ips چیست؟

BirHosting ips
توسط

IPS چیست؟

IPS مخفف Intrusion Prevention System می باشد که به معنای پیشگیری از نفود است.سیستم تشخیص نفوز یا همان IPS بر روی ترافیک شبکه نظارت می کند. باعث می شود فعالیت های مخرب و تهدیدات امنیتی شناسایی شوند. از نظر امنیتی ممکن است در همان لحظه ای که حمله اتفاق می افتد IPS خیلی مفید نباشد اما پس از حمله و بررسی آن به وسیله IPS اطلاعات مفیدی در رابطه با حمله اتفاق افتاده می توانیم داشته باشیم. با این اطلاعات می توانیم حفره های امنیتی موجود را بررسی و آن ها را رفع نماییم. IPS ممکن است بسته ی مخرب را از داخل خود عبور دهد اما با تشخیص مخرب بودن آن می تواند باعث بسته شدن آن پورت یا IP شود. تا از بروز مشکلات بعدی جلو گیری شده باشد.

 

بر اساس نوع IPS ای که در شبکه شما استفاده می شود می توانید بررسی های پیچیده تری بر روی ترافیک شبکه خود انجام دهید. در برخی از IPS ها امکان بررسی بسته ها تا لایه Application فراهم می شود. در صورتی که بسته ها تا لایه  Application بررسی شوند قاعدتا IPS تجزیه و تحلیل پیچیده تری انجام خواهد داد. IPS می تواند بر اساس الگو های مختلفی بسته ها را بررسی کند. برای مثال می تواند بر اساس الگو های ترافیکی یا بسته های فردی خاص تجزیه و تحلیل انجام دهد.

به طور کلی می توان گفت IPS یا همان Intrusion Prevention System یک سیستم پیشگیری از نفوز است که می تواند شامل هر نوع بررسی ترافیک باشد و بهتر است در شبکه شما برای بررسی ترافیک شبکه و جلو گیری از دسترسی مهاجمان ، مانند فایروال و نرم افزار های anti-virus از آن استفاده شود.

 

BirHostingips

سیستم های پیشگیری از نفوذ چگونه کار می کنند؟

یک سیستم پیشگیری از نفوذ با اسکن در کل ترافیک شبکه کار فعالیت خود را انجام می دهد. برای انجام این کار، یک ابزار IPS به طور معمول درست در پشت دیوار آتش قرار می گیرد و به عنوان یک لایه اضافی عمل می کند که حوادث مربوط به محتوای مخرب را مشاهده می کند. به این ترتیب، ابزارهای IPS در مسیرهای ارتباط مستقیم بین یک سیستم و شبکه قرار می گیرند و این امکان را برای تجزیه و تحلیل ترافیک شبکه فراهم می کنند.

در زیر سه روش معمول برای یک ابزار IPS برای محافظت از شبکه ها وجود دارد:

signature-based detection

که در این روش، ابزار IPS از امضاهای حملات قبلی که تعریف شده اند، از تهدیدهای شبکه شناخته شده برای شناسایی تهدیدات و اقدام استفاده می کند.

anomaly-based detection

که در این روش، ابزار IPS رفتار غیرمنتظره و غیرعادی شبکه را جستجو می کند و در صورت تشخیص ناهنجاری، دسترسی به میزبان را مسدود می کند.

policy-based detection

که در این روش، ابزار IPS ابتدا به مدیران به منظور اتخاذ سیاست های امنیتی نیاز دارد، در این هنگام، زمانی رویدادی رخ داد که یک خط مشی امنیتی تعریف شده را بشکند، یک هشدار برای مدیران سیستم ارسال می شود.

در صورت مشاهده هرگونه تهدید، یک ابزار IPS به طور معمول قادر به ارسال هشدار به مدیر شبکه، رها کردن بسته های شبکه مخرب و تنظیم مجدد اتصالات با پیکربندی مجدد فایروال ها، شناسایی پیلودها و از بین بردن پیوست های آلوده از سرورها است.

BirHostingips

ابزارهای IPS می توانند به شما در جلوگیری از حملات انکار سرویس (DoS)، حملات توزیع انکار سرویس (DDoS)، کرم ها (Worms)، ویروس ها یا اکسپلویت هایی مانند اکسپلویت های zero-day کمک کنند. طبق گفته مایکل رید، یکی از مدیران سابق Top Layer Network (که توسط Corero خریداری شده است)، یک سیستم پیشگیری از نفوذ مؤثر باید نظارت و تجزیه و تحلیل پیچیده تری را انجام دهد، مانند مشاهده و پاسخ به الگوهای ترافیکی و همچنین بسته های جداگانه. “مکانیزم های ردیابی می توانند شامل تطبیق آدرس، تطبیق رشته و HTTP، تطبیق الگوی عمومی، تجزیه و تحلیل اتصال TCP، تشخیص ناهنجاری بسته، تشخیص ناهنجاری ترافیکی و پورت TCP / UDP باشند.

چرا باید از سیستم های پیشگیری از نفوذ استفاده کرد؟

همانطور که گفته شد، فناوری های IPS می توانند حملات امنیتی شبکه مانند حملات brute-force، حملات انکار سرویس (DoS) و اکسپلویت از آسیب پذیری را شناسایی یا از آن جلوگیری کنند. آسیب پذیری ضعف در یک سیستم نرم افزاری است و اکسپلویت حمله ای است که باعث می شود این آسیب پذیری برای به دست آوردن کنترل یک سیستم وجود داشته باشد. هنگامی که یک اکسپلویت اعلام می شود، غالباً زمینه ای از فرصت برای مهاجمین وجود دارد که قبل از استفاده از لایه امنیتی، از این آسیب پذیری سوء استفاده کنند. در این موارد می توان از یک سیستم پیشگیری از حمله استفاده کرد تا به سرعت این حملات رارا مسدود کند

BirHostingips

مزایای سیستم های پیشگیری از نفوذ

مزایای سیستم های پیشگیری از نفوذ شامل موارد زیر است:

  • کاهش احتمال وقوع حوادث امنیتی
  • محافظت از تهدیدات بصورت پویا
  • اطلاع و ارسال پیام بصورت خودکار به مدیران شبکه، در صورت وقوع فعالیت مشکوک
  • کاهش حملات مانند تهدیدات zero-day، حملات DoS، حملات DDoS و حملات brute-force
  • کاهش هزینه نگهداری شبکه ها برای کارکنان IT
  • اجازه یا رد ترافیک ورودی خاص به یک شبکه

 

BirHostingips

IDS و IPS، کدام یک؟

در حالی که بسیاری از صنایع امنیتی بر این باورند که IPS در آینده بصورت کامل جایگزین IDS خواهد شد، اما عده ای این تفکر را مثل جایگزینی پرتقال با سیب در نظر می گیرند. این عده بر این باورند که IPS و IDS دو راهکار متفاوت می باشند که یکی سیستم مانیتورینگ کشف نفوذ غیرفعال و دیگری سیستم مانیتورینگ ممانعت از نفوذ فعال می باشد. گروه اول بر این باورند که در حالی که امکان ورود ابزارهای فعال به صحنه است، چرا باید از تجهیزات غیرفعال استفاده کرد؟ همچنین در عمل نیز IPS نسل جوانِ IDS بالغ می باشد. اشکالات ذکر شده در مورد IDS می تواند تا حدود زیادی با آموزش و مدیریت مناسب برطرف شود. به علاوه پیاده سازی IDS به مراتب کم هزینه تر می باشد. بسیاری از افراد با توجه به ویژگی های افزوده شده به IPS و اعتقاد به این تفکر که IPS نسل بعدی IDS است، استفاده از IPSها را به IDS ترجیح می دهند.

BirHostingips

پست های توصیه شده