سیستمهای جلوگیری از نفوذ (IPS)
در بیشتر سازمانها سیستمهای جلوگیری از نفوذ (IPS) نقش اصلی را در تعیین استراتژیهای امنیتی سازمان بازی میکنند. با وجود اینکه استفاده از راهکارهای امنیتی با مرکزیت سیستمهای IPS برای شناسایی، جلوگیری و کاهش ریسکهای امنیتی امری حیاتی است. و اکثرا توصیه میشود که سیستمهای جلوگیری از نفوذ را به تنهایی برای حفاظت از داراییهای سازمان استفاده نکنید.
با توجه به اینکه سیستمهای جلوگیری از نفوذ نقشهای مشابهی در فایروالها و سیستمهای تشخیص نفوذ دارند، اغلب با آنها اشتباه گرفته میشوند. با این حال سیستمهای IPS دارای ویژگی های منحصر به فردی هستند که آنها را از سایر تکنولوژیها امنیتی مشابه متمایز میکند.
تکنیکهای شناسایی سیستمهای جلوگیری از نفوذ (IPS)
کار اصلی سیستمهای IPS بررسی ترافیکهای شبکه با هدف شناسایی حملات احتمالی است. زمانی که سیستم فعالیت مشکوکی را شناسایی کند، اقدامات لازم را برای جلوگیری از خسارات ناشی از آن را نیز انجام میدهد.
اغلب سیستمهای جلوگیری از نفوذ با انجام اقداماتی مانند مسدود سازی ترافیک شبکه یا ریست کردن ارتباطات، از ورود بستههای مخرب به شبکه جلوگیری میکنند. در کنار این اقدامات حفاظتی، سیستمهای جلوگیری از نفوذ (IPS) هشداریهایی شامل اطلاعات مربوط به حمله را نیز برای جهت آگاه سازی مدیر سیستم برای او ارسال میکنند.
سیستمهای IPS عموماً از دو تکنیک اصلی برای تشخیص حملات استفاده میکنند. تکنیک اول تشخیص حملات براساس تطابق الگوهای شناخته شده (Signature-based detection) با ترافیک شبکه انجام میشود. در صورتی که فعالیتی مطابق با الگوهای موجود شناسایی شود، سیستم به صورت اتوماتیک اقدامات لازم را برای متوقف کردن حمله را انجام میدهد. تکنیک دوم نیز براساس روشهای آماری و ترکیب آن با یادگیری ماشین و هوش مصنوعی انجام میشود.
تکنیک Signature-based detection
این تکنیک از لحاظ عملکردی شباهت زیادی به آنتی ویروسها دارد که فقط قادر به تشخیص و جلوگیری از بدافزارهایی هستند که قبلا شناسایی شده باشند. بنابراین بزرگ ترین نقطه ضعف این روش عدم توانایی آنها در تشخیص حملات روز صفر (Zero-day-attacks) و تشخیص ناهنجاریها میباشد.
تکنیک Anomaly-based
در تکنیک دوم سیستم تشخیص نفوذ از روشهای آماری و آنومالی (Anomaly-based) برای تشخیص حملات استفاده میکند. در این تکنیک سیستم تشخیص برای شناسایی فعالیت های مشکوک شبکه، عملکرد فعلی شبکه را با حالت نرمال آن مقایسه میکند. زمانی که انحرافی در رفتار شبکه مشاهده شد، سیستم هشدارهای لازم را برای انجام اقدامات پیشگیرانه تولید و برای مدیر سیستم ارسال میکند.در واقع ارزش واقعی این تکنیک زمانی مشخص میشود که بتواند حملات روز صفر را شناسایی کند.
این روش نیر بدون ایراد نبوده و و اصلی ترین ایراد آن تشخیصهای مثبت اشتباه (False positive) و تشخیصهای منفی اشتباه (False negative) میباشد. برای کمرنگ کردن این مشکل در بیشتر سیستمهای جلوگیری از نفوذ (IPS) از هوش مصنوعی و الگوریتمهای یادگیری ماشین برای تعریف پایه و اساس شناسایی رفتارهای نرمال شبکه جهت کمک به کاهش تشخیص های مثبت غلط و منفی غلط استفاده میشود.
در حال حاضر بسیاری از سیستمهای تشخیص و جلوگیری از نفوذ از ترکیب دو تکنیک Signature-based و Anomaly-based برای بهره مندی از مزایای هر دو استفاده میکنند.
بسیاری از راهکارهای IPS موجود در بازار از قابلیت هایی مانند Honeypotها در کنار قابلیتهای خود جهت گمراه کردن هکرها نیز استفاده میکنند.
Honeypotها در اصل شبیه اطلاعات و برنامه های کاربردی و ارزشمند سازمان میباشند که در اصل هدف اصلی آنها گمراه کردن هکرها و جلوگیری از رسیدن آنها به اهداف اصلی شان میباشد.
انواع سیستمهای جلوگیری از نفوذ
راهکارهای IPS در دو مد Network-based و Host-based طراحی و ارایه شدهاند. بیشتر سازمانها معمولا از سیستمهای جلوگیری از نفوذ مبتنی بر شبکه (NIPS) به صورت Inline و پشت سر فایروال استفاده میکنند. سیستم های جلوگیری از نفوذ مبتنی بر هاست (HIPS) مخصوص نقاط پایانی بوده و بر روی سیستمهایی کاربران نهایی نصب میشوند. کار این سیستمها بررسی و شناسایی ترافیکهای غیرمجاز و رفتارهای مشکوک در سطح هاست میباشد. سومین نوع از سیستمهای IPS نیز وجود دارد که برای جلوگیری از حملات مربوط به شبکههای وایرلس (WIPS) ارایه شده است. وظیفه این سیستمها نیز شناسایی و جلوگیری از حملات و دسترسیهای غیرمجاز به شبکههای وایرلس میباشد.
نحوه عملکرد یک سیستم NIPS در مقایسه با یک فایروال
نحوه عملکرد یک سیستم NIPS شباهت زیادی به کارکرد فایروال دارد. ولی با این تفاوت که فایروالها در معماری شبکه معمولا در لبه شبکه قرار میگیرند و با بررسی کلیه ترافیکهای ورودی و خروجی فقط به ترافیکهای دارای مجوز اجازه عبور میدهند. این در حالی است که یک سیستم NIPS معمولا بعد از فایروال و در یکی از مدهای Inline یا Passive قرار میگیرد و با مانیتور کردن ترافیک شبکه فقط در صورتی ترافیکی را مسدود میکند که الگو یا رفتار مشخصی در آن پیدا کند.
بهترین مثال برای توضیح تفاوت این دو تکنولوژی، مقایسه انواع نیروهای امنیتی است. فایروالها در شبکه همانند نگهبان جلوی درب یک مهمانی میباشند که فقط به مهمانان خدمات ارایه میدهد. در واقع نگهبانان مجوزهای افراد را کنترل و فقط به افرادی اجازه عبور میدهند که اسم شان داخل لیست باشد یا به روشی اثبات کنند که در آنجا کاری دارند. در حالی که سیستمهای تشخیص نفوذ بیشتر شبیه نگهبانان داخل ساختمان هستند که دائما دور و اطراف و داخل ساختمان قدم میزند و کار و رفتار همه افراد را مانیتور میکنند. این نگهبانان فقط در صورت مشاهده فردی با رفتار مشکوک دست به کار شده و جلوی او را میگیرند و فرد را از ساختمان بیرون میکنند.
در واقع آنچه موضوع تمایز بین یک سیستم جلوگیری از نفوذ از یک فایروال را پیچیده کرده است، از بین رفتن مرز بین یک سیستم NIPS و فایروال میباشد. به طوری که فایروال های نسل جدید (Next-Generation-Firewalls) به طور پیش فرض هم دارای قابلیتهای سیستمهای تشخیص نفوذ و هم قابلیتهای سیستمهای جلوگیری از نفوذ میباشند. همچنین تولید کنندگان محصولات امنیتی ترکیبی از این محصولات را تحت عنوان سیستم تشخیص و جلوگیری از نفوذ که دارای قابلیت های تشخیص و جلوگیری از حملات میباشد را روانه بازار کردهاند.
سیستمهای جلوگیری از نفوذ در برابر سیستمهای تشخیص نفوذ
بیشتر افراد معمولا دو مفهوم IPS و IDS را با هم اشتباه میگیرند. این کلمات اختصاری مشابه هم می باشند ولی در واقع IDS مقدم بر سیستم IPS میباشد. سیستمهای IDS فقط دارای قابلیت مانیتوینگ اتفاقات شبکه و ایجاد و ارسال هشدارهایی برای آگاه سازی میباشند. در حالی که سیستمهای IPS زمانی که فعالیت مشکوکی را شناسایی کنند برای جلوگیری یا مسدود کردن حمله، اقدامات لازم را انجام میدهند. در واقع سیستم IPS یک سیستم دفاع آنی و فعال در برابر حملات و تهدیدات میباشد.
بیشتر سازمانها معمولا در معماری امنیتی خود سیستمهای IDS را در کنار سیستمهای IPS توسعه میدهند. در این معماری سازمانها لاگ مربوط به سیستم IDS و IPS را در انبارهای از Big data ذخیره میکنند. این دادهها میتوانند با استفاده از هوش مصنوعی و الگوریتمهای یادگیری ماشین آنالیز شده و به سازمان در تشخیص حملات روز صفر نیز کمک نمایند.
راه اندازی سیستمهای جلوگیری از نفوذ (IPS)
در صورت نیازمندی سازمانها به انتخاب و راه اندازی سیستمهای جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، آنها گزینهها متنوعی برای انتخاب یک سیستم خوب پیش روی خود دارند. بعضی از سازمانها معمولا سیستمهای جلوگیری از نفوذ (IPS) و سیستم های تشخیص نفوذ (IDS) را به صورت کاملا مجزا و مستقل در شبکه خود راه اندازی و استفاده میکنند. این در حالیست که بسیاری از سازمانها از راهکارهایی مانند سیستمها مدیریت یکپارچه تهدیدات (UTM) یا فایروال های نسل جدید (NGFW) استفاده میکنند که علاوه بر قابلیت فایروالی دارای قابلیتهای سیستمهای IPS و IDS نیز میباشند. مهم ترین تفاوت در انتخاب UTMها و NGFWها، توانایی آنها در پوشش نیازهای امنیتی سازمانها میباشد. در حال حاضر سیستمهای UTM را میتوان در سازمانهایی با اندازه کوچک و یا متوسط استفاده کرد، درحالی که فایروالهای نسل جدید (NGFW) برای سازمانها بزرگ طراحی شدهاند.
سازمانها میتوانند برای راه اندازی سیستم جلوگیری از نفوذ (IPS) خود بر روی سخت افزار یا پلتفرمهای مجازی یا ابری تصمیم بگیرند. مزیت استفاده از راهکارهای مبتنی بر زیرساختهای ابری، راحتی در استفاده از آنهاست، اما بسیاری از سازمانها به راحتی به راهکارهای ابری اعتماد نمیکنند. توسعه راهکار سخت افزاری با وجود نیاز سازمانها به سخت افزار نیز زیاد سخت نمیباشد. اکثرا پلتفرمهای مجازی، مناسب توسعه در محیطهای بزرگ مجازی میباشند.
سیستمهای جلوگیری از نفوذ شبکههای وایرلس
سازمانهایی که دارای زیرساخت شبکه وایرلس هستند بایستی اقدامات لازم جهت راه اندازی سیستمی برای جلوگیری از نفوذ در شبکه وایرلس (WIPS) انجام دهند. همانند سیستم جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، سیستمهای WIPS با مانیتور کردن فرکانسهای شبکههای وایرلس، دسترسیهای غیرمجاز را تشخیص و زمانی که رفتار مشکوکی از ایستگاه کاری یا Access point شناسایی شد، می تواند دسترسی آن را مسدود نماید.
برای راه اندازی WIPS نیاز به راه اندازی سنسورهایی برای اسکن دیوایسهای مشکوک که ممکن است به شبکه وایرلس دسترسی پیدا کنند و همچنین سروری برای ذخیره سازی و آنالیز اطلاعات جمع آوری شده توسط سنسورها و کنسولی برای مدیریت WIPS میباشد.
محبوب ترین سیستمهای جلوگیری از نفوذ (IPS)
در حال حاضر تولید کنندگان زیادی راهکارهای NIPS تجاری و متن بازی خود را راهی بازار کردهاند. در زیر تعدادی از محبوترین NIPSها لیست شده است.
سیستمهای IPS منبع باز
- Snort
- Suricata
- Fail2ban
- Security Onion
- Vistumbler
- Untangle NG Firewall
- Endian Firewall Community
نسخههای تجاری NIPS
بدلیل اینکه بازار محصولات NIPS سالیان طولانی است که فعال است، روز به روز نیز درحال رشد میباشد. طبق برآورد سایت MarketsandMarkets.com پیش بینی میشود حجم بازار IPS/IDS به بیش از 5 بیلیون دلار تا سال 2019 برسد و سالی 13% رشد داشته باشد. در زیر تعدادی از مهم ترین راهکارهای NIPS تجاری لیست شده است:
- (Cisco Next-Generation Intrusion Prevention System (NGIPS
- IBM Security Network Intrusion Prevention System (IPS) products
- Trend Micro Next-Generation Intrusion Prevention System – NGIPS
- McAfee Network Security Platform
- Extreme Intrusion Prevention System
- Juniper Sky Advanced Threat Protection
- Fortinet Next Generation Firewall
- Palo Alto Next-Generation Firewall
- WatchGuard Next-Generation Firewall
- Check Point Next Generation Firewall
- SonicWall Next-Generation Firewall
- Sophos SG UTM
محصولات WIPS
- Cisco Adaptive Wireless IPS Software
- (WatchGuard Wireless Intrusion Prevention System (WIPS
- Aruba RFProtect Wireless Intrusion Protection
- Extreme AirDefense
- NETSCOUT AirMagnet Enterprise
دیدگاهتان را بنویسید