سیستم پیشگیری از نفوذ (IPS) یک ابزار امنیتی شبکه و پیشگیری از تهدید است. ایده اصلی پیشگیری از نفوذ، ایجاد یک رویکرد پیشگیرانه برای امنیت شبکه است تا بتوان تهدیدهای بالقوه را شناسایی کرد و به سرعت به آنها پاسخ داد.
بنابراین سیستمهای پیشگیری از نفوذ برای بررسی جریانهای ترافیک شبکه به منظور یافتن نرم افزارهای مخرب و جلوگیری از سوء استفاده از آسیبپذیری، استفاده میشوند.
یک IPS برای شناسایی فعالیتهای مخرب، ثبت تهدیدهای شناسایی شده، گزارش تهدیدهای شناسایی شده و انجام اقدامات پیشگیرانه برای جلوگیری از آسیبرسانی تهدید استفاده میشود. یک ابزار IPS میتواند برای نظارت مستمر شبکه بطور بلادرنگ، استفاده شود.
پیشگیری از نفوذ یک روش تشخیص تهدید است که میتواند در یک محیط امنیتی توسط مدیران سیستم استفاده شود. این ابزارها برای سیستم به عنوان یک اقدام پیشگیرانه برای رویدادهای مشاهده شده، مفید هستند.
علاوه بر این، با توجه به اینکه امکان انجام فعالیتهای مشکوک از راههای مختلف وجود دارد، داشتن برنامهای برای شناسایی حملات احتمالی اهمیت زیادی دارد. یک سیستم پیشگیری از نفوذ برای گسترش قابلیتهای پایهای موجود در سیستمهای تشخیص نفوذ (IDS) ساخته شده است.
سیستمهای پیشگیری از نفوذ چگونه کار میکنند؟
یک سیستم پیشگیری از نفوذ تمام ترافیک شبکه را بررسی میکند. برای انجام این کار، یک ابزار IPS معمولاً درست در پشت فایروال قرار میگیرد و به عنوان یک لایه اضافی برای مشاهده رویدادهای محتوای مخرب عمل میکند.
به این ترتیب ابزارهای IPS در مسیرهای ارتباطی مستقیم بین سیستم و شبکه قرار میگیرند تا ترافیک شبکه را تجزیه و تحلیل کند.
در زیر سه رویکرد رایج ابزار IPS برای محافظت از شبکهها آمده است:
- تشخیص مبتنی بر امضا (signature-based detection) که در آن ابزار IPS از امضاهای حملهی از قبل تعریف شدهی تهدیدات شبکه، برای شناسایی تهدیدها و انجام عکس العمل استفاده میکند.
- تشخیص مبتنی بر آنومالی (anomaly-based detection) که در آن IPS رفتار غیرمنتظره در شبکه را جستجو کرده و در صورت شناسایی آنومالی، دسترسی به میزبان را مسدود میکند.
- تشخیص مبتنی بر خط مشی (policy-based detection) که در آن IPS ابتدا مدیران را ملزم به ایجاد خطمشیهای امنیتی میکند. وقتی رویدادی یک خطمشی امنیتی تعریف شده را نقض کند، یک هشدار برای مدیران سیستم ارسال میشود.
اگر تهدیدی شناسایی شود، ابزار IPS معمولاً میتواند هشدارهایی را برای مدیران ارسال کند، بستههای مخرب شبکه را حذف کند و اتصالات را با پیکربندی مجدد فایروالها، بستهبندی مجدد محمولهها و حذف پیوستهای آلوده از سرورها، بازنشانی کند.
ابزارهای IPS میتوانند به دفع حملات انکار سرویس (DoS)، حملات انکار سرویس توزیع شده (DDoS)، کرمها، ویروسها و یا سوء استفادهها مانند سوءاستفادههای zero-day کمک کنند.
قبل از لایههای بالایی شبکه، یک سیستم پیشگیری از نفوذ موثر باید نظارت و تجزیه و تحلیل پیچیدهتری مانند مشاهده و پاسخ به الگوهای ترافیک، و همچنین بستههای مجزا را انجام دهد.
مکانیسمهای تشخیصی میتواند شامل تطبیق آدرس، تطبیق رشته و زیررشته HTTP، تطبیق الگوی عمومی، تجزیه و تحلیل اتصال TCP، تشخیص آنومالی بستهها، تشخیص آنومالی ترافیک و تطبیق پورت TCP/UDP باشد.
انواع سیستمهای پیشگیری از نفوذ
معمولاً سه نوع سیستم پیشگیری از نفوذ وجود دارد که عبارتند از:
- تجزیه و تحلیل رفتار شبکه (NBA)، که رفتار شبکه را برای جریان ترافیک غیرعادی تجزیه و تحلیل میکند و معمولاً برای شناسایی حملات DDoS استفاده میشود.
- سیستم پیشگیری از نفوذ مبتنی بر شبکه (NIPS)، که یک شبکه را برای جستجوی ترافیک مشکوک تجزیه و تحلیل میکند.
- سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS)، که در یک میزبان نصب شده و برای تجزیه و تحلیل فعالیتهای مشکوک در یک میزبان خاص استفاده میشود.
علاوه بر این، انواع دیگری از ابزارهای IPS از جمله ابزارهایی که شبکههای بی سیم را تجزیه و تحلیل می کنند نیز وجود دارد. بنابراین به طور کلی میتوان گفت یک سیستم پیشگیری از نفوذ شامل هر محصول یا روشی (مانند فایروالها و نرم افزارهای آنتی ویروس) است که برای جلوگیری از دسترسی مهاجمان به شبکه استفاده میشود.
مزایای سیستمهای پیشگیری از نفوذ
از مزایای سیستمهای پیشگیری از نفوذ میتوان به موارد زیر اشاره کرد:
- کاهش احتمال بروز حوادث امنیتی
- انجام حفاظت پویا از تهدید
- کاهش حملات مانند تهدیدات Zero-day، حملات DoS، حملات DDoS و حملات Brute-force
- کاهش تعمیر و نگهداری شبکه برای کارکنان فناوری اطلاعات
- اجازه دادن یا رد کردن ترافیک ورودی خاص به یک شبکه
- در صورت یافتن فعالیت مشکوک به طور خودکار به مدیران اطلاع میدهد
معایب سیستمهای پیشگیری از نفوذ
از معایب سیستمهای پیشگیری از نفوذ میتوان به موارد زیر اشاره کرد:
- برخی اوقات ممکن است ترافیک ارسالی درست از سوی یک کاربر، به دلیل الگوبندی اشتباه در سیستمهای امنیتی به عنوان DoS شناخته شده و مسدود گردد. که در این صورت کارشناس شبکه میبایست ترافیک مورد نظر را از روی سیستمهای امنیتی مجاز تعریف کند.
- اگر سازمان به اندازه کافی از پهنای باند و ظرفیت شبکه برخوردار نباشد، یک ابزار IPS میتواند سرعت سیستم را پایین بیاورد.
- اگر چندین IPS در یک شبکه وجود داشته باشد، دادهها باید از هر کدام عبور کنند تا به کاربر نهایی برسند که باعث از دست رفتن عملکرد شبکه میشود.
- تجهیزات IPS گران قیمت هستند.
مقایسه IPS و IDS
IDSها ابزارهای نرم افزاری هستند که برای شناسایی و نظارت بر ترافیک شبکه ساخته شدهاند. هر دو ابزار IPS و IDS بستههای شبکه را میخوانند و محتوای آنها را با تهدیدات شناخته شده مقایسه میکنند. با این حال اقدامات IDS در مراحل بعدی متفاوت است.
ابزار IDS به تنهایی هیچ اقدامی را انجام نمیدهد. یک IDS به فردی نیاز دارد که نتایج را تجزیه و تحلیل کرده و در مورد اقدامات بعدی تصمیم بگیرد. به همین دلیل است که IPS به عنوان افزونه IDS در نظر گرفته میشود.
IDS برای نظارت بر شبکه و ارسال هشدار به مدیران در صورت یافتن تهدید، طراحی شده است. ولی IPS برای کنترل دسترسی به شبکه و محافظت از شبکه در برابر آسیب طراحی شده است.
IDS مانند IPS ترافیک شبکه را کنترل میکند. اما از آنجایی که ممکن است بلافاصله پس از دسترسی مهاجم سوء استفادهای انجام شود، سیستمهای پیشگیری از نفوذ نیز بر اساس مجموعهای از قوانین ایجاد شده توسط مدیر شبکه، توانایی انجام اقدامات فوری را دارند.
به عنوان مثال، ممکن است هنگامی که IPS بستهای را مخرب تشخیص دهد تمام ترافیک از آن آدرس IP یا پورت را مسدود کند. در همین حال، ترافیک مجاز باید بدون اختلال یا تأخیر آشکار سرویس به گیرنده ارسال شود.