سامانه‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)

دوشنبه ۱۱ شهریور ۱۳۹۸ تعداد بازدید 472

سامانه جلوگیری از نفوذ (IPS) یک تجهیز شبکه است که در شبکه سازمان قرار می‌گیرد، و می‌تواند نفوذ به یک شبکه را عموماً با تشخیص تعدادی الگوی حمله از قبل تعریف شده، تشخیص دهد و جلوی این نفوذ را بگیرد.

سامانه‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)

نگهبان شبکه شما کیست؟

" اساسا در حوزه امنیت شبکه، هر تلاشی برای ایجاد یا کسب دسترسی بدون مجوز به اطلاعات یک شخص یا سازمان، نفوذ تلقی می شود. "

سامانه تشخیص نفوذ (Intrusion Detection System - IDS) با زیرنظر گرفتن ترافیک عبوری از شبکه، در صورت مشاهده هر نوع عملکرد مشکوک به نفوذ، آن را گزارش می‌کند. دقیقا مانند یک نگهبان در یک سازمان که با مشاهده تردد افراد و فعالیت هایی که انجام می دهند، رفتارهای مشکوک را گزارش می کند تا سازمان در صورت لزوم مانع آن رفتار مجرمانه بشود. اگر به مرور زمان متوجه وجود نقاط آسیب‌پذیر برای نفوذ در سامانه‌های نرم‌افزاری شویم، تا زمان رفع این مشکل نیاز داریم تا با استفاده از سامانه‌های جلوگیری از نفوذ (Intrusion Prevention System - IPS) مانع سوءاستفاده از آن ضعف امنیتی بشویم. البته سامانه‌های جلوگیری از نفوذ طبعاً باید امکان تشخیص نفوذ را داشته باشند؛ به همین دلیل گاهی به آن‌ها سامانه‌های تشخیص و جلوگیری از نفوذ (Intrusion Detection and Prevention System - IDPS) نیز گفته می‌شود. به دلیل وجود طیف گسترده ای از سامانه‌های نرم افزاری، ظهور حملات جدید، وجود پیکربندی‌های ناامن، عدم استفاده از یک سامانه تشخیص و جلوگیری از نفوذ و به‌روزرسانی امنیتی دیرهنگام در سامانه‌های IT، تا زمان رفع مشکلات امنیتی، به افرادی که درحال رصد و بهره‌برداری از آسیب‌پذیری شبکه‌های کامپیوتری هستند، فرصت کافی برای سوءاستفاده می‌دهد.

 

نفوذ و تشخیص نفوذ

برای جلوگیری از دسترسی غیرمجاز یا ایجاد اختلال در دسترسی دیگران به اطلاعات سازمان‌ها به عنوان یک دارای نامشهود و با ارزش لازم است تا امنیت فناوری مورد استفاده برای انتقال و مدیریت این اطلاعات را فراهم سازیم. اولین کار برای جلوگیری از نفوذ، ایجاد موانع دسترسی به اطلاعات است که در فناوری ارتباطات و اطلاعات حاضر محصولاتی با عنوان فایروال (دیواره آتش‌) با این هدف طراحی شده‌اند.

با این حال با وجود موانع دسترسی، این امکان همچنان وجود دارد که در طول زمان برخی از روال‌های معیوب و نقاط ضعف امنیتی سیستم بروز کرده و افراد با وجود موانع دسترسی بتوانند بدون اجازه به اطلاعات و منابع دسترسی پیدا کنند. این نقاط ضعف در روال‌ها می توانند به دلایل مختلفی مانند وجود پیچیدگی، عدم امکان پیگیری، مراحل متعدد، وابستگی به نظارت انسانی و ... شکل گرفته باشند.

به طور مثال در سیستم‌های بانکی، وجود برخی روال های پیچیده می تواند این ضعف را ایجاد کند که برخی از منابع بانکی به نفع خود سوءاستفاده کنند. یا به طور مثال در اداره پست، درخواست مراجعین برای ارسال و یا دریافت نامه به گونه‌ایی باشد که مسئول رسیدگی به درخواست به طور اشتباه نامه یک نفر را در اختیار شخص دیگری قرار بدهد.

به منظور تشخیص نفوذ در یک سازمان بعد از کشف مراحل اداری معیوب (الگوهای حمله) که امکان دسترسی غیرمجاز افراد به منابع را فراهم می کند، تا زمانیکه فرصت تغییر در سیستم اداری فراهم بشود، تنها با تطبیق درخواست‌های مراجعین با الگوهای کشف شده امکان شناسایی یک درخواست مشکوک به نفوذ در سیستم را خواهیم داشت. علاوه بر آن نیز در صورت وجود یک الگوی رفتاری مشخص بین تمام مراجعین، با مشاهده رفتارهای غیررایج نیز امکان شناسایی یک نفوذ وجود دارد.

به عنوان یک مثال برای درک بهتر مفهوم سامانه جلوگیری از نفوذ، می‌توان نفوذ یک فرد به یک مرکز پستی را جهت کسب غیرمجاز اطلاعات بسته‌های پستی تصور کرد. چگونه می‌توان نفوذ این فرد به دفتر پستی را تشخیص داد؟ احتمالاً با یکی از روش‌های زیر:

  • آگاهی از نقاط ضعف سیستم که می تواند باعث سواستفاده شود.
    • مثلا عدم دقت در اسناد احراز هویتی ( گرفتن کپی اسناد بدون دقت به اصل آن)
  • قرار دادن فیلتر‌های تشخیص این نوع درخواست‌ها که منجر به نفوذ می شود. مثلاً از کارمندان اداره پست خواسته شود که در فرایند رسیدگی به درخواست‌های مراجعین، حتماً برخی موارد را چک کنند.
  • مشاهده و شناسایی رفتارهای غیر عادی در مراجعین. به طور مثال:
    • نحوه تعامل آن با کارمندان اداره
    • عدم رعایت ترتیب درخواست‌ها
    • انجام یک درخواست غیرمرتبط

 

آشنایی با سامانه تشخیص و جلوگیری از نفوذ سـانـا محصول شرکت امن افزار گستر شریف

 

سامانه جلوگیری از نفوذ (IPS)

مشابه مثال فوق، یک سامانه تشخیص و جلوگیری از نفوذ یا به طور خلاصه سامانه جلوگیری از نفوذ (IPS) یک تجهیز شبکه است که در شبکه سازمان قرار می‌گیرد، و می‌تواند نفوذ به یک شبکه را عموماً با تشخیص تعدادی الگوی حمله از قبل تعریف شده، تشخیص دهد و جلوی این نفوذ را بگیرد. البته امروزه با هدف ساده‌سازی و کاهش هزینه‌ها، دستگاه‌های UTM (نظیر پارس‌گیت) نیز قابلیت IPS را در خود جای داده اند. بدین‌ترتیب می‌توان در یک دستگاه، از IPS به صورت یکپارچه با سایر قابلیت‌های امنیتی نظیر فایروال، VPN و کنترل برنامه‌های کاربردی استفاده کرد.

 

همچنین بخوانید:

UTM چیست و چرا باید از آن استفاده کنیم؟

 

در استفاده از سامانه‌های جلوگیری از نفوذ، به‌روزرسانی به‌موقع الگوهای حملات (که «امضای حملات» یا Attack Signature هم نامیده می‌شوند) اهمیت بسیاری دارد، چرا که با تحولات سریع فناوری، حملات جدیدی کشف می‌شوند و راه‌های جدیدی برای نفوذ به سیستم‌هایی که در گذشته امن شمرده می‌شدند پیدا می‌شود. بنابراین اگر سامانه IPS این الگوهای جدید حملات را نشناسد، نمی‌تواند حملات جدید را شناسایی کند. این موضوع دقیقاً مشابه آنتی‌ویروس‌هاست که اگر به‌روزرسانی نشوند، عملاً کاربردی نخواهند داشت.

بنابراین یکی از معیارهای ارزیابی تولیدکنندگان IPS این است که آیا مرتباً پایگاه داده الگوهای حملات IPS خود را به‌روزرسانی می‌کنند؟ آیا امکان به‌روزرسانی آنلاین این پایگاه داده را برای مشتریان خود فراهم می‌کنند؟ آیا پایگاه الگوهای حملات محصول مورد نظر، تمام حملات مهم و شناخته شده را پوشش می‌دهد یا خیر؟