افزایش امنیت سیستم نام دامنه با استفاده از فایروال پویا با عوامل شبکه Enhancing DNS Security using Dynamic Firewalling with Network Agents

مقدمه

با مد نظر قرار دادن کاربرد اینترنت و آمار جمعیت جهانی، که در ماه مارس 2011 بروز شد، با تخمین جمعیت 6.8 میلیارد نفری جهان، 30.2% کاربر اینترنت وجود دارد. اگر ما نگاه دقیق تری به کشورهای اروپایی بیاندازیم، این میزان به 58.3% افزایش می یابد ( با نرخ رشد 353.1% بین سال های 2000 و 2011) و در امریکای شمالی ، 78.3% از کاربران اینترنتی  وجود دارند ( نرخ رشد 151.7% در همان دوره)، که این موارد در شکل 1 نشان داده شده است.

شکل1. نفوذ اینترنت ( جمعیت %)

سرویس DNS برای دسترسی به ایمیل ، جستجوی وب سایت ها ضروری بوده، و برای فعالیت های معمولی در تمام سرویس های مهم اینترنتی نیاز می باشد ( اکثر آن ها از اطلاعات حیاتی ، همانند بانکداری الکترونیکی استفاده می کنند).

سازماندهی این تعداد بالای کاربران اینترنتی، و ریسک های مرتبط به این واقعیت که تمام برنامه های کاربردهای مهم، نیازمند سرویس DNS می باشد،ریسک های امنیتی می بایست کاهش یابند.

امروزه سرورهای DNS نقش مهمی در اجرای منظم شبکه های IP (پروتکل اینترنتی)  داشته و اختلال در عملیات معمولی دارای تاثیر قابل توجهی بر روی خدماتی که آن ها ارائه می کنند و اینترنت جهانی دارد.

گرچه بر مبنای مجموعه ای از قوانین پایه، فایل های ذخیره شده، و توزیع به صورت زنجیره ای، خدمات DNS در سیستم های بسیار پیچیده گسترش می یابند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

تخمین زده شده است که 52% از آن ها امکان جستجوی اختیاری را ایجاد می کنند ( که ریسک حمله به این سرویس ها یا ایجاد اختلال در بخش های ذخیره سازی را امکان پذیر می کنند).

هنوز 33% از مواردی وجود دارد که سرور نامگذاری معتبر یک حوزه بر روی شبکه های مشابه قرار دارند که حمله عدم پذیرش سرویس (DOS) را ساده می کند.

علاوه بر این نوع حملاتی که DNS را هدف قرار می دهد بسیار پیچیده تر شده، و تشخیص و کنترل به موقع آن ها را سخت تر می کند.

نمونه از این حملات شامل Fast Flux ( توانایی جابه جایی سریع اطلاعات DNS در محدوده دامنه برای به تاخیر انداختن یا گریز از کشف) یا نوع تکامل یافته اخیر آن به نام Double Flux ( جا به جایی مضاعف) می باشد.

جنبه مهم سیستم امنیتی قابلیت جمع آوری اطلاعات مهم آماری در مورد ترافیک شبکه می باشد. این اطلاعات برای نظارت اثربخشی اقدامات حمایتی مورد استفاده قرار می گیرد، که به تشخیص روندهای مربوط به اطلاعات گرداوری شده پرداخته که انواع جدید این حملات را نشان داده یا بسادگی پارامترهای مهمی را برای کمک به بهبود عملکرد سرویس ثبت می کند.

این حقیقت که DNS بر مبنای پایگاه داده مستقل که جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

توانایی برای به اجرا در آوردن تجزیه و تحلیل تمام وقت در حوزه DNS مهم می باشد از این رو در موارد سوء استفاده، از طریق مسدود کردن دسترسی خاص، و آگاه کردن حسگرهای دیگر در مورد مبدا مشکل مهم بوده و به این ترتیب چندین نوع از حملات به بخش های DNS دیگر منتقل می گردند.

استفاده از راه حل فایروال که قوانین راه اندازی آن به صورت پویا توسط حسگرهای شبکه ایجاد می گردد، بخش مهم سیستم برای فیلتر کردن سیستم های حمله کننده می باشد و زمانی به شرایط اولیه خود بر می گردد که دلیل فیلتر کردن الگوهای ترافیک مختلف دیگر وجود نداشته، و به تضمین عملیات مستقل جایگاه می پردازد. توجهات خاصی نیز انجام می گیرد تا موارد مثبت و منفی کاذب را مشخص کند.

مابقی مقاله به صورت زیر سازماندهی می گردد: بخش 2 اطلاعات پیش زمینه در مورد فعالیت های مربوطه را نشان می دهد. بخش 3 به معرفی نیازهای سیستم می پردازد. در بخش 4 ما به شرح راه حل های طرح شده می پردازیم. بخش 5 بررسی موردی را برای تایید طرح مان نشان می دهد. در بخش 6 نتایج حاصل شده در بررسی مورد تجزیه و تحلیل می شود. در نهایت، بخش 7 نتیجه گیری و راهنمایی هایی را برای فعالیت های آینده نشان می دهد.

2. تحقیقات مرتبط

یکی از اولین بررسی ها که در این حوزه مد نظر قرار می گیرد ابتکار مربوط به محققانی چون گنتر و کولر می باشد، که ابزاری را به نام معرفی کرده اند. برنامه کاربردی آن ها از نسخه اصلاح شده ارتباط سنتی استفاده کرده که به همراه نسخه زبان جستجوی ساختاری (SQL) درون سیستم مدیریت پایگاه داده رابطه ای (RDBMS) کار می کند. در مورد کلاینت DNS، این راه حل شفاف بوده و تفاوتی با پیوند کلاسیک ندارد.

زدرونجا سیستمی را برای ارزیابی امنیتی ترافیک DNS معرفی می کند، که از حسگرهای شبکه بدون مداخله سرورهای DNS به منظور ارزیابی استفاده می کند. این راه حل شفافی می باشد که منطبق با نیاز دسترسی سطح بالا برای سرویس DNS نمی باشد.

ویکسی کاربرد محصور شده ترافیک DNS را که به نام DNSCap می باشد، مطرح کرده است. این ابزار قادر به ایجاد داده های دودویی با استفاده از فرمت pcap بر روی خروجی استاندارد یا فایل های نسخه برداری شده متوالی می باشد. این ابزار کاربردی همانند tcpdump بوده- که این فرمان را به ابزار خطی می دهد تا ترافیک شبکه را ارزیابی کرده، و دارای بسته های مجزا قابل تشخیص به منظور مبادله DNS و گزینه های پروتکل می باشد که این امکان را برای نمونه ها ایجاد می کند تا پیام کامل DNS را زمانی که tcpdump خلاصه ای از یک خط را نشان می دهد، مشاهده کند.

ابزار موجود دیگر DSC می باشد- یعنی گرداوری کننده آمارهای DNS {10}. DSC به عنوان یک بزار کاربردی برای جمع آوری و تجزیه و تحلیل آمار از سرورهای شلوغ DNS می باشد. ویژگی های اصلی آن شامل توانایی برای تجزیه، خلاصه کردن و جستجوی جزییات DNS می باشد. تمام داده ها در پایگاه داده SQL ذخیره می گردند. این ابزار درون سیستم DNS یا سرورهای دیگر فعالیت داشته که ترافیک دو بخشی را برای گره DNS حاصل می کند.

کریستوف همچنین سیستم واکنش تصادفی اتوماتیک را با استفاده از ثبت وقایع جستجو BIND مطرح می کند. این سیستم ویژه، علاوه بر تجزیه و تحلیل آماری معمول، اطلاعاتی را در مورد نوع فعالیت مشاوره ایجاد می کند. تمام اطلاعات از طریق درگاه بر مبنای وب در دسترس می باشند. هر رویداد امنیتی  منجر به غیرفعال شدن بخش  می گردد.

A. طرح

به منظور کاهش ریسک رویدادها در عملیات DNS، طرح سیستمی که ما ایجاد کرده ایم، هدف آن بهبود امنیت، عملکرد  و بازدهی پروتکل DNS، از بین بردن ترافیک های ناخواسته و تقویت دامنه هایی که بیشتر مورد استفاده قرار می گیرند، می باشد. ما طرحی را مطرح می کنیم که شامل حمایت یکپارچه از سرورهای DNS چندمنظوره بوده، که توسط چندین حسگر شبکه کار می کنند که قوانین موثری را برای فایروال های مورد نظر ایجاد کرده، و به عنوان عوامل شکل دهی ترافیک فعالیت می کنند.

حسگرهایی که به دقت در شبکه ها قرار می گیرند به ارزیابی تمام ترافیک هایی که به سمت زیرساخت های DNS می روند پرداخته، جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

چندین حسگر شبکه به ارزیابی بخش های مختلف زیرساخت و تبادل اطلاعات مرتبط به تهدیدهای امنیتی می پردازند. به این ترتیب همان طور که در شکل 2 نشان داده شده است، این امکان وجود دارد تا به تبادل اطلاعات امنیتی مهم بین حسگرها بپردازیم. علاوه بر افزایش عملیات، این فعالیت ها مانع حمله بر روی سرور از مبدا می گردند که توسط حسگر دیگر به عنوان یک بدافزار معرفی می گردد. این سناریو مرتبط می باشد چون بعضی از انواع حملات مرتبط به چندین بخش از زیرساخت DNS می باشد.

شکل 2. نمودار راه حل های مناسب

B. ابتکار

یکی از بخش های مهم تحقیق ما الگوریتمی برای تعیین ترافیک که برای DNS مضر می باشد، است. به منظور اجرای فرضیه مورد نظر در طرح و حفظ پروتکل DNS تا جایی که ممکن می باشد، بکارگیری موارد ابتکاری ضروری بوده، که به صورت تمام وقت، به ارزیابی تمام اطلاعات جمع آوری شده از منابع مختلف پرداخته و موارد ارزیابی مناسبی را برای هر بخش بکار گرفته و به این ترتیب فعالیت می کند.

بخش هایی که ما انتخاب می کنیم که دارای تاثیری بر روی بخش های امنیتی DNS می باشند عبارتند: از: تعداد رویدادها، تحلیل نوع جستجوهای انجام شده، مقدار زمان بین رویدادها، تعداد بررسی های مورد نظر و اطلاعات گزارش شده از سیستم تشخیصی مداخلات.

سیستم مورد نظر ما از فرمول زیر برای ارزیابی پارامترهایی استفاده می کند که به ارزیابی احتمال وقوع رویدادهای امنیتی می پردازد.

رویداد (O)- نماینده تعداد زمانی می باشد که منابع بدافزار مسدود می شود، به این ترتیب موارد توزیع شده در جدول 1 نشان داده می شود.

جدول 1- سهم تعداد وقوع منابع در بدافزار

تحلیل (C)- ارزیابی تمام وقت انحراف مقادیر ثبت شده به نسبت متوسط آمار مورد نظر، بر مبنای معیار و سنجش هایی که در جدول 2 زیر نشان داده می شود.

توجه داشته باشید که آمار متوسط تغییر را نشان می دهد، برای مشخص کردن اندازه مرجع، رشد مستمر داده های جمع آوری شده مد نظر قرار می گیرد.

- زمان بین وقوع (G)- زمان با توجه به آخرین وقوع منابع مورد نظر، با توجه به میزانی توزیع می گردد که در ارتباط با زمان زیر می باشد.

جدول 3. میزان زمان متفاوت بین هر وقوع

وقوع (N)- تعداد جستجوهایی که به گزارش موارد مسدود شده در منبع آدرس مشابه می پردازد.

برای محاسبه، ما از این معادله استفاده می کنیم

در معادله بالا فاکتور  نشان دهنده تعداد حسگرهایی می باشد که در زیرساخت ها به اجرا در آمده و قادر به تبادل اطلاعات در بین موارد خودی می باشد.

فاکتور دیگر  نشان دهنده تعداد حسگرهایی می باشد که به گزارش رویدادهای امنیتی می پردازد.

- سیستم تشخیص مداخله (I)- ما استفاده از پلتفرم اسنورت را مد نظر قرار می دهیم، که استفاده از ان رایگان بوده، و به جمع آوری تعداد زیادی از علائم رویدادهای امنیتی مرتبط به سرویس DNS می پردازد.

جدول 5. ارتباط داده های زمانی جمع آوری شده از سیستم های تشخیص مداخلات

برای فعال کردن نشان ها در فایروال، این وقایع نیازمند:

1. فرمولی که در بالا نشان داده شد دارای مقداری برابر یا بیشتر از 0.25 می باشد.

2. ترکیب دو یا چند معیار از فرمول.

استثناء: زمانی که اطلاعات را از حسگرهای دیگر دریافت می کنیم، که در این مورد یک معیار مجزا مناسب می باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

به این ترتیب ما از انطباق سرویس های اینترنتی جلوگیری کرده و نقش کلیدی ایفا شده توسط DNS را مد نظر قرار می دهیم، این فهرست از مسدود شدن آدرس های کلیدی در مورد رویداد های کاذب مثبت حفاظت می کند.

این فهرست از منابع معتبر ثبت شده ایجاد می گردد، و این امکان را برای فهرست آدرس ها ایجاد می کند تا از اضافه شدن به قوانین فایروال  محافظت شوند.

 یک نمونه، فهرستی از آدرس های داخلی، و سرور DNS از ISP ها ( سازمان خدمات اینترنتی) می باشد.

در عوض، کنار گذاشتن قوانین در فایروال به طور همزمان بر مبنای فرضیات زیر روی می دهد:

1. فراتر رفتن ار دوره قرنطینه، بر مبنای پارامترهای مورد استفاده؛

2. اعلام فعال سازی به بررسی منابع فعال نمی پردازد.

A. نمودار

همان طور که در شکل 3 نشان داده شده است، این راه حل بر مبنای شبکه ای از موتورهای حسگر می باشد که به تجزیه و تحلیل جریان ترافیک در سرور DNS به شکل جستجوهای معتبر و نامعتبر پرداخته، به پردازش اطلاعات دریافتی از کاوشگرهای دیگر پرداخته و و محدودیت هایی را برای آدرس شبکه خاص ایجاد می کند. در مواردی که عملکردهای غیرعادی مشخص می گردد یا عملکردهای مشکوکی از ادرس شبکه خاص وجود دارد، در فایروال مسدود شده و جستجوگرهای دیگر مد نظر قرار می گیرد به گونه ای که بر این اساس فعالیت می کنند. سیستم همچنین می تواند زمان واکنش را برای هر عملیات محاسبه کرده تا به ارزیابی عملکرد سرور بپردازد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.