سیستم پیشگیری از نفوذ (IPS) چیست و چرا باید استفاده شود؟
سیستم پیشگیری از نفوذ (Intrusion Prevention System) که به صورت خلاصه به آن IPS گفته میشود، به عنوان intrusion detection prevention system یا IDPS نیز شناخته میشود. فناوری IPS شبکه را برای هرگونه فعالیت مخرب که سعی در سواستفاده از آسیبپذیری شناخته شده دارد، تحت نظر دارد.
در ادامه با ماهان همراه باشید تا بیشتر این فناوری و نحوه کار آن را بررسی کنیم.
فهرست مطالب
IPS چیست؟
وظیفه اصلی یک سیستم پیشگیری از نفوذ، شناسایی هرگونه فعالیت مشکوک و یا شناسایی و اجازه (IDS) یا جلوگیری از (IPS) تهدید است. این تلاش سیستم ثبت شده و به مدیران شبکه یا کارکنان مرکز عملیات امنیتی (SOC) گزارش میشود.
IPS اغلب مستقیماً در پشت دیوار آتش قرار دارد، به صورت خطی (در مسیر ارتباط مستقیم بین مبدا و مقصد) قرار گرفته و به طور فعال در همه موارد، تجزیه و تحلیل و انجام اقدامات خودکار را انجام میدهد.
چرا باید از سیستمهای پیشگیری از نفوذ استفاده کرد؟
فناوریهای IPS میتوانند حملات امنیتی شبکه مانند حملات brute force، حملات Denial of Service (Dos) یا vulnerability exploits را شناسایی یا از آنها جلوگیری کنند. vulnerability یا آسیبپذیری، ضعف در یک سیستم نرم افزاری است و exploit، حملهای است که از این آسیبپذیری برای به دست آوردن کنترل یک سیستم استفاده میکند.
هنگامی که exploit استفاده اعلام میشود، اغلب فرصتی برای مهاجمان وجود دارد که قبل از اعمال وصلههای امنیتی (Security Patches) از این آسیب پذیری سوء استفاده کنند. در این موارد می توان از سیستم پیشگیری از نفوذ برای جلوگیری سریع از حملات استفاده کرد.
از آنجا که فناوریهای IPS جریان بستهها (packet flows) را مشاهده میکنند، میتوانند برای اجرای استفاده از پروتکلهای امن و عدم استفاده از پروتکلهای ناامن مانند نسخههای قبلی SSL یا پروتکلهایی با استفاده از رمزهای ضعیف استفاده شوند.
فایروال ایرانی Maltiwall (بومیسازی شده) برای حفاظت از امنیت شبکه سازمانهای کوچک و بزرگ تمام قد ایستاده است! برای کسب اطلاعات بیشتر همین حالا با شماره زیر تماس بگیرید:
سیستمهای پیشگیری از نفوذ چگونه کار میکنند؟
فناوریهای IPS به بستههایی که در آن مستقر شدهاند دسترسی دارند، یا به عنوان سیستمهای تشخیص نفوذ شبکه (NIDS) یا به عنوان سیستمهای تشخیص نفوذ میزبان (HIDS). شبکه IPS نمای وسیعتری از کل شبکه دارد و میتواند بصورت داخلی یا بصورت آفلاین در شبکه، به عنوان یک حسگر غیرفعال که بستهها را از درگاه TAP یا SPAN شبکه دریافت میکند، مستقر شود.
تفاوت IPS با فایروال همینجا مشخص میشود؛ فایروال تنها ترافیک ورودی و خروجی را کنترل میکند، درصورتی که سیستمهای پیشگیری از نفوذ فعالیتهای درون سیستمها را نیز بررسی میکند. در مقالهای که تحت عنوان فایروال چیست و چگونه کار میکند، به صورت کامل راجع به نحوه کار و انواع فایروالها صحبت کردهایم. قطعا در صورت استفاده همزمان از Firewall و IPS، ایمنی شبکه تا حد زیادی افزایش مییابد.
روش تشخیص مورد استفاده سیستم پیشگیری از نفوذ ممکن است مبتنی بر امضا یا anomaly-based باشد. امضاهای از پیش تعریف شده الگوهای معروف حملات شبکه هستند. IPS جریان بستهها را با امضا مقایسه میکند تا ببیند الگو تطبیق یافته است یا خیر. سیستمهای تشخیص نفوذ Anomaly-based از روشهای اکتشافی (heuristics) برای شناسایی تهدیدها استفاده میکنند. به عنوان مثال، یک نمونه از ترافیک را با یک خط مبنا (baseline) شناخته شده مقایسه می کند.
تفاوت بین IDS و IPS چیست؟
پیاده سازیهای اولیه این فناوری در حالت تشخیص بر روی وسایل امنیتی اختصاصی به کار گرفته شد. همانطور که این فناوری رشد کرده و به دستگاههای Next Generation Firewall یا UTM منتقل شده است، عملکرد پیشفرض آن برای جلوگیری از ترافیک مخرب تنظیم شده است .
در برخی موارد، تصمیمگیری برای تشخیص (detect) و پذیرش (accept) یا جلوگیری از ترافیک بر اساس اطمینان از حفاظت سیستم پیشگیری از نفوذ بهخصوصی صورت میگیرد. هنگامی که اطمینان کمتری نسبت به حفاظت IPS وجود داشته باشد، احتمال مثبت بودن کاذب بیشتر است. منظور از مثبت کاذب زمانی است که IDS یک فعالیت را به عنوان یک حمله شناسایی میکند، اما این فعالیت یک رفتار قابل پذیرش است. به همین دلیل، بسیاری از فناوریهای IPS توانایی ضبط توالی بستهها از حمله را دارند. پس از آن به منظور شناسایی حملات، آنها را تجزیه و تحلیل میکنیم.
درباره نویسنده این مقاله
اشتراک گذاری این مقاله
اشتراک گذاری در twitter
Twitter
اشتراک گذاری در linkedin
LinkedIn
اشتراک گذاری در telegram
Telegram
اشتراک گذاری در whatsapp
WhatsApp
اشتراک گذاری در email
Email
خواندن این مطالب توصیه میشود
سیستم پیشگیری از نفوذ (IPS) چیست و چرا باید استفاده شود؟
سیستم پیشگیری از نفوذ (ISP) چیست و چرا باید از آن استفاده کرد؟ سیستم پیشگیری …
سگمنتیشن در گوگل آنالیتیکس
سگمنتیشن در گوگل آنالیتیکس وقتی وارد آنالیتیکس میشوید با دنیایی از داده مواجه هستید. هر …
لینک نوفالو چیست؟ آیا تاثیری در سئو سایت دارد؟
لینک نوفالو چیست و چه تاثیری در سئو سایتی دارد؟ لینکهای نوفالو (nofollow) چه هستند؟ …
تفاوت لوگو و هویت بصری چیست؟
تفاوت لوگو و هویت بصری چیست؟ به نظر شما لوگو با هویت بصری تفاوت دارد؟ …