IPS چیست؟+معرفی کامل + انواع آن و روش های استفاده+مزایا🟢

نویسنده

زمان خواندن

9 دقیقه

اگر در حوزه های هک و امنیت سیر می کنید حتما نام IPS را شنیده اید. در این مقاله می خواهیم همه سوالات شما در مورد IPS را به شما پاسخ بدهید. دقت داشته باشید که این مقاله بیشتر به درد افرادی می خورد که می خواهند امنیت وب سایت های مختلف را تامین کنند. یا این که در زمینه نرم افزار ها خطر ها را دفع کنند. به هر صورت این مقاله همه چیزی است که شما نیاز دارید تا سیستم پیشگیری از نفوذ را درک کنید.

آنچه در این مقاله خواهید خواند :

IPS چیست؟

سیستم پیشگیری از نفوذ (IPS) یک مکانیزم امنیتی است. این سیستم رفتار های نفوذ (مانند اسب‌ های تروجان، کرم‌ ها، بات‌نت‌ ها و جاسوس‌افزار ها) را بر اساس تشخیص رفتار، تطبیق پایگاه داده امضا و مدل‌سازی تهدید شناسایی می‌ کند و رفتارهای نفوذ را در زمان واقعی از طریق روش‌های پاسخ خاص خاتمه می‌ دهد.

در سال‌ های اخیر، نفوذ های شبکه متنوع‌تر و پنهان‌تر شده‌ اند. شرکت‌ ها باید ضمن پردازش ترافیک عظیم، با تهدیدات ناشی از ترافیک مخرب پنهان نیز روبرو شوند. فناوری IPS می‌ تواند برای شناسایی و پردازش سریع رفتار های نفوذ، محافظت از سیستم‌ های اطلاعاتی سازمانی و معماری‌ های شبکه در برابر نفوذ ها، مورد استفاده قرار گیرد.

چرا IPS مورد نیاز است؟

نفوذ به مجموعه‌ ای از رفتار ها اشاره دارد که سیستم اطلاعاتی را غیرقابل اعتماد یا غیرقابل دسترس می‌ کند، مانند دسترسی، سرقت و آسیب رساندن به منابع سیستم اطلاعاتی بدون مجوز. تاکتیک‌ های نفوذ رایج شامل اسب‌ های تروجان، کرم‌ ها، حملات تزریق، بات‌نت‌ ها، حملات DDoS، حملات اسکریپت‌نویسی بین‌سایتی (XSS) و کرک کردن با استفاده از نیروی جستجوی فراگیر (brute force cracking) است. در سال‌ های اخیر، میزان نرم‌افزار های خاکستری مانند جاسوس‌افزار و تبلیغات مزاحم رو به افزایش است.

IPS در ایران هم کاربرد های زیادی دارد و با پیشرفت شرکت ها اهمیت بیشتری پیدا می کند

نفوذ به طور فزاینده‌ ای بر نفوذ مبتنی بر علاقه و چندوجهی تمرکز دارد. طبق گزارش امنیت سایبری سال ۲۰۲۰ که توسط تیم فنی/مرکز هماهنگی واکنش اضطراری شبکه رایانه‌ ای ملی چین (CNCERT/CC) منتشر شده است، در سال ۲۰۲۰، بیش از ۴۲ میلیون نمونه برنامه مخرب ضبط شده و بیش از ۵۰ میلیون آدرس IP توسط برنامه‌ های مخرب مورد حمله قرار گرفته‌ اند.

یک شرکت معمولی ممکن است با رفتار های نفوذ زیر مواجه شود:

اجرای حملات تزریق برای به دست آوردن مجوز تغییر پایگاه داده سرور، که باعث نشت یا خرابی داده‌ های شرکت می‌ شود. سوءاستفاده از آسیب‌پذیری‌ های نرم‌افزار سیستم برای انتشار نرم‌افزار اسب تروجان در داخل شرکت‌ ها. راه‌ اندازی حملات DDoS در مقیاس بزرگ به وب‌سایت هدف در مدت زمان کوتاه برای مصرف مخرب منابع شبکه و تأثیر منفی بر خدمات عادی شرکت‌ ها.

کاشت کد مخرب در وب‌سایت‌ های خارجی که مرتباً توسط کارمندان سازمان مورد استفاده قرار می‌ گیرند. هنگامی که یک کارمند سازمان به چنین وب‌سایتی دسترسی پیدا می‌ کند، عامل مخرب می‌ تواند اطلاعاتی مانند حساب و کوکی کارمند را به دست آورد و عملیات دسترسی به اینترنت کارمند را جعل کند.

ارسال ایمیل‌ های فیشینگ به کارمندان سازمان برای فریب آنها جهت کلیک بر روی لینک‌ های جعلی وب‌سایت در ایمیل‌ ها یا دانلود پیوست‌ های آلوده. ایمیل‌ های فیشینگ ممکن است باعث نقض اطلاعات، کاشت بدافزار، نفوذ به سیستم اطلاعاتی و بسیاری از پیامد های شدیدتر شود که منجر به ضرر های اقتصادی مستقیم می‌ شود.

نکته مهم:

یکی از عوامل مهمی که منجر به موفقیت این نفوذ ها و هک وب می‌ شود، آسیب‌پذیری‌ های امنیتی در سیستم‌ های مختلف است. آسیب‌پذیری‌های امنیتی به نقص در سخت‌افزار، نرم‌افزار، پیاده‌سازی پروتکل یا سیاست‌ های امنیتی سیستم اشاره دارد. مهاجمان می‌ توانند از این نقص‌ ها برای دسترسی مخرب یا آسیب رساندن به سیستم هدف سوءاستفاده کنند. آسیب‌پذیری‌ های امنیتی بدنام تاریخی، مانند Heartbleed و EternalBlue، منجر به نقض‌ های امنیتی بزرگی شده‌ اند.

اگرچه فروشندگان سیستم می‌ توانند آسیب‌پذیری‌ های امنیتی ناشی از حوادث امنیتی را شناسایی کرده و وصله‌ها یا نسخه‌ های جدیدی را برای رفع این آسیب‌پذیری‌ ها منتشر کنند. اما به‌روزرسانی‌ های فروشندگان سیستم مدت زمان مشخصی طول می‌ کشد.

وظیفه اصلی IPS شناسایی و دفاع در برابر حملاتی است که از آسیب‌پذیری‌ های امنیتی مختلف سوءاستفاده می‌ کنند و همچنین ارائه قابلیت‌ های حفاظت امنیتی قبل از به‌روزرسانی سیستم توسط فروشنده سیستم. بنابراین، IPS به بخش مهمی از ساختار اساسی امنیت شبکه یک شرکت تبدیل شده است.

IPS چگونه کار می‌ کند؟

IPS می‌ تواند در برابر رفتار های نفوذی محافظت کند و معمولاً از فناوری‌ های زیر برای تشخیص رفتار های نفوذی استفاده می‌ کند:

فناوری تشخیص مبتنی بر امضا:

این روش ترافیک شبکه را با امضا های تهدید های شناخته شده مطابقت می‌ دهد. امضا نشان‌دهنده ویژگی‌ های یک رفتار نفوذی است. اگر ترافیک با امضا مطابقت داشته باشد، به عنوان ترافیک مخرب رفتار نفوذی در نظر گرفته می‌ شود. با این حال، این روش فقط می‌ تواند نفوذ هایی را با امضا های موجود شناسایی کند و نه نفوذ های جدید.

فناوری تشخیص مبتنی بر ناهنجاری:

این روش نمونه‌ های تصادفی از فعالیت‌ های شبکه را جمع‌آوری کرده و آنها را با استاندارد های پایه مقایسه می‌ کند تا مشخص شود که آیا آنها رفتار های نفوذی هستند یا خیر. این فناوری دامنه شناسایی وسیع‌تری نسبت به فناوری تشخیص مبتنی بر امضا ارائه می‌ دهد، اما خطر تشخیص‌ های کاذب را نیز افزایش می‌ دهد.

فناوری تشخیص مبتنی بر سیاست امنیتی:

این روش کمتر از دو روش اول استفاده می‌ شود و مستلزم آن است که مدیر شبکه سیاست‌ های امنیتی را روی دستگاه پیکربندی کند. هرگونه رفتار دسترسی که این سیاست‌ ها را نقض کند، مسدود خواهد شد. پس از شناسایی یک رفتار نفوذ، IPS می‌ تواند به طور خودکار آن را بر اساس اقدام پاسخ پیکربندی شده، از جمله ایجاد هشدار، مدیریت کند.

دور انداختن بسته‌ های داده، مسدود کردن ترافیک از آدرس مبدا یا تنظیم مجدد اتصال.

در ادامه از فناوری IPS هوآوی به عنوان مثالی برای توصیف فرآیند کار دقیق IPS استفاده شده است. همانطور که در شکل زیر نشان داده شده است، IPS هوآوی از فناوری‌ های مبتنی بر امضا و مبتنی بر سیاست امنیتی برای شناسایی رفتار های نفوذ استفاده می‌ کند.

فرآیند کار IPS

تطبیق سیاست امنیتی:

هنگامی که ترافیک با یک سیاست امنیتی با اقدام مجوز مطابقت دارد و سیاست امنیتی دارای یک نمایه IPS ارجاع شده است، فرآیند IPS شروع می‌ شود. دستگاه پیشگیری از نفوذ را روی ترافیک انجام می‌ دهد.

مونتاژ مجدد بسته:

دستگاه قطعات IP و جریان‌ های TCP را دوباره مونتاژ می‌ کند تا تداوم داده‌ ها را در لایه کاربرد تضمین کند. به این ترتیب، دستگاه می‌ تواند حملاتی را که از تشخیص IPS در فرآیند بعدی فرار می‌ کنند، به طور موثر تشخیص دهد.

شناسایی و تجزیه پروتکل لایه کاربرد:

دستگاه پروتکل لایه کاربرد را بر اساس محتوای بسته شناسایی می‌ کند و تجزیه عمیقی روی پروتکل انجام می‌ دهد تا ویژگی‌ های بسته را استخراج کند. در مقایسه با روش سنتی شناسایی پروتکل‌ ها که فقط بر اساس آدرس‌ های IP و پورت‌ ها است، شناسایی پروتکل برنامه، میزان تشخیص حملات لایه برنامه را تا حد زیادی بهبود می‌ بخشد. علاوه بر این، در این مرحله، دستگاه می‌ تواند ناهنجاری‌ های پروتکل را شناسایی کرده و بسته‌ های داده‌ ای را که با قالب و مشخصات پروتکل مطابقت ندارند، فیلتر کند.

تطبیق امضا:

دستگاه ویژگی‌ های بسته تجزیه‌شده را با امضا های موجود در پایگاه داده امضای IPS مطابقت می‌ دهد. اگر تطابقی پیدا شود، دستگاه به آن پاسخ می‌ دهد. امضا ها نشان‌دهنده ویژگی‌ های رفتار های نفوذ هستند. این امر از رفتار هایی که مانند یک پیام ناشناس عمل کنند جلوگیری میکند

محققان امنیتی هواوی به طور مداوم وضعیت امنیت سایبری را ردیابی می‌ کنند، ویژگی‌ های رفتار نفوذ را تجزیه و تحلیل می‌ کنند و ویژگی‌ ها را در پایگاه داده امضای IPS به‌روزرسانی می‌ کنند. دستگاه به صورت دوره‌ ای پایگاه داده امضای IPS را از مرکز امنیت هواوی دانلود می‌ کند تا به موقع و به طور مؤثر در برابر نفوذ های شبکه دفاع کند.

پاسخ:

پس از مطابقت یک بسته با یک امضا، نمایه IPS تعیین می‌ کند که آیا به بسته پاسخ داده شود و چگونه بسته را پردازش کند (هشدار یا مسدود). یک نمایه IPS از دو عنصر تشکیل شده است: فیلتر امضا و امضای استثنا.

انواع IPS

در حال حاضر، IPS های رایج به انواع زیر طبقه‌بندی می‌ شوند که می‌ توانند در سناریو های مختلف به کار گرفته شوند:

سیستم پیشگیری از نفوذ شبکه (NIPS):

در خروجی شبکه نصب می‌ شود تا تمام ترافیک شبکه را شناسایی کرده و تهدیدات را به صورت پیشگیرانه اسکن کند.

ریشه IPS از ریشه intrusion prevention system گرفته شده است

سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS):

روی یک نقطه پایانی نصب می‌ شود تا فقط ترافیک ورودی و خروجی نقطه پایانی را شناسایی کند. این سیستم معمولاً همراه با NIPS استفاده می‌ شود.

تحلیل رفتار شبکه (NBA):

برای تجزیه و تحلیل ترافیک شبکه و کشف بدافزار های جدید یا آسیب‌پذیری‌ های روز صفر با شناسایی ترافیک غیرطبیعی استفاده می‌ شود.

سیستم پیشگیری از نفوذ بی‌سیم (WIPS):

برای اسکن شبکه‌ های Wi-Fi برای دسترسی غیرمجاز و حذف دستگاه‌ های غیرمجاز از شبکه‌ ها استفاده می‌ شود.

تمرکز هواوی بر NIPS است. فایروال‌ های هوش مصنوعی با قابلیت NIPS که در سال‌ های اخیر عرضه شده‌ اند شامل سری HiSecEngine USG6000E و سری HiSecEngine USG6000F و همچنین سری HiSecEngine USG12000 با عملکرد بالا هستند. IPS ارائه شده توسط هواوی مزایای زیر را دارد:

بیش از ۱۲۰۰۰ امضای آسیب‌پذیری را ارائه می‌ دهد که بیش از ۸۰۰۰ شناسه CVE و بیش از ۲۰۰۰ خانواده بات‌نت، اسب تروجان و کرم را پوشش می‌ دهد. از موتور شتاب‌دهنده امنیتی اختصاصی داخلی استفاده می‌ کند که قابلیت شتاب‌دهی تطبیق الگو و سرعت تشخیص سریع را ارائه می‌ دهد. بیش از ۴۰۰ روش ضد فرار، مانند مونتاژ مجدد بسته و شناسایی محتوای برنامه را ارائه می‌ دهد.

با استفاده از امضا ها، نرخ مسدودسازی پیش‌فرض ۸۵٪ را ارائه می‌ دهد که در صنعت پیشرو است. تنها چند هشدار باید تجزیه و تحلیل شوند و هزینه‌ های ناشی از تجزیه و تحلیل گزارش توسط پرسنل عملیاتی را کاهش می‌ دهد.

علاوه بر این، هواوی عملکرد IPS را در فایروال‌ های هوش مصنوعی ادغام می‌ کند. بنابراین، در مقایسه با یک دستگاه IPS مستقل، یک فایروال هوش مصنوعی علاوه بر IPS، عملکرد های امنیتی دیگری مانند فایروال، VPN و آنتی‌ویروس را نیز ارائه می‌ دهد. این امر هزینه‌ های دستگاه و مشکلات مدیریتی را کاهش می‌ دهد و در عین حال گزینه‌ های بیشتری را در اختیار کاربران قرار می‌ دهد.

IPS در مقابل IDS

سیستم تشخیص نفوذ (IDS) در مراحل اولیه توسعه فناوری تشخیص نفوذ پیشنهاد شد. دقت کنید که این عبارت را با گواهی SSL اشتباه نگیرید. تفاوت‌ های بین IDS و IPS به شرح زیر است:

حالت استقرار:

IDS معمولاً در حالت خارج از مسیر مستقر می‌ شود و جریان‌ های داده را ارسال نمی‌ کند. تمام ترافیک مربوطه باید در پورت IDS منعکس شود. IPS معمولاً در حالت درون مسیر در شبکه مستقر می‌ شود. جریان‌ های داده باید قبل از ارسال توسط IPS پردازش شوند.

عملکرد:

IDS فقط یک دستگاه تشخیص است. نمی‌ تواند حملات را مسدود کند و فقط می‌ تواند آلارم تولید کند. برای دفاع در برابر حملات، IDS باید با فایروال همکاری کند. سیاست‌ های امنیتی روی فایروال حملات را مسدود می‌ کنند. IPS می‌ تواند مستقیماً حملات را بدون همکاری با سایر دستگاه‌ های شبکه شناسایی و پردازش کند.

سرعت پاسخ:

IDS حملات را با انعکاس تشخیص می‌ دهد. در طول تشخیص، جریان‌ های داده توسط دستگاه‌ های شبکه ارسال شده یا در حال ارسال هستند. فرقی نمی‌ کند که IDS حملات را از طریق گزارش هشدار یا تعامل فایروال پردازش کند، این به عنوان پردازش پس از رویداد در نظر گرفته می‌ شود. IDS نمی‌ تواند حملات تک بسته‌ ای را مدیریت کند. در مقابل، IPS بررسی امنیتی روی بسته‌ های داده انجام می‌ دهد و سپس وضعیت پردازش بسته‌ های داده را بر اساس نتیجه بررسی امنیتی تعیین می‌ کند. به این ترتیب، IPS می‌ تواند به موقع به بسته‌ های داده پاسخ داده و آنها را پردازش کند.

سوالات متداول در مورد IPS

چرا IPS برای امنیت سیستم مهم است؟

سازمان‌ ها فناوری‌ های IPS را به تلاش‌ های سنتی واکنشی در امنیت شبکه ترجیح می‌ دهند، زیرا IPS به طور پیشگیرانه ترافیک مخرب را شناسایی و از آسیب آن جلوگیری می‌ کند. محافظت IPS با نظارت بر ترافیک شبکه در زمان واقعی و با استفاده از تجزیه و تحلیل رفتار شبکه، تهدیدات بالقوه را شناسایی می‌ کند.

اگر یک مهاجم غیرمجاز به شبکه دسترسی پیدا کند، IPS فعالیت مشکوک را شناسایی می‌ کند، آدرس IP را ثبت می‌ کند و بر اساس قوانینی که از قبل توسط مدیر شبکه تنظیم شده است، پاسخ خودکاری به تهدید می‌ دهد.

IPS یک فناوری حفاظتی سازگار برای امنیت سیستم است. که شامل نرم‌افزار ضد ویروس/ضد بدافزار، فایروال، نرم‌افزار ضد جعل هویت و نظارت بر ترافیک شبکه است. شرکت‌ ها از IPS برای مستندسازی تهدید ها، کشف مشکلات مربوط به سیاست‌ های امنیتی و مسدود کردن نقض‌ های امنیتی خارجی یا داخلی استفاده می‌ کنند.

سیستم‌ های پیشگیری از نفوذ (IPS) چگونه کار می‌ کنند؟

یک سرویس امنیتی IPS معمولاً به صورت “درون خطی” مستقر می‌ شود، جایی که در مسیر ارتباط مستقیم بین منبع و مقصد قرار می‌ گیرد، جایی که می‌ تواند تمام جریان ترافیک شبکه را در آن مسیر به صورت بلادرنگ تجزیه و تحلیل کند و اقدامات پیشگیرانه خودکار را انجام دهد. IPS می‌ تواند در هر جایی از شبکه مستقر شود.

یک IPS می‌ تواند به عنوان یک IPS مستقل مستقر شود یا همین قابلیت را می‌ توان در عملکرد IPS تلفیقی درون یک فایروال نسل بعدی (NGFW) فعال کرد. یک IPS از امضا هایی استفاده می‌ کند که می‌ توانند هم مختص آسیب‌پذیری باشند و هم مختص سوءاستفاده برای شناسایی ترافیک مخرب. معمولاً این‌ ها از تشخیص مبتنی بر امضا یا تشخیص مبتنی بر ناهنجاری آماری برای شناسایی فعالیت‌ های مخرب استفاده می‌ کنند.

تشخیص مبتنی بر امضا:

از امضا های منحصر به فرد قابل شناسایی که در کد سوءاستفاده قرار دارند استفاده می‌ کند. هنگامی که سوءاستفاده‌ ها کشف می‌ شوند، امضا های آنها به یک پایگاه داده که به طور فزاینده‌ ای در حال گسترش است، وارد می‌ شوند. تشخیص مبتنی بر امضا برای IPS شامل امضا های مواجه با سوءاستفاده است که خود سوءاستفاده‌ های فردی را شناسایی می‌ کنند، یا امضا های مواجه با آسیب‌پذیری، که آسیب‌پذیری در سیستم مورد هدف حمله را شناسایی می‌ کنند.

امضا های مواجه با آسیب‌پذیری برای شناسایی انواع سوءاستفاده‌های بالقوه که قبلاً مشاهده نشده‌اند، مهم هستند، اما همچنین خطر نتایج مثبت کاذب (بسته‌ های بی‌خطر که به اشتباه به عنوان تهدید برچسب‌گذاری می‌شوند) را افزایش می‌دهند.

تشخیص مبتنی بر ناهنجاری آماری:

این روش به صورت تصادفی از ترافیک شبکه نمونه‌برداری می‌ کند و نمونه‌ ها را با خطوط پایه سطح عملکرد مقایسه می‌ کند. هنگامی که نمونه‌ ها خارج از خط پایه شناسایی شوند، IPS اقدامی را برای جلوگیری از حمله احتمالی آغاز می‌ کند. هنگامی که IPS ترافیک مخربی را که می‌تواند قابل سوءاستفاده در شبکه باشد شناسایی می‌کند، چیزی را که به عنوان یک وصله مجازی برای محافظت شناخته می‌ شود، مستقر می‌ کند.

وصله مجازی، به عنوان یک اقدام ایمنی در برابر تهدیداتی که از آسیب‌پذیری‌ های شناخته شده و ناشناخته سوءاستفاده می‌ کنند، عمل می‌ کند. این روش با پیاده‌سازی لایه‌ هایی از سیاست‌ ها و قوانین امنیتی که از استفاده یک سوءاستفاده از مسیر های شبکه به و از یک آسیب‌پذیری جلوگیری و آن را رهگیری می‌ کنند، کار می‌ کند و در نتیجه پوششی در برابر آن آسیب‌پذیری در سطح شبکه به جای سطح میزبان ارائه می‌ دهد.

نتیجه گیری

به طور خلاصه، دستگاه IDS هیچ اقدامی در مورد رفتار های نفوذ انجام نمی‌ دهد. در عوض، یک مکانیسم امنیتی است که بر مدیریت ریسک تمرکز دارد. در حال حاضر، فایروال‌ های هوش مصنوعی که با عملکرد IPS ارائه شده توسط هواوی عرضه می‌ شوند، هر دو عملکرد IDS و IPS را دارند. شما می‌ توانید فایروال‌ های هوش مصنوعی مورد نظر را بر اساس نیاز های واقعی شبکه انتخاب کنید.