اهمیت IDS/IPS در تامین امنیت شبکه

تعریف پیشگیری از نفوذ: تشخیص فرآیند نظارت بر ترافیک شبکه و تجزیه و تحلیل آن برای نشانه‌های نفوذ احتمالی هکران، که ممکن است تهدیدی برای شبکه شما باشند و یا می توان اینطور بیان کرد که به فرآیند انجام تشخیص نفوذ و سپس توقف حوادث شناسایی شده گفته می شود، که معمولاً با پایان دادن به session ها انجام می شود. فن نگار قصد دارد تا در این مقاله به بررسی اقدامات امنیتی و معرفی آنها بپردازد.

به این اقدامات امنیتی به‌عنوان سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) گفته می شود .این اقدامات که بخشی از اقدامات امنیتی شبکه هستند، برای شناسایی و توقف حوادث احتمالی انجام می‌شوند.

 

IDS چیست؟

فن نگار IDS را اینگونه تعریف می کند که، سیستم تشخیص نفوذ (IDS) سیستمی است که ترافیک شبکه را برای فعالیت مشکوک رصد می کند و در صورت کشف چنین فعالیتی هشدار می دهد. اما این تنها قابلیت این سیستم نیست بلکه برخی از سیستم‌های تشخیص نفوذ می‌توانند هنگام شناسایی فعالیت مخرب یا ترافیک غیرعادی اقداماتی انجام دهند، از جمله مسدود کردن ترافیک ارسال شده از آدرس‌های IP مشکوک.

  

IPS چیست؟

سیستم پیشگیری از نفوذ (IPS) یک ابزار امنیتی شبکه و پیشگیری از تهدید است. ایده اصلی پیشگیری از نفوذ، ایجاد امنیت بیشتر در شبکه است تا بتوان تهدیدهای بالقوه را شناسایی کرد و به سرعت به آنها پاسخ داد. فن نگار IPS را ابزاری برای شناسایی فعالیت‌های مخرب، ثبت تهدیدهای شناسایی شده، گزارش تهدیدهای شناسایی شده و انجام اقدامات پیشگیرانه برای جلوگیری از آسیب‌رسانی تهدید معرفی کرده است.

 

مزایای IDS و IPS از دیدگاه فن نگار

IDS/IPS تمام ترافیک شبکه را برای شناسایی هرگونه رفتار مخرب شناخته شده نظارت می کند. یکی از راه‌هایی که یک مهاجم سعی می‌کند شبکه را به خطر بیندازد، سوء استفاده از یک آسیب‌پذیری در یک دستگاه یا درون نرم‌افزار است. IDS/IPS تلاش‌های هکران برای نفوذ به اطلاعات سازمان را شناسایی می‌کند و آنها را قبل از اینکه موفقیت مسدود می‌کند. این اقدامات امنیتی فناوری‌های امنیتی ضروری در لبه شبکه و هم در مرکز داده هستند. به همین دلیل است که می‌توانند مهاجمان را در حین نفوذ به شبکه شما متوقف کنند.

 

وظیفه IDS و IPS چیست؟

سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) به طور مداوم شبکه شما را زیر نظر دارند، حوادث احتمالی را شناسایی کرده و اطلاعات مربوط به آنها را ثبت می‌کنند و به مدیران امنیتی گزارش می‌دهند. علاوه بر این، برخی از شبکه‌ها از IDS/IPS برای شناسایی مشکلات مربوط به سیاست‌های امنیتی و بازدارندگی افراد از نقض سیاست‌های امنیتی استفاده می‌کنند.

 

IDS چگونه کار می کند؟

معمولاً IDS از سه روش برای تشخیص حوادث استفاده می کند:

• تشخیص مبتنی بر امضا، امضاها را با رویدادهای مشاهده شده مقایسه می کند تا حوادث احتمالی را شناسایی کند. این ساده ترین روش تشخیص است زیرا تنها واحد فعلی فعالیت (مانند یک بسته یا یک ورودی گزارش به لیستی از امضاها) را با استفاده از عملیات مقایسه رشته ها مقایسه می کند.

• تشخیص مبتنی بر ناهنجاری، تعاریف آنچه را که فعالیت عادی در نظر گرفته می شود با رویدادهای مشاهده شده مقایسه می کند تا انحرافات قابل توجه را شناسایی کند. این روش تشخیص می تواند در شناسایی تهدیدات ناشناخته قبلی بسیار موثر باشد.

• تجزیه و تحلیل پروتکل حالتی، پروفایل های از پیش تعیین شده تعاریف پذیرفته شده عمومی را برای فعالیت پروتکل خوش خیم برای هر وضعیت پروتکل در برابر رویدادهای مشاهده شده به منظور شناسایی انحرافات مقایسه می کند.

  

جایگزین های IDS :

بر خلاف این که اکثر افراد تصور می کنند که هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی وجود دارند که نمی توانند به عنوان IDS مورد استفاده قرار گیرند و شامل :

• سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند.
• ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
• نرم افزارهای ضد ویروس که برای تشخیص انواع کرمها، ویروسها و …
• دیواره آتش (Firewall) مکانیزم های امنیتی مانند SSL و Radius و … .

 

IPS چگونه کار می کند؟

یک سیستم پیشگیری از نفوذ با وجود قابلیت های پیشگیری از تهدیدهای پیشرفته، یک روش بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک IPS در حالت in-line کار می کند. به این معنا که شامل یک سنسور است که به طور مستقیم در مسیر ترافیک شبکه قرار دارد تا هنگام عبور بسته ها، تمام ترافیک شبکه را بازرسی کند. از این رو، هر بسته مشکوک شناسایی شده و بلافاصله Drop می شود.

 

تفاوت بین IDS و IPS چیست؟

یک سیستم تشخیص نفوذ بیشتر یک سیستم هشدار است که به سازمان اجازه می دهد تا از شناسایی فعالیت غیرعادی یا مخرب مطلع شود. در حالیکه یک سیستم پیشگیری از نفوذ، این تشخیص را یک قدم به جلو می برد و قبل از دسترسی یا جلوگیری از حرکت بیشتر در شبکه، شبکه را خاموش می کند.

 

سخن آخر

به طور کلی ابزارهای IDS مهندسین را از وقوع یک حمله مطلع می سازند و ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک آسیب رسان را مسدود می کنند.تکنولوژی های IDS و IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.