جلسه پانزدهم امنیت شبکه


ساعت ۱۱:۱٤ ‎ق.ظ روز ۱٠ آبان ۱۳۸۸  

به نام خدا

 

 

 

Packet classification

 

با سلام

علاوه بر پروتکل‌‌های امنیتی لایه‌های انتقال و شبکه، برخی ابزار امنیتی تشخیص حمله نیز در شبکه کاربرد دارد، همانند IDS,HIDS,NIDS,IDPS و غیره. این سیستم ها می‌توانند با روش‌های متفاوت به تشخیص حمله و در برخی موارد مقابله با آن بپردازند. یکی از روش‌های مورد استفاده در این ابزار، کلاس‌بندی بسته‌های ارسالی در شبکه (Packet classification) می‌باشد.

این کلاس‌بندی با توجه به کاربرد یک شبکه، امکانات شبکه و بسیاری از مسایل دیگر انجام می‌شود. کلاس‌بندی بسته‌ها می‌تواند بر اساس هشت بیت آدرس مبدا بسته، آدرس مقصد؛ چهار بیت شماره پورت مقصد بسته، پروتکل لایه انتقال و یا سایر فیلدهای هدر یک بسته باشد. این روش هر بسته را به گروه و جریانی از ترافیک شبکه منسوب خواهد نمود و بر اساس سیاستگذاریهای مدیر شبکه این جریان ترافیک می‌تواند مسدود و یا مجاز برای عبور شناخته شود.

کلاس‌بندی دیگری هم برای بسته‌ها به نام کلاس‌بندی عمیق وجود دارد. به این مفهوم که تعداد ویژگیهایی که مورد توجه قرار می‌گیرد تا بیش از چهل مورد نیز می‌رسد! در این حالت، برداری شامل n ویژگی از یک بسته مورد بررسی قرار می‌گیرد و ترافیک بر اساس اولویت‌‌ها؛ کلاس‌بندی می‌شود. این نوع کلاس‌بندی؛ پیچیده، همراه با حجم بالای محاسبات است و کارایی کمی دارد. همان طور که می‌دانید سرعت عملکرد و واکنش یک سیستم، فاکتوری مهم در حفاظت و تشخیص نفوذ است.

کلاس‌بندی جریان ترافیک شبکه، همراه با اولویت‌ کمک می‌کند تا عکس‌العمل‌هایی که سیستم‌های تشخیص نفوذ انجام می‌دهند، عملی باشد. جریان‌های ترافیکی در شبکه که منجر به ایجاد حمله می‌شوند در این کلاس‌بندی‌ها مشخص شده و بلوکه می‌شوند.

ابزار امنیتی تشخیص نفوذ، بر اساس جریان‌های ترافیکی بررسی شده، در صورت تشخیص حمله، یک پیام هشدار تولید می‌نماید. این پیام هشدار در زمان وقوع حمله صادر می‌شود. در موارد دیگری نیز ممکن است پیام هشدار صادر شده باشد که به بررسی آن می‌پردازیم.

پیام هشدار ناشی از تشخیص نادرست، یکی از این نوع پیام‌ها می‌باشد که از تشخیص نادرست بسته به عنوان بسته مخرب ناشی شده است. این پیام‌های هشدار نادرست false positive alarm نامیده می‌شوند(سیستم هشدار می‌دهد ( Positive alarm)، اما اشتباه است(false)). روشن است که این نوع هشدارها نباید منجر به انجام واکنشی توسط ابزار امنیتی گردد.

میزان صدور این پیام‌ها کیفیت عملکرد ابزار امنیتی را مشخص می‌کند. هر چه تعداد پیام هشدار نادرست یک سیستم امنیتی کمتر باشد، آن سیستم کیفیت بالاتری دارد. علاوه بر این موضوع عدم ارسال پیام  هشدار(false negative alarm) در زمان وقوع حمله نیز وضعیتی نامطلوب می‌باشد ( سیستم هشدار نمی‌دهد( negative alarm)، اما حمله رخ داده است.).

سیستم امنیتی بهینه سیستمی است که پیام هشدار درست(True)بیشنه و پیام هشدار نادرست (ّFalse)کمینه داشته باشد. به عبارتی زمان درست هشدار درست داده باشد. در زمان حمله هشدار داده شود(True positive alarm) و در زمان شرایط مساعد هشداری نداشته باشیم(True negative alarm)

کلاس‌بندی بسته‌های عبوری از شبکه علاوه بر تاثیری که در تشخیص نفوذ هکرها می‌تواند داشته باشد، کاربردهای دیگری نیز درتامین کیفیت سرویس و غیره دارد.

اولویت‌بندی در کلاسه نمودن یک بسته از ترافیک عبوری شبکه بسیار متنوع است که به آن خواهیم پرداخت.

شاد باشین.......