طراحی سیستم ها با مشخص کردن یک مقیاس به عنوان معیار قابل دسترس بودن (درصد میزان دسترسی)، به صورت واقعی تا حدودی مشکل (غیر ممکن) است. وجود پارامترهای مختلفی که در سرویس دهی سیستم ها (چه سیستم های شبکه ای، چه سیستم های نرم افزاری) وجود دارند و غیر قابل کنترل بودن بعضی از این پارامتر ها از جمله مواردی است که باعث مشکل بودن این کار می شود. از مجموع ۸۷۶۰ ساعتی که در سال وجود دارد، بسته به حساسیت، اهمیت و حیاتی بودن سیستم، محدوده Uptime مشخصی برای سرویس دهی می بایست مورد هدف قرار بگیرد. جدولی برای این محدوده را که در حالت معمول تعداد ۹ها (Nines) آن را مشخص می کند، می تواند مشاهده کنید. (برای تفریح > Uptime-Project)

سیستم های ردیابی و کشف نفوذ توزیع شده که با dIDS از آن یاد می کنیم،از چندین IDS در یک شبکه بزرگ تشکیل شده اند. تمامی این Intrusion Detection System ها، در ارتباط با یدیگر هستند و یا به وسیله یک سیستم (شاید یک سرور) مرکزی در حال پایش شبکه، تحلیل رویدادها و جمع آوری اطلاعات حمله های شناسایی شده، می باشند. این ترکیب برای جمع آوری اطلاعات امکان ایجاد یک دید وسیع برای تیم امنیتی/نگهدارنده شبکه در مورد وقایعی که در هر لحظه در حال جریان است را فراهم می کند.

یک distributed IDS به سازمان ها و اپراتورهای شبکه اجازه می دهد تا به صورت موثر و مستند منابع شبکه ای و سازمانی خود را تحت کنترل قرار دهند و در صورت نیاز به سرعت اطلاعات مورد نیاز را از سیستم بیرون بکشند. برای آشنایی بیشتر مقاله زیر را بخوانید:

An Introduction To Distributed Intrusion Detection Systems

Due to the greater view the agent allows the analyst to achieve, the dIDS offers the incident analyst many advantages over other single mode IDS systems. One of these advantages is the ability to detect attack patterns across an entire corporate network, with geographic locations separating segments by time zones or even continents. This could allow for the early detection of a well-planned and coordinated attack against the organization in question, which would allow the security people to ensure that targeted systems are secured and offending IPs are disallowed any access. Another proven advantage is to allow early detection of an Internet worm making its way through a corporate network. This information could then be used to identify and clean systems that have been infected by the worm, and prevent further spread of the worm into the network, therefore lowering any financial losses that would otherwise have been incurred.

تبادل اطلاعات بین IDS ها در سه گونه تقسیم بندی می شود. دسته اول محصولاتی که برای dIDS طراحی شده اند و با استفاده agentهای مختلف در نقاط مختلف شبکه اطلاعات را برای سرور کنترلی IDS ارسال می کنند. دسته دوم محصولاتی که شامل IDS هایی از یک دسته هستند و لاگ فایل های خود را در یک محل متمرکز ذخیره می کنند و مانند دسته اول ادامه کار می دهند. و بالاخره دسته سوم که شامل IDS ها و IPS های (به طور کلی آن ها را sensor خطاب می کنیم.) مختلف از مارک های متفاوتی هستند که به وسیله ابزار های مدیریت سیستم های امنیتی لاگ فایل ها را ذخیره و پردازش می کنند. استاندارد تبادل اطلاعات در سنسور ها، در قالب یک پیش نویس استاندارد IETF در حال شکل گیری است.

The Intrusion Detection Message Exchange Format (IDMEF) is intended to be a standard data format that automated intrusion detection systems can use to report alerts about events that they deem suspicious. The development of this standard format will enable interoperability among commercial, open source, and research systems, allowing users to mix-and-match the deployment of these systems according to their strong and weak points to obtain an optimal implementation.

به دو علت پروژه های کمی در مورد dIDS هم اکنون وجود دارد. اولین مورد عدم درک نیاز به چنین سیستمی در بخش تجاری و صنعتی و دلیل دوم نو بودن چنین ترکیبی است. همانطور که پیشتر گفتم، IDMEF هنوز به حالت استاندارد در نیامده است. البته جایگزینی این سیستم به وسیله سیستم های یکپارچه مدیریت امنیت گران قیمت نیز دلیل دیگری در کم بودن پروژه ها است. تعدادی از این پروژه ها را در freshmeat ببینید. بدنیست نگاهی هم به پروژه رو به پیشرفت Prelude Hybrid IDS ( حداقل What is Prelude Hybrid IDS را بخوانید.) بندازید.

* این مطلب مقدمه ای است برای سری نوشته های امنیت در عمق که در Secure2S بیشتر در مورد آن ها خواهید خواند. لطفا نظرات و پیشنهادات خود را در میان بگذارید. مجموعه نوشته های امنیت در عمق، تلاش خواهد کرد تا به امنیت در شبکه های بزرگ و تجاری و همچنین نکات امنیتی که کمتر به آن ها پرداخته می شود بپردازد.

وب سایت WBG Liks که مدتی است دیگر وجود ندارد! برای بسیاری از قدیمی های دنیای زیرزمینی آشناست. مجموعه جملاتی که در بالای وب سایت نمایش داده می شد، برگزیده ای از زیباترین ها در حوزه کامپیوتر و بیشتر با طعم یونیکس بود.

تصمیم گرفتم این مجموعه جملات را، در صفحه‌ی جملات قصار کامپیوتری نگهداری کنم و به مرور اگر لازم بود به آن ها اضافه کنم. اگر شما هم جمله‌ی زیبایی برای این مجموعه دارید، می توانید آن را پیشنهاد دهید.

مهران همیشه میگه sysAdmin اجمق و غیراحمق نداره !همشون احمقن !!! البته من باهاش موافق نیستم چون تعریفی که از sysAdmin ها دارم کمی با تعریف اون فرق می کند. با اجمق بودن ۹۹% به بالای sysAdmin ها موافقم و دلیل هم دارم. اگر قرار باشه شما یک سیستم رو مدیریت کنید و برای این کار از ابزار هایی استفاده کنید که قبلا توسعه داده شده اند پس هر چقدر هم حرفه ای عمل کنید باز هم از دور خارج هستید چون از وسیله ای استفاده می کنید که در زمان گذشته بر روی اون تحقیق انجام شده. پس همیشه فکر می کنید اوووو من چقدر پیشرفته هستم در حالی که یک script kidde بی دست و پا کل زندگی شما رو می تونه توی کمتر از یک روز به هم بزند. این میشه که بیشتر به دسته احمق ها تعلق می گیرند. قسمت دوم که من فکر می کنم خیلی نادر هستش همان sysAdminهای غیر احمق هستند. این که شما سعی کنید بیشتر لیست های پستی مربوط به حوزه های کاریتون رو بخونید، هر روز Changelog نرم افزار های حیاتی سیستم رو دنبال کنید و کمی هم هر چند وقت ابتکار به خرج بدید و اسکریپت های قشنگ قشنگ بنویسد به نظر من شما را از آن دسته اول جدا می کند. اولین چیزی که اینجا به نظر می رسه اینه که با ویندوز نمیشه این لذت ها رو برد ! پس قدم اول برای رستگاری خداحافظی با ویندوز حداقل در قسمت های سرویس دهنده و ایستگاه های کاری هستش. این کار هم خیلی لذت بخش تر از سایر قسمت ها می تونه باشه !….
آهاااان چی شد که این رو نوشتم؟ این شد که بعد از حدود یک سالی که دارم از تجربه کار در یک محیط بزرگ و صنعتی استفاده می کنم و دیدن N تا نمونه این موارد برام کامل قابل لمس شده ! البته فکر کنم طبق تعهدات کاری :) زیاد نباید در موردش حرف بزنم اما باور کنید آدم یک چیزهایی می بیند که عجیبا و غریبا !!!