26 مرد

معرفی سیستم های جلوگیری از نفوذ (IPS)

سیستم جلوگیری از نفوذ که با عنوان IPS شناخته می‌شود، یک فناوری پیشگیری از تهدیدهای تحت شبکه و سرور است که برای شناسایی و متوقف کردن فعالیت‌های مخرب و آسیب‌های احتمالی مورد استفاده قرار می‌گیرد. سیستم‌های پیشگیری از نفوذ (IPS) همانند سیستم‌های شناسایی نفوذ (IDS) فعالیت‌های مخرب را شناسایی می‌کنند با این تفاوت که در IDS صرفاً عمل شناسایی نفوذ و گزارش انجام می‌شود و قابلیت جلوگیری از تخریب وجود ندارد.

اما IPS علاوه بر شناسایی قادر به مسدودسازی حملات نیز می‌باشد. به عبارتی می‌توان گفت که IPS ها نسل پیشرفته IDSمی‌باشند.

IPSها به طور کلی فعالیت‌های مخرب را شناسایی کرده، اطلاعات مربوط به این فعالیت‌ها را ثبت می‌کنند و پس از جلوگیری از انجام این فعالیت‌ها گزارش کاملی از کارهای انجام شده نیز ثبت می‌ کنند.

شاید این سؤال برایتان پیش آمده باشد که با این تفاسیر چه تفاوتی بین IPS و فایروال وجود دارد؟

در پاسخ به این سؤال باید توجه داشته باشید که فایروال تنها ترافیک ورودی و خروجی شبکه را کنترل می‌کند در حالی که سیستم جلوگیری از نفوذ علاوه بر ترافیک ورودی و خروجی فعالیت‌های درون سیستم‌ها را نیز بررسی می‌کند و در صورت استفاده به همراه فایروال ضریب بالایی از امنیت به وجود می‌آید.

به طول کلی IPSها به چهار دسته تقسیم می‌شوند:

۱ سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS): در این نمونه تمامی ترافیک شبکه به منظور یافتن ترافیک مشکوک مورد نظارت قرار می‌گیرد.

۲ سیستم‌های تشخیص نفوذ بی‌سیم (WIPS): در این مورد شبکه بی‌سیم به منظور شناسایی ترافیک مشکوک توسط آنالیز پروتکل‌های شبکه‌های بی‌سیم، مورد نظارت قرار می‌گیرد.

۳آنالیز رفتار شبکه (BNA): در این گروه ترافیک شبکه به منظور شناسایی تهدیداتی مثل حملات داس و یا بدافزارها بررسی می‌شود.

۴ سیستم‌های تشخیص نفوذ مبتنی بر میزبان (HIPS): یک بسته نرم‌افزاری نصب شده که یک هاستینگ را به منظور شناسایی فعالیت‌های مشکوک توسط آنالیز رخدادهای درون هاست، مورد نظارت قرار می‌دهد.

IPSها چگونه فعالیت‌های مخرب را شناسایی می‌کنند؟

عموما سیستم‌های تشخیص نفوذ از سه روش به منظور شناسایی فعالیت‌های مخرب استفاده می‌کنند:

۱ روش شناسایی با استفاده از امضا: در این روش سیستم‌های تشخیص نفوذ (IDS) ترافیک ورودی و خروجی شبکه را با الگوهای پیش از پیکربندی و پیش از حمله که به عنوان امضا شناخته می‌شود مقایسه می‌کنند.

۲ شناسایی مبتنی بر آنومالی آماری: سیستم تشخیص نفوذ مبتنی بر آنومالی آماری، فعالیت شبکه نرمال را مشخص می‌کند.مثلاً به طور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفته است، چه پروتکل‌هایی استفاده شده است یا کدام پورت‌ها و وسایلی به طور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به مدیر شبکه هشدار می دهد.

۳ آنالیز پروتکل‌های مبتنی بر حالت: این روش، انحراف حالت پروتکل‌ها را مشخص می‌کند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایل‌های از پیش تعیین شده‌ای که مطابق با تعریف مورد قبول هستند، انجام می‌شود.

در حال حاضر در سرویس‌های لینوکس وب رمز از جمله هاست وردپرس، هاست پربازدید و هاست حرفه‌ای به صورت همزمان از فایروال و IPS استفاده می‌شود

ips

اشتراک

ارسال نظر