تکنولوژی IPS و IDS چیست

امروزه بیشتر شبکه ها در پیرامونی که قرار دارند بسیار آزاد و رها هستند؛ بدین منظور که می توانند به راحتی درون شبکه حرکت کنند و این موضوع سبب می گردد که هکرها بتوانند از این فضا سو استفاده کنند. از این رو بسیار مهم است که امنیت شبکه خود را برقرار سازید. گاهی آسیب به داده ها و اطلاعات می تواند به تجهیزات شبکه شما از قبیل سوئیچ شبکه، روتر ، سرور و … ضربه وارد کرده و اختلال ایجاد کند.

زیرا امروزه امنیت و برقراری آن از مهم ترین مباحث در بخش های اطلاعاتی است. هنگامی که شرایطی این چنین به وجود می آید، به دنبال آن تکنولوژی هایی نیز ارائه می گردد که افراد بتوانند در شبکه بهینه عمل کنند و امنیت را در سراسر شبکه برقرار سازند. دو تکنولوژی IPS و IDS جهت برقراری امنیت در سطح شبکه وجود دارند که در این مقاله قصد داریم آن ها را مورد بررسی قرار دهیم.

تکنولوژی IPS و IDS چیست:

تکنولوژی IPS و IDS هر دو جهت برقراری امنیت شبکه به وجود آمده اند که IPS مخفف Intrusion Prevention System و IDS مخفف Instruction Detection System می باشد. دو تکنولوژی IPS و IDS کار تحلیل ترافیک شبکه نسبت به فایروال را انجام می دهند و همانند آنتی ویروس ها عمل می کنند.

بدین صورت که ترافیک را بررسی کرده و اطلاعات را به پایگاه داده ارسال کرده و سپس داده ها را با حملات شناخته شده در پایگاه داده مقایسه می کند. اگر داده ارسال شده به عنوان حمله شناخته شد در این مواقع تکنولوژی IPS و IDS وارد کار می شوند.

IDS وقوع حمله را اطلاع می دهد و تکنولوژی IPS خودش به صورت خودکار داده و ترافیک حمله را مسدود می کند، یعنی می توان گفت که IPS از IDS یک قدم جلوتر است. IPS ها در پشت فایروال ها قرار دارند به عنوان یک لایه اضافی جهت مشاهده محتوای خراب هستند و در مسیر ارتباط بین سیستم و شبکه قرار دارند تا بتوانند ترافیک شبکه را بررسی و ارزیابی کنند.

تکنولوژی IPS و IDS دو سیستمی هستند که دارای مشخصات مشابه بسیاری می باشند. IPSها یک IDS در هسته خود دارند ولی تفاوت اصلی بین آن ها این است که IDS ها می توانند ترافیک داده های آسیب رسان و مخرب را تشخیص دهند ولی IPS از ورود آن حملات به شبکه جلوگیری می کند. در ادامه هر یک از آنها را به طور جداگانه توضیح می دهیم.

چرا از سیستم پیشگیری از نفوذ استفاده می کنیم:

این فناوری ها حملاتی همچون brute force، Denial of Service و یا vulnerability exploits را بررسی می کنند و از ورود آن ها جلوگیری می کنند. Vulnerability در حقیقت یک ضعف برای سیستم به شمار می آید و exploits یک نوع حمله است که از این آسیب پذیری برای دسترسی به کنترل سیستم استفاده می کند.

وقتی exploits اعلام می گردد معمولا برای مهاجمان فرصتی به وجود می آید که قبل از اعمال امنیت، از آسیب پذیری سو استفاده می کند. در چنین شرایطی از سیستمِ پیشگیری از نفوذ استفاده کرده و سریعا جلوی حمله را میگیریم. از طرفی چون IPS مسیر بسته ها را بررسی و مشاهده می کند برای اجرای پروتکل های امنیتی و یا عدم استفاده از آن ها از رمزهای ضعیف استفاده شود.

IDS چیست:

IDS یک سیستم جهت حفاظت است که وظیفه شناسایی داده های خراب را بر عهده دارد و بعد از تشخیص حملاتی از قبیل جمع کردن اطلاعات، پویش پورت ها، دستیابی به کامپیوترها و در نهایت هک کردن، ورود داده خراب یا حمله را اطلاع می دهد و آن را کنترل می کند.

IPS چیست:

تکنولوژی IPS یک سیستم محافظتی از جنس جلوگیری از نفوذ است و فعالیت های شبکه را نظارت کرده و آن را تجزیه و تحلیل می کند، عملکرد مشکوک و ناخواسته را شناسایی می کند و بلافاصله نسبت به آن عکس العمل نشان می دهد. تمام ترافیک ها باید از IPS ورود و خروج کنند. IPSها به دو دسته تقسیم می شوند؛ دسته اول بر مبنای میزبان است و دسته دوم بر مبنای شبکه می باشد.

IPS بر مبنای شبکه، کار نظارت بر ترافیک شبکه را بر عهده دارد و سپس داده های خراب را تشخیص می دهد، پس از تشخیص داده خراب، بسته قابل حمل توسط داده خراب را دور می ریزد و سایر بسته ها را اجازه عبور می دهد.

تکنولوژی IPS شکل گسترده تکنولوژی IDS می باشد. اگر رویدادی مخرب ارزیابی گردد، پس از حذف آن رویداد، فایروال مجدد پیکربندی می شود و داده ها مجددا پک pack می شوند و مسیرهای آلوده از سرور حذف می گردند و بازنشانی می شوند.

در چه مواقعی از IPS برای محافظت شبکه استفاده می کنم:

• شناسایی بر مبنای امضا: IPS ها امضای حمله های قبلی را که در تهدیدات شبکه ثبت شده با امضای جدید بررسی می کند و بعد از شناسایی تهدید از خود عکس العمل نشان می دهد.
• شناسایی بر مبنای آنومالی: در این حالت تکنولوژی IPS رفتار نامتعارف را شناسایی می کند و در صورت آنومالی بودن، دسترسی آن را مسدود می کند.
• شناسایی بر مبنای مشی: در این روش تکنولوژی IPS در ابتدا مدیران را ملزم می سازد که خط مشی امنیتی به وجود آورند، اگر یک رفتار یا رویداد این خط مشی امنیتی را رعایت نکرد، برای مدیران اعلان ارسال می کند و آن ها را آگاه می سازد.

سیستم پیشگیری از نفوذ به چه صورت کار می کنند:

تکنولوژی IPS به بسته ها دسترسی دارند و می توانند به عنوان ابزاری که نفوذ در شبکه را تشخیص دهند (NIDS) به عنوان یک سیستم تشخیص نفوذ میزبان (HIDS)، دید بسیار وسیعی از کل شبکه داشته باشند و همچنین به صورت داخلی و آفلاین به عنوان یک حسگر غیر فعال بسته ها را از درگاه TAP یا SPAN دریافت کرده و آنها را مستقر کند.

فایروال ها ترافیک ورودی وخروجی را کنترل می کنند ولی تکنولوژی IPS می تواند در درون شبکه عملکرد ها و داده ها را بررسی کند. روش تشخیص تکنولوژی IPS به صورت anomaly-based و یا مبتنی بر امضا می باشد.

• ترافیک غیر طبیعی از بیرون به داخل شبکه را تشخیص و به مدیر شبکه اطلاع می دهد
• ارتباطات و روابط مشکوک را مسدود می کند
• توانایی تشخیص برخی حملات از سوی کاربران داخلی و خارجی را دارد

IPS ها حملات را با چند روش شناسایی می کنند:

• IPS های مبتنی بر قوانین: IPS ها بر اساس قوانین و مجموعه ای از آنها، حملات را شناسایی می کنند.
• IPS های مبتنی بر هوش مصنوعی: IPS ها برای تشخیص حملات از هوش مصنوعی استفاده می کنند و آن ها را تشخیص می دهند.

انواع IDS:

• Network Base: اطلاعات را از طریق کارت شبکه جمع آوری می کند.
• Host Base: بسیاری از سازمان ها و شرکت ها کار تولید IDS را انجام می دهند، IDS هایی که بر روی کامپیوترهای pc ذخیره می شوند و از cpu و هارد استفاده می کنند.
• Honey pot: به گونه ای تنظیم شده اند که در معرض حمله باشند. اگر داده ای از Network و Host عبور کند متوجه گیر افتادن در Honey Pot نمی شود و به خراب کردن و حمله خود ادامه می دهد که می توان به کمک این روش، امنیت شبکه را حفظ کرد. Honey Pot یک روش جدید می باشد که قابلیت های زیادی جهت ارائه امنیت در اختیار دارد. درواقع Honey Pot یک ابزار قابل انعطاف است که می توان از آن به روش های مختلفی استفاده کرد. مثلا می تواند در IPv6 حملات را کشف کنند و به علت این انعطاف پذیری به یک ابزار بسیار قوی مبدل شده است.

آیا جایگزینی برای IDS وجود دارد:

بسیاری از کاربران این چنین می اندیشند که هر نرم افزاری را می توان به عنوان جایگزین برای IDS برگزید، اما برخی سرویس های امنیتی نمی توانند جایگزینی برای تکنولوژی IDS باشند که به برخی از آن ها در زیر اشاره شده است:

1. سیستم هایی که وقایع شبکه را ثبت می کنند؛ همانند دستگاه هایی که خراب کاری ها را شناسایی کرده و حملات را متوقف می کنند.
2. ابزارهایی که میزان آسیب و خرابی را ارزیابی کرده و آن ها را گزارش می دهند.
3. برنامه های آنتی ویروس
4. فایروال

چرا فایروال ها به تنهایی بی فایده اند:

فایروال ها که از کاربردی ترین تجهیزات شبکه به شمار می روند در معنای لغوی دیوار آتش معنی می شوند، به تنهایی نمی توانند امنیت را برقرار سازند، علت عدم توانایی فایروال ها در ایجاد امنیت سراسر شبکه موارد زیر می باشد:

• دسترسی به اینترنت تنها از طریق فایروال نیست
• همه تهدیدات بیرون از فایروال نیستند و می تواند تهدیدات داخلی نیز وجود داشته باشد
• فایروال ها به تنهایی در برابر حمله نرم افزارها به اطلاعات، امنیت پایینی دارند

بیشتر بخوانید: نصب و راه اندازی فایروال فورتیگیت Fortinet

مزایای IPS و IDS چیست:

• رویدادهای امنیتی کاهش پیدا می کند
• در مقابل تهدیدات از شبکه حفاظت می کند
• حملاتی مانند Zero-day، DoS کاهش می یابد
• کارکنان فناوری اطلاعات نیاز کمتری به تعمیر و نگهداری دارند
• ترافیک ورودی به شبکه را تائید یا رد می کند
• اگر فعالیت مشکوکی ببینند آن را به مدیران اطلاع می دهد

معایب IPS و IDS چیست:

• گاهی ممکن است ترافیک از سوی کاربر ارسال گردد ولی به علت خطا در الگوبندی در سیستم های امنیتی به عنوان DoS تشخیص داده می شود و بن می گردد. در چنین مواقعی ترافیک ایجاد شده در سیستم امنیتی باید مجاز اعلام شود که یکی از معایب این روش به شمار می آید.
• اگر پهنای باند و ظرفیت شبکه به اندازه کافی نباشد فناوری IPS و IDS سرعت سیستم شما را پایین می آورند.
• اگر در شبکه شما چند IPS وجود داشته باشد، داده ها از هر یک از آن ها باید عبور کنند، تا بتوانند به کاربر نهایی دسترسی پیدا کنند که موجب می شود عملکرد شبکه از کمتر شود.
• IPS بسیار گران هستند.

تفاوت IPS و IDS:

IDS ها برنامه ای هستند که کار شناسایی و نظارت بر ترافیک را بر عهده دارند. فناوری IPS و IDS داده های ورودی را شناسایی می کنند و بعد از شناسایی تهدیدات، محتوای آن ها را بررسی می کنند و سپس IDS در مراحل بعد متفاوت عمل می کند.

درواقع می توان گفت تکنولوژی IDS به تنهایی کاری نمی تواند انجام دهد، زیرا به یک کاربر نیاز دارد تا نتایج شناسایی را ارزیابی کرده و بعد از تحلیل آنها برای مرحله بعد و اقدامات بعدی تصمیم گیری کند، به عبارتی می توان گفت تکنولوژی IPS یک افزونه برای تکنولوژی IDS محسوب می شود.

تکنولوژی IDS کار نظارت بر شبکه را برعهده دارد و در صورت پیدایش هر گونه تهدید آن را به مدیران اطلاع می دهد و از شبکه محافظت می کند، همچنین می توان گفت که IDS ها هم همانند IPS ها کار کنترل ترافیک را بر عهده دارند اما چون ممکن است بعد از دسترسی مهاجم، سو استفاده ای صورت پذیرد این سیستم امنیتی بر اساس قوانینی که در شبکه توسط مدیر تعبیه شده است، اقدامات فوری انجام می دهند.

مثلا اگر IDS، یک بسته را مخرب و تهدید تشخیص دهند، همه ترافیک مسیر را بن می کند و ترافیکی که مجاز به عبور است باید بدون تاخیر به مسیر خود ادامه داده و ارسال گردد.

چه نرم افزارهایی از تکنولوژی IPS و IDS استفاده می کنند:

1. Snort: یک نرم افزار بر اساس Open Source است که توسط SourceFire توسعه پیدا کرده است. این نرم افزار توانایی شناسایی حملات را دارد و به صورت پیش فرض روی محصولات سیسکو نصب شده است.
2. Suricata: یک نرم افزار رایگان و Open Source می باشد. تهدیدات را به شکل سریع تشخیص می دهد. با پیروی از قوانین قوی می تواند ترافیک را تحلیل کند. این نرم افزار قابلیت بررسی و تحلیل به صورت آفلاین را نیز دارا است.

کلام آخر:

در این مقاله با تکنولوژی IPS و IDS و تفاوت های بین آن ها آشنا شدید و نحوه عملکرد آن ها را بررسی کردید. این فناوری ها بسیار حائز اهمیت هستند زیرا امنیت را در سراسر شبکه برقرار می سازد. از این رو جهت جلوگیری از حملات لایه 7 به شما فناوری IPS و IDS پیشنهاد می شود، که در پشت فایروال قرار دارد. زیرا فایروال قادر نیست با حملات لایه 7 مقابله کند از این رو وجود فناوری IPS و IDS در پشت فایروال ها موجب جلوگیری از حملات می شود.