Ips و ids چیست ؟
Intrusion Detection System&Intrusion Prevention System
بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند :
IDSIntrusion Detection System (سیستم های تشخیص نفوذ)
IPSIntrusion Prevention System (سیستم های جلوگیری از نفوذ)
تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS وIPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند.هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهایIDS مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکارترافیک آسیب رسان را مسدود می کنند.
یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند.روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند.
سیستم جلوگیری از نفوذ (IPS) یک وسیله امنیتی است که بر فعالیت های یک شبکه و یا یک سیستم نظارت کرده تا رفتارهای ناخواسته یا مخرب را شناسایی کند. در صورت شناسایی این رفتارها، بلافاصله عکسالعمل نشان داده و از ادامه فعالیت آنها جلوگیری میکند. سیستمهای جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم میشوند. یک سیستم جلوگیری از نفوذ مبتنی بر شبکه بر همهی ترافیک شبکه نظارت کرده تا حملات یا کدهای مخرب را شناسایی کند. در صورت تشخیص یک حمله، بستههای مورد استفاده در آن حمله را دور ریخته و به سایر بستهها اجازه عبور میدهد. سیستم جلوگیری از نفوذ به عنوان گسترشی از سیستم تشخیص نفوذ(IDS) درنظر گرفته میشود.
امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه
بستن ارتباطهای مشکوک و مظنون
قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی
بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی زیر نمی توانند به عنوان IDSمورد استفاده قرار گیرند :
1. سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
2.ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
3.نرم افزارهای ضد ویروس برای تشخیص انواع کرمها، ویروسها و ...
4.دیواره آتش Firewall مکانیزمهای امنیتی مانند SSL و Radius و ...
به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند:
1.چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
2. تمام تهدیدات خارج از دیواره آتش نیستند.
3.امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود :Active ، Java Applet، Virus Programs.
قدم اول در فهم اینکه Honey pot چه می باشند بیان تعریفی جامع از آن است. تعریف Honey pot می تواند سخت تر از آنچه که به نظر می رسد باشد. Honey pot ها از این جهت که هیچ مشکلی را برای ما حل نمی کنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند. در عوض آنها یک ابزار قابل انعطافی می باشند که به شکلهای مختلفی قابل استفاده هستند.آنها هر کاری را می توانند انجام دهند از کشف حملات پنهانی در شبکه های IPv6 تا ضبط آخرین کارت اعتباری جعل شده! و همین انعطاف پذیریها باعث شده است که Honey pot ها ابزارهایی قوی به نظر برسند و از جهتی نیز غیر قابل تعریف و غیر قابل فهم!!
یک Honey pot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
به صورت کلی تمامی Honey pot ها به همین صورت کار می کنند. آنها یک منبعی از فعالیتها بدون مجوز می باشند. به صورت تئوری یک Honey pot نباید هیچ ترافیکی از شبکه ما را اشغال کند زیرا آنها هیچ فعالیت قانونی ندارند. این بدان معنی است که تراکنش های با یک Honey pot تقریبا تراکنش های بی مجوز و یا فعالیتهای بد اندیشانه می باشد. یعنی هر ارتباط با یک Honey pot می تواند یک دزدی ، حمله و یا یک تصفیه حساب می باشد. حال آنکه مفهوم آن ساده به نظر می رسد ( و همین طور هم است) و همین سادگی باعث این هم موارد استفاده شگفت انگیز از Honey pot ها شده است .
