شبکه و امنیت

سیستم پیشگیری از نفوذ (IPS) چیست و چرا باید استفاده شود؟

سیستم پیشگیری از نفوذ (Intrusion Prevention System) که به صورت خلاصه به آن IPS گفته می‌شود، به عنوان intrusion detection prevention system یا IDPS نیز شناخته می‌شود. فناوری IPS شبکه را برای هرگونه فعالیت مخرب که سعی در سواستفاده از آسیب‌پذیری شناخته شده دارد، تحت نظر دارد.

در ادامه با ماهان همراه باشید تا بیشتر این فناوری و نحوه کار آن را بررسی کنیم.

فهرست مطالب

IPS چیست؟

وظیفه اصلی یک سیستم پیشگیری از نفوذ، شناسایی هرگونه فعالیت مشکوک و یا شناسایی و اجازه (IDS) یا جلوگیری از (IPS) تهدید است. این تلاش سیستم ثبت شده و به مدیران شبکه یا کارکنان مرکز عملیات امنیتی (SOC) گزارش می‌شود.

IPS اغلب مستقیماً در پشت دیوار آتش قرار دارد، به صورت خطی (در مسیر ارتباط مستقیم بین مبدا و مقصد) قرار گرفته و به طور فعال در همه موارد، تجزیه و تحلیل و انجام اقدامات خودکار را انجام می‌دهد.

چرا باید از سیستم‌های پیشگیری از نفوذ استفاده کرد؟

فناوری‌های IPS می‌توانند حملات امنیتی شبکه مانند حملات brute force، حملات Denial of Service (Dos) یا vulnerability exploits را شناسایی یا از آن‌ها جلوگیری کنند. vulnerability یا آسیب‌پذیری، ضعف در یک سیستم نرم افزاری است و exploit، حمله‌ای است که از این آسیب‌پذیری برای به دست آوردن کنترل یک سیستم استفاده می‌کند. 

هنگامی که exploit استفاده اعلام می‌شود، اغلب فرصتی برای مهاجمان وجود دارد که قبل از اعمال وصله‌های امنیتی (Security Patches) از این آسیب پذیری سوء استفاده کنند. در این موارد می توان از سیستم پیشگیری از نفوذ برای جلوگیری سریع از حملات استفاده کرد.

از آنجا که فناوری‌های IPS جریان بسته‌ها (packet flows) را مشاهده می‌کنند، می‌توانند برای اجرای استفاده از پروتکل‌های امن و عدم استفاده از پروتکل‌های ناامن مانند نسخه‌های قبلی SSL یا پروتکل‌هایی با استفاده از رمزهای ضعیف استفاده شوند.

نحوه کار IPS

فایروال ایرانی Maltiwall (بومی‌سازی شده) برای حفاظت از امنیت شبکه سازمان‌های کوچک و بزرگ تمام قد ایستاده است! برای کسب اطلاعات بیشتر همین حالا با شماره زیر تماس بگیرید:


00985191012270

سیستم‌های پیشگیری از نفوذ چگونه کار می‌کنند؟

فناوری‌های IPS به بسته‌هایی که در آن مستقر شده‌اند دسترسی دارند، یا به عنوان سیستم‌های تشخیص نفوذ شبکه (NIDS) یا به عنوان سیستم‌های تشخیص نفوذ میزبان (HIDS). شبکه IPS نمای وسیع‌تری از کل شبکه دارد و می‌تواند بصورت داخلی یا بصورت آفلاین در شبکه، به عنوان یک حسگر غیرفعال که بسته‌ها را از درگاه TAP یا SPAN شبکه دریافت می‌کند، مستقر شود.

تفاوت IPS با فایروال همین‌جا مشخص می‌شود؛ فایروال تنها ترافیک ورودی و خروجی را کنترل می‌کند، درصورتی که سیستم‌های پیشگیری از نفوذ فعالیت‌های درون سیستم‌ها را نیز بررسی می‌کند. در مقاله‌ای که تحت عنوان فایروال چیست و چگونه کار می‌کند، به صورت کامل راجع به نحوه کار و انواع فایروال‌ها صحبت کرده‌ایم. قطعا در صورت استفاده همزمان از Firewall و IPS، ایمنی شبکه تا حد زیادی افزایش می‌یابد.

روش تشخیص مورد استفاده سیستم پیشگیری از نفوذ ممکن است مبتنی بر امضا یا anomaly-based باشد. امضاهای از پیش تعریف شده الگوهای معروف حملات شبکه هستند. IPS جریان بسته‌ها را با امضا مقایسه می‌کند تا ببیند الگو تطبیق یافته است یا خیر. سیستم‌های تشخیص نفوذ Anomaly-based از روش‌های اکتشافی (heuristics) برای شناسایی تهدیدها استفاده می‌کنند. به عنوان مثال، یک نمونه از ترافیک را با یک خط مبنا (baseline) شناخته شده مقایسه می کند.

تفاوت بین IDS و IPS چیست؟

پیاده سازی‌های اولیه این فناوری در حالت تشخیص بر روی وسایل امنیتی اختصاصی به کار گرفته شد. همانطور که این فناوری رشد کرده و به دستگاه‌های Next Generation Firewall یا UTM منتقل شده است، عملکرد پیش‌فرض آن برای جلوگیری از ترافیک مخرب تنظیم شده است .

در برخی موارد، تصمیم‌گیری برای تشخیص (detect) و پذیرش (accept) یا جلوگیری از ترافیک بر اساس اطمینان از حفاظت سیستم پیشگیری از نفوذ به‌خصوصی صورت می‌گیرد. هنگامی که اطمینان کمتری نسبت به حفاظت IPS وجود داشته باشد، احتمال مثبت بودن کاذب بیشتر است. منظور از مثبت کاذب زمانی است که IDS یک فعالیت را به عنوان یک حمله شناسایی می‌کند، اما این فعالیت یک رفتار قابل پذیرش است. به همین دلیل، بسیاری از فناوری‌های IPS توانایی ضبط توالی بسته‌ها از حمله را دارند. پس از آن به منظور شناسایی حملات، آن‌ها را تجزیه و تحلیل می‌کنیم. 

درباره نویسنده این مقاله

اشتراک گذاری این مقاله

اشتراک گذاری در twitter
Twitter
اشتراک گذاری در linkedin
LinkedIn
اشتراک گذاری در telegram
Telegram
اشتراک گذاری در whatsapp
WhatsApp
اشتراک گذاری در email
Email

خواندن این مطالب توصیه می‌شود

سیستم پیشگیری از نفوذ IPS


سیستم پیشگیری از نفوذ (IPS) چیست و چرا باید استفاده شود؟

سیستم پیشگیری از نفوذ (ISP) چیست و چرا باید از آن استفاده کرد؟ سیستم پیشگیری …

سگمنت در آنالیتیکس


سگمنتیشن در گوگل آنالیتیکس

سگمنتیشن در گوگل آنالیتیکس وقتی وارد آنالیتیکس می‌شوید با دنیایی از داده مواجه هستید. هر …

لینک نوفالو چیست


لینک نوفالو چیست؟ آیا تاثیری در سئو سایت دارد؟

لینک نوفالو چیست و چه تاثیری در سئو سایتی دارد؟ لینک‌های نوفالو (nofollow) چه هستند؟ …

تفاوت لوگو و هویت بصری


تفاوت لوگو و هویت بصری چیست؟

تفاوت لوگو و هویت بصری چیست؟ به نظر شما لوگو با هویت بصری تفاوت دارد؟ …

نوشته های مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا