Clarity tracking code
setakit.com
setakit.com

سیستم پیشگیری از نفوذ یا IPS چیست و چگونه کار می کند؟

سیستم پیشگیری از نفوذ (IPS)

سیستم پیشگیری از نفوذ (IPS) یک ابزار امنیتی شبکه و پیشگیری از تهدید است. ایده اصلی پیشگیری از نفوذ، ایجاد یک رویکرد پیشگیرانه برای امنیت شبکه است تا بتوان تهدیدهای بالقوه را شناسایی کرد و به سرعت به آنها پاسخ داد.

بنابراین سیستم های پیشگیری از نفوذ برای بررسی جریان های ترافیک شبکه به منظور یافتن نرم افزارهای مخرب و جلوگیری از سوء استفاده از آسیب پذیری، استفاده می شوند.

یک IPS برای شناسایی فعالیت های مخرب، ثبت تهدیدهای شناسایی شده، گزارش تهدیدهای شناسایی شده و انجام اقدامات پیشگیرانه برای جلوگیری از آسیب رسانی تهدید استفاده می شود. یک ابزار IPS می تواند برای نظارت مستمر شبکه بطور بلادرنگ، استفاده شود.

پیشگیری از نفوذ یک روش تشخیص تهدید است که می تواند در یک محیط امنیتی توسط مدیران سیستم استفاده شود. این ابزارها برای سیستم به عنوان یک اقدام پیشگیرانه برای رویدادهای مشاهده شده، مفید هستند.

علاوه بر این، با توجه به اینکه امکان انجام فعالیت‌های مشکوک از راه‌های مختلف وجود دارد، داشتن برنامه‌ای برای شناسایی حملات احتمالی اهمیت زیادی دارد.

یک سیستم پیشگیری از نفوذ برای گسترش قابلیت های پایه ای موجود در سیستم های تشخیص نفوذ (IDS) ساخته شده است.

سیستم های پیشگیری از نفوذ چگونه کار می کنند؟

یک سیستم پیشگیری از نفوذ تمام ترافیک شبکه را بررسی می کند. برای انجام این کار، یک ابزار IPS معمولاً درست در پشت فایروال قرار می گیرد و به عنوان یک لایه اضافی برای مشاهده رویدادهای محتوای مخرب عمل می کند.

به این ترتیب ابزارهای IPS در مسیرهای ارتباطی مستقیم بین سیستم و شبکه قرار می گیرند تا ترافیک شبکه را تجزیه و تحلیل کند.

در زیر سه رویکرد رایج ابزار IPS برای محافظت از شبکه ها آمده است:

  1. تشخیص مبتنی بر امضا (signature-based detection) که در آن ابزار IPS از امضاهای حمله ی از قبل تعریف شده ی تهدیدات شبکه، برای شناسایی تهدیدها و انجام عکس العمل استفاده می کند.
  2. تشخیص مبتنی بر آنومالی (anomaly-based detection) که در آن IPS رفتار غیرمنتظره در شبکه را جستجو کرده و در صورت شناسایی آنومالی، دسترسی به میزبان را مسدود می کند.
  3. تشخیص مبتنی بر خط مشی (policy-based detection) که در آن IPS ابتدا مدیران را ملزم به ایجاد خط مشی های امنیتی می کند. وقتی رویدادی یک خط مشی امنیتی تعریف شده را نقض کند، یک هشدار برای مدیران سیستم ارسال می شود.

اگر تهدیدی شناسایی شود، ابزار IPS معمولاً می‌تواند هشدارهایی را برای مدیران ارسال کند، بسته‌های مخرب شبکه را حذف کند، و اتصالات را با پیکربندی مجدد فایروال‌ها، بسته‌بندی مجدد محموله‌ها و حذف پیوست‌های آلوده از سرورها، بازنشانی کند.

ابزارهای IPS می‌توانند به دفع حملات انکار سرویس (DoS)، حملات انکار سرویس توزیع شده (DDoS)، کرم‌ها، ویروس‌ها و یا سوء استفاده‌ها مانند سوءاستفاده‌های zero-day کمک کنند.

قبل از لایه های بالایی شبکه، یک سیستم پیشگیری از نفوذ موثر باید نظارت و تجزیه و تحلیل پیچیده تری مانند مشاهده و پاسخ به الگوهای ترافیک، و همچنین بسته های مجزا را انجام دهد.

مکانیسم‌های تشخیصی می‌تواند شامل تطبیق آدرس، تطبیق رشته و زیررشته HTTP، تطبیق الگوی عمومی، تجزیه و تحلیل اتصال TCP، تشخیص آنومالی بسته‌ها، تشخیص آنومالی ترافیک و تطبیق پورت TCP/UDP باشد.

انواع سیستم های پیشگیری از نفوذ

معمولاً سه نوع سیستم پیشگیری از نفوذ وجود دارد که عبارتند از:

  1. تجزیه و تحلیل رفتار شبکه (NBA)، که رفتار شبکه را برای جریان ترافیک غیرعادی تجزیه و تحلیل می کند و معمولاً برای شناسایی حملات DDoS استفاده می شود.
  2. سیستم پیشگیری از نفوذ مبتنی بر شبکه (NIPS)، که یک شبکه را برای جستجوی ترافیک مشکوک تجزیه و تحلیل می کند.
  3. سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS)، که در یک میزبان نصب شده و برای تجزیه و تحلیل فعالیت های مشکوک در یک میزبان خاص استفاده می شود.

علاوه بر این، انواع دیگری از ابزارهای IPS از جمله ابزارهایی که شبکه های بی سیم را تجزیه و تحلیل می کنند نیز وجود دارد.

بنابراین به طور کلی می توان گفت یک سیستم پیشگیری از نفوذ شامل هر محصول یا روشی (مانند فایروال ها و نرم افزارهای آنتی ویروس) است که برای جلوگیری از دسترسی مهاجمان به شبکه استفاده می شود.

مزایای سیستم های پیشگیری از نفوذ

از مزایای سیستم های پیشگیری از نفوذ می توان به موارد زیر اشاره کرد:

  • کاهش احتمال بروز حوادث امنیتی
  • انجام حفاظت پویا از تهدید
  • کاهش حملات مانند تهدیدات Zero-day، حملات DoS، حملات DDoS و حملات Brute-force
  • کاهش تعمیر و نگهداری شبکه برای کارکنان فناوری اطلاعات
  • اجازه دادن یا رد کردن ترافیک ورودی خاص به یک شبکه
  • در صورت یافتن فعالیت مشکوک به طور خودکار به مدیران اطلاع می دهد

معایب سیستم های پیشگیری از نفوذ

از معایب سیستم های پیشگیری از نفوذ می توان به موارد زیر اشاره کرد:

  • برخی اوقات ممکن است ترافیک ارسالی درست از سوی یک کاربر، به دلیل الگوبندی اشتباه در سیستم های امنیتی به عنوان DoS شناخته شده و مسدود گردد. که در این صورت کارشناس شبکه می بایست ترافیک مورد نظر را از روی سیستم های امنیتی مجاز تعریف کند.
  • اگر سازمان به اندازه کافی از پهنای باند و ظرفیت شبکه برخوردار نباشد، یک ابزار IPS می تواند سرعت سیستم را پایین بیاورد.
  • اگر چندین IPS در یک شبکه وجود داشته باشد، داده ها باید از هر کدام عبور کنند تا به کاربر نهایی برسند که باعث از دست رفتن عملکرد شبکه می شود.
  • تجهیزات IPS گران قیمت هستند.

مقایسه IPS و IDS

IDSها ابزارهای نرم افزاری هستند که برای شناسایی و نظارت بر ترافیک شبکه ساخته شده اند.

هر دو ابزار IPS و IDS بسته های شبکه را می خوانند و محتوای آنها را با تهدیدات شناخته شده مقایسه می کنند. با این حال اقدامات IDS در مراحل بعدی متفاوت است.

ابزار IDS به تنهایی هیچ اقدامی را انجام نمی دهد. یک IDS به فردی نیاز دارد که نتایج را تجزیه و تحلیل کرده و در مورد اقدامات بعدی تصمیم بگیرد. به همین دلیل است که IPS به عنوان افزونه IDS در نظر گرفته می شود.

IDS برای نظارت بر شبکه و ارسال هشدار به مدیران در صورت یافتن تهدید، طراحی شده است. ولی IPS برای کنترل دسترسی به شبکه و محافظت از شبکه در برابر آسیب طراحی شده است.

IDS مانند IPS ترافیک شبکه را کنترل می کند. اما از آنجایی که ممکن است بلافاصله پس از دسترسی مهاجم سوء استفاده ای انجام شود، سیستم‌های پیشگیری از نفوذ نیز بر اساس مجموعه‌ای از قوانین ایجاد شده توسط مدیر شبکه، توانایی انجام اقدامات فوری را دارند.

به عنوان مثال، ممکن است هنگامی که IPS بسته‌ای را مخرب تشخیص دهد تمام ترافیک از آن آدرس IP یا پورت را مسدود کند. در همین حال، ترافیک مجاز باید بدون اختلال یا تأخیر آشکار سرویس به گیرنده ارسال شود.

 

 

سایر مطالب مرتبط


عملکرد FortiGate IPS

عملکرد FortiGate IDS

تفاوت WAF و IPS چیست؟

فایروال برنامه کاربردی وب (WAF) چیست و چرا مهم است؟

نحوه مسدود کردن حملات DDos با استفاده از سیستم های هوشمند

حمله روز صفر (Zero-Day Attack) چيست؟