سامانه جلوگیری از نفوذ (IPS) یک تجهیز شبکه است که در شبکه سازمان قرار میگیرد، و میتواند نفوذ به یک شبکه را عموماً با تشخیص تعدادی الگوی حمله از قبل تعریف شده، تشخیص دهد و جلوی این نفوذ را بگیرد.
نگهبان شبکه شما کیست؟
سامانه تشخیص نفوذ (Intrusion Detection System – IDS) با زیرنظر گرفتن ترافیک عبوری از شبکه، در صورت مشاهده هر نوع عملکرد مشکوک به نفوذ، آن را گزارش میکند. دقیقا مانند یک نگهبان در یک سازمان که با مشاهده تردد افراد و فعالیت هایی که انجام می دهند، رفتارهای مشکوک را گزارش می کند تا سازمان در صورت لزوم مانع آن رفتار مجرمانه بشود. اگر به مرور زمان متوجه وجود نقاط آسیبپذیر برای نفوذ در سامانههای نرمافزاری شویم، تا زمان رفع این مشکل نیاز داریم تا با استفاده از سامانههای جلوگیری از نفوذ (Intrusion Prevention System – IPS) مانع سوءاستفاده از آن ضعف امنیتی بشویم. البته سامانههای جلوگیری از نفوذ طبعاً باید امکان تشخیص نفوذ را داشته باشند؛ به همین دلیل گاهی به آنها سامانههای تشخیص و جلوگیری از نفوذ (Intrusion Detection and Prevention System – IDPS) نیز گفته میشود. به دلیل وجود طیف گسترده ای از سامانههای نرم افزاری، ظهور حملات جدید، وجود پیکربندیهای ناامن، عدم استفاده از یک سامانه تشخیص و جلوگیری از نفوذ و بهروزرسانی امنیتی دیرهنگام در سامانههای IT، تا زمان رفع مشکلات امنیتی، به افرادی که درحال رصد و بهرهبرداری از آسیبپذیری شبکههای کامپیوتری هستند، فرصت کافی برای سوءاستفاده میدهد.
” اساسا در حوزه امنیت شبکه، هر تلاشی برای ایجاد یا کسب دسترسی بدون مجوز به اطلاعات یک شخص یا سازمان، نفوذ تلقی می شود. “
نفوذ و تشخیص نفوذ
برای جلوگیری از دسترسی غیرمجاز یا ایجاد اختلال در دسترسی دیگران به اطلاعات سازمانها به عنوان یک دارای نامشهود و با ارزش لازم است تا امنیت فناوری مورد استفاده برای انتقال و مدیریت این اطلاعات را فراهم سازیم. اولین کار برای جلوگیری از نفوذ، ایجاد موانع دسترسی به اطلاعات است که در فناوری ارتباطات و اطلاعات حاضر محصولاتی با عنوان فایروال (دیواره آتش) با این هدف طراحی شدهاند.
با این حال با وجود موانع دسترسی، این امکان همچنان وجود دارد که در طول زمان برخی از روالهای معیوب و نقاط ضعف امنیتی سیستم بروز کرده و افراد با وجود موانع دسترسی بتوانند بدون اجازه به اطلاعات و منابع دسترسی پیدا کنند. این نقاط ضعف در روالها می توانند به دلایل مختلفی مانند وجود پیچیدگی، عدم امکان پیگیری، مراحل متعدد، وابستگی به نظارت انسانی و … شکل گرفته باشند.
به طور مثال در سیستمهای بانکی، وجود برخی روال های پیچیده می تواند این ضعف را ایجاد کند که برخی از منابع بانکی به نفع خود سوءاستفاده کنند. یا به طور مثال در اداره پست، درخواست مراجعین برای ارسال و یا دریافت نامه به گونهایی باشد که مسئول رسیدگی به درخواست به طور اشتباه نامه یک نفر را در اختیار شخص دیگری قرار بدهد.
به منظور تشخیص نفوذ در یک سازمان بعد از کشف مراحل اداری معیوب (الگوهای حمله) که امکان دسترسی غیرمجاز افراد به منابع را فراهم می کند، تا زمانیکه فرصت تغییر در سیستم اداری فراهم بشود، تنها با تطبیق درخواستهای مراجعین با الگوهای کشف شده امکان شناسایی یک درخواست مشکوک به نفوذ در سیستم را خواهیم داشت. علاوه بر آن نیز در صورت وجود یک الگوی رفتاری مشخص بین تمام مراجعین، با مشاهده رفتارهای غیررایج نیز امکان شناسایی یک نفوذ وجود دارد.
به عنوان یک مثال برای درک بهتر مفهوم سامانه جلوگیری از نفوذ، میتوان نفوذ یک فرد به یک مرکز پستی را جهت کسب غیرمجاز اطلاعات بستههای پستی تصور کرد. چگونه میتوان نفوذ این فرد به دفتر پستی را تشخیص داد؟ احتمالاً با یکی از روشهای زیر:
آگاهی از نقاط ضعف سیستم که می تواند باعث سواستفاده شود.مثلا عدم دقت در اسناد احراز هویتی ( گرفتن کپی اسناد بدون دقت به اصل آن)
قرار دادن فیلترهای تشخیص این نوع درخواستها که منجر به نفوذ می شود. مثلاً از کارمندان اداره پست خواسته شود که در فرایند رسیدگی به درخواستهای مراجعین، حتماً برخی موارد را چک کنند.
مشاهده و شناسایی رفتارهای غیر عادی در مراجعین. به طور مثال:نحوه تعامل آن با کارمندان اداره
عدم رعایت ترتیب درخواستها
انجام یک درخواست غیرمرتبط
سامانه جلوگیری از نفوذ (IPS)
مشابه مثال فوق، یک سامانه تشخیص و جلوگیری از نفوذ یا به طور خلاصه سامانه جلوگیری از نفوذ (IPS) یک تجهیز شبکه است که در شبکه سازمان قرار میگیرد، و میتواند نفوذ به یک شبکه را عموماً با تشخیص تعدادی الگوی حمله از قبل تعریف شده، تشخیص دهد و جلوی این نفوذ را بگیرد. البته امروزه با هدف سادهسازی و کاهش هزینهها، دستگاههای UTM (نظیر پارسگیت) نیز قابلیت IPS را در خود جای داده اند. بدینترتیب میتوان در یک دستگاه، از IPS به صورت یکپارچه با سایر قابلیتهای امنیتی نظیر فایروال، VPN و کنترل برنامههای کاربردی استفاده کرد.
همچنین بخوانید:
UTM چیست و چرا باید از آن استفاده کنیم؟
در استفاده از سامانههای جلوگیری از نفوذ، بهروزرسانی بهموقع الگوهای حملات (که «امضای حملات» یا Attack Signature هم نامیده میشوند) اهمیت بسیاری دارد، چرا که با تحولات سریع فناوری، حملات جدیدی کشف میشوند و راههای جدیدی برای نفوذ به سیستمهایی که در گذشته امن شمرده میشدند پیدا میشود. بنابراین اگر سامانه IPS این الگوهای جدید حملات را نشناسد، نمیتواند حملات جدید را شناسایی کند. این موضوع دقیقاً مشابه آنتیویروسهاست که اگر بهروزرسانی نشوند، عملاً کاربردی نخواهند داشت.
بنابراین یکی از معیارهای ارزیابی تولیدکنندگان IPS این است که آیا مرتباً پایگاه داده الگوهای حملات IPS خود را بهروزرسانی میکنند؟ آیا امکان بهروزرسانی آنلاین این پایگاه داده را برای مشتریان خود فراهم میکنند؟ آیا پایگاه الگوهای حملات محصول مورد نظر، تمام حملات مهم و شناخته شده را پوشش میدهد یا خیر؟
بدون دیدگاه