شبکه با نفوذ مقابله می‌کنند. این سیستم‌ها از روش‌های مشابهی برای تشخیص نفوذ بهره می‌برند. البته، به‌جای جست‌وجو در فایل‌های لاگ و تنظیمات، ترافیک شبکه مانند درخواست‌های اتصال را بررسی می‌کنند. برخی از روش‌های نفوذ برای تشخیص آسیب‌پذیری‌ها بدین‌ترتیب است که بسته‌هایی ناقص به‌طور عمدی به میزبان ارسال می‌شود تا واکنش آن‌ها بررسی شود. NIDSها به‌راحتی این حملات را تشخیص می‌دهند.

شاید بتوان NIDS را برتر از HIDS دانست؛ زیرا حملات را قبل از رسیدن به رایانه شما تشخیص می‌دهد. همچنین، این سیستم‌ها به نصب روی هر سیستم نیاز ندارند؛ اما سیستم‌های NIDS کارایی بسیار کمی دربرابر حملات درونی دارند که متأسفانه چندان غیررایج نیست. شایان ذکر است بهترین امنیت را استفاده ترکیبی از هر دو سیستم به‌ارمغان می‌آورد.