بحث امنیت یکی از اجزای جدا نشدنی سیستم های اطلاعاتی می باشد. این مقاله در مورد دو تکنولوژی برای افزایش امنیت شبکه و سیستم های تشخیص صحبت خواهد نمود و تفاوت IDS و IPS به طور کامل بررسی خواهد شد.
IPS فایروال چیست؟
IPS فایروال سیستم شناسایی و جلوگیری از حمله و نفوذ به شبکه است. IPS فایروال برخلاف IDS دقیقا رو در روی ترافیک قرار می گیرد و آن را از طریق Signature ها بررسی می کند و فقط در صورتی اجازه عبور به بسته مورد نظر را می دهد که آلودگی و رفتار مشکوکی در آن مشاهده نکند. Signature به الگوی رفتاری حملات شناخته شده که به صورت کد نوشته شده اند گفته می شود.
IPS و IDS چیست؟
تکنولوژی های IPS فایروال و IDS ترافیک گذرنده در شبکه را جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزار های IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزار های IDS مسئولین را از وقوع یک حمله مطلع می سازند؛ ابزار های IPS یک گام جلوتر می روند و به صورت خودکار ترافیک آسیب رسان را مسدود می کنند.
IPS ها و IDS ها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPS ها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها این است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالی که محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند.
IPS (Intrusion Prevention System) سیستم های تشخیص نفوذ:
سیستم های جلوگیری از نفوذ یک وسیله امنیتی است که بر فعالیت های یک شبکه و یا یک سیستم نظارت کرده تا رفتار های ناخواسته یا مخرب را شناسایی کنند. در صورت شناسایی این رفتار ها، بلافاصله عکس العمل نشان داده و از ادامه فعالیت آن ها جلوگیری می کند.
IDS (Intrusion Detection system) سیستم های جلوگیری از نفوذ:
یک سیستم حفاظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند. روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل های کامپیوتر ها و نهایتا هک کردن می باشد، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند.
روش شناسایی حملات
IPS ها از دو طریق اصلی برای شناسایی حملات استفاده می کنند. سیستم های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می شوند.
- تشخیص مبتنی بر امضا: IPS ها از پایگاه داده ای از امضا های حمله استفاده می کنند. امضا ها الگو های مشخصی از ترافیک شبکه هستند که با حملات خاص مرتبط هستند. زمانی که یک ترافیک شبکه با یک امضا مطابقت پیدا می کند، یک هشدار صادر می کند.
- تشخیص مبتنی بر رفتار: IPS ها به دنبال الگو های رفتاری غیر معمول در ترافیک شبکه هستند. این الگو ها می توانند نشانه ای از حمله باشند، به عنوان مثال، یک IPS ممکن است به دنبال افزایش ناگهانی ترافیک شبکه به یک آدرس IP خاص باشد.
قابلیت های IDS
- امکان تشخیص ترافیک غیر متعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه
- بستن ارتباط های مشکوک و مظنون
- قابلیت تشخیص حملات از طرف کاربران داخلی و خارجی
جایگزین های IDS
برخلاف نظر عمومی که معتقدند هر نرم افزار را می توان به جای IDS استفاده کرد، دستگاه های زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
- سیستم هایی که برای ثبت وقایع شبکه مورد استفاده قرار می گیرند مانند: دستگاه هایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
- ابزار های ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
- نرم افزار های ضد ویروس که برای تشخیص انواع کرم ها، ویروس ها و …
- دیواره آتش(FIREWALL) مکانیزم های امنیتی مانند SSL و Radius و…
چرا فایروال به تنهایی کافی نیست؟
به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند:
- چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
- تمام تهدیدات خارج از فایروال نیستند.
- امنیت کمتر در برابر حملاتی که توسط نرم افزار ها مختلف به اطلاعات و داده های سازمان می شود: Virus programs, Java Applet, Active.
انواع سیستم های پیشگیری از نفوذ
معمولا سه نوع سیستم پیشگیری از نفوذ وجود دارد که شامل موارد زیر می شود:
- تجزیه و تحلیل رفتار شبکه (NBA)، که رفتار شبکه را برای جریان ترافیک غیر عادی تجزیه و تحلیل می کند و معمولا برای حملات DDOS استفاده می شود.
- سیستم پیشگیری از نفوذ مبتنی بر شبکه (NIPS)، که یک شبکه را برای جستجوی ترافیک مشکوک تجزیه و تحلیل می کند.
- سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS)، که در یک میزبان نصب شده و برای تجزیه و تحلیل فعالیت های مشکوک در یک میزبان خاص استفاده می شود.
علاوه بر این، انواع دیگری از ابزار های IPS از جمله ابزار هایی که شبکه های بی سیم را تجزیه و تحلیل می کنند نیز وجود دارد. بنابراین به طور کلی می توان گفت یک سیستم پیشگیری از نفوذ شامل هر محصول یا روشی مانند فایروال های و نرم افزار های آنتی ویروس است که برای جلوگیری از دسترسی مهاجمان به شبکه استفاده می شود.
تفاوت اصلی میان فایروال و IPS
تفاوت اصلی میان فایروال و IPS در این می باشد که فایروال ترافیک در سطح لایه 3 و4 را بررسی کرده و هیچ نظارتی بر روی محتوای ترافیک ندارد اما IPS با بررسی محتوای ترافیک و مقایسه آن با دیتابیس خود و یا با در نظر گرفتن رفتار ترافیک های عبوری حملات را شناسایی می کند به همین دلیل معمولا IPS پشت فایروال قرار می گیرد که در صورتی که ترافیک مجاز به ورود به شبکه شد محتوای آن را از نظر مخرب بودن یا نبودن بررسی کند.
تمایز اصلی بین فایروال ها، IDS و IPS در نقش و اقدامات آنها در رابطه با امنیت شبکه نهفته است. یک IDS/IPS یک حمله را شناسایی و به مدیر سیستم اطلاع می دهد یا بسته به پیکربندی آن، آن را متوقف می کند، در حالی که فایروال ها اقداماتی مانند مسدود کردن و فیلتر کردن ترافیک را انجام می دهند.
تفاوت بین IPS و IDS
IDS ابزاری برای ردیابی و نظارت است که به تنهایی اقدامی انجام نمی دهد. اما IPS یک سیستم کنترلی است که بسته ای را بر اساس مجموعه قوانین مشخص قبول و یا رد می کند.
IDS به یک نیروی انسانی نیاز دارد تا نتایج را بررسی کند و تعیین نماید که چه اقداماتی را باید انجام دهد. این مورد با توجه به میزان ترافیک شبکه می تواند یک کار تمام وقت و زمان بر باشد. از طرف دیگر هدف IPS گرفتن بسته های خطرناک و منهدم کردم آنها قبل از رسیدن به هدفشان است. در کل IPS فعال تر از IDS است.
نرم افزار های مبتنی بر IDS/IPS
- Snort
Snort یک IDS نرم افزاری Open Source می باشد که توسط SourceFire توسعه یافته است.
Snort قابلیت شناسایی حملات مبتنی بر سیستم عامل ها، Semantic URL Attacks، Buffer overflow و نرم افزار های Port Scan را دارد. لازم به ذکر است که Snort به صورت پیش فرض روی برخی محصولات Cisco نیز قرار دارد.
- Suricata
Suricata یک محصول رایگان و Open Source می باشد که در تشخیص تهدید های شبکه سریع و قوی عمل می کند. این محصول با استفاده از قوانین قدرتمند و گسترده و با استفاده از Signature ترافیک شبکه را بررسی می کند و همچنین قابلیت بررسی فایل های PCAP به صورت Offline نیز دارد.
اقدامات جلوگیری از حملات
IPS ها می توانند اقدامات مختلفی را برای جلوگیری از حملات انجام دهند، از جمله:
- مسدود کردن ترافیک مشکوک: IPS ها می توانند ترافیک مشکوک را مسدود کرده تا از نفوذ آن به شبکه جلوگیری کند.
- اعلام هشدار: IPS ها می توانند هشدارهایی را در مورد حملات صادر کنند تا مدیران شبکه بتوانند آنها را مورد بررسی قرار دهند.
- تغییر تنظیمات شبکه: IPS ها می توانند تنظیمات شبکه را برای کاهش آسیب پذیری شبکه در برابر حملات تغییر دهند.
IPS ها یک ابزار مهم برای محافظت از شبکه ها در برابر حملات هستند. با این حال ، مهم است که توجه داشته باشید که کامل نیستند و ممکن است که نتوانند تمامی حملات را شناسایی کنند. به همین علت، توصیه می شود که از آنها به همراه سایر ابزار های امنیتی شبکه، مانند فایروال ها و نرم افزار های آنتی ویروس، استفاده منید.
سخن پایانی
در نهایت با توجه به توضیحات داده شده در این مطلب با تفاوت IDS و IPS آشنا شده و جهت افزایش امنیت شبکه استفاده از سیستم های IPS/IDS پیشنهاد می شود و همچنین به جهت جلوگیری از حملات لایه 7 اکیدا توصیه می گردد که از IPS/IDS پشت فایروال استفاده شود. چرا که فایروال قادر به مقابله با حملات لایه 7 نمی باشد و در صورت وجود IPS/IDS پشت فایروال، از این نوع حملات هم جلوگیری خواهد شد.
Leave A Comment