سیستم‌های جلوگیری از نفوذ (IPS)

در بیشتر سازمان‌ها سیستم‌‌های جلوگیری از نفوذ (IPS) نقش اصلی را در تعیین استراتژی‌های امنیتی بازی می‌کنند. با این وجود نباید سیستم‌های جلوگیری از نفوذ را به تنهایی برای حفاظت از دارایی‌های سازمان استفاده کرد. با این حال استفاده از راهکارهای امنیتی با مرکزیت سیستم‌های IPS برای شناسایی، جلوگیری و کاهش ریسک‌های امنیتی امری حیاتی است.

با توجه به اینکه سیستم‌های جلوگیری از نفوذ نقش‌های مشابهی در فایروال‌ها و سیستم‌های تشخیص نفوذ دارند، اغلب با دیگر تکنولوژی‌های مشابه اشتباه گرفته می‌شوند. با این حال سیستم‌های IPS دارای ویژگی های منحصر به فردی هستند که آنها را از سایر تکنولوژی‌ها امنیتی مشابه متمایز می‌کند.

تکنیک‌های شناسایی سیستم‌های جلوگیری از نفوذ (IPS)

کار اصلی سیستم‌های IPS بررسی ترافیک‌های شبکه با هدف شناسایی حملات احتمالی است. زمانی که سیستم فعالیت مشکوکی را شناسایی کرد، اقدامات لازم برای جلوگیری از حمله را نیز انجام می‌دهد.

اغلب سیستم‌های جلوگیری از نفوذ با انجام اقداماتی مانند مسدود سازی ترافیک شبکه یا ریست کردن ارتباطات از ورود بسته‌های مخرب به شبکه جلوگیری می‌کنند. در کنار این اقدامات حفاظتی، سیستم‌های جلوگیری از نفوذ (IPS) هشداری‌هایی شامل اطلاعات مربوط به حمله را نیز برای جهت آگاه سازی مدیر سیستم برای او ارسال می‌کنند.

سیستم‌های IPS عموماً از دو تکنیک اصلی برای تشخیص حملات استفاده می‌کنند. در تکنیک اول تشخیص حملات براساس تطابق الگوهای شناخته شده (Signature-based detection) با ترافیک‌ شبکه انجام می‌شود. در صورتی که فعالیتی مطابق با الگوهای موجود شناسایی شود، سیستم به صورت اتوماتیک اقدامات لازم را برای متوقف کردن حمله را انجام می‌دهد.

تکنیک Signature-based detection

این تکنیک از لحاظ عملکردی شباهت زیادی به آنتی ویروس‌های قدیمی دارد که فقط قادر به تشخیص و جلوگیری از بدافزارهایی بودند که قبلا شناسایی شده باشند. بنابراین بزرگ ترین نقطه ضعف این روش عدم توانایی آنها در تشخیص حملات روز صفر (Zero-day-attacks) می‌باشد.

تکنیک Anomaly-based

در تکنیک دوم سیستم تشخیص نفوذ از روش‌های آماری و آنومالی (Anomaly-based) برای تشخیص حملات استفاده می‌کند. در این تکنیک سیستم تشخیص برای شناسایی فعالیت های مشکوک شبکه، عملکرد فعلی شبکه را با حالت نرمال آن مقایسه می‌کند. زمانی که انحرافی در رفتار شبکه مشاهده کند، سیستم هشدارهای لازم برای انجام اقدامات پیشگیرانه تولید و برای مدیر سیستم ارسال می‌کند.در واقع ارزش اصلی این تکنیک زمانی مشخص می‌شود که بتواند حملات روز صفررا شناسایی کند.

این روش نیر بدون ایراد نبوده و و اصلی ترین ایراد آن تشخیص‌های مثبت اشتباه (False positive) و تشخیص‌های منفی اشتباه (False negative) می باشد. به همین دلیل در بیشتر سیستم‌های جلوگیری از نفوذ (IPS) از هوش مصنوعی و الگوریتم‌های یادگیری ماشین برای تعریف پایه و اساس شناسایی رفتارهای نرمال شبکه جهت کمک به کاهش تشخیص های مثبت غلط و منفی غلط استفاده می‌شود.

در حال حاضر بسیاری از سیستم‌های تشخیص و جلوگیری از نفوذ از ترکیب دو تکنیک Signature-based و Anomaly-based برای بهره مندی از مزایای هر دو استفاده می‌کنند.

بسیاری از راهکارهای IPS موجود در بازار از قابلیت هایی مانند Honeypotها در کنار قابلیت‌های خود جهت گمراه کردن هکرها نیز استفاده می‌کنند.

Honeypotها در اصل شبیه اطلاعات و برنامه های کاربردی و ارزشمند سازمان می باشند که در اصل هدف اصلی آنها گمراه کردن هکرها و جلوگیری از رسیدن آنها به هدف اصلی شان می‌باشد.

انواع سیستم‌های جلوگیری از نفوذ

راهکارهای IPS در دو مد Network-based و Host-based طراحی و ارایه شده‌اند. بیشتر سازمان‌ها معمولا از سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS) به صورت Inline و پشت سر فایروال استفاده می‌کنند. سیستم های جلوگیری از نفوذ مبتنی بر هاست (HIPS) مخصوص نقاط پایانی بوده و بر روی سیستم‌هایی کاربران نهایی نصب می شوند. کار این سیستمها بررسی و شناسایی ترافیک‌ها غیرمجاز و رفتارهای مشکوک در سطح هاست می‌باشد. سومین نوع از سیستم‌های IPS نیز وجود دارد که برای جلوگیری از حملات مربوط به شبکه‌های وایرلس (WIPS) ارایه شده است. وظیفه این سیستم‌ها شناسایی و جلوگیری از حملات و دسترسی‌های غیرمجاز به شبکه‌های وایرلس می‌باشد.

نحوه عملکرد یک سیستم NIPS درمقایسه با یک فایروال

نحوه عملکرد یک سیستم NIPS شباهت زیادی به کارکرد فایروال دارد. ولی با این تفاوت که فایروال‌ها در معماری شبکه معمولا در لبه شبکه قرار می‌گیرند و با بررسی کلیه ترافیک‌های ورودی و خروجی فقط به ترافیک‌های دارای مجوز اجازه عبور می‌دهند. این در حالی است که یک سیستم NIPS معمولا بعد از فایروال و در یکی از مدهای Inline یا Passive قرار می‌گیرد و با مانیتور کردن ترافیک شبکه فقط در صورتی ترافیکی را مسدود می‌کند که الگوی مشخصی در آن پیدا کند.

بهترین مثال برای توضیح تفاوت این دو تکنولوژی، مقایسه انواع نیروهای امنیتی است. فایروال ها در شبکه همانند نگهبان جلوی درب یک مهمانی می‌باشند که فقط به مهمانان خدمات ارایه می‌دهد. در واقع نگهبانان مجوزهای افراد را کنترل و فقط به افرادی اجازه عبور می‌دهند که اسم شان داخل لیست باشد یا به روشی اثبات کنند که در آنجا کاری دارند. در حالی که سیستم‌های تشخیص نفوذ بیشتر شبیه نگهبانان داخل ساختمان هستند که دائما دور و اطراف و داخل ساختمان قدم می‌زند و کار و رفتار همه افراد را مانیتور می‌کنند. این نگهبانان فقط در صورت مشاهده فردی با رفتار مشکوک دست به کار شده و جلوی او را می‌گیرند و فرد را از ساختمان بیرون می‌کنند.

در واقع آنچه موضوع تمایز بین یک سیستم جلوگیری از نفوذ از یک فایروال را پیچیده کرده است، از بین رفتن مرز بین یک سیستم NIPS و فایرورل می‌باشد. به طوری که فایروال های نسل جدید (Next-Generation-Firewalls) به طور پیش فرض هم دارای قابلیت‌های سیستم‌های تشخیص نفوذ و هم قابلیت‌های سیستم‌های جلوگیری از نفوذ می‌باشند. همچنین تولید کنندگان محصولات امنیتی ترکیبی از این محصولات را تحت عنوان سیستم تشخیص و جلوگیری از نفوذ که دارای قابلیت های تشخیص و جلوگیری از حملات می‌باشد را روانه بازار کرده‌اند.

سیستم‌های جلوگیری از نفوذ در برابر سیستم‌های تشخیص نفوذ

بیشتر افراد معمولا دو مفهوم IPS و IDS را با هم اشتباه می‌گیرند. این کلمات اختصاری مشابه هم می باشند ولی در واقع IDS مقدم بر سیستم IPS می‌باشد. سیستم‌های IDS فقط دارای قابلیت مانیتوینگ اتفاقات شبکه و ایجاد و ارسال هشدارهایی برای آگاه سازی می‌باشند. در حالی که سیستم‌های IPS زمانی که فعالیت مشکوکی را شناسایی کنند برای جلوگیری یا مسدود کردن حمله، اقدامات لازم را انجام می‌دهند. در واقع سیستم IPS یک سیستم دفاع آنی و فعال در برابر حملات و تهدیدات می‌باشد.

بیشتر سازمان‌ها معمولا در معماری امنیت خود سیستم‌های IDS را در کنار سیستم‌های IPS توسعه می‌دهند. در این معماری سازمان‌ها لاگ مربوط به سیستم IDS و IPS را در انباره‌ای از Big data ذخیره می‌کنند. این داده‌ها می‌توانند با استفاده از هوش مصنوعی و الگوریتم‌های یادگیری ماشین آنالیز شده و به سازمان در تشخیص حملات روز صفر کمک نمایند.

راه اندازی سیستم‌های جلوگیری از نفوذ (IPS)

در صورت نیازمندی سازمان‌ها به انتخاب و راه اندازی سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، آنها گزینه‌ها متنوعی برای انتخاب یک سیستم خوب پیش روی خود دارند. بعضی از سازمان‌ها معمولا سیستم‌های جلوگیری از نفوذ (IPS) و سیستم های تشخیص نفوذ (IDS) را به صورت کاملا مجزا و مستقل در شبکه خود راه اندازی و استفاده می‌کنند. این در حالیست که بسیاری از سازمان‌ها از راهکارهایی مانند سیستم‌ها مدیریت یکپارچه تهدیدات (UTM) یا فایروال های نسل جدید (NGFW) استفاده می‌کنند که علاوه بر قابلیت فایروالیشان دارای قابلیت‌های سیستم‌های IPS و IDS نیز می‌باشند. مهم ترین تفاوت در انتخاب UTMها و NGFWها، توانایی آنها در پوشش نیازهای امنیتی سازمان‌ها می‌باشد. در حال حاضر سیستم‌های UTM را می‌توان در سازمان‌هایی با اندازه کوچک و یا متوسط استفااده کرد، درحالی که فایروال‌های نسل جدید (NGFW) برای سازمان‌ها بزرگ طراحی شده‌اند.

سازمان‌ها می‌توانند برای راه اندازی سیستم جلوگیری از نفوذ (IPS) خود بر روی سخت افزار یا پلتفرم‌های مجازی یا ابری تصمیم بگیرند. مزیت استفاده از راهکارهای مبتنی بر زیرساخت‌های ابری، راحتی در استفاده از آنهاست، اما بسیاری از سازمان‌ها به راحتی به راهکارهای ابری اعتماد نمی‌کنند. توسعه راهکار سخت افزاری با وجود نیاز سازمان‌ها به سخت افزار نیز زیاد سخت نمی‌باشد. اکثرا پلتفرم‌های مجازی، مناسب توسعه در محیط‌های بزرگ مجازی می‌باشند.

سیستم‌های جلوگیری از نفوذ شبکه‌های وایرلس

سازمان‌هایی که دارای زیرساخت شبکه وایرلس هستند بایستی اقدامات لازم جهت راه اندازی سیستمی برای جلوگیری از نفوذ در شبکه وایرلس (WIPS) انجام دهند. همانند سیستم جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، سیستم‌های WIPS با مانیتور کردن فرکانس‌‌های شبکه‌های وایرلس، دسترسی‌های غیرمجاز را تشخیص و زمانی که رفتار مشکوکی از ایستگاه کاری یا Access point شناسایی کند، می تواند دسترسی آن را مسدود نماید.

برای راه اندازی WIPS نیاز به راه اندازی سنسورهایی برای اسکن دیوایس‌های مشکوک که ممکن است به شبکه وایرلس دسترسی پیدا کنند و همچنین سروری برای ذخیره سازی و آنالیز اطلاعات جمع آوری شده توسط سنسورها و کنسولی برای مدیریت WIPS می‌باشد.

محبوب ترین سیستم‌های جلوگیری از نفوذ (IPS)

در حال حاضر تولید کنندگان زیادی راهکارهای NIPS تجاری و متن بازی خود را راهی بازار کرده‌اند. در زیر تعدادی از محبوترین NIPSها لیست شده است.

سیستم‌های IPS منبع باز

• Snort
• Suricata
• Fail2ban
• Security Onion
• Vistumbler
• Untangle NG Firewall
• Endian Firewall Community

نسخه‌های تجاری NIPS

بدلیل اینکه بازار محصولات NIPS سالیان طولانی است که فعال است، روز به روز نیز درحال رشد می‌باشد. طبق برآورد سایت MarketsandMarkets.com پیش بینی می‌شود حجم بازار IPS/IDS به بیش از 5 بیلیون دلار تا سال 2019 برسد و سالی 13% رشد داشته باشد. در زیر تعدادی از مهم ترین راهکارهای NIPS تجاری لیست شده است:

• (Cisco Next-Generation Intrusion Prevention System (NGIPS
• IBM Security Network Intrusion Prevention System (IPS) products
• Trend Micro Next-Generation Intrusion Prevention System – NGIPS
• McAfee Network Security Platform
• Extreme Intrusion Prevention System
• Juniper Sky Advanced Threat Protection
• Fortinet Next Generation Firewall
• Palo Alto Next-Generation Firewall
• WatchGuard Next-Generation Firewall
• Check Point Next Generation Firewall
• SonicWall Next-Generation Firewall
• Sophos SG UTM

محصولات WIPS

• Cisco Adaptive Wireless IPS Software
• (WatchGuard Wireless Intrusion Prevention System (WIPS
• Aruba RFProtect Wireless Intrusion Protection
• Extreme AirDefense
• NETSCOUT AirMagnet Enterprise