H4x0r
./ عضو
بَسم آلُِلُِهـ آلُِرٍحٍمن آلُِرٍحٍيم
رح نتكلم بهذا المقال عن اداة ( snort) التي تستخدم في حالة الدفاع رح نتكلم على جميع الامور الخاصة في هذه الادة
قبل ما البدء في Snort وتحليل الشبكة خلونا نلقي نظرة عامة مختصرة على نظام كشف التسلل (IDS) ونظام منع التسلل (IPS) من الممكن تكوين البنية التحتية لشبكتك واستخدام كليهما، ولكن قبل البدء في استخدام أي منهما، دعنا نتعرف على الاختلافات
هو عبارة عن نظام حماية تستطيع تشبيهه ب مضاد الفيروسات الموجود على جهازك حيث يقوم بتحليل كل الترافيك المار عبر الشبكة من خلال إرسال نسخة من هذا الترافيك إليه وتتركز وظيفته الأساسية على التحليل العملي فقط وذلك اعتمادا على Rules يمكن تحميلها من الأنترنت أو اعدادها يدويا كما سوف نشاهد لاحقا
بالاضافة إلى قواعد بيانات تحوي معلومات عن الفيروسات والديدان استطاعت النفاذ من خلال جدار الحماية الموجود على الشبكة وتعمد إليه عمل النظام على مقارنة الـ Signature الخاص بكل فايروس والتي تكون مخزنة في قاعدة البيانات ولكن ما يعيب هذا النظام أنه لا يقوم بأي ردة فعل اتجاه هذا الفيروسات فكل ما يقوم به هو أرسال تحذير إلى مدير الشبكة بوجود شيء غير طبيعي في الترافيك المار ومن هنا نستطيع ان نستنتج ان كلمة detection لا تعني إلا الكشف
هناك نوعان رئيسيان من أنظمة IDS :
1-Network Intrusion Detection System (NIDS) -(نظام اكتشاف اختراق الشبكة) :-
هذا النوع يتم وضعه على مستوى الشبكة بحيث يقوم بجمع و تحليل معلومات حركه مرور الاتصالات (traffic )على مستوى الشبكة لكل حزم الاتصالات المارة (packets ) واشهر امثلة NIDS هو Snort.
2- Host-based Intrusion Detection System (HIDS) - (نظام اكتشاف اختراق الأجهزة):
من اسمه نقدر نستنتج نطاق استخدامه. يستخدم HIDS على مستوى الأجهزة بحيث يقوم بآلية الجمع و التحليل للمعلومات ومن ثم اكتشاف الأنشطة المشبوهة على مستوى الأجهزة و ليس على مستوى الشبكة كما في النوع السابق. عادة يتم تنصيبHIDS على الأجهزة عن طريق software agent. ومن اشهر الامثلة على HIDS هو OSSEC
بالاضافة إلى قواعد بيانات تحوي معلومات عن الفيروسات والديدان استطاعت النفاذ من خلال جدار الحماية الموجود على الشبكة وتعمد إليه عمل النظام على مقارنة الـ Signature الخاص بكل فايروس والتي تكون مخزنة في قاعدة البيانات ولكن ما يعيب هذا النظام أنه لا يقوم بأي ردة فعل اتجاه هذا الفيروسات فكل ما يقوم به هو أرسال تحذير إلى مدير الشبكة بوجود شيء غير طبيعي في الترافيك المار ومن هنا نستطيع ان نستنتج ان كلمة detection لا تعني إلا الكشف
هناك نوعان رئيسيان من أنظمة IDS :
1-Network Intrusion Detection System (NIDS) -(نظام اكتشاف اختراق الشبكة) :-
هذا النوع يتم وضعه على مستوى الشبكة بحيث يقوم بجمع و تحليل معلومات حركه مرور الاتصالات (traffic )على مستوى الشبكة لكل حزم الاتصالات المارة (packets ) واشهر امثلة NIDS هو Snort.
2- Host-based Intrusion Detection System (HIDS) - (نظام اكتشاف اختراق الأجهزة):
من اسمه نقدر نستنتج نطاق استخدامه. يستخدم HIDS على مستوى الأجهزة بحيث يقوم بآلية الجمع و التحليل للمعلومات ومن ثم اكتشاف الأنشطة المشبوهة على مستوى الأجهزة و ليس على مستوى الشبكة كما في النوع السابق. عادة يتم تنصيبHIDS على الأجهزة عن طريق software agent. ومن اشهر الامثلة على HIDS هو OSSEC
وهو أفضل وأكثر حماية من النظام السابق فهو يقوم بعملية الكشف Detection أولا وبعدها يقوم بتنفيذ ردة فعل معينة Prevention مثل عمل Drop للباكيت الضارة لذا يتوجب وضعه على ممر ال traffic مباشرة وهذه صورة توضيحية
هناك نوعان رئيسيان من أنظمة IPS:
1-Network Intrusion Prevention System (NIPS)-نظام منع اختراق الشبكة :-
يراقب traffic من مناطق مختلفة من الشبكة. الهدف هو حماية traffic على الشبكة الفرعية بأكملها. إذا تم التعرف على التوقيع، فسيتم إنهاء الاتصال.
2-Behaviour-based Intrusion Prevention System (Network Behaviour Analysis - NBA) - نظام منع التسلل القائم على السلوك: -
يعمل نظام تحليل سلوك الشبكة بشكل بشبه نظام NIPS. الفرق بين NIPS والقائم على السلوك هو؛ تتطلب الأنظمة القائمة على السلوك فترة تدريب للتعرف على traffic العادية والتمييز بين trafficالضارة والتهديدات. يوفر هذا النموذج نتائج أكثر كفاءة ضد التهديدات الجديدة…
**بتمني انو كان شرح مبسط و واضح خلونا هسا نلخص بعض الامور :- **
يمكن لـ IDS تحديد التهديدات ولكنها تتطلب مساعدة المستخدم لإيقافها.
يمكن لـ IPS تحديد التهديدات وحظرها بمساعدة أقل من المستخدم في وقت الكشف.
*******************************************
"يمكن نشر Snort بشكل مضمّن لإيقاف هذه الحزم أيضًا.
لدى Snort ثلاثة استخدامات أساسية:
1- لقراءة الحزم مثل tcpdump
2- كمسجل للحزم
3-هو أمر مفيد لتصحيح أخطاء حركة مرور الشبكة، أو يمكن استخدامه كأداة متكاملة نظام منع اختراق الشبكة. يمكن تنزيل Snort وتهيئته للاستخدام الشخصي والتجاري على حد سواء.
*******************************************
خلونا نبلش حكي عن (SNORT) : هو نظام مفتوح المصدر لكشف التسلل إلى الشبكة ومنعه (NIDS/NIPS) تم تطويره وما زال يحتفظ به مارتن روش، والمساهمون في المصادر المفتوحة، وفريق Cisco Talos.
*******************************************
Capabilities of Snort
Live traffic analysis
Attack and probe detection
Packet logging
Protocol analysis
Real-time alerting
Modules & plugins
Pre-processors
Cross-platform support! (Linux & Windows)
*******************************************
Snort has three main use models
Sniffer Mode - Read IP packets and prompt them in the console application
Packet Logger Mode - Log all IP packets (inbound and outbound) that visit the network.
NIDS (Network Intrusion Detection System) and NIPS (Network Intrusion Prevention System) Modes - Log/drop the packets that are deemed as malicious according to the user-defined rules.
الجزء الثاني [اضغط هنا]
يمكن لـ IDS تحديد التهديدات ولكنها تتطلب مساعدة المستخدم لإيقافها.
يمكن لـ IPS تحديد التهديدات وحظرها بمساعدة أقل من المستخدم في وقت الكشف.
*******************************************
"يمكن نشر Snort بشكل مضمّن لإيقاف هذه الحزم أيضًا.
لدى Snort ثلاثة استخدامات أساسية:
1- لقراءة الحزم مثل tcpdump
2- كمسجل للحزم
3-هو أمر مفيد لتصحيح أخطاء حركة مرور الشبكة، أو يمكن استخدامه كأداة متكاملة نظام منع اختراق الشبكة. يمكن تنزيل Snort وتهيئته للاستخدام الشخصي والتجاري على حد سواء.
*******************************************
خلونا نبلش حكي عن (SNORT) : هو نظام مفتوح المصدر لكشف التسلل إلى الشبكة ومنعه (NIDS/NIPS) تم تطويره وما زال يحتفظ به مارتن روش، والمساهمون في المصادر المفتوحة، وفريق Cisco Talos.
*******************************************
Capabilities of Snort
Live traffic analysis
Attack and probe detection
Packet logging
Protocol analysis
Real-time alerting
Modules & plugins
Pre-processors
Cross-platform support! (Linux & Windows)
*******************************************
Snort has three main use models
Sniffer Mode - Read IP packets and prompt them in the console application
Packet Logger Mode - Log all IP packets (inbound and outbound) that visit the network.
NIDS (Network Intrusion Detection System) and NIPS (Network Intrusion Prevention System) Modes - Log/drop the packets that are deemed as malicious according to the user-defined rules.
الجزء الثاني [اضغط هنا]
التعديل الأخير بواسطة المشرف:
