» » IPS و IDS چیست؟

IPS و IDS چیست؟

(IDS(Intrusion Detection System  چیست؟

IDS یک سیستم محافظتی است که خرابکاری‌های در حال وقوع روی شبکه را شناسایی می‌کند. روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت‌ها، به دست آوری کنترل کامپیوترها و نهایتاً هک کردن می‌باشد، می‌تواند نفوذ خرابکاری‌ها را گزارش و کنترل کند.

(IPS(Intrusion Prevention System چیست؟

سیستم جلوگیری از نفوذ (IPS) یک وسیله امنیتی است که بر فعالیت‌های یک شبکه و یا یک سیستم نظارت کرده تا رفتارهای ناخواسته یا مخرب را شناسایی کند. در صورت شناسایی این رفتارها، بلافاصله عکس‌العمل نشان داده و از ادامه فعالیت آن‌ها جلوگیری می‌کند. سیستم‌های جلوگیری از نفوذ به سه دسته مبتنی بر میزبان و مبتنی بر شبکه و مبتنی بر برنامه  تقسیم می‌شوند.


IDS مبتنی بر میزبان Host-based

اینگونه از سیستم‌های شناسایی نفوذ با اجرای یک سرویس کوچک (Agent) در ماشین مقصد (میزبان) می‌توانند کلیه تحرکات آنرا مورد نظارت قرار دهند. این جاسوس کوچک قادر است ثبت وقایع، فایل‌های مهم سیستمی و سایر منابع قابل ممیزی را به منظور شناسایی تغییر غیر مجاز و یا رهگیری فعالیت‌های مشکوک مورد موشکافی قرار دهد. در این سیستم حفاظتی، به هنگامیکه رخدادی خارج از روال عادی روی دهد، بلافاصله از طریق SNMP هشدارهایی بطور خودکار برای مسئولین شبکه ارسال می‌گردد.


 IDS مبتنی بر شبکه Network-based

در این نوع از سیستم شناسایی نفوذ، ترافیک بصورت بلادرنگ بر روی خطوط ارتباطی، مورد نظارت قرار می‌گیرد. در این روش بسته‌های اطلاعاتی ارسالی به دقت مورد ارزیابی قرار می‌گیرد تا قبل از رسیدن به مقصد خود از نقطه نظر عدم وجود تدارک یک حمله گسترده در برنامه آن‌ها و یا تدارک حجم زیاد ترافیک برای از رده خارج نمودن سرویس‌های در حال کار که بسیار خطرناک می‌باشند، مطمئن گردد. این سیستم به هنگام شناسایی یک تحرک مشکوک در ترافیک، بلافاصله اقدام به ارسال هشدار نموده و متعاقب آن اقدام به مسدود نمودن مسیر بسته‌های مشکوک می‌نماید.

در برخی از سیستم‌های به هم پیوسته با دیواره آتش، به طور خودکار قواعد جدیدی تعریف می‌گردد تا بطور کلی حمله مهاجمان را در آینده ختثی نماید. سیستم شناسایی نفوذ مبتنی بر شبکه بدلیل استفاده شدید از منابع ماشین، نیاز به سکوی مستقلی برای اجرای طرح بازرسی خود دارد. همچنین هر ناحیه عملیاتی نیاز به یک سیستم شناسایی دارد زیرا آن‌ها قادر به کنکاش در خارج از محدوده سوئیچ و یا مسیر یابها نمی‌باشند.


 IDS مبتنی بر برنامه Application-based

این نوع از IDS به منظور حفاظت از "خوش اجرایی " برخی از برنامه‌ها خاص بکار برده می‌شوند. محتوای معنی دار داخل این برنامه‌ها اجازه می‌دهد تا این نوع از سیستم شناسایی نفوذ بتواند میزان خطاهای درست/نادرست آن‌ها را کاهش دهد. محصولات IDS مبتنی بر شبکه، تمامی محتوای بسته‌های عبوری از شبکه را به منظور شناسایی تحرکات شرورانه مورد بازرسی قرار می‌دهد. این نوع از بازرسی بسیار عمیق تر از تحلیل‌های صورت گرفته توسط دیواره آتش و یا مسیر یاب است. سیستم‌های شناسایی نفوذ هنگامی مؤثر هستند که حملات هوشمندانه ای، از طریق پرتکلهای آشنا نظیر http، که معمولاً هم بدون مشگل از درون دیواره آتش می‌گذرند، شکل گیرد. در مقام مقایسه، تصور نیاز به داشتن یک قدرت پردازشی به مراتب قویتر از دیواره آتش برای سیستم‌های شناسایی نفوذ جای تعجب ندارد. شبکه‌های نفوذ پذیر امروزی از ابزارهای IDS به جای کارشناسان امنیتی پر تلاش استفاده می‌کنند که هدف آن‌ها کشف، ارزیابی و حفاظت شبکه، در مقابل حملات شرورانه می‌باشد. در نتیجه این محصولات در خارج و یا داخل محدوده تحت نظارت دیواره‌های آتش گسترده می‌شوند و نقش و تکیه گاه اصلی را در امر پیاده سازی یک شبکه ایمن بازی می‌نمایند. یکی از مزایای سیستم‌های شناسایی نفوذ مبتنی بر شبکه آنست که تاثیری بر سرعت شبکه و یا اعمال فشار بر سیستم نظارتی ندارند. اغلب IDS های مبتنی بر شبکه دارای یک بانک اطلاعاتی جامع از علائم مربوط به حملات هستند که آن‌ها را در امر شناسایی آن‌ها یاری می‌کند. به هر جهت IDS ها نیز مانند ضدویروس‌ها بدون بروزشدن بانک اطلاعاتی خود قادر به شناسایی حملات نمی‌باشند. آن‌ها با تهدیدات خزنده ای که دارای موعد حمله است در ستیز هستند.

هکرها اغلب حملات به شبکه‌ها را با روش آزمون و خطایی که نتیجه موفقیت آمیزی در یورش قبلی داشته به انجام می‌رسانند. تولید کنندگان محصولات امنیتی شبکه با توجه به تحلیل‌های به عمل آمده بر روی اینگونه حملات، مشخصه‌های اصلی حمله را تهیه می‌نمایند و جزئیات آنرا مورد توجه قرار می‌دهند. فنون شناسایی، رد اثر یورش به شبکه را با توجه به اثرات موجود در ترافیک شبکه و مقایسه با الگوهای تهدیدات موجود در بانک اطلاعاتی مورد شناسایی قرار می‌دهند. به محض آنکه مشخصه یک حمله مورد شناسایی قرار گرفت، سیستم امنیتی در مقابل آن عکس العمل نشان داده و در اغلب موارد اقدام به ارسال پیام‌های هشدار ساده می‌نماید. موفقیت در شناسایی حملات، بسته به میزان بروز بودن الگوی حملاتی است که در بانک اطلاعاتی مربوطه سابقاٌ ذخیره گردیده است.

اشکال سیستم‌هایی که تنها به خود و یا الگوی شناسایی تکیه می‌کنند کاملاٌ مشخص است:

آن‌ها فقط می‌توانند یورش‌هایی را که دارای الگوی شناسایی هستند رهگیری نمایند و در این صورت اگر برای حفاظت شبکه فقط از فنون شناسایی مبتنی بر علائم حمله استفاده گردد، بطور یقین زیر ساختهای شبکه کماکان در معرض انواع و اقسام تهدیدات شناخته شده قرار دارد. به هنگامیکه هکرها بدنبال کشف نقاط ضعف جدید و هجوم به منظور بهره برداری از نقاط آسیب پذیر هستند، فنون نامتعارف (anomaly) شناسایی مورد نیاز است. در این کار زار هیچگونه الگو و یا علائم شناسایی در کار نیست. اولین نمونه از اینگونه حمله با ویروس CodeRed به معرض ظهور رسید، جائیکه هیچ سیستم شناسایی نتوانست از طریق الگوی حمله آنرا شناسایی نماید.

محصولات IDS به منظور شناسایی ضربات اولیه اینگونه حملات نیاز به فنون شناسایی نامتعارف دارند. اینکار می‌تواند با مقایسه ترافیک شبکه با یک الگوی ترافیک اولیه صورت گیرد. این مکانیسم بر اساس مشاهده آمار ترافیک غیر متعارف بنا نهاده شده است. در حال حاضر سیستم‌های IDS قادر به شناسایی و ممانعت از برخی حملات هوشمندانه جدید نمی‌باشند. فنون غیر متعارف شناسایی نیز ممکن است در بعضی مواقع مؤثر نیافتد.

تصور کنید یک دروازه بان هستید و نباید اجازه دهید توپ وارد دروازه شود. اگر شما سرمایه گذار هستید و برای امنیت شبکه‌تان تلاش می‌کنید این موضوع برای شما به یک کابوس تبدیل خواهد شد. تصمیم بگیرید و سیستم واکنشی را با فناوری پیشگیرانه جایگزین کنید. مقاومت سیستم‌های اطلاعاتی در مقابل حمله به لایه‌های کاربردی نفوذگران را برآن داشته تا روز به روز ماهرتر و خبره تر شوند. سیستم شناسایی نفوذ (IDS) در لایه پروتکل شبکه عمل می‌کند و کار شناسایی الگوهای ظاهرًا غیر عادی را که در حقیقت تهدیدی نیستند بر عهده دارد. این کار موجب سنگینی و کند شدن سیستم امنیتی می‌شود.

روش پیشگیرانه راه مؤثر تری را در خصوص این تهدیدات پیشنهاد می‌کند. این کار باید با اعمال تغییرات بر روی الگوهای جدید از حملات مختلف نفوذگران که دائماً دامنه حملاتشان را گسترش می‌دهند صورت بگیرد. آنچه بیشتر از همه نفوذگران را در این زمینه قدرتمند ساخته، پیچیدگی و سرعت عمل آن‌هاست. آن‌ها حملاتشان را آنقدر پیچیده می‌کنند که یک ضد ویروس یا دیواره آتش معمولی، مدت زیادی در مقابل آن‌ها دوام نمی‌آورد. آن‌ها سعی می‌کنند با چنان سرعتی گسترش یابند که انسان توانایی واکنش به موقع نداشته باشد. اکنون فقط سیستم ممانعت از نفوذ (Intrusion Prevention System) IPS، با هوش مصنوعی خود قادر به مسدود کردن حملات، در زمانی که رخ می‌دهند است.


تفاوت میان IPS و IDS چیست؟

IDS بیشتر شبیه یک دزدگیر عمل می‌کند. IDS قسمت‌هایی از شبکه را که به نظر می رسدکسی به آنجا صدمه زده کشف می‌کند و سپس اخطار می‌دهد. بدیهی است که این اخطار بعد و یا در حین آسیب به دستگاه صورت می‌گیرد. اکنون زمان آن رسیده که شما از صدمات، پیش تر جلوگیری نموده و سیستم را اصلاح کنید. IPS برای جلوگیری از ورود بدون مجوز به شبکه یا سرویس دهنده طراحی شده است و بجای اعلام اخطار مبنی بر اینکه قسمتی از سیستم دچار مشکل شده از صدمه سیستم جلوگیری به عمل می‌آورد.

IPS نسل جدیدی از فن آوری IDS است. سیستم IDS به توانایی احتیاج دارد نه فقط شناسایی. همچنین باید توانایی مسدود کردن حملات را داشته باشد. تفاوت IPS با IDS سنتی در این است که IPS یک سد امنیتی دور تا دور شبکه و یا سرویس دهنده می‌کشد تا صدمه ای به آن وارد نگردد. از دیگر توانایی‌های IPS بیرون راندن تراکم موجود در شبکه، قطع و وصل ارتباط شبکه داخلی با شبکه خارجی و کنترل رفت و آمدها به داخل و خارج شبکه است.

به عبارت ساده تر قابلیت کنترل ارتباط و توانایی بازداشتن حمله ای را که در حال وقوع است دارد. در حالی که ممکن است تفاوت میان IPS و IDS گیچ کننده به نظر آید از اسامی آن‌ها به سادگی می‌توان تفاوت میانشان را دریافت. IDS ها بیش از یک دستگاه گردآوری کننده اطلاعات و آگاه کننده اختلالات شبکه نیستند که تنها قادرند هر بسته ای را که قصد عبور دارد ارزیابی و تحلیل کنند. IPS ها تغییر شکل طبیعی IDS ها هستند. IPS ها دارای همه توانایی‌های IDS ها هستند ولی در سطحی بالاتر. آن‌ها در حقیقت می‌توانند بر اساس معیارهایی که به آن‌ها می‌دهیم تصمیم بگیرند. در نتیجه IPS ها، دارای مکانیسم پیشگیری هستند و نه فقط واکنش به یک حمله.

ذاتاً تمام IPS ها IDS نیز هستند اما IDS ها IPS نیستند. تفاوت در مکانیزم پاسخ دهی است، که با تغییر وظایف IDS از حالت انفعالی به حالت تصمیم گیرنده صورت می‌پذیرد. هنگامی که مدیر شبکه IPS ی را برای بررسی عیوب شبکه فعال می‌کند IPS بسته‌های عبوری را بر اساس بانک علائم خود بطور دقیق بررسی می‌کند. در این میان نه تنها عناوین نامه‌های الکترونیکی، بلکه کل محتوای آن‌ها را نیز قبل از ورود به شبکه بررسی می‌کند و در صورت مخرب بودن، از ورود آن‌ها جلوگیری به عمل می‌آورد.

خودکارسازی امنیتی راهی است که منتظر استفاده خرابکاران از یک حفره نمی‌ماند

کدهای مخرب، ویروس‌ها و نفوذگران می‌بایست راهی برای ورود به سیستم پیدا کنند. دیواره‌های آتش معمولی در جلوگیری از حملات ساده به شبکه، از طریق پورت‌های باز یا پرتکل های مختلف مؤثر بودند. همچنین سیستم‌های ضد ویروس نیز در شناسایی ویروس‌هایی که می‌شناسند و از طریق نامه‌های الکترونیک و کپی فایل وارد سیستم می‌شوند، مؤثر بودند. گرچه نویسنده‌های کدهای مخرب به تازگی استفاده از پروتکل‌های استاندارد و نقاط ورودی (مانند http و پورت 80) که باید برای انجام کارهای سیستم باز نگه داشته شود را برای نفوذ به داخل سیستم شروع کرده‌اند.

بدین ترتیب سیستم‌های امنیتی که دارای مکانیسم‌های ثابت هستند به مرور دچار افت عملیاتی می‌شوند و قادر به پاسخگویی به حملات برنامه ریزی شده پیشرفته نمی‌باشند. اینجاست که تقش IPS ها پر رنگ می‌گردد تا بطور کاملاً موثری جلوی نفوذگران را بگیرد.

IPS برای جلوگیری از این قبیل ورودهای غیر مجاز از چند روش استفاده می‌کند:

IPS ها (مبتنی بر میزبان یا شبکه) هر بسته ای را که قصد ورود به شبکه را دارد بسیار بهتر از سیستم هشدار دهنده بازرسی می‌کند و سپس دو کار را به انجام می‌رساند: اول جستجوی بانک اطلاعاتی برای یافتن نوع حمله، که اگر موفق به پیدا کردن نوع حمله شد از پدافند آن استفاده خواهد کرد و در غیر این صوررت سیستم اجازه دسترسی به فایل‌ها را پیدا می‌کند. این پایه و اساس کارکرد هسته سیستم است که برای جستجوی فعالیت‌های غیر عادی به کار می‌رود.

برای دستیابی به چنین سیستمی دو شرط لازم است:

توان اجرایی بالا: اگر از توان اجرایی کافی برخوردار نباشید، سیستم نمی‌تواند بهترین عکس العمل را نشان دهد

دقت: شما نباید تصمیم اشتباه بگیرید

نسخه ی قابل چاپ
نویسنده: admin بازدیدها: 703 نظرات: 0

فرم ارسال نظر

نام:*
ایمیل:*
 
دو کلمه نمایش داده شده در تصویر را وارد کنید: *

فروشگاه ایساتیس نت

کمک مالی به سایت

ساماندهی پایگاه های اینترنتی

logo-samandehi

تاییدیه زرین پال

خرید اینترنتی کارت شارژ

ابر برچسب ها

تقویم

<    «  آبان 1396  »    >
شیدسچپج
 12345
6789101112
13141516171819
20212223242526
27282930 

آخرین مطالب

برترین مطالب

مطالب تصادفی

نظرسنجی

نظر شما در مورد محتوای سایت چیست؟


چارت دوره های سیسکو

چارت دوره های مایکروسافت

چارت دوره های میکروتیک

چارت دوره های لینوکس

چارت دوره های جونیپر

رتبه سایت و سئو

لوگوی حمایت از سایت

آمار

آمار مطالب یک ساعت پیش: 0
امروز: 0
این ماه: 0
کل: 15
کل نظرات: 3
آمار کاربران یک ساعت پیش: 0
امروز: 0
این ماه: 0
کل: 4
بن شدگان: 0
جدیدترین عضو: rajivaptron
Mostafa Rastin Real Time Analytics