تعریف پیشگیری از نفوذ: تشخیص فرآیند نظارت بر ترافیک شبکه و تجزیه و تحلیل آن برای نشانههای نفوذ احتمالی هکران، که ممکن است تهدیدی برای شبکه شما باشند و یا می توان اینطور بیان کرد که به فرآیند انجام تشخیص نفوذ و سپس توقف حوادث شناسایی شده گفته می شود، که معمولاً با پایان دادن به session ها انجام می شود. فن نگار قصد دارد تا در این مقاله به بررسی اقدامات امنیتی و معرفی آنها بپردازد.
به این اقدامات امنیتی بهعنوان سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) گفته می شود .این اقدامات که بخشی از اقدامات امنیتی شبکه هستند، برای شناسایی و توقف حوادث احتمالی انجام میشوند.
IDS چیست؟
فن نگار IDS را اینگونه تعریف می کند که، سیستم تشخیص نفوذ (IDS) سیستمی است که ترافیک شبکه را برای فعالیت مشکوک رصد می کند و در صورت کشف چنین فعالیتی هشدار می دهد. اما این تنها قابلیت این سیستم نیست بلکه برخی از سیستمهای تشخیص نفوذ میتوانند هنگام شناسایی فعالیت مخرب یا ترافیک غیرعادی اقداماتی انجام دهند، از جمله مسدود کردن ترافیک ارسال شده از آدرسهای IP مشکوک.
IPS چیست؟
سیستم پیشگیری از نفوذ (IPS) یک ابزار امنیتی شبکه و پیشگیری از تهدید است. ایده اصلی پیشگیری از نفوذ، ایجاد امنیت بیشتر در شبکه است تا بتوان تهدیدهای بالقوه را شناسایی کرد و به سرعت به آنها پاسخ داد. فن نگار IPS را ابزاری برای شناسایی فعالیتهای مخرب، ثبت تهدیدهای شناسایی شده، گزارش تهدیدهای شناسایی شده و انجام اقدامات پیشگیرانه برای جلوگیری از آسیبرسانی تهدید معرفی کرده است.
مزایای IDS و IPS از دیدگاه فن نگار
IDS/IPS تمام ترافیک شبکه را برای شناسایی هرگونه رفتار مخرب شناخته شده نظارت می کند. یکی از راههایی که یک مهاجم سعی میکند شبکه را به خطر بیندازد، سوء استفاده از یک آسیبپذیری در یک دستگاه یا درون نرمافزار است. IDS/IPS تلاشهای هکران برای نفوذ به اطلاعات سازمان را شناسایی میکند و آنها را قبل از اینکه موفقیت مسدود میکند. این اقدامات امنیتی فناوریهای امنیتی ضروری در لبه شبکه و هم در مرکز داده هستند. به همین دلیل است که میتوانند مهاجمان را در حین نفوذ به شبکه شما متوقف کنند.
وظیفه IDS و IPS چیست؟
سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) به طور مداوم شبکه شما را زیر نظر دارند، حوادث احتمالی را شناسایی کرده و اطلاعات مربوط به آنها را ثبت میکنند و به مدیران امنیتی گزارش میدهند. علاوه بر این، برخی از شبکهها از IDS/IPS برای شناسایی مشکلات مربوط به سیاستهای امنیتی و بازدارندگی افراد از نقض سیاستهای امنیتی استفاده میکنند.
IDS چگونه کار می کند؟
معمولاً IDS از سه روش برای تشخیص حوادث استفاده می کند:
-
تشخیص مبتنی بر امضا، امضاها را با رویدادهای مشاهده شده مقایسه می کند تا حوادث احتمالی را شناسایی کند. این ساده ترین روش تشخیص است زیرا تنها واحد فعلی فعالیت (مانند یک بسته یا یک ورودی گزارش به لیستی از امضاها) را با استفاده از عملیات مقایسه رشته ها مقایسه می کند.
-
تشخیص مبتنی بر ناهنجاری، تعاریف آنچه را که فعالیت عادی در نظر گرفته می شود با رویدادهای مشاهده شده مقایسه می کند تا انحرافات قابل توجه را شناسایی کند. این روش تشخیص می تواند در شناسایی تهدیدات ناشناخته قبلی بسیار موثر باشد.
-
تجزیه و تحلیل پروتکل حالتی، پروفایل های از پیش تعیین شده تعاریف پذیرفته شده عمومی را برای فعالیت پروتکل خوش خیم برای هر وضعیت پروتکل در برابر رویدادهای مشاهده شده به منظور شناسایی انحرافات مقایسه می کند.
جایگزین های IDS :
بر خلاف این که اکثر افراد تصور می کنند که هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی وجود دارند که نمی توانند به عنوان IDS مورد استفاده قرار گیرند و شامل :- سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند.
- ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
- نرم افزارهای ضد ویروس که برای تشخیص انواع کرمها، ویروسها و …
- دیواره آتش (Firewall) مکانیزم های امنیتی مانند SSL و Radius و … .
IPS چگونه کار می کند؟
یک سیستم پیشگیری از نفوذ با وجود قابلیت های پیشگیری از تهدیدهای پیشرفته، یک روش بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک IPS در حالت in-line کار می کند. به این معنا که شامل یک سنسور است که به طور مستقیم در مسیر ترافیک شبکه قرار دارد تا هنگام عبور بسته ها، تمام ترافیک شبکه را بازرسی کند. از این رو، هر بسته مشکوک شناسایی شده و بلافاصله Drop می شود.
تفاوت بین IDS و IPS چیست؟
یک سیستم تشخیص نفوذ بیشتر یک سیستم هشدار است که به سازمان اجازه می دهد تا از شناسایی فعالیت غیرعادی یا مخرب مطلع شود. در حالیکه یک سیستم پیشگیری از نفوذ، این تشخیص را یک قدم به جلو می برد و قبل از دسترسی یا جلوگیری از حرکت بیشتر در شبکه، شبکه را خاموش می کند.
سخن آخر
به طور کلی ابزارهای IDS مهندسین را از وقوع یک حمله مطلع می سازند و ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک آسیب رسان را مسدود می کنند.تکنولوژی های IDS و IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.