راهکار IPS: صرفه‌جویی در زمان و توقف زودهنگام حملات با امنیت فعال

راهکار IPS

سیستم پیش‌گیری از نفوذ (IPS) یا Intrusion Prevention System چیست؟

سیستم پیشگیری از نفوذ یا همان IPS یکی از تکنولوژی‌های امنیت شبکه است که ترافیک شبکه را مانیتور می‌کند تا ناهنجاری‌هایی را در جریان ترافیک شناسایی کند. سیستم‌های امنیتی IPS ترافیک شبکه را رهگیری کرده و می‌توانند به‌سرعت با رها کردن Packetها یا Reset کردن اتصالات از فعالیت‌های مخرب پیشگیری کنند. این سیستم‌ها می‌توانند اقدام‌های پیشگیرانه‌ای باشند که بخشی از برنامه‌ی پاسخ به حادثه هستند.

IDS در مقابل IPS: چه تفاوت‌هایی دارند؟

سیستم‌های شناسایی نفوذ (Intrusion Detection Systems) یا IDS و سیستم‌های پیشگیری از نفوذ یا IPS، هر دو ترافیک شبکه را تجزیه‌وتحلیل می‌کنند تا Signatureهای تهدید یا ناهنجاری‌هایی را در ترافیک شبکه پیدا کنند. تفاوت بین این دو سیستم این است که IDS یک سیستم مانیتورینگ است که Packetهای شبکه را تغییر نمی‌دهد، اما IPS یک سیستم کنترلی Inline است که می‌تواند از تحویل Packetها براساس رخدادهای امنیتی شناسایی‌شده جلوگیری کند.

اکثر سیستم‌های امنیتی IPS، دارای عملکرد IDS نیز هستند. سیستم‌های IDS منفعل (Passive) هستند و هیچ ارتباطی را در شبکه تغییر نمی‌دهد، درنتیجه نمی‌توانند نقش یک IPS را بازی کنند.

نحوه‌ی کار سیستم‌های شناسایی نفوذ و سیستم‌های پیشگیری از نفوذ یا IDS/IPS  چگونه است

IDS می‌تواند یک دستگاه سخت‌افزاری یا یک برنامه کاربردی نرم‌افزاری باشد که ترافیک ورودی و خروجی شبکه را برای هر فعالیت مخرب یا نقض سیاست (Policy) امنیتی مانیتور می‌کند. همین امر برای امنیت IPS نیز صدق می‌کند.

IDS می‌تواند بر مبنای شبکه و یا Host باشد:

  • سیستم‌های شناسایی نفوذ مبتنی بر شبکه یا NIDS دارای سنسورهایی هستند که به‌صورت استراتژیک در شبکه قرار گرفته‌اند و گاهی اوقات در مکان‌های مختلفی هستند تا بدون ایجاد Bottleneck در عملکرد، تا جای ممکن ترافیک را مانیتور کنند.
  • سیستم‌های شناسایی نفوذ مبتنی بر Host یا HIDS روی Hostها یا دستگاه‌های به‌خصوصی اجرا می‌شوند و ترافیک مرتبط به آن‌ها را مانیتور می‌کنند.

امنیت IPS می‌تواند همان فعالیت‌های مخرب و نقض سیاست‌هایی را شناسایی کند که IDS شناسایی می‌کند و علاوه بر آن می‌تواند به‌صورت Real-Time پاسخی را ارائه دهد تا تهدیدات فوری متوقف شوند.

  • IPS نیز مثل IDS می‌تواند مبتنی بر شبکه باشد و سنسورهایی را در نقاط مختلفی از شبکه داشته باشد و یا می‌تواند مبتنی بر Host بوده و سنسورهایی را روی Host داشته باشد که دستگاه‌های به‌خصوص را مانیتور نماید؛
  • اما برخلاف IDS، دارای قابلیت پیکربندی قواعد مبتنی بر سیاست و اقداماتی است که پس از شناسایی هر ناهنجاری باید اتخاذ شوند.

کدام یک را ترجیح می‌دهید: IDS یا IPS؟

برای اکثر موارد کاربرد، در محیط‌های امنیتی امروز، استفاده از IPS به IDS ارجحیت دارد.

  • IPS می‌تواند از تهدیدات امنیتی پیشگیری کند، درحالی‌که IDS فقط اطلاعاتی را فراهم می‌کند.
  • IPS می‌تواند در زمان تیم‌های امنیتی صرفه‌جویی کند، درحالی‌که IDS هشدارهایی را اضافه می‌کند که تیم‌های امنیتی باید آن‌ها را تجزیه‌وتحلیل کرده و به آن‌ها واکنش نشان دهند.
  • درواقع IPS تمام امکانات IDS را ارائه می‌کند، به‌علاوه‌ی امکانات بیشتر.

اما امنیت IPS دارای سرباری اضافی است، زیرا به‌صورت Inline پیاده‌سازی می‌گردد و تمام ترافیک شبکه را رهگیری می‌نماید. این راهکار باید ظرفیت کافی برای پردازش بارهای ترافیک شبکه را داشته باشد و درصورت اشکال در عملکرد، می‌تواند تبدیل به یک نقطه‌ی واحد خرابی یا SPOF شود.

نحوه‌ی کار سیستم‌های پیشگیری از نفوذ یا IPS

شناسایی مبتنی بر Signature 

اکثر سیستم‌های شناسایی نفوذ مبتنی بر Signature هستند. آن‌ها مشابه با اسکنرهای ویروس کار می‌کنند، یعنی برای هر رخداد نفوذی، فعالیت‌های مخرب شناخته شده (یا یک Signature) را جستجو می‌کنند.

بااینکه IDS مبتنی بر Signature برای شناسایی حملات شناخته‌شده بسیار کاربردی است، یک Signature باید برای هر حمله ایجاد شود و نمی‌توان انواع جدیدی از حملات را شناسایی نمود. اما هکرها دائماً درحال آزمون‌وخطا هستند و بالاخره راهی را برای دور زدن پیچیده‌ترین سیستم‌های شناسایی نفوذ مبتنی بر Signature پیدا خواهند کرد.

شناسایی نفوذ مبتنی بر ناهنجاری

درحالی‌که Signatureها عملکرد خوبی در مقابل حملات با الگوی رفتاری ثابتی دارند، به‌خوبی در مقابل الگوهای حملات پویا جواب نمی‌دهند. IDS مبتنی بر ناهنجاری، مبنایی را برای رفتار شبکه تثبیت می‌کند. این مبنا توصیفی است از رفتار قابل‌قبول شبکه که ادمین‌های شبکه آن را آموزش داده یا تعریف می‌کنند. موتور شناسایی ناهنجاری‌ وقتی ببیند که رفتاری در چارچوب مدل رفتاری قابل‌قبول و از پیش تعریف‌شده نیست، آن را تشخیص می‌دهد.

مانیتورینگ شبکه‌ی منفعل

امنیت IPS را می‌توان تنظیم کرد تا به‌صورت منفعل ترافیک شبکه را در نقاط به‌خصوصی مانیتور کند و رفتار مخرب را تشخیص دهد. این نوع مانیتورینگ از پارامترهای آستانه‌ی امنیتی استفاده می‌کند تا تشخیص دهد که آیا فعالیت قابل‌قبول است یا ممکن است مخرب باشد و هشدارهایی را برای تیم امنیتی می‌سازد.

راهکار IPS  چه نوع محافظتی ارائه می‌دهد

راهکارهای امنیت IPS می‌توانند هر حمله‌ای را براساس ترافیک مخرب که روی یک شبکه ارسال می‌شود متوقف کنند، به شرطی که یک Signature حمله‌ی شناخته‌شده داشته باشد یا بتوان در مقایسه با ترافیک عادی، آن را ناهنجار دانست. IPS معمولاً برای شناسایی و توقف تمام حملات زیر مورد استفاده قرار می‌گیرد.

اما باید به یک نکته‌ی مهم توجه داشت: حملات DDoS مدرن در مقیاسی بزرگ انجام می‌شوند که می‌تواند از توان هر دستگاه امنیتی واحدی بیشتر باشد. DDoS در مقیاس بزرگ را تنها می‌توان توسط منابع توزیعی متوقف کرد، مثل سرویس‌های Traffic Scraping مبتنی بر Cloud.

Attack (حمله) شرح
حملات DDoS تلاش برای اینکه یک سرور، سرویس یا شبکه از دسترس خارج شود، با جاری کردن جریان ترافیکی از چندین سیستم رایانشی توزیعی.
حمله‌ی Smurf نوعی از حملات DoS که در آن یک سیستم توسط تعداد زیادی از Packetهای Internet Control Message Protocol مورد هجوم قرار می‌گیرد و شبکه‌ی قربانی، توانایی پاسخ‌دهی نخواهد داشت.
Ping of Death یک حمله‌ DoS که در آن مهاجم تلاش می‌کند با ارسال Packetهای ناهنجار یا بیش از حد بزرگ، با استفاده از دستور Ping سیستم را دچار قطعی کند.
حملات SYN Flood یک حمله‌ DoS که در آن حجم زیادی از Packetهای SYN یا Synchronize (درخواست‌های اتصال) به سرور یا فایروال قربانی ارسال می‌شود و آن را از دسترس خارج می‌کند.
SSL Evasion مهاجمان با استفاده از SSL/TLS برای مخفی کردن محتوای مخرب، فرار از شناسایی و کنترل‌های امنیتی Bypass، نقاط کور رمزگذاری Secure Sockets Layer یا SSL و Transport Layer Security یا TLS را Exploit می‌کنند.
حمله‌ی IP Fragmentation مهاجمان با Exploit کردن مکانیزم‌های Datagram Fragmentation، منابع شبکه را غرق کرده و سیستم هدف را نسبت به اینکه Datagramهای TCP/UDP چطور باید بازسازی (Reassemble) شوند، گیج می‌کنند.
حمله‌ی Port Scanning مهاجمان با هدف پیدا کردن یک پورت فعال و Exploit کردن آسیب‌پذیری آن، درخواست‌هایی را به گستره‌ای از پورت‌های سرور ارسال می‌کنند.
ARP Spoofing مهاجمان پیام‌های Address Resolution Protocol یا ARP تقلبی را ارسال کرده و آدرس MAC مهاجم را به آدرس IP یک سیستم قانونی متصل کرده و ترافیک را از سیستم به مهاجم منحرف (Divert) می‌نمایند.
حملات Buffer Overflow مهاجمان آسیب‌پذیری‌های Buffer Overflow را Exploit می‌کنند و مسیر اجرای یک برنامه کاربردی را با غرق کردن بخش‌های حافظه‌ی آن آلوده می‌سازد.
حملات OS Fingerprinting مهاجمان تلاش می‌کنند سیستم عامل یک هدف به‌خصوص را شناسایی کرده و آسیب‌پذیری‌های آن را Exploit نمایند.
SMB Probeها مهاجمان درخواست‌های احراز هویت پروتکل Server Message Block یا SMB را Capture کرده و آن‌ها را به Host دیگری Relay می‌کنند.

راهکار IPS چگونه در زمان تیم‌های امنیتی صرفه‌جویی می‌کند؟

  • پاسخ خودکار  سیستم‌های IDS/IPS تا حد زیادی خودکار هستند. این سیستم‌ها با سرمایه‌گذاری محدودی توسط تیم امنیتی، از شبکه‌ها در مقابل تهدیدات ناشناس محافظت می‌کنند.
  • تطبیق‌پذیری – تطبیق‌پذیری معمولاً نیازمند این است که اثبات شود سرمایه‌گذاری در تکنولوژی‌ها و سیستم‌های لازم برای حفاظت از داده انجام شده است. راهکارهای IDS/IPS به تعدادی از کنترل‌های امنیتی Center for Internet Security یا CIS پاسخ می‌دهند و داده‌های ممیزی را که برای بررسی‌های تطبیق‌پذیری ارزشمند هستند، فراهم می‌نمایند.
  • اعمال سیاست – IDS/IPS کمک می‌کند که سیاست‌های امنیت داخلی در سطح شبکه اعمال شوند. مثلاً اگر فقط از یک VPN پشتیبانی شود، می‌توان از IPS برای بلاک کردن ترافیک از یک VPN دیگر استفاده کرد.
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.