ips و ids چیست و اهمیت آن در امنیت شبکه

مقایسه ips و ids

ips و ids چیست و اهمیت آن در امنیت شبکه

IPS و IDS دو نوع سیستم مختلف برای برقراری امنیت و محافظت از شبکه در برابر تهدیدات سایبری است. هر دو مدل شباهت‌های بسیار زیادی دارند و در حقیقت یک نوع وظیفه واحد (نظارت بر نتورک) را اجرا می‌کنند، اما در مواردی طیف مسئولیت‌های هرکدام گسترده‌تر می‌شود.

تامین امنیت شبکه یکی از مهم‌ترین بخش‌ها در برقراری یک نتورک سالم بوده که هر سازمانی برای رسیدن به حداکثر آن از هیچ تلاشی سرباز نمی‌زند. در این مقاله به‌صورت کامل دو نوع سیستم معرفی شده را بررسی خواهیم کرد و با مقایسه آن‌ها با یکدیگر بهتر با وظایف هرکدام آشنا خواهیم شد، ازاین‌رو تا انتهای مقاله با ما همراه باشید.

معرفی IDS یا intrusion detection system

اصطلاح IDS مخفف intrusion detection system بوده که به معنای نظارت و تشخیص نفوذ است. زمان‌هایی وجود دارد که مدیران شبکه نیاز دارند تا بر ترافیک شبکه نظارت داشته باشند، بدون این‌که هیچ تاثیری بر سرعت آن وارد شود. برای مثال یک نتورک ارائه‌دهنده خدمات ابری (cloud service) ازاین‌دست موارد است. زیرا که کاربران زیادی از خدمات متنوع آن استفاده می‌کنند و حتی یک قطعی موقت می‌تواند ضرر مالی و اعتباری زیادی به شرکت ارائه‌دهنده وارد کند.

رایانش ابری چیست همراه با مثال هایی از آن را مطالعه کنید.

بر اساس استاندارد‌های مختلفی که مدیران شبکه در نظر می‌گیرند ممکن است انواع مختلفی از IDS (مبتنی بر پروتکل‌های متفاوت یا موارد دیگر) اجرا شود. 5 مورد از آن‌ها به شرح زیر است:

  • اولین مورد که با نام شبکه نیز شناخته می‌شود، اجرای IDS در یک نقطه از نتورک بوده و با نظارت بر فعل‌وانفعالات از همان نقطه، تمامی اتفاقات مشکوک را شناسایی کنید.
  • مورد دوم به‌صورت میزبان اجرا می‌شود. یعنی نظارت بر شبکه خود را ازطریق دستگاه‌های مستقل پیاده‌سازی کنید و مابقی ترافیک ورودی به دستگاه‌های دیگر را به حال خود رها کنید.
  • مبتنی بر پروتکل حالت دیگری بوده که بین یک دستگاه و سرور نظارت انجام می‌شود. در این مدل بین یک دستگاه متصل به سرور، تمامی ترافیکی که در جریان است را می‌توان بررسی کرد.
  • Application protocol-based با اجرای یک سیستم نظارت میان گروه‌های مختلف سرور‌ها صورت می‌پذیرد. سیستم محافظت در میان سرور‌ها قرار گرفته و نحوه ارتباط میان آن‌ها تماشا خواهد شد.
  • نوع پنجم حالت Hybrid بوده که از ترکیب چند مدل مختلف از موارد بالا حاصل می‌شود.

IDS قادر است تا هر نوع فعالت مشکوکی را تشخیص دهد و با اطلاع به‌موقع آن، زمان ارزشمندی برای پیشگیری از فاجعه بخرد. برای مثال با بررسی تمامی فایل‌های ورودی، مواردی که حجم بالایی دارند را علامت‌گذاری می‌کند یا مثلا با استفاده از Machine learning می‌تواند در مقابل تمامی حملات موفقیت‌آمیزی که درگذشته انجام شده است دفاع خوبی ارائه کند.

کارایی سیستم تشخیص نفوذ

IPS چیست؟ بررسی دقیق intrusion protection system

سیستم دیگری برای محافظت از شبکه و نتورک است که مخفف intrusion protection system بوده و درزمان تشخیص یک تهدید اقداماتی انجام می‌دهد و تنها به اعلام هشدار بسنده نمی‌کند. یعنی زمانی که متوجه می‌شود تا شبکه شما در معرض خطر و تهدید قرار دارد، بر اساس برنامه ازقبل تعین شده عمل می‌کند. برای مثال ممکن است به‌صورت کامل ترافیک ورودی را قطع کند و در نهایت شبکه برای مدتی از دسترس خارج شود.

باید گفت که هدف از اجرای IPS محافظت از سیستم و نتورک به هر قیمتی است حتی اگر برای مدتی و به‌صورت کنترل شده سیستم و شبکه قطع شود. در امنیت سایبری دو نوع تهدید وجود دارد، نوع اول تهدیدات خارجی بوده که توسط افراد خرابکار و به‌اصطلاح هکر انجام می‌شود. اما نوع دوم ممکن است به‌صورت عمدی یا سهوی توسط کارکنان انجام گیرد. سیستم intrusion protection system به‌خوبی می‌تواند با حالت دوم نیز مقابله کند و آموزش‌های مفیدی در اختیار کارمندان قرار دهد.

4 مورد از اصلی‌ترین حالت‌های پیاده‌سازی IPS عبارت‌اند از:

  • شبکه: نظارت بر تمامی ترافیک ورودی و خروجی نتورک
  • بی‌سیم: نظارت بر ترافیک در جریان میان اتصالات بی‌سیم و دفاع در برابر حملاتی که ممکن از ازطریق آن رخ دهد.
  • رفتار شبکه: کشف حملاتی که از ترافیک غیرعادی حاصل می‌شود.
  • مبتنی بر میزبان: می‌توان نظارت را بر روی یک دستگاه میزبان انتقال داد. باید اشاره کرد که محافظت‌های سفارشی‌سازی شده مختلفی را می‌توان اجرا کرد. برای مثال یکی از انواع IPSهایی که توسط مدیران شبکه تنظیم می‌شود، نصب یک IPS پشت فایروال است.

همانند IDS، intrusion protection system نیز اطلاع‌رسانی‌هایی در خصوص موارد مشکوک ارائه می‌دهد ولی در مواردی ممکن است تا برخلاف آن، به مرحله عمل نیز برسد و اقداماتی در خصوص محافظت از دارایی‌های و زیرساخت‌های شبکه انجام دهد. برای مثال قطع اتصال TCP یا مسدودکردن IP می‌تواند ازجمله اقدامات این نوع سیستم برای امنیت باشد ولی باید انتظار کند‌تر شدن ترافیک شبکه را نیز داشت.

برای مطالعه بیشتر مقاله TCP/IP چیست را ازدست ندهید.

همچنین با ارائه گزارش‌هایی از حملات و اقدامات انجام شده، اشتباهات در زمان مقابله با تهدید، پاک‌سازی‌های صورت‌گرفته و… می‌توانید با تغییر در برنامه‌نویسی IPS آن ‌را برای آینده بهبود دهید.

شباهت‌های IPS و IDS

در تیترهای قبلی به بررسی و معرفی کلی دو سیستم intrusion protection system (IPS) و intrusion detection system (IDS) پرداختیم و تا حدودی ممکن است تا با شباهت‌های این دو مدل محافظ آشنا شده باشید. اما نیاز است به‌صورت جزئی‌تر نیز این مسئله را توضیح دهیم تا بهتر از قبل هر دو سیستم شفاف شوند.

باید گفت که هر دو سیستم:

Monitor: بر اساس تنظیماتی که روی آن‌ها اعمال می‌شود می‌توانند تا بر ترافیک شبکه به‌صورت جزئی یا کلی نظارت داشته باشند و تا زمانی که دستور ندهید، کاملاً خودکار کار خود را ادامه خواهند داد.

Alert: هر دو برنامه با ارسال notification یا همان اعلان‌های مختلف، شما و مدیران شبکه را از تمامی اتفاقات در جریان و موارد مشکوک مطلع خواهند ساخت.

Learn: هر دو برنامه و سیستم با بهره‌گیری از machine learning می‌توانند تا تهدید‌های نوظهور را شناسایی کنند و مانند یک موجود زنده روزبه‌روز تکامل یابند.

Log: IDS و IPS با ارائه گزارش‌های روزانه و همچنین ذخیره آن‌ها در طولانی‌مدت می‌توانند به بهبود عملکرد خود و همچنین اعمال تنظیمات بهتر (مانند حذف موارد اضافی برای افزایش سرعت شبکه) کمک کنند.

برای آگاهی بیشتر مقاله های مانیتورینگ شبکه چیست و بهترین نرم افزارهای مانیتورینگ شبکه را مطالعه کنید.

تفاوت‌های IPS و IDS

تفاوت‌های کلیدی در دو سیستم و برنامه یاد شده وجود دارد که ممکن است هرکدام از این تفاوت‌ها تاثیر زیادی بر ترافیک یا در کل شبکه ایجاد کند. از‌این‌رو باید با درنظرگرفتن تفاوت‌های موجود، اقدام به انتخاب مناسب هریک و استفاده به‌جا از آن‌ها در بخش‌های مختلف نتورک نمود تا بیشترین کارایی حاصل شود.

عمده تفاوت‌های دو سیستم intrusion detection system و intrusion protection system عبارت‌اند از:

Response: سیستم IDS برخلاف IPS غیرفعال بوده و در هنگام وقوع خطر و تهدید هیچ واکنشی انجام نمی‌دهد. درحالی‌که بر اساس تنظیمات IPS، این برنامه می‌تواند در زمان واقعی اقدامات مفیدی مانند قطع شبکه برای محافظت از دارایی‌ها را انجام دهد.

Protection: از عمده تفاوت‌هایی که میان دو برنامه وجود دارد، میزان محافظت آن‌ها از شبکه است که مسلماً IPS حفاظت و امنیت بیشتر و بهتری برای شبکه شما به ارمغان خواهد آورد. intrusion protection system می‌تواند از یک فاجعه جلوگیری کند.

False positives: سیستم فعال و غیرفعال ممکن است در صورت وقوع یک مورد مشکوک که شاید اصلاً خطری نداشته باشد، باعث تاثیر نهادن بر کل شبکه یا نگرانی مدیران شود. یعنی IPS در زمان مواجه با یک تهدید توخالی کاربران زیادی را متأثر می‌کند (مثلا با قطع شبکه) درحالی‌که IDS تنها با ارسال مثلا یک ایمیل مدیر شبکه را نگران خواهد کرد.

برای مطالعه بیشتر مقاله همه چیز درباره تست نفوذ شبکه را از دست ندهید.

استفاده هم‌زمان از IDS و IPS و نحوه کار آن‌ها

در زمان رخ‌دادن یک اتفاق مدیران شبکه حاضر به انجام هر کاری هستند تا خسارات وارده به حداقل برسد و همچنین آسیبی به دارایی‌های اصلی و منابع وارد نشود. ازاین‌رو استفاده از پروتکل‌های امنیتی مختلف و سیستم‌های محافظتی متنوع در دستور کار قرار می‌گیرد و هیچ نتورکی برای امنیت خود به یک یا دو سیستم بسنده نمی‌کند. بهره‌گیری از هر دو سیستم و برنامه IPS و IDS برای محافظت بیشتر و بهتر در کنار کمترین تأثیرات وارده بر سرعت ترافیک، می‌تواند یک گزینه خوب برای تامین امنیت بخشی از network هر سازمانی باشد.

با ترکیب این دو به همراه پیکربندی هوشمندانه تنظیمات، می‌توان انتظار داشت تا در صورت رخ‌دادن حملات جدی اقدامات مقتدرانه در سریع‌ترین زمان ممکن انجام گردد و تهدید به‌خوبی دفع شود، حتی اگر به قیمت قطعی چندساعته شبکه تمام شود. اما در مواردی نیز ممکن است یک تهدید یا مورد مشکوک نیاز به عکس‌العمل جدی نداشته باشد و تنها با یک هشدار به‌موقع و بررسی آن، تمامی ابهامات برطرف گردد.

این‌چنین سیستمی تنها با کارکرد متقابل و در کنار هم intrusion detection system و intrusion protection system حاصل خواهد شد. برای مثال از مورد اول می‌توان برای بررسی عمیق و دقیق ترافیک شبکه استفاده کرد و از مورد دوم برای انجام اقدامات قاطع در موارد حاد بهره برد. نکته اینجاست که هر دو سیستم از داده‌های یکدیگر برای بهبود عملکرد خود استفاده خواهند کرد.

مقاله حملات مهندسی اجتماعی چیست را از دست ندهید.

مشکلات و ایرادات سیستم‌های intrusion detection و intrusion protection

زمانی که صحبت از یک شبکه برای سازمانی عظیم و بسیار بزرگ می‌شود، تعداد نقاط تهدید و در حقیقت روزنه‌های نفوذ آن‌قدر زیاد خواهد بود که سیستم‌های متنوع به‌تنهایی نمی‌توانند امنیت آن را تامین کنند. مانند این که هرچه قدر یک قلعه بزرگ‌تر و وسعت بیشتری داشته باشد، نیاز به تعداد سربازان زیادی برای تامین امنیت دارد. ازاین‌رو یکی از بزرگ‌ترین ایرادات سیستم مبتنی بر IDS/IPS، کافی نبودن میزان محافظت ارائه شده است. البته این ایراد از خود سیستم‌ها و نحوه طراحی آن‌ها نیست، بلکه به دلیل پیچیدگی بسیار زیاد حملات و قدرت تخریب بالای آن‌ها است.

به تعبیری دیگر امروزه حملاتی که برای نفوذ به شبکه‌ها و نتورک‌های مختلف پیاده‌سازی می‌شود آن‌قدر پیچیده و بدون نقص هستند که برترین سیستم‌های امنیتی را نیز مغلوب می‌کنند. درنتیجه به مدیران شبکه‌های بزرگ که حفاظت از دارایی‌های ارزشمند‌تری را برعهده دارند همواره توصیه می‌شود تا به‌جای استفاده از یک نوع پروتکل، از ویژگی‌های برتر پروتکل‌های امنیتی مختلف در کنار هم استفاده کنند.

یکی از نقاط قوت سیستم‌های IPS و IDS بهره‌گیری از هوش مصنوعی برای تکامل دادن خود است. اما اگر واقع‌بینانه به این موضوع بنگریم در خواهیم یافت که با وجود پیشرفت چشمگیر AI، هنوز نمی‌توان به‌صورت کامل بر آن تکیه کرد و همچنان جای پیشرفت زیادی دارد.

اجرای فناوری

ساختار کلی intrusion detection/protection system

ساختار کلی و نحوه کار این دو سیستم به این صورت است که با استفاده از امضا‌های ازقبل تعیین شده تهدیدات و خطرات موجود در جریان ترافیک شبکه را شناسایی می‌کنند. مانند اینکه پلیس با دردست‌داشتن عکس متهم تمامی ورودی‌ها و خروجی‌های شهر را برای ردیابی آن کنترل و بررسی می‌کند، تنها با این تفاوت که به‌جای عکس، در فناوری‌های IDS یا IPS با کد‌ها سروکار داریم.

تا حدودی می‌توان گفت که عملکرد این دو سیستم (intrusion detection/protection system) همانند آنتی‌ویروس‌های لپ‌تاپ یا گوشی است. همچنین با ادغام مبحث machine learning از artificial intelligence به‌جای محدود بودن به امضا‌های بایگانی شده، سیستم می‌تواند با گذر زمان دیتابیس خود را با امضا‌های جدید آپدیت و به‌اصطلاح خود را تکامل دهد.

همچنین افرادی که برای پیاده‌سازی انواع مختلف از حالت‌های IPS  یا IDS و یا حتی هر دو استخدام می‌شوند، بر اساس تجربه و مهارت‌های خود می‌تواند ساختار‌های ساده و درعین‌حال کارآمد یا ساختار‌های پیچیده و امن‌تر برای شبکه شما اعمال کنند.

برای مطالعه بیشتر مقاله بهترین نرم افزارهای امنیت شبکه را پیشنهاد می کنیم.

جمع‌بندی

امنیت یکی از اساسی‌ترین نیاز‌های هر اجتماع و شبکه است، تا جایی که از اولین حکومت‌ها برای تامین آن کوشش شده است. شبکه‌های ماشینی و بخصوص کامپیوتری امروزی نیز به دلیل تهدیدات بی‌شمار سایبری باید از منابع و دارایی‌های خود برای بقا در این بستر دفاع کنند.

استفاده از فایروال، آنتی‌ویروس‌های شبکه، پروتکل‌های امنیتی مختلف، نظارت بر ترافیک شبکه، کنترل دسترسی‌ها و… از جمله اقداماتی است که یک مدیر شبکه برای تضمین امنیت شبکه خود (تا حدودی) باید انجام دهد. حال دو مورد از فناوری‌ها یا بهتر است بگوییم سیستم‌های نظارت بر ترافیک شبکه، IDS و IPS بوده که هرکدام بسته به تنظیمات خود می‌توانند عملکرد‌های متفاوتی را ارائه کنند.

در این مقاله سعی کردیم تا به بررسی جامع و کامل intrusion detection/protection systems بپردازیم و با اشاره بر تفاوت‌های و شباهت‌های این دو سیستم، به درک عمیقی از مفهوم هر دو سیستم برسیم. اشاره شد که استفاده ترکیبی از هر دو این تکنولوژی‌ها می‌تواند روزنه بزرگی از شبکه شما را بسته نگه دارد. امید است تا مطالعه این محتوا برای خوانندگان عزیز مفید باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.