سیستم‌های جلوگیری از نفوذ (IPS)

در بیشتر سازمان‌ها سیستم‌‌های جلوگیری از نفوذ (IPS) نقش اصلی را در تعیین استراتژی‌های امنیتی بازی می‌کنند. با این وجود نباید سیستم‌های جلوگیری از نفوذ را به تنهایی برای حفاظت از دارایی‌های سازمان استفاده کرد. در اصل استفاده از راهکارهای امنیتی با مرکزیت سیستم‌های IPS برای شناسایی، جلوگیری و کاهش ریسک‌های امنیتی امری حیاتی است.
با توجه به اینکه سیستم‌های جلوگیری از نفوذ نقش‌های مشابهی در فایروال‌ها و سیستم‌های تشخیص نفوذ دارند، اغلب با دیگر تکنولوژی‌های مشابه اشتباه گرفته می‌شوند. با این حال سیستم‌های IPS دارای ویژگی های منحصر به فردی است که آنها را از سایر تکنولوژی‌ها امنیتی مشابه متمایز می‌کند.

سیستم‌های جلوگیری از نفوذ (IPS)

کار اصلی سیستم‌های IPS بررسی ترافیک‌های شبکه با هدف شناسایی حملات احتمالی است. زمانی که سیستم فعالیت مشکوکی را شناسایی کرد، اقدامات لازم برای جلوگیری از حمله را انجام می‌دهد. اغلب سیستم‌های جلوگیری از نفوذ با انجام اقداماتی مانند مسدود سازی ترافیک شبکه یا ریست کردن ارتباطات، از ورود بسته‌های مخرب به شبکه جلوگیری می‌کنند. در کنار این اقدامات حفاظتی، سیستم‌های جلوگیری از نفوذ (IPS) هشداری‌هایی نیز جهت آگاه سازی مدیر سیستم، شامل اطلاعات مربوط به حمله را ارسال می‌کنند.

سیستم‌های IPS عموماً از دو تکنیک اصلی برای تشخیص حملات استفاده می‌کنند. در تکنیک اول تشخیص حملات براساس الگوهای شناخته شده (Signature-based detection) می باشد. دراین روش، الگوهای مربوط به حملات شناخته شده در ترافیک شبکه جستجو می‌شود. در صورتی که فعالیتی مطابق با حملات شناخته شده بود، سیستم به صورت اتوماتیک اقدامات لازم را برای متوقف کردن حمله را انجام می‌دهد. این تکنیک از لحاظ عملکردی شباهت زیادی به آنتی ویروس‌های قدیمی دارد که فقط قادر به تشخیص و جلوگیری از حملاتی هستند که قبلا شناسایی شده باشند. بنابراین بزرگ ترین نقطه ضعف این روش عدم توانایی آنها در تشخیص حملات روز صفر (Zero-day-attacks) می‌باشد.

در تکنیک دوم سیستم تشخیص نفوذ از روش آماری و آنومالی (Anomaly-based) برای تشخیص حملات استفاده می‌کند. در این تکنیک سیستم تشخیص برای شناسایی فعالیت های مشکوک شبکه، عملکرد فعلی شبکه را با حالت نرمال آن مقایسه می‌کند. زمانی که انحرافی در رفتار شبکه مشاهده شد، سیستم هشداری جهت اتخاذ اقدامات پیشگیرانه تولید و ارسال می‌کند. ارزش اصلی این تکنیک زمان شناسایی حملات روز صفر مشخص می‌شود. اصلی ترین ایراد این تکنیک نیز تشخیص‌های مثبت اشتباه (False positive) و تشخیص‌های منفی اشتباه (False negative) آن می باشد. به همین دلیل در بیشتر سیستم‌های جلوگیری از نفوذ (IPS) از هوش مصنوعی و الگوریتم‌های یادگیری ماشین برای تعریف پایه و اساس شناسایی رفتارهای نرمال شبکه جهت کمک به کاهش تشخیص های مثبت غلط و منفی غلط استفاده می‌شود. امروزه بسیاری از سیستم‌های جلوگیری از نفوذ از ترکیب دو تکنیک Signature-based و Anomaly-based برای بهره مندی از مزایای هر دو استفاده می‌کنند.

بسیاری از راهکارهای IPS موجود در بازار از قابلیت هایی مانند Honeypotها در کنار قابلیت‌های خود جهت گمراه کردن هکرها استفاده می‌کنند. در اصل Honeypotها شبیه اطلاعات و برنامه های کاربردی و ارزشمند سازمان می باشند ولی در اصل هدف اصلی آنها گمراه کردن هکرها و جلوگیری از رسیدن آنها به هدف اصلی شان می‌باشد.

راهکارهای IPS در دو مد Network-based و Host-based طراحی و ارایه شده‌اند. بیشتر سازمان‌ها معمولا از سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS) به صورت Inline و پشت سر فایروال استفاده می‌کنند. سیستم های جلوگیری از نفوذ مبتنی بر هاست (HIPS) مخصوص نقاط پایانی بوده و بر روی سیستم‌هایی کاربران نهایی نصب می شوند. کار این سیستمها بررسی و شناسایی ترافیک‌ها غیرمجاز و رفتارهای مشکوک در سطح هاست می‌باشد. سومین نوع از سیستم‌های IPS نیز وجود دارد که برای جلوگیری از حملات مربوط به شبکه‌های وایرلس (WIPS) ارایه شده است. وظیفه این سیستم‌ها شناسایی و جلوگیری از حملات و دسترسی‌های غیرمجاز به شبکه‌های وایرلس می‌باشد.

نحوه عملکرد یک سیستم NIPS بیشترین شباهت را به عملکرد یک فایروال دارد. اما تعدادی تفاوت اساسی بین آنها وجود دارد. در معماری شبکه اکثرا فایروال‌ها در لبه شبکه قرار می‌گیرند و کلیه ترافیک‌های ورودی و خروجی که مغایر با سیایت‌های تعریف شده باشند را مسدود می کنند. این در حالی است که یک سیستم NIPS معمولا بعد از فایروال و در یکی از مدهای Inline یا Passive قرار می‌گیرد و با مانیتور کردن ترافیک شبکه فقط در صورتی ترافیکی را مسدود می‌کند که الگوی مشخصی در آن پیدا کند. بهترین مثال برای توضیح تفاوت این دو تکنولوژی، مقایسه انواع نیروهای امنیتی است. فایروال ها در شبکه همانند نگهبان جلو در هستند که فقط به مهمانان خدمات ارایه می‌دهد. در واقع نگهبانان مجوزهای افراد را کنترل و فقط به افرادی اجازه عبور می‌دهند که اسم شان داخل لیست باشد یا به روشی اثبات کنند که در آنجا کار دارند. در حالی که سیستم‌های تشخیص نفوذ بیشتر شبیه نگهبانان داخل ساختمان هستند که دائما دور و اطراف و داخل ساختمان قدم می‌زند و کار و رفتار همه افراد را مانیتور می‌کنند. این نگهبانان فقط در صورت مشاهده فردی با رفتار مشکوک دست به کار شده و جلوی او را می‌گیرند و فرد را از ساختمان بیرون می‌کنند.

در واقع آنچه مسئله را پیچیده کرده است از بین رفتن مرز بین یک سیستم NIPS و فایرورل می‌باشد. به طوری که فایروال های نسل جدید (Next-Generation-Firewalls) به طور پیش فرض هم دارای قابلیت‌های سیستم‌های تشخیص نفوذ و هم قابلیت‌های سیستم‌های جلوگیری از نفوذ می‌باشند. همچنین تولید کنندگان محصولات امنیتی ترکیبی از این محصولات را تحت عنوان سیستم تشخیص و جلوگیری از نفوذ که دارای قابلیت های تشخیص و جلوگیری از حملات می‌باشد را روانه بازار کرده‌اند.

سیستم‌های جلوگیری از نفوذ در برابر سیستم‌های تشخیص نفوذ

بیشتر افراد معمولا دو مفهوم IPS و IDS را با هم اشتباه می‌گیرند. این کلمات اختصاری مشابه هم می باشند ولی در واقع IDS مقدم بر سیستم IPS می‌باشد. سیستم‌های IDS فقط دارای قابلیت مانیتوینگ اتفاقات شبکه و ایجاد و ارسال هشدارهایی برای آگاه سازی می‌باشند. در حالی که سیستم‌های IPS زمانی که فعالیت مشکوکی را شناسایی کنند برای جلوگیری یا مسدود کردن حمله، اقدامات لازم را انجام می‌دهند. در واقع سیستم IPS یک سیستم دفاع آنی و فعال در برابر حملات و تهدیدات می‌باشد.

بیشتر سازمان‌ها معمولا در معماری امنیت خود سیستم‌های IDS را در کنار سیستم‌های IPS توسعه می‌دهند. در این معماری سازمان‌ها لاگ مربوط به سیستم IDS و IPS را در انباره‌ای از Big data ذخیره می‌کنند. این داده‌ها می‌توانند با استفاده از هوش مصنوعی و الگوریتم‌های یادگیری ماشین آنالیز شود و به سازمان در تشخیص حملات روز صفر کمک نمایند.

راه اندازی سیستم‌های جلوگیری از نفوذ (IPS)

در صورت نیاز سازمان‌ها به توسعه سیستم های جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، تنها چند گزینه برای انتخاب پیش روی دارند. بعضی از سازمان‌ها سیستم‌های جلوگیری از نفوذ (IPS) و سیستم های تشخیص نفوذ (IDS) به تنهایی در شبکه خود راه اندازی و استفاده می‌کنند. در حالی که بسیاری از سازمان‌ها از راهکارهایی مانند سیستم مدیریت یکپارچه تهدیدات (UTM) دارای قابلیت‌های سیستم‌های IPS یا فایروال های نسل جدید (NGFW) که دارای قابلیت های سیستم‌های IPS هستند، استفاده می‌کنند. تفاوت انتخاب بین UTMها و NGFWها در توانایی آنها در پوشش نیازهای امنیتی سازمان‌ها می‌باشد. راهکار مبتنی به UTM توانایی پوشش سازمان‌هایی با اندازه کوچک و یا متوسط را داراست، درحالی که فایروال‌های نسل جدید (NGFW) برای سازمان‌ها بزرگ طراحی شده‌اند.

سازمان‌ها می‌توانند برای راه اندازی سیستم جلوگیری از نفوذ (IPS) خود بر روی سخت افزار یا پلتفرم‌های مجازی یا ابری تصمیم بگیرند. مزیت استفاده از راهکارهای مبتنی بر زیرساخت‌های ابری، راحتی در استفاده از آنهاست، اما بسیاری از سازمان‌ها به راحتی به راهکارهای ابری اعتماد نمی‌کنند. توسعه راهکار سخت افزاری با وجود نیاز سازمان‌ها به سخت افزار نیز زیاد سخت نمی‌باشد. اکثرا پلتفرم‌های مجازی، مناسب توسعه در محیط‌های بزرگ مجازی می‌باشند.

سیستم‌های جلوگیری از نفوذ شبکه‌های وایرلس

سازمان‌هایی که دارای زیرساخت شبکه وایرلس هستند بایستی اقدامات لازم جهت راه اندازی سیستمی برای جلوگیری از نفوذ در شبکه وایرلس (WIPS) انجام دهند. همانند سیستم جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، سیستم‌های WIPS با مانیتور کردن فرکانس‌‌های شبکه‌های وایرلس، دسترسی‌های غیرمجاز را تشخیص و زمانی که رفتار مشکوکی از ایستگاه کاری یا Access point شناسایی کند، می تواند دسترسی آن را مسدود نماید.

برای راه اندازی WIPS نیاز به راه اندازی سنسورهایی برای اسکن دیوایس‌های مشکوک که ممکن است به شبکه وایرلس دسترسی پیدا کنند و همچنین سروری برای ذخیره سازی و آنالیز اطلاعات جمع آوری شده توسط سنسورها و کنسولی برای مدیریت WIPS می‌باشد.

محبوب ترین سیستم‌های جلوگیری از نفوذ (IPS)

در حال حاضر تولید کنندگان زیادی راهکارهای NIPS تجاری و متن بازی خود را راهی بازار کرده‌اند. در زیر تعدادی از محبوترین NIPSها لیست شده است.

سیستم‌های IPS منبع باز

  • Snort
  • Suricata
  • Fail2ban
  • Security Onion
  • Vistumbler
  • Untangle NG Firewall
  • Endian Firewall Community

نسخه‌های تجاری NIPS

بدلیل اینکه بازار محصولات NIPS سالیان طولانی است که فعال است، روز به روز نیز درحال رشد می‌باشد. طبق برآورد سایت MarketsandMarkets.com پیش بینی می‌شود حجم بازار IPS/IDS به بیش از 5 بیلیون دلار تا سال 2019 برسد و سالی 13% رشد داشته باشد. در زیر تعدادی از مهم ترین راهکارهای NIPS تجاری لیست شده است:

  • (Cisco Next-Generation Intrusion Prevention System (NGIPS
  • IBM Security Network Intrusion Prevention System (IPS) products
  • Trend Micro Next-Generation Intrusion Prevention System – NGIPS
  • McAfee Network Security Platform
  • Extreme Intrusion Prevention System
  • Juniper Sky Advanced Threat Protection
  • Fortinet Next Generation Firewall
  • Palo Alto Next-Generation Firewall
  • WatchGuard Next-Generation Firewall
  • Check Point Next Generation Firewall
  • SonicWall Next-Generation Firewall
  • Sophos SG UTM

محصولات WIPS

  • Cisco Adaptive Wireless IPS Software
  • (WatchGuard Wireless Intrusion Prevention System (WIPS
  • Aruba RFProtect Wireless Intrusion Protection
  • Extreme AirDefense
  • NETSCOUT AirMagnet Enterprise