سیستم پیشگیری از نفوذ (IPS) یا Intrusion Prevention System چیست؟
سیستم پیشگیری از نفوذ یا همان IPS یکی از تکنولوژیهای امنیت شبکه است که ترافیک شبکه را مانیتور میکند تا ناهنجاریهایی را در جریان ترافیک شناسایی کند. سیستمهای امنیتی IPS ترافیک شبکه را رهگیری کرده و میتوانند بهسرعت با رها کردن Packetها یا Reset کردن اتصالات از فعالیتهای مخرب پیشگیری کنند. این سیستمها میتوانند اقدامهای پیشگیرانهای باشند که بخشی از برنامهی پاسخ به حادثه هستند.
IDS در مقابل IPS: چه تفاوتهایی دارند؟
سیستمهای شناسایی نفوذ (Intrusion Detection Systems) یا IDS و سیستمهای پیشگیری از نفوذ یا IPS، هر دو ترافیک شبکه را تجزیهوتحلیل میکنند تا Signatureهای تهدید یا ناهنجاریهایی را در ترافیک شبکه پیدا کنند. تفاوت بین این دو سیستم این است که IDS یک سیستم مانیتورینگ است که Packetهای شبکه را تغییر نمیدهد، اما IPS یک سیستم کنترلی Inline است که میتواند از تحویل Packetها براساس رخدادهای امنیتی شناساییشده جلوگیری کند.
اکثر سیستمهای امنیتی IPS، دارای عملکرد IDS نیز هستند. سیستمهای IDS منفعل (Passive) هستند و هیچ ارتباطی را در شبکه تغییر نمیدهد، درنتیجه نمیتوانند نقش یک IPS را بازی کنند.
نحوهی کار سیستمهای شناسایی نفوذ و سیستمهای پیشگیری از نفوذ یا IDS/IPS چگونه است
IDS میتواند یک دستگاه سختافزاری یا یک برنامه کاربردی نرمافزاری باشد که ترافیک ورودی و خروجی شبکه را برای هر فعالیت مخرب یا نقض سیاست (Policy) امنیتی مانیتور میکند. همین امر برای امنیت IPS نیز صدق میکند.
IDS میتواند بر مبنای شبکه و یا Host باشد:
- سیستمهای شناسایی نفوذ مبتنی بر شبکه یا NIDS دارای سنسورهایی هستند که بهصورت استراتژیک در شبکه قرار گرفتهاند و گاهی اوقات در مکانهای مختلفی هستند تا بدون ایجاد Bottleneck در عملکرد، تا جای ممکن ترافیک را مانیتور کنند.
- سیستمهای شناسایی نفوذ مبتنی بر Host یا HIDS روی Hostها یا دستگاههای بهخصوصی اجرا میشوند و ترافیک مرتبط به آنها را مانیتور میکنند.
امنیت IPS میتواند همان فعالیتهای مخرب و نقض سیاستهایی را شناسایی کند که IDS شناسایی میکند و علاوه بر آن میتواند بهصورت Real-Time پاسخی را ارائه دهد تا تهدیدات فوری متوقف شوند.
- IPS نیز مثل IDS میتواند مبتنی بر شبکه باشد و سنسورهایی را در نقاط مختلفی از شبکه داشته باشد و یا میتواند مبتنی بر Host بوده و سنسورهایی را روی Host داشته باشد که دستگاههای بهخصوص را مانیتور نماید؛
- اما برخلاف IDS، دارای قابلیت پیکربندی قواعد مبتنی بر سیاست و اقداماتی است که پس از شناسایی هر ناهنجاری باید اتخاذ شوند.
کدام یک را ترجیح میدهید: IDS یا IPS؟
برای اکثر موارد کاربرد، در محیطهای امنیتی امروز، استفاده از IPS به IDS ارجحیت دارد.
- IPS میتواند از تهدیدات امنیتی پیشگیری کند، درحالیکه IDS فقط اطلاعاتی را فراهم میکند.
- IPS میتواند در زمان تیمهای امنیتی صرفهجویی کند، درحالیکه IDS هشدارهایی را اضافه میکند که تیمهای امنیتی باید آنها را تجزیهوتحلیل کرده و به آنها واکنش نشان دهند.
- درواقع IPS تمام امکانات IDS را ارائه میکند، بهعلاوهی امکانات بیشتر.
اما امنیت IPS دارای سرباری اضافی است، زیرا بهصورت Inline پیادهسازی میگردد و تمام ترافیک شبکه را رهگیری مینماید. این راهکار باید ظرفیت کافی برای پردازش بارهای ترافیک شبکه را داشته باشد و درصورت اشکال در عملکرد، میتواند تبدیل به یک نقطهی واحد خرابی یا SPOF شود.
نحوهی کار سیستمهای پیشگیری از نفوذ یا IPS
شناسایی مبتنی بر Signature
اکثر سیستمهای شناسایی نفوذ مبتنی بر Signature هستند. آنها مشابه با اسکنرهای ویروس کار میکنند، یعنی برای هر رخداد نفوذی، فعالیتهای مخرب شناخته شده (یا یک Signature) را جستجو میکنند.
بااینکه IDS مبتنی بر Signature برای شناسایی حملات شناختهشده بسیار کاربردی است، یک Signature باید برای هر حمله ایجاد شود و نمیتوان انواع جدیدی از حملات را شناسایی نمود. اما هکرها دائماً درحال آزمونوخطا هستند و بالاخره راهی را برای دور زدن پیچیدهترین سیستمهای شناسایی نفوذ مبتنی بر Signature پیدا خواهند کرد.
شناسایی نفوذ مبتنی بر ناهنجاری
درحالیکه Signatureها عملکرد خوبی در مقابل حملات با الگوی رفتاری ثابتی دارند، بهخوبی در مقابل الگوهای حملات پویا جواب نمیدهند. IDS مبتنی بر ناهنجاری، مبنایی را برای رفتار شبکه تثبیت میکند. این مبنا توصیفی است از رفتار قابلقبول شبکه که ادمینهای شبکه آن را آموزش داده یا تعریف میکنند. موتور شناسایی ناهنجاری وقتی ببیند که رفتاری در چارچوب مدل رفتاری قابلقبول و از پیش تعریفشده نیست، آن را تشخیص میدهد.
مانیتورینگ شبکهی منفعل
امنیت IPS را میتوان تنظیم کرد تا بهصورت منفعل ترافیک شبکه را در نقاط بهخصوصی مانیتور کند و رفتار مخرب را تشخیص دهد. این نوع مانیتورینگ از پارامترهای آستانهی امنیتی استفاده میکند تا تشخیص دهد که آیا فعالیت قابلقبول است یا ممکن است مخرب باشد و هشدارهایی را برای تیم امنیتی میسازد.
راهکار IPS چه نوع محافظتی ارائه میدهد
راهکارهای امنیت IPS میتوانند هر حملهای را براساس ترافیک مخرب که روی یک شبکه ارسال میشود متوقف کنند، به شرطی که یک Signature حملهی شناختهشده داشته باشد یا بتوان در مقایسه با ترافیک عادی، آن را ناهنجار دانست. IPS معمولاً برای شناسایی و توقف تمام حملات زیر مورد استفاده قرار میگیرد.
اما باید به یک نکتهی مهم توجه داشت: حملات DDoS مدرن در مقیاسی بزرگ انجام میشوند که میتواند از توان هر دستگاه امنیتی واحدی بیشتر باشد. DDoS در مقیاس بزرگ را تنها میتوان توسط منابع توزیعی متوقف کرد، مثل سرویسهای Traffic Scraping مبتنی بر Cloud.
Attack (حمله) | شرح |
حملات DDoS | تلاش برای اینکه یک سرور، سرویس یا شبکه از دسترس خارج شود، با جاری کردن جریان ترافیکی از چندین سیستم رایانشی توزیعی. |
حملهی Smurf | نوعی از حملات DoS که در آن یک سیستم توسط تعداد زیادی از Packetهای Internet Control Message Protocol مورد هجوم قرار میگیرد و شبکهی قربانی، توانایی پاسخدهی نخواهد داشت. |
Ping of Death | یک حمله DoS که در آن مهاجم تلاش میکند با ارسال Packetهای ناهنجار یا بیش از حد بزرگ، با استفاده از دستور Ping سیستم را دچار قطعی کند. |
حملات SYN Flood | یک حمله DoS که در آن حجم زیادی از Packetهای SYN یا Synchronize (درخواستهای اتصال) به سرور یا فایروال قربانی ارسال میشود و آن را از دسترس خارج میکند. |
SSL Evasion | مهاجمان با استفاده از SSL/TLS برای مخفی کردن محتوای مخرب، فرار از شناسایی و کنترلهای امنیتی Bypass، نقاط کور رمزگذاری Secure Sockets Layer یا SSL و Transport Layer Security یا TLS را Exploit میکنند. |
حملهی IP Fragmentation | مهاجمان با Exploit کردن مکانیزمهای Datagram Fragmentation، منابع شبکه را غرق کرده و سیستم هدف را نسبت به اینکه Datagramهای TCP/UDP چطور باید بازسازی (Reassemble) شوند، گیج میکنند. |
حملهی Port Scanning | مهاجمان با هدف پیدا کردن یک پورت فعال و Exploit کردن آسیبپذیری آن، درخواستهایی را به گسترهای از پورتهای سرور ارسال میکنند. |
ARP Spoofing | مهاجمان پیامهای Address Resolution Protocol یا ARP تقلبی را ارسال کرده و آدرس MAC مهاجم را به آدرس IP یک سیستم قانونی متصل کرده و ترافیک را از سیستم به مهاجم منحرف (Divert) مینمایند. |
حملات Buffer Overflow | مهاجمان آسیبپذیریهای Buffer Overflow را Exploit میکنند و مسیر اجرای یک برنامه کاربردی را با غرق کردن بخشهای حافظهی آن آلوده میسازد. |
حملات OS Fingerprinting | مهاجمان تلاش میکنند سیستم عامل یک هدف بهخصوص را شناسایی کرده و آسیبپذیریهای آن را Exploit نمایند. |
SMB Probeها | مهاجمان درخواستهای احراز هویت پروتکل Server Message Block یا SMB را Capture کرده و آنها را به Host دیگری Relay میکنند. |
راهکار IPS چگونه در زمان تیمهای امنیتی صرفهجویی میکند؟
- پاسخ خودکار – سیستمهای IDS/IPS تا حد زیادی خودکار هستند. این سیستمها با سرمایهگذاری محدودی توسط تیم امنیتی، از شبکهها در مقابل تهدیدات ناشناس محافظت میکنند.
- تطبیقپذیری – تطبیقپذیری معمولاً نیازمند این است که اثبات شود سرمایهگذاری در تکنولوژیها و سیستمهای لازم برای حفاظت از داده انجام شده است. راهکارهای IDS/IPS به تعدادی از کنترلهای امنیتی Center for Internet Security یا CIS پاسخ میدهند و دادههای ممیزی را که برای بررسیهای تطبیقپذیری ارزشمند هستند، فراهم مینمایند.
- اعمال سیاست – IDS/IPS کمک میکند که سیاستهای امنیت داخلی در سطح شبکه اعمال شوند. مثلاً اگر فقط از یک VPN پشتیبانی شود، میتوان از IPS برای بلاک کردن ترافیک از یک VPN دیگر استفاده کرد.