كنترل ارتباطات

نويسنده: Simson Garfinkel
CSO
مترجم: شراره حداد

فرامينگهام- اخيرا فرصتی يافتم تا از مركز نظارت و مراقبت شبكه دانشگاه هاروارد ديدن نمايم. معمولا فرد عادی مفهوم كلمات نظارت و مراقبت از شبكه و دانشگاه را در كنار هم نمی‌داند، چون هر نوع مراقبتی با سنت آزادی علمی فعلی در اكثر دانشگاه‌ها در تضاد است. متاسفانه، بيشتر آموزش‌های در سطح عالی به جنايت‌ها و خلاف‌های كامپيوتری مربوط به اينترنت ختم شده است، چه قربانيان و چه موسسات خانگی مقصر در اين زمينه، به همين دليل دانشگاه‌ها بايد روي چند روش نمايش شبكه سرمايه‌گذاری نمايند.

آنچه مراقبت از شبكه هاروارد را مهم جلوه می‌دهد، واقعيت وجود Crimson و كاربرد آن در مراقبت از شبكه نمی باشد بلكه مقياس‌پذيری و پيچيدگی فنی و تخصصی عمليات قابل رويت، مهم است. هاروارد از اتصال 6 گيگابيتی بين سرويس‌دهندگان اينترنت 1 و 2 برخوردار است. هر روز بين 10 تا 30 ترابايت داده در مرز و محدوده‌هاروارد جابجا می‌شود. علاوه بر اين، ترافيك نيز دستخوش مسيريابی‌های نامتقارن می‌شود، يعنی جابجايی و ارسال بسته‌ها بين روترهای چند مرز مختلف بستگی به اين دارد كه آيا آنها از هاروارد برای هميشه خارج می‌شوند يا دوباره برمی‌گردند، يكی از نتايج ناخوشايند آن hot potato routing به معنای (راه پردردسر) ناميده می‌شود.

عليرغم اين پيچيدگی، هاروارد كار دسته‌بندی و ثبت اطلاعات هر بسته در حال عبور از مرز را كنترل و به عهده دارد. جهت اطلاع از نحوه كار سحرآميز هاروارد، من با جی توماس، مدير عمليات شبكه هاروارد ديدار كردم. مدت كوتاهی در دفتر جی واقع در University Information Systems (قسمت سيستم‌های اطلاع رسانی دانشگاه) بودم كه فقط يك بلوك با دفتر من در دانشكده مهندسی و علوم كاربردی فاصله دارد.

هيچ بسته‌ای جا نمانده است.

اتصال هاروارد به اينترنت 1 و 2 در سه مكان واقعی صورت می‌گيرد: دو تای آن در بوستون و ديگری در كمبريج. ولی توماس به جای استفاده از سيستم‌های تشخيص بی نظمی و مزاحمت در مرز، سيستم نمايش دهی مخصوصی را ايجاد كرده است كه جلوی تمام ترافيك اصلی را گرفته و يك كپی از هر بسته تهيه نموده و سپس اين كپی‌ها را به مركز مراقبت و نظارت شبكه روی فيبرهای نوری 10 گيگابيتی ارسال می‌نمايد. اين جريانات و روندها با استفاده از كليدهای سيسكو تشكيل و بوقوع پيوسته و سپس بر اساس خانواده پروتكل و با استفاده از مجموعه Top Layer 4508 IDS Balancers ذخيره می‌گردند.

اين طرح و معماری هم به هاروارد امكان می‌دهد تا باری را كه به علت حجم بالای داده برای تنها يك IDS زياد است، بين چند سيستم تقسيم نمايد و ديگر اينكه، به هر IDS امكان می‌دهد تا فقط با يك امضا تاييد مورد نياز پيكربندي شده و هر IDS سريعتر از حد ممكن برای پاسخگويی به چند پروتكل كامل به اجرا در آيد.

توماس می‌گويد، سال گذشته با بيش از ده ميليون IDS تداخل داشتيم، ولی هاروارد به جای اعلام و هشدار برای هر گونه  برخورد اطلاعات يا جدول‌بندی آنها در چند فايل مثبتی كه كسی‌ آنها را نمی‌خواند، يك سيستم واكنشی را ايجاد كرده است كه شدت و سختی هر گونه برخورد IDS را ارزيابی و اندازه‌گيری نموده و سپس تعداد مثبت‌های غلط را تخمين زده و به طور خودكار مدير امنيتی مسئول در اين زمينه را آگاه می‌سازد.

Harvard Network Operation Center (مركز عمليات شبكه هاروارد) از پايگاه داده‌ای برخوردار است كه دارای 1500 تا 2000 سيستم ثبت شده و مدير شبكه می‌باشد. وقتی IDS با يك برخورد مواجه می‌شود، سيستم تلاش می‌كند تا اين تداخلات را به يكديگر ارتباط داده و وصل نمايد. اگر آزمايشات به اندازه كافی انجام شده و مورد تاييد قرار گيرند، در اين صورت سيستم به طور خودكار آن را اعلام كرده و با ارسال پيامی مدير مسئول را از اين بابت آگاه می‌سازد. سال گذشته 10000 از اينگونه پيام‌ها ارسال شد.David Laporte  كه مدير امنيت شبكه بوده و برای توماس كار می‌كند، می‌گويد: "افراد بايد بطور ناخودآگاه و فطری از اين علائم هشدار دهنده باخبر شوند".

هشدارهای به موقع بخش مهمي مراقبت از شبكه را تشكيل می‌دهند، ولی كاربرد آن محدود بوده و ديگر قابليت برگشت به عقب را ندارند. بايد سيستم‌هايی را پيدا كرد كه با اين وضع و شرايط سازگار باشند. وقتی به چنين سيستمی دست يافتيد، بايد ابتدا ميزان خرابی آن را برآورد و ارزيابی نماييد.

توماس می‌گويد: "برای مثال، سيستم IDS هاروارد اخيرا يك كنترل كنده دامين به نام Microsoft Active Directory را كشف كرده كه هك شده است. جای تعجب ندارد كه هيچكدام از موارد ثبت شده در سيستم فعال نشده‌اند". توماس و گروه وی جهت اطلاع از اتفاقی كه برای سيستم افتاده است به QRadar كه يك سيستم نمايش امنيت بوده و بوسيله Q1 Labs فروخته شده است، رو آورده‌اند.

QRadar می‌تواند چند منبع اطلاع‌رسانی از جمله رديابی بسته، جريانات و روندهای شبكه و ايمنی را به نمايش گذاشته و سپس مدلی از شبكه را بسازد و از اطلاعات واقعی و در دسترس برای روزآمد سازی اين مدل استفاده كرده و اين اطلاعات را در صورت لزوم جهت امكان بازسازی و تغيير اين جريانات در آينده بايگانی نمايد.

طبق ارزيابی سيستم‌های IDS از هر بسته‌ای كه وارد هاروارد شده يا از آن خارج می‌شود، هر بسته بوسيله QRadar مورد پردازش قرار می‌گيرد. اين سيستم، بسته‌ها را مورد بررسی و تجزيه تحليل قرار داده و سپس رشته‌های TCP و UDP را بازسازی كرده، پروتكل‌ها را رمزگشايی كرده و مشخص می‌كند كه آيا اين پروتكل‌ها روی پورت درست و مناسب اجرا می‌شوند يا نه و بعد پايگاه داده واقعی را روز آمد می‌سازد. به اين سيستم می‌توان برای ضبط قسمتی يا كل بسته‌ای كه رويت می‌كند، برنامه داد كه البته انجام اين كار، به مقدار قابل توجهی حافظه برای شبكه هاروارد نياز است.

توماس می‌گويد، ما از هر اتصال جداگانه و مجزايی كه اين سيستم در آن مرز و محدوده ايجاد كرده است، اطلاعات را استخراج كرده و سپس مواردی را كه جزو ترافيك برنامه كنترل و فرمان نبوده و برايمان قابل شناسايی نبودند، انتخاب و جدا كرديم. معلوم شد كه اين سيستم سازگار شده در انتقال فايل 350 مگابايتی از يك سيستم كامپيوتری ديگر در دانشگاه ديگر كمك گرفته بود. اين يك نگرانی عمده به شمار می‌رفت، لذا هاروارد با دانشگاه ديگری تماس برقرار كرده و سيستم سازگار ديگری را مورد بررسی قرار داد. مديران آن دانشكده از وجود فايل‌هايی 350 مگابايتی موسيقی فرانسوي آگاه شدند. به نظر توماس آنها برای كشف ارزش آنچه انجام می‌دادند مدت كافی وجود نداشتند. در مورد ديگری يك مدير شبكه در دانشكده پزشكی هاروارد طی تماسی از اينكه شبكه او مورد تهاجم و حمله قرار گرفته بود شكايت كرد. اپراتورهای مركز عمليات شبكه نيز وارد سيستم QRadar شده و خيلی زود متوجه شدند كه دانشكده پزشكی در حال آزمايش روی حمله رد خدمات به نام  “Smurf” می‌باشد. سپس اين تيم  چندين قوانين اضافه برای روترهای هاروارد در نظر گرفتند تا جلوی اين حملات را گرفتند.

توماس می‌گويد، تاكنون ابزاری بهتر و سريعتر از QRadar در رويت و بازبينی اطلاعات نديده‌ام. اين سيستم به توماس امكان می‌دهد تا به سرعت همه سطوح ترافيك را رويت و بازديد نموده و براساس مقوله‌های مختلف مثل پروتكل‌ شبكه، كنترل‌های اداری، موقعيت جغرافيايی، زمان يا شدت و استحكام ايمنی، جلوی آنها را بگيرد. سيستم QRadar روی يك سرور مخصوص اجرا كننده لينوكس با پردازنده دوگانه اجرا می‌شود. اين بسته‌ها و پايگاه‌های داده روی يك شبكه با حافظه 6 ترابايتی متصل به كانال فيبری، ذخيره می‌شوند. وقتی با توماس صحبت می‌كردم سيستم در حال ضبط 64 بايت اول هر بسته بود، كه ارزش هر داده را برای مدت 30 روز ترجمه و در نظر گرفته بود. ولی ذخيره 64 بايت اول هر بسته چندان مفيد نبوده و شما نمی‌توانيد تصاوير يا صفحات وب را برای مثال دوباره جمع‌آوری و از نو بسازيد. هدف از انجام اين كار پيكربندی مجدد سيستم بوده كه فقط به نگهداری از متا ديتا (فوق داده) با هر اتصال به شبكه، كمك می‌كند ولی هر بسته را حذف و كنار می‌گذارد. با اين تغيير، سيستم بايد بتواند ارزش اطلاعات را برای مدت 6 ماه حفظ نمايد.

QRadar همچون ساير دستگاه‌های پيشرفته امنيتی می‌تواند با استفاده از يك اپلت جاوا كه درون يك مرورگر وب اجرا می‌شود، روی اينترنت در دسترس باشد. سيستم هاروارد طوری تنظيم شده كه مديران شبكه می‌توانند اطلاعات مربوط به شبكه‌های اختصاصی خود را مشاهده نمايند. مديران همچنين می‌توانند بدينوسيله مشكلات خود را بدون زحمت دادن به گروه مركز عمليات شبكه، حل نمايند. يعنی QRadar می‌تواند علاوه بر اينكه برای كنترل امنيت استفاده شود جهت رفع اشكال شبكه و تغيير عملكرد آن نيز مفيد و مثمرثمر باشد.

بهينه سازی الزامی

سيستم QRadar با تمام اين مزايا و قدرت از 2 مشكل برخوردار است كه طی دوره ماموريت خود به آن پی بردم، يكی محدوديت سيستم است كه همچنان ادامه دارد و ديگری فعلا موجود نمی‌باشد.

محدوديت ناخوشايند و آزاردهنده QRadar اين است كه سيستم واقعا نمی‌تواند از نحوه ارسال بسته‌ها روی اينترنت مطلع شود و همينطور با نگاه كردن به روابط و Border Gateway Protocol (BGP) نمی‌تواند از كار سيستم‌های مستقل اينترنتی سر در بياورد. وقتی QRadar ترافيك خروجی از هاروارد را می‌بيند، شبكه مقصد را می‌شناسد ولی نمی‌داند سازمان مقصد و مورد نظر كجاست. اگر QRadar، BGP را می‌دانست، نقشه‌ای از شبكه‌های مختلف را كه بسته‌های ارسالی بايد از آن عبور می كرد، تهيه می‌نمود. گروه عمليات شبكه هاروارد می‌خواهند اين نقص و عيب را هر چه زودتر و به روش بهتر حل نمايند.

ولی يك مشكل عمده و مهمتر اين است كه QRadar می‌تواند حتی در نوع نظارت و مراقبتی كه در يك دانشگاه واقعا الزامی نيست، قابل استفاده باشد. اين سيستم می‌تواند براحتي انواع رفتارهای ناشايست و تهاجمی در هاروارد را به نمايش بگذارد. مثلا، سيستم می‌تواند يك فايل سوابق به همراه آدرس‌های IP كامپيوترها در هاروارد كه به سايت‌های خلاف، بوردهای شغلی و ... مراجعه می‌كنند، ايجاد نمايد. اين اطلاعات می‌توانند در مقابل ثبت تاييد اعتبار كاربر يا آدرس‌های كنترل دستيابی رسانه Ethernet (MAC) در ايجاد گزارشات كامل برای هر كاربر در دانشگاه، فهرست‌بندی شوند. سيستم نمی‌تواند به طور همزمان آنچه را درباره كاربران ثبت كرده است، حفظ و نگهداری نمايد، بلكه فقط می‌داند چه زمانی آنها وارد سيستم و چه زمانی از سيستم خارج شده‌اند ولی نمی‌تواند گزارش مربوط به شخص در حال جستجوی اطلاعات و نوع اطلاعات را حفظ نمايد.

گرچه سازمان‌ها بايد توانايی بازسازی آنچه در گذشته اتفاق افتاده است را داشته باشند ولی بايد قادر به تشخيص زمانی باشند كه از اين توانايی نيز سوا استفاده می‌شود. يك روش برای انجام اين كار استفاده از سيستم‌های نظارتی و مراقبتی است كه به طور خودكار وقايع و گزارشات از استفاده شخصی آنها را ايجاد می‌كند. ما از اين روش در سازمان خود استفاده می‌كنيم كه در آن درخواست برای نظارت و مراقبت به طور كامل و دقيق مرور می‌شود چه قبل و چه بعد از نظارت. دفتر اجرايی دادگاه‌هاي آمريكا يك گزارش كنترل تلفن سالانه‌ای را منتشر می‌كند كه حاوی اطلاعات مختصر و مفيدی برای هر كنترل به سفارش دادگاه در آمريكا می‌باشد.

سازمان‌هايی كه از تجهيزات مراقبتی و نظارتی برخوردار هستند، بايد اين روش‌های مشابه را به كار گيرند و ابزارهای نظارتی همچون QRadar نيز بايد وقايع ثابت را ايجاد و ثبت نموده و نه تنها از زمان ورود و خروج كاربر به سيستم مطلع شوند بلكه بايد نوع عمليات آنها و آنچه انجام می‌دهند را ثبت نمايند.

Copyright 1998-2008 PC World Iran All rights reserved.
Copyright 1977-2008 Electronics and Computer Magazine (GSRP). All rights reserved.
Copyright 2000-2008. International Data Corp. Inc.. All right Reserved.