سامانه‌ی تابش (تلسکوپ شبکه)
‫ایده طراحی و پیاده‌سازی یک سامانه‌ی تلسکوپ شبکه در سطح ملی به منظور نظارت و کشف رخدادهای مشکوک نخستین‌بار در اسفندماه سال ۱۳۸۸ در جلسه‌ی راهبردی دانشگاه صنعتی شریف مطرح شد. هدف اصلی از طرح پروژه ارایه‌ی راه‌حلی جامع به منظور نظارت بر فضای شبکه کشور و در جهت شناخت رخدادهای مشکوک، کشف روندها و مخاطرات جدید و هم‌چنین شناسایی و مقابله با بدافزارها بود.
حملات بالقوه امنیتی همواره سامانه‌ها و شبکه‌های رایانه‌ای را تهدید می‌کند و در عین حال هیچ آمار دقیقی نیز از میزان این حملات و جزییات آن‌ها در سطح کشور در دست نیست. نظارت منفعل و فعال بر ترافیک شبکه امکان شناسایی مخاطرات، حملات و روندهای جدید، تغییرات در ساختار شبکه‌ها، فعالیت بدافزارها و غیره را در اختیار ما قرار می‌دهد.
ایده استفاده از تلسکوپ شبکه، در بهره‌گیری از ترافیک مشاهده‌شده در آدرس‌های تخصیص‌نیافته است. در واقع ترافیکی که به سمت آدرس‌های تخصیص‌نیافته ارسال می‌شود، مظنون به بدخواه بودن هستند. زیرا در چنین آدرس‌هایی هیچ سرویسی تبلیغ نمی‌شود و بنابراین هر ترافیکی به سوی این آدرس‌ها یا حاصل تنظیمات غلط شبکه و یا حاصل از حملات و پویش‌های شبکه است.
در حالت کلی، پروژه‌هایی که از ترافیک فضای تاریک استفاده می‌کنند؛ از نقطه‌نظر نحوه‌ی پاسخ‌دهی به بسته‌های دریافتی، به دو دسته
  • فعال
  • غیرفعال
تقسیم می‌شوند. سیستم‌هایی که تنها به ثبت بسته‌های دریافتی پرداخته و هیچ پاسخی به آن‌ها نمی‌دهند، به صورت غیرفعال به جمع‌آوری ترافیک می‌پردازند (به چنین سیستم‌هایی در اصطلاح سیاه‌چاله نیز گفته می‌شود زیرا هیچ ترافیکی از آن خارج نمی‌شود).
در مقابل، سیستم‌هایی وجود دارند که به بسته‌های دریافتی به صورت فعال پاسخ می‌دهد. این پاسخ‌ها از سیستمی به سیستم دیگر تفاوت دارد. در واقع جامعه تحقیقاتی به این نتیجه رسیده است که نحوه و کیفیت پاسخ‌گویی به بسته‌های دریافتی، تاثیر چشم‌گیری بر میزان ترافیک مشاهده‌شده توسط تلسکوپ دارد.
فعال
به بسته‌های دریافتی به صورت فعال پاسخ می‌دهد. این پاسخ‌ها از سیستمی به سیستم دیگر تفاوت دارد.
غیر فعال
تنها به ثبت بسته‌های دریافتی پرداخته و هیچ پاسخی به آن‌ها نمی‌دهند، به صورت غیرفعال به جمع‌آوری ترافیک می‌پردازند
ویژگی‌ها
هدف تلسکوپ، کشف حملات مبتنی بر شبکه به کمک تحلیل ترافیک منتهی به فضای تاریک است. از آن‌جایی که هیچ ترافیک مجاز و درستکاری (به جز ترافیک ناشی از پیکربندی غلط) نباید به تلسکوپ برسد، تمامی ترافیک مشاهده‌شده در تلسکوپ مشکوک به حساب می‌آید. بنابراین، برخلاف IDS نیازی به جداسازی ترافیک درستکار و عادی از ترافیک مشکوک و غیرعادی وجود ندارد. بدین ترتیب به کمک ترافیک جمع‌آوری‌شده در تلسکوپ می‌توان رفتارهای مخرب مانند حملات منع خدمت1، گسترش کرم‌های اینترنتی و پویش را شناسایی کرد.

نگاه کلی و سراسری به شبکه برای کشف رخدادها و تهدیدات امنیتی، روندهای جدید در حملات امنیتی، مهاجمان و بدافزارهاست.

ارایه‌ی‌ یک تصویر جامع و وسیع از اتفاقات در سطح سراسری شبکه

توانایی مدیریت ترافیک‌های حجیم به خاطر تحلیل در مولفه‌های مرکزی

با خلاصه‌سازی، تجمیع و تحلیل حجم زیادی از ترافیک، تهدیدات امنیتی متنوع‌تری را کشف کند.

امکان تعامل با سایر ابزارها مانند تله‌عسل

داشتن موتور شبیه‌سازی قدرتمند و انعطاف‌پذیر است برای شبیه‌سازی میزبان‌ها، سرویس‌ها، شبکه‌های سازمانی و مولفه‌ها


مقایسه‌ی تابش و تله‌عسل

مقایسه
تله‌عسل قادر به ارایه‌ی جزییات محلی در مورد یک تهدید یا سواستفاده خاص است در حالی که ویژگی تابش نگاه کلی و سراسری به شبکه است
تله‌عسل قادر به ارایه‌ی جزییات محلی در مورد یک تهدید یا سواستفاده خاص است. اما به دلیل محدوده‌ی آدرس تحت پوشش کوچک‌تر قادر به ارایه‌ی تصویر جامع مثلا از مراحل اولیه‌ی گسترش یک کرم نیست.
بخشی از خدمات یک تلسکوپ که هدف آن کشف بدافزارها می‌باشد با وظایف تله‌عسل مشابه است. به عبارت دیگر می‌توان گفت که مولفه‌ی تله‌عسل می‌تواند به عنوان یکی از زیرمولفه‌های تلسکوپ شبکه مورد استفاده قرار گیرد.
سامانه‌ی تابش در کنار آن‌که یک تلسکوپ شبکه‌ای کامل با همه ویژگی‌های یک تلسکوپ شبکه قدرتمند است، ویژگی‌های یک تله‌عسل کامل را نیز در بر دارد.

خدمات اصلی یک تلسکوپ شبکه

  • کشف حملات منع خدمت توزیع‌شده.
  • کشف بدافزارها.
  • کشف حملات مبتنی بر پویش (پویش میزبان‌ها و پویش درگاه‌ها).
  • کشف پیکربندی‌های ناصحیح.
بخشی از خدمات یک تلسکوپ که هدف آن کشف بدافزارها می‌باشد با وظایف تله‌عسل مشابه است. به عبارت دیگر می‌توان گفت که مولفه‌ی تله‌عسل می‌تواند به عنوان یکی از زیرمولفه‌های تلسکوپ شبکه مورد استفاده قرار گیرد. سامانه‌ی تابش، علاوه بر انجام وظایف تلسکوپ‌های شبکه، دارای یک موتور شبیه‌سازی قدرتمند و انعطاف‌پذیر است که قادر است علاوه بر شبیه‌سازی میزبان‌ها و سرویس‌های آن‌ها، شبکه‌های سازمانی و مولفه‌های آن‌ها همانند سوییچ‌ها، دیواره‌های آتش و غیره را شبیه‌سازی کند. در واقع می‌توان گفت که سامانه تابش در کنار آن‌که یک تلسکوپ شبکه‌ای کامل با همه ویژگی‌های یک تلسکوپ شبکه قدرتمند است، ویژگی‌های یک تله‌عسل کامل را نیز در بر دارد. به علاوه، استفاده از موتور شبیه‌سازی اجازه تعامل بین تابش و سایر تله‌های عسل را فراهم می‌سازد
مولفه‌ها
معماری نرم‌افزاری منطقی سامانه تابش هفت‌لایه است. در ادامه عملکرد هریک از این لایه‌ها و وابستگی بین آن‌ها را تشریح می‌کنیم.

همان‌طور که مشاهده می‌شود، شش لایه داریم:
لایه‌ی پیش‌پردازش
  • این لایه ترافیک جمع‌آوری‌شده در لایه‌ی قبل را پردازش کرده و عملیات خلاصه‌سازی و تصفیه‌ی اولیه ترافیک را انجام می‌دهد. این پردازش شامل شناسایی جریان‌‌های ترافیکی و مشخصات آن از جمله میزبان ارسال‌کننده و نوع ترافیک، تجمیع و آمارگیری از ترافیک‌ها و پالایش‌های مشابه است.
  • نتیجه‌ی این تحلیل‌ها به لایه‌ی ذخیره‌سازی و در نهایت تحلیل‌گر ارسال می‌شود. دلیل نیاز به این لایه این است که لایه تعامل و جمع‌آوری ترافیک ممکن است در معماری‌های فیزیکی مختلف در نقاط مختلفی قرار بگیرد.
  • از طرف دیگر ذخیره‌سازی بدون پالایش بسته‌های خام و انتقال آن‌ها بین لایه‌ها، در صورت بالا بودن حجم ترافیک ورودی، بر عملکرد و مقیاس‌پذیری سامانه تأثیر منفی دارد.
  • وجود این لایه متضمن این نکته است که پردازش اولیه‌ای روی ترافیک ذخیره‌شد‌ه لایه تعامل و جمع‌آوری انجام گرفته و نیازی به انتقال ترافیک خام بین لایه‌ها نیست.
لایه‌ی ذخیره‌سازی
  • این لایه وظیفه دریافت داده‌های ارسالی از لایه پیش‌پردازش و ذخیره‌سازی آن‌ها در یک رسانه‌ی مرکزی را برعهده دارد.
  • وجود این لایه اولا اجازه می‌دهد داده‌ها در لایه‌های قبلی به صورت گسسته جمع‌آوری و به لایه‌ی تحلیل‌گر ارسال شود. ثانیا، اجازه می‌دهد لایه‌های قبلی و لایه‌ی تحلیل‌گر به صورت مستقل فعالیت کنند. 
لایه‌ی تحلیل‌گر
  • این لایه، وظیفه‌ی تحلیل داده‌های جمع‌آوری‌شده را برعهده دارد.
  • این داده‌ها، توسط لایه‌ی ذخیره‌سازی مرکزی در یک رسانه‌ی مرکزی ذخیره می‌شود.
  • لایه‌ی تحلیل‌گر وظیفه پردازش و تحلیل این داده‌ها و تجمیع و استخراج نتایج نهایی را برعهده دارد.
  • در واقع، این مولفه داده‌های رسانه متمرکز را خوانده و پس از پالایش، تجمیع و تحلیل، نتایج و اطلاعات نهایی را به لایه‌ی ذخیره‌سازی نتایج می‌فرستد.
لایه‌ی ذخیره‌سازی نتایج
  • لایه‌ی ذخیره‌سازی نتایج، وظیفه‌ی ذخیره‌سازی نتایج تحلیل خروجی از لایه‌ی تحلیل‌گر را برعهده دارد.
  • در واقع این لایه، خروجی لایه‌ی تحلیل‌گر را دریافت کرده و آن را در یک رسانه‌ی مرکزی ذخیره‌سازی می‌کند.
  • لایه‌ی نمایش نیز با دسترسی به این لایه، نتایج تحلیل را نمایش می‌دهد.
  • در واقع لایه‌ی ذخیره‌سازی نتایج، عملکرد مستقل لایه‌ی نمایش و لایه‌ی تحلیل‌گر را ممکن می‌سازد.
لایه‌ی نمایش
  • پورتال بر روی این لایه مستقر بوده و واسط کاربران با سامانه‌ی تابش است.
  • این مولفه نتایج، گزارش‌ها و آمارهای تحلیلی را به کاربران نمایش می‌دهد.
لایه‌ی مدیریت
  • این لایه وظیفه پیکربندی سایر لایه‌ها را برعهده دارد.
  • این لایه با یک واسط کاربری مدیران سامانه را قادر به پیکربندی این تنظیمات می‌سازد. از جمله این تنظیمات، مقداردهی به پارامترها، تعیین ساختار شبکه مجازی در مولفه‌های توزیع‌شده محلی و دیگر تنظیمات مورد نیاز است.
  • در مولفه‌ی مرکزی، ابتدا لایه‌ی ذخیره‌سازی وظیفه ارتباط با مولفه‌های محلی و جمع‌آوری داده‌ها را برعهده دارد. این لایه علاوه بر آن‌که ذخیره‌سازی داده‌ها به صورت گسسته را ممکن می‌سازد، مقیاس‌پذیری سامانه را نیز افزایش می‌دهد. این نحوه‌ی استقرار چندین مزیت عمده دارد.
    • استفاده از زیرساخت اینترنت
    • افزایش کارآمدی و کارایی
    • کاهش سخت‌افزار مورد نیاز
    • مقیاس‌پذیری
    • استحکام و قابلیت اعتماد
محیط کاربری
جمع‌بندی
سامانه‌های تلسکوپ شبکه‌ای نقش مهمی در کشف تهدیدات و رخدادهای امنیتی داشته و قادر هستند با نظارت بر فضای تاریک شبکه، دیدی سراسری و کلی از رخدادهای شبکه و روند حملات ارائه دهند. اطلاعات ارزشمند حاصل از نظارت منفعل و فعال بر فضای تاریک توسط هیچ‌یک از ابزارهای نظارتی هم‌چون IDS/IPS و تله‌های عسل قابل ارائه نیست. به علاوه، این سامانه‌ها به دلیل محل و نحوه استقرار خود در فضاهای تاریک قادرند نقش تله‌های عسل را نیز ایفا کنند. در سامانه تابش، یک موتور شبیه‌سازی قوی امکان شبیه‌سازی شبکه‌های بزرگ را در کنار سرویس‌ها و میزبان‌های مختلف ممکن ساخته و امکان تعامل و کشف دامنه وسیع‌تری از ترافیک‌های بدخواهانه و بدافزارها را ممکن می‌سازد.
نظارت برخط ترافیک شبکه به دلیل حجم بسیار زیاد آن، نسبت بالای ترافیک سالم به ناسالم و عدم امکان تفکیک این دو از هم عملا غیرممکن می‌باشد. این امر دلیل اصلی فضای تاریک در کشف حملات توسط تابش است. در شرایط عادی هیچ ترافیکی در فضای تاریک نباید وجود داشته باشد و وجود آن نشانه یک رفتار مشکوک در شبکه است.
سامانه‌ی تابش با هدف کشف حملات تحت شبکه مانند پویش شبکه، گسترش کرم‌ها و حملات منع ارایه‌ی خدمت، به نظارت فعال و غیرفعال فضای تاریک می‌پردازد. به‌علاوه تابش یک سری گزارش آماری و تحلیلی تهیه می‌کند که می‌تواند مدیران شبکه را از وضعیت شبکه خود آگاه سازد.