سیستم جلوگیری از نفوذ که با عنوان IPS شناخته میشود،
یک فناوری پیشگیری از تهدیدهای تحت شبکه و سرور است که برای
شناسایی و متوقف کردن فعالیتهای مخرب و آسیبهای احتمالی مورد استفاده قرار میگیرد.
سیستمهای پیشگیری از نفوذ (IPS) همانند سیستمهای شناسایی
نفوذ (IDS) فعالیتهای مخرب را شناسایی میکنند با این تفاوت که در IDS صرفاً
عمل شناسایی نفوذ و گزارش انجام میشود و قابلیت جلوگیری از تخریب وجود ندارد.
اما IPS علاوه بر شناسایی قادر به مسدودسازی حملات نیز میباشد.
به عبارتی میتوان گفت که IPS ها نسل پیشرفته IDS میباشند.
جهت دریافت مشاوره رایگان از کارشناسان ویستا در خصوص سیستم های ضد نفوذ کلیک کنید.
IPSها به طور کلی فعالیتهای مخرب را شناسایی کرده، اطلاعات مربوط به این فعالیتها را ثبت میکنند و پس از جلوگیری از انجام این فعالیتها گزارش کاملی از کارهای انجام شده نیز ثبت می کنند.
شاید این سؤال برایتان پیش آمده باشد که با این تفاسیر
چه تفاوتی بین IPS و فایروال وجود دارد؟
در پاسخ به این سؤال باید توجه داشته باشید که فایروال تنها ترافیک ورودی و خروجی شبکه را کنترل میکند در حالی که سیستم جلوگیری از نفوذ علاوه بر ترافیک ورودی و خروجی فعالیتهای درون سیستمها را نیز بررسی میکند و در صورت استفاده به همراه فایروال ضریب بالایی از امنیت به وجود میآید.
به طول کلی IPSها به چهار دسته تقسیم میشوند:
۱– سیستمهای جلوگیری از نفوذ مبتنی بر شبکه (NIPS):
در این نمونه تمامی ترافیک شبکه به منظور یافتن ترافیک مشکوک مورد نظارت قرار میگیرد.
۲– سیستمهای تشخیص نفوذ بیسیم (WIPS):
در این مورد شبکه بیسیم به منظور شناسایی ترافیک مشکوک توسط آنالیز پروتکلهای شبکههای بیسیم، مورد نظارت قرار میگیرد.
۳– آنالیز رفتار شبکه (BNA):
در این گروه ترافیک شبکه به منظور شناسایی تهدیداتی مثل حملات داس و یا بدافزارها بررسی میشود.
۴– سیستمهای تشخیص نفوذ مبتنی بر میزبان (HIPS):
یک بسته نرمافزاری نصب شده که یک هاستینگ را به منظور شناسایی فعالیتهای مشکوک توسط آنالیز رخدادهای درون هاست، مورد نظارت قرار میدهد.
IPSها چگونه فعالیتهای مخرب را شناسایی میکنند؟
عموما سیستمهای تشخیص نفوذ از سه روش به منظور شناسایی فعالیتهای مخرب استفاده میکنند:
۱– روش شناسایی با استفاده از امضا:
در این روش سیستمهای تشخیص نفوذ (IDS) ترافیک ورودی و خروجی شبکه را با الگوهای پیش از پیکربندی و پیش از حمله که به عنوان امضا شناخته میشود مقایسه میکنند.
۲– شناسایی مبتنی بر آنومالی آماری:
سیستم تشخیص نفوذ مبتنی بر آنومالی آماری، فعالیت شبکه نرمال را مشخص میکند. مثلاً به طور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفته است، چه پروتکلهایی استفاده شده است یا کدام پورتها و وسایلی به طور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به مدیر شبکه هشدار می دهد.
۳– آنالیز پروتکلهای مبتنی بر حالت:
این روش، انحراف حالت پروتکلها را مشخص میکند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایلهای از پیش تعیین شدهای که مطابق با تعریف مورد قبول هستند، انجام میشود.
در حال حاضر در سرویسهای لینوکس از جمله هاست وردپرس، هاست پربازدید و هاست حرفهای به صورت همزمان از فایروال و IPS استفاده میشود.
