سیستم‌های جلوگیری از نفوذ (IPS)

مفاهیم امنیت شبکه
ارسال شده توسط
15 فوریه 2019
856 بازدید

در بیشتر سازمان‌ها سیستم‌‌های جلوگیری از نفوذ (IPS) نقش اصلی را در تعیین استراتژی‌های امنیتی سازمان بازی می‌کنند. با وجود اینکه استفاده از راهکارهای امنیتی با مرکزیت سیستم‌های IPS برای شناسایی، جلوگیری و کاهش ریسک‌های امنیتی امری حیاتی است. و اکثرا توصیه می‌شود که سیستم‌های جلوگیری از نفوذ را به تنهایی برای حفاظت از دارایی‌های سازمان استفاده نکنید.


با توجه به اینکه سیستم‌های جلوگیری از نفوذ نقش‌های مشابهی در فایروال‌ها و سیستم‌های تشخیص نفوذ دارند، اغلب با آنها اشتباه گرفته می‌شوند. با این حال سیستم‌های IPS دارای ویژگی های منحصر به فردی هستند که آنها را از سایر تکنولوژی‌ها امنیتی مشابه متمایز می‌کند.

تکنیک‌های شناسایی سیستم‌های جلوگیری از نفوذ (IPS)

کار اصلی سیستم‌های IPS بررسی ترافیک‌های شبکه با هدف شناسایی حملات احتمالی است. زمانی که سیستم فعالیت مشکوکی را شناسایی کند، اقدامات لازم را برای جلوگیری از خسارات ناشی از آن را نیز انجام می‌دهد.

اغلب سیستم‌های جلوگیری از نفوذ با انجام اقداماتی مانند مسدود سازی ترافیک شبکه یا ریست کردن ارتباطات، از ورود بسته‌های مخرب به شبکه جلوگیری می‌کنند. در کنار این اقدامات حفاظتی، سیستم‌های جلوگیری از نفوذ (IPS) هشداری‌هایی شامل اطلاعات مربوط به حمله را نیز برای جهت آگاه سازی مدیر سیستم برای او ارسال می‌کنند.

سیستم‌های IPS عموماً از دو تکنیک اصلی برای تشخیص حملات استفاده می‌کنند. تکنیک اول تشخیص حملات براساس تطابق الگوهای شناخته شده (Signature-based detection) با ترافیک‌ شبکه انجام می‌شود. در صورتی که فعالیتی مطابق با الگوهای موجود شناسایی شود، سیستم به صورت اتوماتیک اقدامات لازم را برای متوقف کردن حمله را انجام می‌دهد. تکنیک دوم نیز براساس روش‌های آماری و ترکیب آن با یادگیری ماشین و هوش مصنوعی انجام می‌شود.

تکنیک Signature-based detection

این تکنیک از لحاظ عملکردی شباهت زیادی به آنتی ویروس‌ها دارد که فقط قادر به تشخیص و جلوگیری از بدافزارهایی هستند که قبلا شناسایی شده باشند. بنابراین بزرگ ترین نقطه ضعف این روش عدم توانایی آنها در تشخیص حملات روز صفر (Zero-day-attacks) و تشخیص ناهنجاری‌ها می‌باشد.

تکنیک Anomaly-based

در تکنیک دوم سیستم تشخیص نفوذ از روش‌های آماری و آنومالی (Anomaly-based) برای تشخیص حملات استفاده می‌کند. در این تکنیک سیستم تشخیص برای شناسایی فعالیت های مشکوک شبکه، عملکرد فعلی شبکه را با حالت نرمال آن مقایسه می‌کند. زمانی که انحرافی در رفتار شبکه مشاهده شد، سیستم هشدارهای لازم را برای انجام اقدامات پیشگیرانه تولید و برای مدیر سیستم ارسال می‌کند.در واقع ارزش واقعی این تکنیک زمانی مشخص می‌شود که بتواند حملات روز صفر را شناسایی کند.

این روش نیر بدون ایراد نبوده و و اصلی ترین ایراد آن تشخیص‌های مثبت اشتباه (False positive) و تشخیص‌های منفی اشتباه (False negative) می‎‌باشد. برای کمرنگ کردن این مشکل در بیشتر سیستم‌های جلوگیری از نفوذ (IPS) از هوش مصنوعی و الگوریتم‌های یادگیری ماشین برای تعریف پایه و اساس شناسایی رفتارهای نرمال شبکه جهت کمک به کاهش تشخیص های مثبت غلط و منفی غلط استفاده می‌شود.

در حال حاضر بسیاری از سیستم‌های تشخیص و جلوگیری از نفوذ از ترکیب دو تکنیک Signature-based و Anomaly-based برای بهره مندی از مزایای هر دو استفاده می‌کنند.

بسیاری از راهکارهای IPS موجود در بازار از قابلیت هایی مانند Honeypotها در کنار قابلیت‌های خود جهت گمراه کردن هکرها نیز استفاده می‌کنند.

Honeypotها در اصل شبیه اطلاعات و برنامه های کاربردی و ارزشمند سازمان می‌باشند که در اصل هدف اصلی آنها گمراه کردن هکرها و جلوگیری از رسیدن آنها به اهداف اصلی شان می‌باشد.

انواع سیستم‌های جلوگیری از نفوذ

راهکارهای IPS در دو مد Network-based و Host-based طراحی و ارایه شده‌اند. بیشتر سازمان‌ها معمولا از سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS) به صورت Inline و پشت سر فایروال استفاده می‌کنند. سیستم های جلوگیری از نفوذ مبتنی بر هاست (HIPS) مخصوص نقاط پایانی بوده و بر روی سیستم‌هایی کاربران نهایی نصب می‌شوند. کار این سیستم‌ها بررسی و شناسایی ترافیک‌های غیرمجاز و رفتارهای مشکوک در سطح هاست می‌باشد. سومین نوع از سیستم‌های IPS نیز وجود دارد که برای جلوگیری از حملات مربوط به شبکه‌های وایرلس (WIPS) ارایه شده است. وظیفه این سیستم‌ها نیز شناسایی و جلوگیری از حملات و دسترسی‌های غیرمجاز به شبکه‌های وایرلس می‌باشد.

نحوه عملکرد یک سیستم NIPS در مقایسه با یک فایروال

نحوه عملکرد یک سیستم NIPS شباهت زیادی به کارکرد فایروال دارد. ولی با این تفاوت که فایروال‌ها در معماری شبکه معمولا در لبه شبکه قرار می‌گیرند و با بررسی کلیه ترافیک‌های ورودی و خروجی فقط به ترافیک‌های دارای مجوز اجازه عبور می‌دهند. این در حالی است که یک سیستم NIPS معمولا بعد از فایروال و در یکی از مدهای Inline یا Passive قرار می‌گیرد و با مانیتور کردن ترافیک شبکه فقط در صورتی ترافیکی را مسدود می‌کند که الگو یا رفتار مشخصی در آن پیدا کند.

بهترین مثال برای توضیح تفاوت این دو تکنولوژی، مقایسه انواع نیروهای امنیتی است. فایروال‌ها در شبکه همانند نگهبان جلوی درب یک مهمانی می‌باشند که فقط به مهمانان خدمات ارایه می‌دهد. در واقع نگهبانان مجوزهای افراد را کنترل و فقط به افرادی اجازه عبور می‌دهند که اسم شان داخل لیست باشد یا به روشی اثبات کنند که در آنجا کاری دارند. در حالی که سیستم‌های تشخیص نفوذ بیشتر شبیه نگهبانان داخل ساختمان هستند که دائما دور و اطراف و داخل ساختمان قدم می‌زند و کار و رفتار همه افراد را مانیتور می‌کنند. این نگهبانان فقط در صورت مشاهده فردی با رفتار مشکوک دست به کار شده و جلوی او را می‌گیرند و فرد را از ساختمان بیرون می‌کنند.

در واقع آنچه موضوع تمایز بین یک سیستم جلوگیری از نفوذ از یک فایروال را پیچیده کرده است، از بین رفتن مرز بین یک سیستم NIPS و فایروال می‌باشد. به طوری که فایروال های نسل جدید (Next-Generation-Firewalls) به طور پیش فرض هم دارای قابلیت‌های سیستم‌های تشخیص نفوذ و هم قابلیت‌های سیستم‌های جلوگیری از نفوذ می‌باشند. همچنین تولید کنندگان محصولات امنیتی ترکیبی از این محصولات را تحت عنوان سیستم تشخیص و جلوگیری از نفوذ که دارای قابلیت های تشخیص و جلوگیری از حملات می‌باشد را روانه بازار کرده‌اند.

سیستم‌های جلوگیری از نفوذ در برابر سیستم‌های تشخیص نفوذ

بیشتر افراد معمولا دو مفهوم IPS و IDS را با هم اشتباه می‌گیرند. این کلمات اختصاری مشابه هم می باشند ولی در واقع IDS مقدم بر سیستم IPS می‌باشد. سیستم‌های IDS فقط دارای قابلیت مانیتوینگ اتفاقات شبکه و ایجاد و ارسال هشدارهایی برای آگاه سازی می‌باشند. در حالی که سیستم‌های IPS زمانی که فعالیت مشکوکی را شناسایی کنند برای جلوگیری یا مسدود کردن حمله، اقدامات لازم را انجام می‌دهند. در واقع سیستم IPS یک سیستم دفاع آنی و فعال در برابر حملات و تهدیدات می‌باشد.

بیشتر سازمان‌ها معمولا در معماری امنیتی خود سیستم‌های IDS را در کنار سیستم‌های IPS توسعه می‌دهند. در این معماری سازمان‌ها لاگ مربوط به سیستم IDS و IPS را در انباره‌ای از Big data ذخیره می‌کنند. این داده‌ها می‌توانند با استفاده از هوش مصنوعی و الگوریتم‌های یادگیری ماشین آنالیز شده و به سازمان در تشخیص حملات روز صفر نیز کمک نمایند.

راه اندازی سیستم‌های جلوگیری از نفوذ (IPS)

در صورت نیازمندی سازمان‌ها به انتخاب و راه اندازی سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، آنها گزینه‌ها متنوعی برای انتخاب یک سیستم خوب پیش روی خود دارند. بعضی از سازمان‌ها معمولا سیستم‌های جلوگیری از نفوذ (IPS) و سیستم های تشخیص نفوذ (IDS) را به صورت کاملا مجزا و مستقل در شبکه خود راه اندازی و استفاده می‌کنند. این در حالیست که بسیاری از سازمان‌ها از راهکارهایی مانند سیستم‌ها مدیریت یکپارچه تهدیدات (UTM) یا فایروال های نسل جدید (NGFW) استفاده می‌کنند که علاوه بر قابلیت فایروالی دارای قابلیت‌های سیستم‌های IPS و IDS نیز می‌باشند. مهم ترین تفاوت در انتخاب UTMها و NGFWها، توانایی آنها در پوشش نیازهای امنیتی سازمان‌ها می‌باشد. در حال حاضر سیستم‌های UTM را می‌توان در سازمان‌هایی با اندازه کوچک و یا متوسط استفاده کرد، درحالی که فایروال‌های نسل جدید (NGFW) برای سازمان‌ها بزرگ طراحی شده‌اند.

سازمان‌ها می‌توانند برای راه اندازی سیستم جلوگیری از نفوذ (IPS) خود بر روی سخت افزار یا پلتفرم‌های مجازی یا ابری تصمیم بگیرند. مزیت استفاده از راهکارهای مبتنی بر زیرساخت‌های ابری، راحتی در استفاده از آنهاست، اما بسیاری از سازمان‌ها به راحتی به راهکارهای ابری اعتماد نمی‌کنند. توسعه راهکار سخت افزاری با وجود نیاز سازمان‌ها به سخت افزار نیز زیاد سخت نمی‌باشد. اکثرا پلتفرم‌های مجازی، مناسب توسعه در محیط‌های بزرگ مجازی می‌باشند.

سیستم‌های جلوگیری از نفوذ شبکه‌های وایرلس

سازمان‌هایی که دارای زیرساخت شبکه وایرلس هستند بایستی اقدامات لازم جهت راه اندازی سیستمی برای جلوگیری از نفوذ در شبکه وایرلس (WIPS) انجام دهند. همانند سیستم جلوگیری از نفوذ مبتنی بر شبکه (NIPS)، سیستم‌های WIPS با مانیتور کردن فرکانس‌‌های شبکه‌های وایرلس، دسترسی‌های غیرمجاز را تشخیص و زمانی که رفتار مشکوکی از ایستگاه کاری یا Access point شناسایی شد، می تواند دسترسی آن را مسدود نماید.

برای راه اندازی WIPS نیاز به راه اندازی سنسورهایی برای اسکن دیوایس‌های مشکوک که ممکن است به شبکه وایرلس دسترسی پیدا کنند و همچنین سروری برای ذخیره سازی و آنالیز اطلاعات جمع آوری شده توسط سنسورها و کنسولی برای مدیریت WIPS می‌باشد.

محبوب ترین سیستم‌های جلوگیری از نفوذ (IPS)

در حال حاضر تولید کنندگان زیادی راهکارهای NIPS تجاری و متن بازی خود را راهی بازار کرده‌اند. در زیر تعدادی از محبوترین NIPSها لیست شده است.

سیستم‌های IPS منبع باز

  • Snort
  • Suricata
  • Fail2ban
  • Security Onion
  • Vistumbler
  • Untangle NG Firewall
  • Endian Firewall Community

نسخه‌های تجاری NIPS

بدلیل اینکه بازار محصولات NIPS سالیان طولانی است که فعال است، روز به روز نیز درحال رشد می‌باشد. طبق برآورد سایت MarketsandMarkets.com پیش بینی می‌شود حجم بازار IPS/IDS به بیش از 5 بیلیون دلار تا سال 2019 برسد و سالی 13% رشد داشته باشد. در زیر تعدادی از مهم ترین راهکارهای NIPS تجاری لیست شده است:

  • (Cisco Next-Generation Intrusion Prevention System (NGIPS
  • IBM Security Network Intrusion Prevention System (IPS) products
  • Trend Micro Next-Generation Intrusion Prevention System – NGIPS
  • McAfee Network Security Platform
  • Extreme Intrusion Prevention System
  • Juniper Sky Advanced Threat Protection
  • Fortinet Next Generation Firewall
  • Palo Alto Next-Generation Firewall
  • WatchGuard Next-Generation Firewall
  • Check Point Next Generation Firewall
  • SonicWall Next-Generation Firewall
  • Sophos SG UTM

محصولات WIPS

  • Cisco Adaptive Wireless IPS Software
  • (WatchGuard Wireless Intrusion Prevention System (WIPS
  • Aruba RFProtect Wireless Intrusion Protection
  • Extreme AirDefense
  • NETSCOUT AirMagnet Enterprise
اشتراک گذاری:

دیدگاهتان را بنویسید