Más contenido relacionado
La actualidad más candente (19)
Más de Yashar Esmaildokht (20)
Ossec
- 2. های سیستم انواع
IDS
های سیستم
IDS
.میکنند تقسیم دسته سه به تهاجم شناسایی برای جستجو نوع نظر از را
(
- (
Network base Intrusion Detection NIDS
(
- (
Host base Intrusion Detection HIDS
(
(
Distributed Intrusion Detection DIDS
برای شرح
NIDS
:
در .میگیرد قرار بررسی مورد )مختلف های میزبان روی بر عبوری (ترافیک شبکه اصلی بدنه ،ها سیستم این در
HIDS
سرور اتصال با
IDS
طریق از شبکه به
Switch
یا
Hub
بررسی و
Packet
.میدهند قرار بررسی مورد را حمالت ،ها میزبان خروجی و ورودی های
از میتوان موجود افزاری نرم های سیستم از
Snort
.برد نام
- 3. برای شرحی
HIDS
:
سیستم با اساسی تفاوت دو دارای و .میپردازد میزبان یک ترافیک و ها فعالیت بررسی به سیستم ،دسته این در
NIDS
اینکه بدلیل .است
در
HIDS
به نسبت بیشتری اطمینان و سرعت از میگیرد قرار بررسی مورد میزبان یک ترافیک
NIDS
بعدی ویژگی .است برخوردار
HIDS
سرویس که سروری مثال بطور ،است ان قوانین تعداد بودن کمتر
DNS
شناسایی قوانین که ندارد لزومی هیچ نمیدهد ارائه را
مصرف نتیجه در بداند را سرویس این به مربوط تهدیدات
CPU
این معروف های سیستم جمله از .میشود بیشتر سیستم کارایی و کمتر
به میتوان دسته
OSSEC
و
wazuh
و
Tripwire
.کرد اشاره
- 4. برای شرحی
DIDS
:
از گروه این
IDS
چند از ها
HIDS
یا
NIDS
که صورت بدین .میشود تشکیل مرکزی مدیریت سیستم یک بهمراه دو این از ترکیبی یا
هر
IDS
،ها گزارش کردن بررسی وظیفه مرکزی سیستم و میکند ارسال کزی مر مدیریت برای را خود های گزارش شبکه در موجود
در .میباشد دارا نیز را شناسایی قوانین بانک رسانی بروز وظیفه همچنین سیستم این .دارد را الزم اقدامات دیگر و نیاز صورت در اخطار
یک سازی پیاده زیر شکل
DIDS
.میکنید مشاهده را
- 5. حمالت شناسایی های روش
میشود استفاده اصلی روش دو از حمالت شناسایی برای
(
(
Anomaly Base Statically
میانگین بر مبتنی روش این ،میکنند بندی تقسیم معمول غیر و معمول دسته دو به را شبکه ترافیک و ها فعالیت روش این در کلی بطور
در مثال بطور .) میشود استفاده معمول بطور که هایی پورت و ها پروتکل ،ترافیک حجم (مانند است شبکه یک درون موجود های فعالیت
صورت در و است طبیعی میزبان یا دهنده سرویس یک با تماس یک در ،مشخص کاربری توسط ،دستور یک از بار چند اجرای میگیرند نظر
( دستی بصورت سیستم پیکربندی روش این در.میدهد نشان العمل عکس ان مقابل در سیستم دستور بیشتر تکرار
Statically
توجه با )
از تنها نمیتوان که میشوند اجرا و طراحی ،پیچیده ای گونه به حمالت امروزه.میگیرد صورت شبکه مدیر توسط و شبکه موقعییت و نیاز به
روش
Anomaly
.کرد استفاده ان از جلوگیری و شناسایی برای
Signature Base
از منظور
Signature
این مجموعه از ،میکند شناسایی را حمله یا نفوذ یک وقوع که است قواعدی مجموعه
Signature
در ها
با را ان و میدهد قرار بررسی مورد را شبکه در موجود ترافیک سیستم روش این در .اید می بوجود حمالت شناسایی برای الگویی نهایت
Data Base
در.میکند اقدام ها گیری تصمیم دیگر و شبکه مدیر به اخطار به نسبت ان با تطابق یافتن صورت در و .میکند مقایسه خود
روش
Signature Base
بصورت دستگاه بندی پیکر
Dynamic
مانند ،میگیرد صورت
Anti Virus
است داده نشان تجربه .ها
.داشت خواهد بر در را نتیجه بهترین حمالت از جلوگیری و شناسایی برای روش دو هر از استفاده که
- 6. های سیستم گیری قرار محل
IDS
شبکه در
سیستم از استفاده هنگام در که مهمی سوال ،فوق موارد بر عالوه
IDS
شبکه درون ها سیستم این گیری قرار محل ،میشود مطرح
بین ها سیستم این گیری قرار برای مکان بهترین کلی بطور.میباشد
Firewall
و
Router
قرار صورت در ،داشت توجه باید .میباشد
بین در سیستم این دادن
Firewall
بسمت اطالعات از زیادی حجم بیرونی شبکه و
IDS
بازدهی کاهش بر عالوه که میشود سرازیر
.میکند فراهم را بیشماری خطاهای امدن بوجود امکان سیستم
محیط دارای شبکه که صورتی در و
DMZ
دادن قرار برای شبکه معماری ،باشد متعدد های مجموعه زیر یا
IDS
خواهد متفاوت نیز ها
: کرد توجه زیر موارد به باید مناسب محل در ها سیستم این دادن قرار برای شبکه یک در کلی بطور .بود
یک از
IDS
بین
Router
و
Firewall
.شود استفاده
یک از نیز شبکه از مجموعه زیر هر برای
IDS
.شود استفاده
- 7. .میکنید مشاهده را ان گیری قرار محل و شبکه معماری از ای نمونه زیر شکل در
از استفاده های محدودیت
IDS
اطالعات بودن معیوب ،افزارها نرم باگ از شده تولید اطالعات ،پارازیت
DNS
از میزبان سیستم توسط شده تولید ناقص اطالعات و
توسط مورد بی اخطارهای عمده عوامل
IDS
.میباشد
.داشت خواهد کمتری نسبت اساس بی اخطارهای به نسبت حمالت به مربوط صحیح اخطارهای سیستم نامناسب پیکربندی صورت در
.بود خواهد ناتوان جدید حمالت شناسایی در سیستم ،نشود انجام موقع به رسانی بروز که صورتی در
باز متن نفوذ تشخیص های سیستم از نمونه چند
AIDE
گروه تهاجم شناسایی های سیستم از :
DIDS
عامل سیستم برروی سیستم این .میباشد
Unix
.میشود نصب
-
ACARM ng
این :
IDS
بعنوان کارکرد های قابلیت دارای
HIDS
و
NIDS
عامل سیستم برروی ،میباشد
Linux
قابل
از کمتر استفاده ،باال سرعت به میتوان ان های ویژگی جمله از و اجراست
CPU
.کرد اشاره شبکه ترافیک ای لحظه تحلیل و
Bro NIDS
عامل سیستم روی بر حمالت شناسایی سیستم این:
Linux
در است مشخص ان اسم از که همانطور و میشود اجرا
گروه
NIDS
.میگیرد قرار ها
OSSEC NIDS
این :
IDS
گروه از که
HIDS
ویژگی از و .میباشد عامل های سیستم همه برای هایی نسخه دارای میباشد ها
تحلیل به میتوان ان دیگر های
Log
کردن چک ،ان های فعالیت بررسی ،سیستم
Registry
شناسایی و
Rootkit
.کرد اشاره ها
Prelude Hybrid IDS
عامل سیستم برروی تهاجم شناسایی سیستم این:
Linux
به نیز ان ویندوز نسخه و میشود نصب
.است شده منتشر تازگی
Samhain
این:
IDS
که
-
Host base
تحلیل و خواندن جمله از متعددی های قابلیت دارای میباشد
Log
چک ،سیستم
شناسایی در باال توانایی ،میزبان های فعالیت و ها فایل کردن
Rootkit
،ها
Port Scanning
سیستم پنهان های پردازش بررسی و
های عامل سیستم روی بر است رایگان که افزار نرم این .دارد
,
Windows Linux
و
Unix
.است اندازی راه قابل
Snort
که سیستم این :
-
Network base
خطرات و حمله شناسایی برای که است محبوبی افزارهای نرم جمله از ،میباشد
تحلیل قابلیت دارای.میگیرد قرار استفاده مورد شبکه
Log
و بافر سرریز حمالت شناسایی .میباشد ها پروتکل و
Port scanning
برای هایی نسخه دارای و میشود انجام بخوبی افزار نرم این توسط
Windows
و
Linux
.میباشد
Suricate
این :
IDS
.میباشد عامل سیستم نوع هر برای متعدد های نسخه دارای که است هایی سیستم جمله از
- 8. واقع در
IDS
که است صورت این به کار روش.کند می شناسایی را شبکه روی وقوع حال در خرابکاریهای که است محافظتی سیستم یک
می کردن هک نهایتا و کامپیوترها کنترل آوری دست به ، پورتها پویش ، اطالعات آوری جمع مراحل شامل که نفوذ تشخیص از استفاده با
.کند کنترل و گزارش را خرابکاریها نفوذ تواند می ، باشد
( نفوذ از جلوگیری سیستم
IPS
ناخواسته های
ررفتا تا کرده نظارت سیستم یک یا و شبکه یک های
تفعالی بر که است امنیتی وسیله یک )
.کند
یم جلوگیری ها
نآ فعالیت ادامه از و داده نشان العمل
سعک بالفاصله ،رفتارها این شناسایی صورت در .کندشناسایی را مخرب یا
شوند
یم تقسیم برنامه بر مبتنی و شبکه بر مبتنی و میزبان بر مبتنی دسته سه به نفوذ از جلوگیری های
مسیست
IDS
میزبان بر مبتنی
-
Host based
( کوچک سرویس یک اجرای با نفوذ شناسایی سیستمهای از اینگونه
Agent
آنرا تحرکات کلیه توانند می )(میزبان مقصد ماشین در )
شناسایی منظور به را ممیزی قابل منابع سایر و سیستمی مهم فایلهای ،وقایع ثبت است قادر کوچک جاسوس این .دهند قرار نظارت مورد
روال از خارج رخدادی هنگامیکه به ،حفاظتی سیستم این در .دهد قرار موشکافی مورد مشکوک فعالیتهای رهگیری یا و مجاز غیر تغییر
طریق از بالفاصله ،دهد روی عادی
SNMP
.گردد می ارسال شبکه مسئولین برای خودکار بطور هشدارهایی
IDS
شبکه بر مبتنی
-
Network based
های بسته روش این در .گیرد می قرار نظارت مورد ،ارتباطی خطوط روی بر بالدرنگ بصورت ترافیک ،نفوذ شناسایی سیستم از نوع این در
در گسترده حمله یک تدارک وجود عدم نظر نقطه از خود مقصد به رسیدن از قبل تا گیرد می قرار ارزیابی مورد دقت به ارسالی اطالعاتی
این .گردد مطمئن ،میباشند خطرناک بسیار که کار حال در سرویسهای نمودن خارج رده از برای ترافیک زیاد حجم تدارک یا و آنها برنامه
نمودن مسدود به اقدام آن متعاقب و نموده هشدار ارسال به اقدام بالفاصله ، ترافیک در مشکوک تحرک یک شناسایی هنگام به سیستم
دیواره با پیوسته هم به سیستمهای از برخی در )پذیرد می صورت گرا میزبان سیستم در که (همانگونه .نماید می مشکوک های بسته مسیر
.نماید ختثی آینده در را مهاجمان حمله کلی بطور تا گردد می تعریف جدیدی قواعد خودکار طور به ،آتش
.دارد خود بازرسی طرح اجرای برای مستقلی سکوی به نیاز ،ماشین منابع از شدید استفاده بدلیل شبکه بر مبتنی نفوذ شناسایی سیستم
نمی یابها مسیر یا و سوئیچ محدوده از خارج در کنکاش به قادر آنها زیرا دارد شناسایی سیستم یک به نیاز عملیاتی ناحیه هر همچنین
.باشند
IDS
برنامه بر مبتنی
-
Application based
از نوع این
IDS
ها برنامه این داخل دار معنی محتوای .میشوند برده بکار خاص ها برنامه از برخی اجرایی خوش از حفاظت منظور به
" "
.دهد کاهش را آنها نادرست / درست خطاهای میزان بتواند نفوذ شناسایی سیستم از نوع این تا میدهد اجازه
محصوالت
IDS
قرار بازرسی مورد شرورانه تحرکات شناسایی منظور به را شبکه از عبوری های بسته محتوای تمامی ،شبکه بر مبتنی
.است یاب مسیر یا و آتش دیواره توسط گرفته صورت تحلیلهای از تر عمیق بسیار بازرسی از نوع این .میدهد
نظیر آشنا پرتکلهای طریق از ،ای هوشمندانه حمالت که هستند موثر هنگامی نفوذ شناسایی سیستمهای
http
بدون هم معموال که ،
آتش دیواره از قویتر مراتب به پردازشی قدرت یک داشتن به نیاز تصور ، مقایسه مقام در .گیرد شکل ،میگذرند آتش دیواره درون از مشگل
.ندارد تعجب جای نفوذ شناسایی سیستمهای برای
ابزارهای از امروزی پذیر نفوذ های شبکه
IDS
و ارزیابی ،کشف آنها هدف که کنند می استفاده تالش پر امنیتی کارشناسان جای به
.باشد می شرورانه حمالت مقابل در ، شبکه حفاظت
امر در را اصلی گاه تکیه و نقش و شوند می گسترده آتش های دیواره نظارت تحت محدوده داخل یا و خارج در محصوالت این نتیجه در
.نمایند می بازی ایمن شبکه یک سازی پیاده
اغلب .ندارند نظارتی سیستم بر فشار اعمال یا و شبکه سرعت بر تاثیری که آنست شبکه بر مبتنی نفوذ شناسایی سیستمهای مزایای از یکی
IDS
به .میکند یاری آنها شناسایی امر در را آنها که هستند حمالت به مربوط عالئم از جامع اطالعاتی بانک یک دارای شبکه بر مبتنی های
جهت هر
IDS
خزنده تهدیدات با آنها .باشند نمی حمالت شناسایی به قادر خود اطالعاتی بانک بروزشدن بدون ضدویروسها مانند نیز ها
.هستند ستیز در است حمله موعد دارای که ای
تولید .رسانند می انجام به داشته قبلی یورش در آمیزی موفقیت نتیجه که خطایی و آزمون روش با را ها شبکه به حمالت اغلب هکرها
نمایند می تهیه را حمله اصلی های مشخصه ، حمالت اینگونه روی بر آمده عمل به تحلیلهای به توجه با شبکه امنیتی محصوالت کنندگان
با مقایسه و شبکه ترافیک در موجود اثرات به توجه با را شبکه به یورش اثر رد ،شناسایی فنون .دهند می قرار توجه مورد آنرا جزئیات و
، گرفت قرار شناسایی مورد حمله یک مشخصه آنکه محض به .میدهند قرار شناسایی مورد اطالعاتی بانک در موجود تهدیدات الگوهای
شناسایی در موفقیت .نماید می ساده هشدار پیامهای ارسال به اقدام موارد اغلب در و داده نشان العمل عکس آن مقابل در امنیتی سیستم
.است گردیده ذخیره ٌاسابق مربوطه اطالعاتی بانک در که است حمالتی الگوی بودن بروز میزان به بسته ،حمالت
- 9. : است مشخص ٌالکام کنند می تکیه شناسایی الگوی یا و خود به تنها که سیستمهایی اشکال
فنون از فقط شبکه حفاظت برای اگر صورت این در و نمایند رهگیری هستند شناسایی الگوی دارای که را یورشهایی توانند می فقط آنها
قرار شده شناخته تهدیدات اقسام و انواع معرض در کماکان شبکه ساختهای زیر یقین بطور ،گردد استفاده حمله عالئم بر مبتنی شناسایی
.دارد
( نامتعارف فنون ،هستند پذیر آسیب نقاط از برداری بهره منظور به هجوم و جدید ضعف نقاط کشف بدنبال هکرها هنگامیکه به
anomaly
با حمله اینگونه از نمونه اولین .نیست کار در شناسایی عالئم یا و الگو هیچگونه زار کار این در .است نیاز مورد شناسایی )
ویروس
CodeRed
.نماید شناسایی آنرا حمله الگوی طریق از نتوانست شناسایی سیستم هیچ جائیکه ،رسید ظهور معرض به
محصوالت
IDS
ترافیک مقایسه با میتواند اینکار .دارند نامتعارف شناسایی فنون به نیاز حمالت اینگونه اولیه ضربات شناسایی منظور به
.است شده نهاده بنا متعارف غیر ترافیک آمار مشاهده اساس بر مکانیسم این .گیرد صورت اولیه ترافیک الگوی یک با شبکه
سیستمهای حاضر حال در
IDS
نیز شناسایی متعارف غیر فنون .باشند نمی جدید هوشمندانه حمالت برخی از ممانعت و شناسایی به قادر
.نیافتد موثر مواقع بعضی در است ممکن
تالش تان شبکه امنیت برای و هستید گذار سرمایه شما اگر .شود دروازه وارد توپ دهید اجازه نباید و هستید بان دروازه یک کنید تصور
.کنید جایگزین پیشگیرانه فناوری با را واکنشی سیستم و بگیرید تصمیم .شد خواهد تبدیل کابوس یک به شما برای موضوع این کنید می
سیستم .شوند تر خبره و ماهرتر روز به روز تا داشته برآن را نفوذگران کاربردی های الیه به حمله مقابل در اطالعاتی های سیستم مقاومت
( نفوذ شناسایی
IDS
بر نیستند تهدیدی حقیقت در که را عادی غیر اًرظاه های الگو شناسایی کار و کند می عمل شبکه پروتکل الیه در )
.شود می امنیتی سیستم شدن کند و سنگینی موجب کار این .دارد عهده
حمالت از جدید الگوهای روی بر تغییرات اعمال با باید کار این .کند می پیشنهاد تهدیدات این خصوص در را تری موثر راه پیشگیرانه روش
.بگیرد صورت دهند می گسترش را حمالتشان دامنه ًادائم که نفوذگران مختلف
کنند می پیچیده آنقدر را حمالتشان آنها .آنهاست عمل سرعت و پیچیدگی ،ساخته قدرتمند زمینه این در را نفوذگران همه از بیشتر آنچه
که یابند گسترش سرعتی چنان با میکنند سعی آنها .آورد نمی دوام آنها مقابل در زیادی مدت ،معمولی آتش دیواره یا ویروس ضد یک که
.باشد نداشته موقع به واکنش توانایی انسان
( نفوذ از ممانعت سیستم فقط اکنون
Intrusion Prevention System
)
IPS
کردن مسدود به قادر خود مصنوعی هوش با ،
.است میدهند رخ که زمانی در ،حمالت
میان تفاوت
IPS
و
IDS
چیست؟
IDS
.میکند عمل دزدگیر یک شبیه بیشتر
IDS
و کند می کشف زده صدمه آنجا به رسدکسی می نظر به که را شبکه از قسمتهایی
از شما که رسیده آن زمان اکنون .گیرد می صورت دستگاه به آسیب حین در یا و بعد اخطار این که است بدیهی .دهد می اخطار سپس
.کنید اصالح را سیستم و نموده جلوگیری تر پیش ،صدمات
IPS
از قسمتی اینکه بر مبنی اخطار اعالم بجای و است شده طراحی دهنده سرویس یا شبکه به مجوز بدون ورود از جلوگیری برای
.آورد می عمل به جلوگیری سیستم صدمه از شده مشکل دچار سیستم
IPS
آوری فن از جدیدی نسل
IDS
سیستم .است
IDS
کردن مسدود توانایی باید همچنین .شناسایی فقط نه دارد احتیاج توانایی به
تفاوت .باشد داشته را حمالت
IPS
با
IDS
که است این در سنتی
IPS
تا کشد می دهنده سرویس یا و شبکه دور تا دور امنیتی سد یک
های توانایی دیگر از .نگردد وارد آن به ای صدمه
IPS
شبکه با داخلی شبکه ارتباط وصل و قطع ، شبکه در موجود تراکم راندن بیرون
.است شبکه خارج و داخل به آمدها و رفت کنترل و خارجی
میان تفاوت است ممکن که حالی در .دارد است وقوع حال در که را ای حمله بازداشتن توانایی و ارتباط کنترل قابلیت تر ساده عبارت به
IPS
و
IDS
.دریافت را میانشان تفاوت توان می سادگی به آنها اسامی از آید نظر به کننده گیچ
IDS
گردآوری دستگاه یک از بیش ها
.کنند تحلیل و ارزیابی دارد عبور قصد که را ای بسته هر قادرند تنها که نیستند شبکه اختالالت کننده آگاه و اطالعات کننده
IPS
ها
طبیعی شکل تغییر
IDS
.هستند ها
IPS
های توانایی همه دارای ها
IDS
دهیم می آنها به که هایی معیار اساس بر توانند می حقیقت در آنها .باالتر سطحی در ولی هستند ها
نتیجه در .بگیرند تصمیم
IPS
.حمله یک به واکنش فقط نه و هستند پیشگیری مکانیسم دارای ،ها
تمام ذاتا
IPS
ها
IDS
اما هستند نیز
IDS
ها
IPS
وظایف تغییر با که ، است دهی پاسخ مکانیزم در تفاوت .نیستند
IDS
حالت از
.پذیرد می صورت گیرنده تصمیم حالت به انفعالی
شبکه مدیر که هنگامی
IPS
کند می فعال شبکه عیوب بررسی برای را ی
IPS
دقیق بطور خود عالئم بانک اساس بر را عبوری های بسته
در و کند می بررسی شبکه به ورود از قبل نیز را آنها محتوای کل بلکه ، الکترونیکی های نامه عناوین تنها نه میان این در .کند می بررسی
.آورد می عمل به جلوگیری آنها ورود از ، بودن مخرب صورت
ماند نمی حفره یک از خرابکاران استفاده منتظر که است راهی امنیتی خودکارسازی
حمالت از جلوگیری در معمولی آتش های دیواره .کنند پیدا سیستم به ورود برای راهی بایست می نفوذگران و ها ویروس ،مخرب کدهای
هایی ویروس شناسایی در نیز ویروس ضد های سیستم همچنین .بودند موثر مختلف های پرتکل یا باز های پورت طریق از ، شبکه به ساده
- 10. به مخرب های کد های نویسنده گرچه .بودند موثر ،شوند می سیستم وارد فایل کپی و الکترونیک های نامه طریق از و شناسند می که
(مانند ورودی نقاط و استاندارد های پروتکل از استفاده تازگی
http
پورت و
80
را شود داشته نگه باز سیستم کارهای انجام برای باید که )
.اند کرده شروع سیستم داخل به نفوذ برای
حمالت به پاسخگویی به قادر و میشوند عملیاتی افت دچار مرور به هستند ثابت های مکانیسم دارای که امنیتی سیستمهای ترتیب بدین
تقش که اینجاست .باشند نمی پیشرفته شده ریزی برنامه
IPS
.بگیرد را نفوذگران جلوی موثری ًالکام بطور تا گردد می رنگ پر ها
IPS
: کند می استفاده روش چند از مجاز غیر ورودهای قبیل این از جلوگیری برای
IPS
و کند می بازرسی دهنده هشدار سیستم از بهتر بسیار دارد را شبکه به ورود قصد که را ای بسته هر )شبکه یا میزبان بر (مبتنی ها
پدافند از شد حمله نوع کردن پیدا به موفق اگر که ،حمله نوع یافتن برای اطالعاتی بانک جستجوی اول :رساند می انجام به را کار دو سپس
سیستم هسته کارکرد اساس و پایه این .کند می پیدا را ها فایل به دسترسی اجازه سیستم صوررت این غیر در و کرد خواهد استفاده آن
.رود می کار به عادی غیر های فعالیت جستجوی برای که است
: است الزم شرط دو سیستمی چنین به دستیابی برای
دهد نشان را العمل عکس بهترین تواند نمی سیستم ،نباشید برخوردار کافی اجرایی توان از اگر : باال اجرایی توان
بگیرید اشتباه تصمیم نباید شما : دقت دوم و
- 12. معرفی
OSSEC
( باز منبع میزبان بر مبتنی نفوذی آشکارساز سیستم یک
HIDS
بررسی ، سیستم به ورود تحلیل و تجزیه که است )
تشخیص ، ویندوز رجیستری بر نظارت ، یکپارچگی
rootkit
. دهد می انجام را فعال واکنش و زمان بر مبتنی هشدار ،
OSSEC
چند یا یک بر نظارت برای سرور عنوان به یا ، شود نصب )محلی نصب (یک آن روی شده نصب سرور بر نظارت برای تواند می
نصب نحوه ، آموزش این در .شود نصب عامل
OSSEC
بر نظارت برای را
7
CentOS
.گرفت خواهید یاد محلی نصب یک عنوان به
مرحله
1
کنید نصب را الزم های بسته :
- -
sudo yum install y gcc inotify tools
جدیدتر های ورژن در : نکته
ossec
. کنیم نصب را زیر های بسته هست نیاز ما
- - - 2- -
dnf install gcc make libevent devel zlib devel openssl devel pcre devel wget tar y
مرحله
2
-
OSSEC
کنید تأیید و بارگیری را
OSSEC
یک عنوان به
فایل
فایل .شود بارگیری پروژه سایت وب از باید که شود می ارائه فشرده
checksum
عدم تأیید برای که
نسخه آخرین ، انتشار زمان در .شود بارگیری باید نیز ، گیرد می قرار استفاده مورد ، تاربال از استفاده
2.8.2
OSSEC
.است
صفحه
بارگیری
بررسی را پروژه
کنید
.کنید بارگیری را آن جدید نسخه و
: ازسورس بارگیری برای
- :// . . / / - -2.8.2. .
wget U ossec http www ossec net files ossec hids tar gz
: سام چک پرونده برای
- :// . . / / - -2.8.2- .
wget U ossec http www ossec net files ossec hids checksum txt
های چک بررسی بعدی مرحله ، پرونده دو هر بارگیری با
5
MD
و
1
SHA
برای .است تاربل
5
MD sum
:نوع ،
5 - - -2.8.2- .
md sum c ossec hids checksum txt
:انتظار مورد خروجی
- -2.8.2. . :
ossec hids tar gz OK
5 : : 1
md sum WARNING line is improperly formatted
هش تأیید برای
1
SHA
:نوع ،
1 - - -2.8.2- .
sha sum c ossec hids checksum txt
:است آن انتظار مورد بازده و
- 13. - -2.8.2. . :
ossec hids tar gz OK
1 : : 1
sha sum WARNING line is improperly formatted
مرحله
3
سرور :
SMTP
کنید تعیین را خود
نصب مراحل طی در
OSSEC
سرور یک شود می خواسته شما از ،
SMTP
دانید نمی اگر .کنید تعیین خود ایمیل آدرس برای را
:)کنید آن جایگزین را جعلی ایمیل (آدرس شماست محلی دستگاه از دستور این صدور برای روش ترین ساده ، چیست
- .
dig t mx you@example com
سرور ، نمونه خروجی این در .است شده داده نشان کد بالک این در خروجی به مربوط بخش
SMTP
ایمیل آدرس برای
شده پرسیده
در
- خط انتهای
. .
mail vivaldi net
.است
.است شده درج انتها در نقطه که باشید داشته توجه .
:
;; ANSWER SECTION
. . 300 10 . . .
vivaldi net IN MX mail vivaldi net
مرحله
4
نصب :
OSSEC
نصب برای
OSSEC
: کنید باز را فایل است الزم ابتدا ،
- -2.8.2. .
tar xf ossec hids tar gz
یا دهید تغییر .دهد جای خود در را برنامه نسخه و نام که گیرد می قرار ای پوشه در
cd
.شوید آن وارد
2.8.2
OSSEC
نصب نسخه ،
باید که ، بعدی پایدار نسخه انتشار زمان تا .شود برطرف نصب شروع از قبل باید که است جزئی اشکال یک دارای ، مقاله این برای شده
2.9
OSSEC
برای آن رفع .است ارشد کارشناسی شاخه در حاضر حال در تعمیر این زیرا ، نیست الزم کار این ، باشد
2.8.2
OSSEC
در که ، است پرونده یک ویرایش معنای به فقط
-
active response
است این پرونده .دارد قرار فهرست
- .
hosts deny sh
،
:کنید باز آن از استفاده با بنابراین
- / - .
nano active response hosts deny sh
:باشید کد بلوک این دنبال به ، پرونده انتهای در
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' |
fold -w 32 | head -1 `"
fi
با که خطوطی در
TMP_FILE
عالمت اطراف فضاهای ، شود می شروع
را =
از بخش آن ، ها فاصله برداشتن از پس . کنید حذف
.ببندید را فایل و کنید ذخیره .شود داده نشان زیر کد بلوک همانند باید پرونده
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' |
fold -w 32 | head -1 `"
fi
- 14. :دهید می انجام را آن کردن تایپ با شما که ، کنیم شروع را نصب مراحل توانیم می
./ .
sudo install sh
باید فقط شما ، موارد بیشتر در .کنید وارد را ورودی تا شود می خواسته شما از ، نصب مراحل طی در
ENTER
را
فشار
دهید
پیش تا
( است انگلیسی ، فرض پیش طور به که ، کنید انتخاب را نصب زبان که شود می خواسته شما از ابتدا .بپذیرد را فرض
en
زبان این اگر .)
، شماست عالقه مورد
ENTER
را
فشار
دهید
، صورت این غیر در .
2
، آن از پس .کنید وارد شده پشتیبانی زبانهای لیست از را حرف
دوباره
ENTER
را
فشار
دهید
.
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
از بعد
، اینجا در .خواهید می را نصب نوع چه که پرسد می شما از اول سوال
را محلی
. کنید وارد
1- ( , , , )
What kind of installation do you want server agent local hybrid or help ? Local
، بعدی سؤاالت برای
ENTER
را
فشار
دهید
سوال .بپذیرد را فرض پیش تا
3.1
از سپس و کند می ًافور شما ایمیل آدرس برای را شما
سرور
SMTP
سرور و معتبر ایمیل آدرس یک ، سوال این برای .پرسید می
SMTP
مرحله در که
3
.کنید وارد اید کرده تعیین
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
:کنید مشاهده را خروجی این باید ، باشد آمیز موفقیت نصب اگر
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
، نصب اتمام برای
ENTER
را
فشار
دهید
.
شکل
1
نصب برای :
agent
شما هست نیاز -
agent
. کنید انتخاب را
- 15. مرحله
5
:
OSSEC
کنید شروع را
OSSEC
حساب به ابتدا ، آن شروع برای .است نشده شروع اما ، است شده نصب
root
.بروید
sudo su
.کنید شروع را آن زیر دستور صدور با سپس
/ / / / -
var ossec bin ossec control start
باید .کنید بررسی را خود ورودی صندوق ، آن از پس
OSSEC
، کار این با .است کرده کار به شروع که دهد اطالع شما به هشدار یک
که دانید می اکنون
OSSEC
.کنید می ارسال را هشدارهایی نیاز صورت در و است شده نصب
:ششم مرحله
OSSEC
کنید سازی شخصی را
فرض پیش پیکربندی
OSSEC
استفاده آن از خود سرور از محافظت برای توانید می که دارد وجود تنظیماتی اما ، کند می عمل خوب
- است اصلی پیکربندی فایل ، سازی شخصی برای پرونده اولین .کنید
.
ossec conf
در که
/
/ /
var ossec etc
خواهید قرار فهرست
:کنید باز را پرونده .یافت
/ / / / .
nano var ossec etc ossec conf
بخش در که است ایمیل تنظیمات تأیید برای مورد اولین
global
:کرد خواهید مشاهده پرونده
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
آدرس که کنید حاصل اطمینان
email_from
سرورهای از برخی ، صورت این غیر در .است معتبر ایمیل یک
SMTP
دهنده ارائه
طرف از را هشدارهایی ایمیل
OSSEC
عنوان به
Spam
اگر .کنند می گذاری عالمت
FQDN
قسمت ، باشد نشده تنظیم سرور
داشته معتبر ایمیل آدرس یک خواهید می ًاواقع شما که است تنظیماتی این بنابراین ، شود می تنظیم سرور میزبان نام روی ایمیل دامنه
.باشید
اجرای فرکانس ، سیستم آزمایش هنگام خصوص به ، کنید سازی سفارشی خواهید می که تنظیماتی از دیگر یکی
OSSEC
های ممیزی
قسمت در تنظیمات این .است خود
syscheck
دارد قرار
هر ، فرض پیش طور به و
22
آزمایش برای .شود می اجرا بار یک ساعت
دهنده هشدار ویژگیهای
OSSEC
پیش صورت به را آن دوباره آن از بعد اما ، کنید تنظیم کمتری مقدار به را آن بخواهید است ممکن ،
.کنید تنظیم فرض
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
، فرض پیش طور به
OSSEC
در درست جدید برچسب یک ، آن تغییر برای .دهد نمی هشدار سرور به جدید پرونده شدن اضافه هنگام
برچسب زیر
کنید اضافه فرکانس
> <
:باشد زیر موارد حاوی باید بخش این ، اتمام از پس .
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
باید که است هایی فهرست لیست در تغییر برای خوب تنظیم آخرین
OSSEC
پیدا قبلی تنظیم از بعد درست را آنها .کند بررسی را آنها
:شوند می داده نشان زیر صورت به ها دایرکتوری ، باشید فرض پیش .کرد خواهید
<!-- Directories to check (perform all possible verifications) -->
- 16. <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
گزارش تا کنید اصالح را خط دو هر
OSSEC
:بخوانند باید آنها ، اتمام از پس .کند تغییر واقعی زمان در
<directories report_changes="yes" realtime="yes"
check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes"
check_all="yes">/bin,/sbin</directories>
.ببندید را فایل و کنید ذخیره
کنیم اصالح باید که بعدی پرونده
.
local_rules xml
در
/
/ /
var ossec rules
بنابراین .دارد قرار فهرست
cd
:فهرست آن به
/ / /
cd var ossec rules
قاعده های پرونده دایرکتوری این
OSSEC
جز به آنها از یک هیچ که ، دارد می نگه را
.
local_rules xml
اصالح نباید پرونده
می آتش ، جدید پرونده افزودن با که است قانونی ، کنیم اضافه باید که قانونی .کنیم می اضافه را سفارشی قوانین ، پرونده آن در . شوند
شماره با ، قانون این .گیرد
554
تنظیم سطح با قاعده یک وقتی که است این دلیل .کند نمی ایجاد را دهنده هشدار فرض پیش طور به ،
، شود شروع صفر بر شده
OSSEC
.کند نمی ارسال هشدار
قانون که رسد می نظر به اینجا در
554
.رسد می نظر به فرض پیش طور به
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
در را قانون آن از شده اصالح نسخه یک باید ما
.
local_rules xml
آورده زیر کد بالک در شده اصالح نسخه آن .کنیم اضافه پرونده
.کنید اضافه و کرده کپی فایل پایین در را آن ، شدن بسته برچسب از قبل درست .است شده
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
سپس ، ببندید و کرده ذخیره را پرونده
OSSEC
.کنید اندازی راه ًامجدد را
/ / / / -
var ossec bin ossec control restart
منبع
- 18. نصب برای
agent
. نصب نوع انتخاب مرحله تا میرویم باال روند طبق
yum install gcc make
On RHEL derivatives (CentOS 7)
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/gcc-4.8.5-
36.el7.x86_64.rpm
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/make-3.82-
24.el7.x86_64.rpm
yum localinstall gcc-4.8.5-36.el7.x86_64.rpm
yum localinstall make-3.82-24.el7.x86_64.rpm
/ مسیر در مستقیم بصورت دانلود برای
tmp
: داریم
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz -P /tmp
cd /tmp
tar xzf 3.1.0.tar.gz
cd ossec-hids-3.1.0
./install.sh
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
- 19. ما اینجا در
agent
. میکنیم انتخاب را
. میکنیم انتخاب را نصب مسیر
. میکنیم وارد را سامانه سرور
شدن فعال برای
integrity check daemon
گزینه
y
. میکنیم انتخاب را
گزینه کیت روت تشخیص امکان شدن فعال برای
y
. میکنیم انتخاب را
- 21. اتصال
agent
: سرور به
که اکنون
agent
خاص میزبان به مربوط کلید توانید می .کنید اجرا را زیر دستور ، عامل-سرور اتصال کلید افزودن برای ، است شده نصب
گزینه .کنید استخراج سرور از را
I
سپس .کنید تأیید را کلید افزودن و کنید پیست را کلید ، کنید وارد را
Q
و کرده تایپ را
enter
فشار را
.شوید خارج تا دهید
/var/ossec/bin/manage_agents
کردن استارت
agent
:
/var/ossec/bin/ossec-control start
- 22. : سامانه های الگ بررسی
tail /var/ossec/logs/ossec.log
میکنید مشاهده اینجا در
agent
. است شده متصل سامانه به
- 23. : دوم فصل
پیشرفته امکانات از استفاده و تنظیمات
. شد خواهد اضافه کتاب بعدی های ورژن در فصل این
- 25. با
Wazuh
: شویم آشنا بیشتر
Wazuh
پلتفرم یک
Open Source
قبیل از فراوانی های
تقابلی که است
Threat Detection ،Integrity Monitoring
،Incident Response ،Compliance
.دهد
یم ارائه را غیره و
یک عنوان به پلتفرم این
Fork
پروژه از
OSSEC HIDS
ای
هشد
هشناخت ابزار با ادغام و جدید های
تقابلی شدن
هاضاف با و آمد وجود به
مانند
OpenSCAP
و
Elasticsearch
. میباشد دارا را