IDPS یا سیستم تشخیص و پیشگیری از نفوذ

 IDPS یا سیستم تشخیص و پیشگیری از نفوذ

 

آیا سازمان شما فرایندها و رویه های محکمی برای شناسایی و مهار تهدیدات در محیط شما دارد؟ آیا اطمینان دارید که این فرایندها می توانند از وقایع امنیتی و نقض داده ها ناشی از روش های معمول حمله مانند بدافزار ، باج افزار ، حملات DoS ، حملات فیشینگ و موارد دیگر جلوگیری کنند؟

ایجاد یک سیستم تشخیص و پیشگیری از نفوذ قوی (IDPS)- اگرچه گاهی اوقات به طور جداگانه به عنوان سیستم های تشخیص نفوذ (IDS) و سیستم های جلوگیری از نفوذ (IPS) نامیده می شوند؛ که یک جز اصلی در هر استراتژی امنیت سایبری است.

خُب اینا یعنی چی ؟

ابتدا ، بیایید نگاهی به سیستم تشخیص و پیشگیری از نفوذ بیندازیم و سپس بحث خواهیم کرد که سازمان شما باید از چه نوع سیستم تشخیص و پیشگیری از نفوذ استفاده کند.

 

IDPS چیست ؟ ( Intrusion Detection and Prevention System)

یک سیستم تشخیص و پیشگیری از نفوذ  (IDPS)  ، ترافیک  شبکه را از نظر نشانه های حمله کنترل و بررسی می کند و به مدیران در مورد حملات احتمالی هشدار می دهد. IDPS ترافیکی که از آن عبور میکند را برای الگوهایی که با حملات شناخته شده مطابقت دارند ، کنترل و جلوی Attack را میگیرد. اگرچه گاهی اوقات به طور جداگانه به عنوان سیستم های تشخیص نفوذ (IDS) و سیستم های جلوگیری از نفوذ (IPS) نامیده می شوند. ولی در هر صورت یک جز اصلی در هر استراتژی امنیت سایبری است.

همانطور در شکل زیر مشاهده میکنید ، IDPS معمولاً در پشت دیوار آتش(firewall) سازمان مستقر می شوند تا تهدیداتی را که از اولین خط دفاعی شبکه عبور می کنند ، شناسایی کنند. به طور معمول ، یک سیستم تشخیص و پیشگیری از نفوذ(IDPS) با استفاده از دستگاه یا نرم افزاری برای جمع آوری ، ورود به سیستم ، شناسایی و جلوگیری از فعالیت های مشکوک ، این کار را انجام می دهد.

 

idps11

 

IDS (Intrusion Detection System)

IDS  یا Intrusion Detection System یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند.(دقت کنید فقط شناسایی میکند نه جلوگیری) روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها(یعنی یک کپی از تمام پورت های سوییچ را به IDS ارسال میکند.) ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، را می تواند گزارش و کنترل کند. شکل زیر نمایانگر نحوه قرارگیری IDS در شبکه میباشد.

 

 

IPS ( Intrusion Prevention System)

سیستم جلوگیری از نفوذ  (IPS) یا Intrusion Prevention System یک سیستم امنیتی است که بر فعالیت‌ های یک شبکه و یا یک سیستم نظارت کرده تا رفتار‌های ناخواسته یا مخرب را شناسایی ‌کند. در صورت شناسایی این رفتارها، بلافاصله براساس الگوهای شناخته شده حملات که در خود سیستم میباشد ، عکس‌العمل نشان داده و از ادامه فعالیت آن‌ها جلوگیری می‌کند. سیستم‌های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می‌شوند. یک سیستم جلوگیری از نفوذ مبتنی بر شبکه بر همه‌ی ترافیک شبکه نظارت کرده تا حملات یا کدهای مخرب را شناسایی کند. در صورت تشخیص یک حمله، بسته‌های مورد استفاده در آن حمله را دور ریخته و به سایر بسته‌ها اجازه عبور می‌دهد.شکل زیر نمایانگر نحوه قرارگیری IPS در شبکه میباشد. شکل فوق نحوه قرارگیری IPS در شبکه قابل مشاهده میباشد.

 

IDPS در مقایسه با Firewall (چرا فایروال به تنهایی کافی نیست ؟!)

اگرچه هر دو مربوط به امنیت شبکه هستند ،IDS  با فایروال تفاوت دارد به این دلیل که فایروال وظیفه اش این هست که چه پورتی باز یا بسته باشد ولی IDPS میگوید روی آن پورتی که باز است ، Attack اتفاق نیفتد.

 

نحوه پیاده سازی IDPS

به 2 شکل IDPS پیاده سازی میشود :

  1. سخت افزاری با استفاده از دیوایس های Cisco , Juniper , Fortinet , Checkpoint
  2. نرم افزاری با استفاده از نرم افزارهای Snort , Suricata

suricata

 

 

 

 

 

 

 

 

 

 

علی حبیبی

ارسال یک پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اینستاگرام