در این پست به صورت کوتاه و کاربردی سیستم تشخیص نفوذ و جلوگیری از نفوذ رو بررسی میکنیم و میگیم کجا کاربرد داره و چند نمونه از اون ها رو مثال میزنیم و در نهایت یک IDS و IPS معرفی میکنیم .
سیستم تشخیص نفوذ یا Intrusion Detection System همونطور که از اسمش مشخص هست برای تشخیص نفوذ استفاده میشه و نه جلوگیری اون . برای استفاده میتونید IDS رو به یکی از پورت های سوئیچ متصل کنید و سوییچ با استفاده از قابلیت Port Mirror یک کپی برای IDS میفرسته . در حالت اول IDS با استفاده از قابلیت Anomaly detection به بررسی ترافیک در یک بازه میپردازه و اگر چیز غیرعادی پیدا کرد اون رو اطلاع میده و در حالت دوم IDS با استفاده از پایگاه داده ی خودش و signature هایی که داره به بررسی ترافیک میپردازه .
سیستم جلوگیری از نفوذ یا Intrusion Prevention System تقریبا مثل IDS هست با این تفاوت که هم تشخیص میده و جلوگیری میکنه . دقت داشته باشید IPS رو باید جایی در شبکه بزارید که ترافیک به اون وارد و ازش خارج بشه . IPS و IDS ها هم به صورت سخت افزاری و هم نرم افزاری موجود هستن . امروزه معمولا روی روتر ها ماژول IPS وجود داره و همچنین خود UTM ها هم داخل خودشون IPS دارن .
دو نمونه از IDS و IPS ها رو در قسمت زیر بررسی میکنم :
سیستم های تشخیص و جلوگیری نفوذ در نوع اول ، به صورت سخت افزاری هستن و داخل شبکه ترافیک رو Capture و بررسی میکنن و در صورت وجود حملات اون رو شناسایی (NIDS) و خنثی میکنن (NIPS) . سیستم های تشخیص و جلوگیری نفوذ در نوع دوم ، مثل مورد قبل هستن با این تفاوت که به صورت نرم افزاری تشخیص (HIDS) و جلوگیری میکنن (HIPS) . در نهایت قرار شد یک IDS و IPS هم معرفی کنیم که اون چیزی نیست جز snort .
.
.
.
.
این مقاله کوتاه صرفا جهت ثبت کردن دانش فردی نوشته شده ، اگر اشتباهی بود ذکر کنین ، سپاس .