Home / آموزش / آموزش شبکه / راهنمائی بر سیستمهای شناسائی و جلوگیری از نفوذ

راهنمائی بر سیستمهای شناسائی و جلوگیری از نفوذ

راهنمائی بر سیستمهای شناسائی جلوگیری از نفوذ ( IDS/IPS ) و نسل آینده این سیستمها ( NGIPS )

سیستمهای قدیمی شناسائی نفوذ ( Intrusion Detection System یا IDS ) و جلوگیری از نفوذ ( Intrusion Prevention System یا IPS ) به نسل آینده سیستمهای جلوگیری از نفوذ ( NGIPS یا Next Generation Intrusion Prevention Systems ) تکامل یافته اند. با ما در ادامه همراه باشید تا با مقایسه پنج سلوشن برتر، ببینید که گونه جدید IPS چه در چنته دارد.

با تغییر دائمی زمینه امنیت، به نظر میرسد که محصولات مرتبط با آن هم روز به روز در حال تکامل هستند. بدلیل این نرخ سریع تغییر، کار سختی است که تایین کنیم در یک محیط مشخص، کدام محصول میتواند بهترین راه حل را فراهم کند. در بین سلوشن های معمول در بازار امروز میتوان از؛ فایروالهای نسل بعد NGFW یا (Next Generation Firewall)، سیستمهای جلوگیری از نفوذ نسل بعد NGIPS یا ( Next Generation Intrusion Prevention Systems )، محافظت پیشرفته دربرابر بدافزار AMP یا ( Advanced Malware Protection )، محافظت دربرابر عدم پذیرش سرویس DoSP یا ( Denial of Service Protection ) محافظت از وب و ایمیل ( Email and Web Protection )، محافظت از کاربرنهایی ( Endpoint Protection ) و بسیاری دیگر نام برد. علاوه بر این، بسیاری از شرکتهای سازنده قسمتهایی از هرکدام از این ابزارها را با هم در یک محصول ترکیب کرده اند که این خود مرز بین دسته های را نامشخص میکند.

در این مقاله، تنها روی محصولاتی تمرکز میکنید که سرویسهای NGIPS ارائه میدهند و سرویسهای NGFW در آنها ادغام نشده است.

secutiry (1)

سیستمهای جلوگیری از نفوذ قدیمی

در حالی که سیستمهای IPS و IDS چندین دهه است که وجود دارند، تعریف کاری که برعهده دارند و نحوه انجام آن کار در آنها تغییر یافته و پیشرفت کرده، زیرا تهدیداتی که سازمانهای امروزی با آنها روبرو هستند هم تکامل یافته اند. در اصل، پلتفرمهای IDS وظیفه مانیتور کردن ارتباطات شبکه را بر عهده داشتند و روشهایی را برای اخطار دادن به کارکنان در صورت شناسائی یک حمله فراهم می کردند تا اقدامات لازم برای متوقف کردن حمله از طرف مدیر شبکه صورت گیرد. تکامل به سمت IPS پیاده سازی متفاوت دستگاه ها را مطلبید مانند قابلیت تشخص حمله و انجام اتوماتیک اقداماتی برای جلوگیری از آن. این کار قبلا بوسیله نصب سنسورهای درون باندی یا نصب برنامه هایی انجام میشد که با لیستی از تهدیدات شناخته شده کار میکرد و این لیست روز بروز درحال افزایش بود.

هرچند این روش دستی برای مدتی کارائی داشت ولی تهدیدات بسرعت پیشرفت کردند و این امکان را از سازمانها گرفتند که یک لیست واقعا بروز برای مقابله با تهدیدات داشته باشند.بعضی شرکتها با اضافه کردند مقداری ردیابی پویا که دستگاه را قادر میساخت تهدیدات شناخته نشده را شناسائی کند، با آن مقابله کردند. هرچند که این تنها یک چاره موقتی بود زیرا تهدیدات به شتاب گرفتن ادامه دادند و سریعتر از آنچه که مکانیزم های شناسائی و پیشگیری قادر به سرکوب کردن آنها بودند، رشد میکردند و لازم بود تا قدم انقلابی بعدی برداشته شود یعنی NGIPS.

سیستمهای جلوگیری از نفوذ نسل بعد

گونه جدید IPS از همان سیستمهای پیشگیری قدیمی بهره می برد ولی قابلیتهایی را به آن اضافه کرده که آن را قادر میسازد حفاظت بهتری را برای دستگاه ها و شبکه های سازمانی مدرن فراهم آورد. به بعضی از این قابلیتها در زیر اشاره میشود:

  • آگاهی از شبکه: اطلاعاتی از دستگاه های موجود در شبکه فراهم می آورد. این اطلاعات بسیار ارزشمندی است حال چه در حجم کم جمع آوری شود و چه در حجم زیاد. این اطلاعات به یک سازمان این قابلیت را میدهد که مشخص کند چه گونه دستگاه هایی در شبکه موجود است ( سیستم عامل آنها، نوع، سازنده و غیره ) و آنهایی را که از محدوده نرمال خارج هستند شناسایی و انتخاب کند. هر دستگاهی که غیر نرمال تلقی شود علامت گذاری شده و می توان برای آن اخطار تنظیم کرد تا درصورت فعالیت به افراد مسئول اطلاع داده شود. این قابلیت تا شناسایی بسته های نرم افزاری در حال استفاده که ایجاد ترافیک شبکه میکنند نیز پیش میرود.
  • آگاهی از نرم افزار: قابلیت انتخاب و علامت گذاری برنامه های در حال اجرا در شبکه و کاربران اجرا کننده آنها را فراهم می کند. این قابلیت ساخت پالیسی ها را ممکن می کند اجرا برنامه ها، کاربر اجرا کننده و سطح عملکرد برنامه های را کنترل میکنند.
  • آگاهی از هویت: قابلیت فراهم کردن اطلاعات درباره هویت دستگاه ها و برنامه هایی که در شبکه ترافیک میفرسنتد را فراهم میکند. این اطلاعات میتوانند بوسیله تکنیکها و دیتابیس های متعددی مانند اکتیودایرکتوری مایکروسافت مایکروسافت و LDAP جمع آوری شوند.
  • آگاهی از رفتار: قابلیت تایین و مانیتور کردن Baseline رفتار دستگاه های شبکه را فراهم می کند. این اطلاعات سپس در بررسی الگوهای استفاده مداوم مورد مقایسه قرار میگیرند و هرچیزی که خارج از عرف طبیعی باشد ( مانند مصرف زیاد پهنای باند یا افت کارایی ) مشخص شده یا گزارش داده می شود.
  • واکنش لحظه ای اتوماتیک: قابلیت واکنش به اتفاقات در لحظه وقوع و انتخاب عکس العمل مناسب براساس پالیسی را فراهم میکند.
  • تطبیق اتوماتیک IPS: به پلتفرم قابلیت میدهد تا بطور پویا یا Dynamic و براساس اطلاعات جمع آوری شده، تنظیمات خود را تطبیق دهد. این مدت زمانی را که مهندس باید صرف کند تا شرایط و تنظیمات را تغییر دهد کم می کند. فعال یا غیر فعال کردن الگو و تکنیکهای اسکن که براساس کشف سیستم عامل درحال استفاده یا برنامه در حال اجرا عمل می کنند، می تواند نمونه مثال خوبی برای آن باشد.

secutiry (2)

داشتن یک اکوسیستم امنیت اطلاعات در حال تکامل

باید توجه داشته باشیم، در عین حال که ویژگی های NGIPS برای پیاده سازی در شبکه بسیار مهم هستند، روش کاملی برای حفاظت از سیستمهای نیست. راه حلهای NGIPS یا بصورت تنها پیاده سازی مشیوند که در این صورت فقط کار IPS را انجام می دهند، یا بصورت ترکیبی با دیگر محصولات. داشتن یک سیستم امنیتی کامل مستلزم رویکردی چند سطحی به مقوله سیستمهای امنیت است که شامل پیاده سازی تعدادی از راه حلهای امنیتی است که هرکدام در ترکیب با دیگری عمل میکنند.

حائز اهمیت است که روشهای امنیتی ( چه NGIPS چه نوع دیگر ) قابلیت ادغام شدن در یک سیستم مدیریت مرکزی و یا مانیتورینگ مرکزی و یا بهتر از آن قابلیت ادغام با یکدیگر را داشته باشند. این به کارمندان بخش امنیت اجازه میدهد به سرعت تمامی اطلاعات را از چندین دستگاه جمع آوری کرده و دیدی قابل درکی از شبکه و دستگاه های متصل به آن بدست آورند. این ویژگی همچنین قابلیت ادغام چندین روش امنیتی با هم را فراهم می آورد. بطور مثال یک دستگاه AMP، بدافزار جدید را کشف میکند و مشخص میکند که از شماره پورت و یا پروتوکل خاصی استفاده میکند، اگر این دستگاه با یک فایروال ادغام شده باشد فورا میتواند آن پورت را بسته و مانع از دسترسی این بدافزار به شبکه داخلی شود.

NGIPS بخشی حیاتی از استراتژی امنیت اطلاعات هر سازمانی است. شرکت Gartner پیش بینی کرده تا سال ۲۰۲۰، ۶۰درصد از بودجه امنیت اطلاعات سازمانها به سیستمهای شناسائی و واکنش سریع اختصاص خواهد یافت. این به تکامل نسل آینده سیستمهای جلوگیری از نفوذ کمک میکند. این پلتفرم ها به ابزارهای باهوشتر و با قابلیت بیشتری تبدیل میشوند و به طبع آن هرچه حملات مخرب پیشرفت میکنند، آنها نیز به دستگاهای پویاتری بدل میشوند.

منبع: http://www.tomsitpro.com/articles/intrusion-detection-intrusion-prevention-systems-ids-ips,2-959.html

درباره ونداد نظیف کار

Check Also

آموزش استفاده از poe

سیسکو inline power, POE یا POE پلاس

سیسکو Inline power، POE یا POE پلاس. کدام یک برای شما مناسب هستند؟ دو تکنولوژی ...

نظر بدید!

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

عضویت در خبرنامه
برای دریافت آموزش های کاربردی در زمینه شبکه و کامپیوتر، اطلاعات زیر را تکمیل کنید! ما هیچ وقت به ایمیل شما اسپم نمیفرستیم و آن را در اختیار دیگران قرار نخواهیم داد.
میخواهید کوپن های تخفیف برایتان ارسال شود؟
فقط کافیست نام و ایمیل خود را وارد کنید! تخفیف های شگفت انگیز برایتان ارسال میشود!!
ما هیچ وقت برای شما اسپم نمیفرستیم!!!
میخواهید کوپن های تخفیف برایتان ارسال شود؟
فقط کافیست نام و ایمیل خود را وارد کنید! تخفیف های شگفت انگیز برایتان ارسال میشود!!
ما هیچ وقت برای شما اسپم نمیفرستیم!!!
عضویت در خبرنامه
برای دریافت آموزش های کاربردی در زمینه شبکه و کامپیوتر، اطلاعات زیر را تکمیل کنید! ما هیچ وقت به ایمیل شما اسپم نمیفرستیم و آن را در اختیار دیگران قرار نخواهیم داد.