جستجو برای:
  • صفحه اصلی
  • دوره ها
    • حساب کاربری
    • سبد خرید
  • مقالات
 
  • دانلودها
  • تدریس در ساینت
ساینت
  • صفحه اصلی
  • دوره ها
    • آزمون ها
    • حساب کاربری
    • سبد خرید
    • پرداخت
  • مقالات
  • ساینت TV
  • لایسنس اسپلانک
  • درباره ما
  • اساتید
0
ورود / عضویت

بلاگ

ساینت مقالات امنیت شبکه IPS چیست و چگونه کار میکند به همراه ۶ نکته در مورد پیاده سازی

IPS چیست و چگونه کار میکند به همراه ۶ نکته در مورد پیاده سازی

2021/06/16
ارسال شده توسط ساینت
امنیت شبکه
4.47k بازدید
IPS چیست
زمان مطالعه: ۶ دقیقه

سیستم پیشگیری از نفوذ IPS چیست؟

یک سیستم پیشگیری از نفوذ Intrusion Prevention System و یا به اختصار (IPS) یک راه حل امنیتی است که امنیت را در برابر دسترسی غیرمجاز و فعالیت های مخرب در سطح شبکه فراهم می کند. بر خلاف سیستم تشخیص نفوذ (IDS) که فقط بر ترافیک شبکه نظارت می کند، یک IPS همچنین در برابر حملاتی که در شبکه اتفاق می افتد، سیستم ها را محافظت می کند. وظیفه اصلی یک سیستم پیشگیری از نفوذ، تجزیه و تحلیل کلیه ترافیک شبکه برای فعالیت های مشکوک و انجام اقدامات فوری برای جلوگیری از ورود متجاوزان به شبکه داخلی است.

IPS با شناسایی و پیشگیری از رسیدن ترافیک مخرب به سیستم ها از آنها محافظت میکند.

سیستم IPS، در صورت استقرار صحیح، بلافاصله بسته های داده ناخواسته یا مخرب شناسایی شده را Drop می کند. بسته هایی که ممکن است موجب آسیب به شبکه و منابع داخل آن شوند. یک سیستم پیشگیری از نفوذ می تواند در برابر حملات امنیتی مختلف شبکه مانند حملات Brute Force، حملات انکار سرویس (DoS) و تشخیص آسیب پذیری کاملاً مفید باشد. علاوه بر این IPS همچنین از اجرای اکسپلویت روی سیستم جلوگیری میکند.

سیستم پیشگیری از نفوذ همچنین به عنوان راه حل امنیتی فعال شناخته می شود زیرا نه تنها تهدیدات امنیتی احتمالی شبکه را شناسایی می کند بلکه اقدام فوری را نیز علیه آن انجام می دهد تا از حمله فعلی و موارد مشابهی که متجاوزان ممکن است در آینده انجام دهند جلوگیری کند. عملکردهای دیگری که یک سیستم پیشگیری از نفوذ می تواند انجام دهد شامل موارد زیر است:

  • IP آدرس های منابع حمله را بلاک میکند.
  • کانکشن های TCP را ریست میکند.
  • خطای CRC را اطلاح میکند.
  • توالی پکت های TCP را بررسی میکند.

IPS چگونه کار می کند

سیستم پیشگیری از نفوذ IPS چگونه کار می کند؟

یک سیستم پیشگیری از نفوذ به دلیل داشتن قابلیت های پیشگیری از تهدیدهای پیشرفته، یک راه حل بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک سیستم پیشگیری از نفوذ در حالت in-line کار می کند. این شامل یک سنسور است که به طور مستقیم در مسیر واقعی ترافیک شبکه قرار دارد، که هنگام عبور بسته ها از طریق آن، تمام ترافیک شبکه را بازرسی می کند. حالت in-line به سنسور اجازه می دهد تا در حالت پیشگیری که در آن بازرسی بسته واقعی را انجام می دهد، کار کند. به همین دلیل، هر بسته مشکوک یا مضر شناسایی شده فوراً Drop می شود.

یک سیستم پیشگیری از نفوذ می تواند به جهت شناسایی هرگونه فعالیت مخرب در شبکه، هر یک از اقدامات زیر را انجام دهد:

  • جلسه TCP که توسط یک شخص خارجی برای حمله مورد سوء استفاده قرار می گیرد را خاتمه می دهد. این حساب کاربری متخلف یا آدرس IP منبع را که سعی در دسترسی به هاست، برنامه یا سایر منابع غیر اخلاقی دارد، مسدود می کند.
  • به محض اینکه IPS یک واقعه نفوذ را تشخیص داد، می تواند دیوار آتش را مجدداً تنظیم یا مجدداً برنامه ریزی کند تا از بروز حملات مشابه در آینده جلوگیری کند.
  • فن آوری های IPS همچنین به اندازه کافی هوشمند هستند تا محتوای مخرب حمله را جایگزین یا حذف کنند. هنگامی که به عنوان پراکسی استفاده می شود، IPS درخواست های دریافتی را تنظیم می کند. برای انجام این کار، payload ها را بررسی می کند و اطلاعات هدر را که درخواست های دریافتی در آن قرار دارند، حذف می کند. همچنین این قابلیت را دارد که پیوست های آلوده را از طریق ایمیل قبل از ارسال به گیرنده خود در شبکه داخلی حذف کند.

سیستم پیشگیری از نفوذ از چهار نوع رویکرد برای تأمین امنیت شبکه در مقابل هجوم استفاده می کند که عبارتند از:

  1. مبتنی بر امضا: در رویکرد مبتنی بر امضا (signature–based) امضاهای از پیش تعریف شده یا الگوهای حملات شبکه شناخته شده توسط فروشندگان در دستگاه IPS رمزگذاری می شوند. الگوهای از پیش تعریف شده سپس با مقایسه الگوهای موجود در حمله، در برابر الگوهای موجود در IPS، برای شناسایی حمله مورد استفاده قرار می گیرند. از این روش همچنین به عنوان روش Pattern-Matching یاد می شود.
  2. مبتنی بر ناهنجاری: در رویکرد مبتنی بر ناهنجاری (Anomaly-based)، در صورت مشاهده هرگونه رفتار یا فعالیت غیر عادی در شبکه، IPS دسترسی به دستگاه مورد نظر را مطابق معیارهای تعریف شده توسط مدیران مسدود می کند. این روش همچنین به عنوان رویکرد مبتنی بر Profile شناخته می شود.
  3. مبتنی بر خط مشی: با رویکرد مبتنی بر خط مشی ، مدیران خط مشی های امنیتی را براساس زیرساخت های شبکه و خط مشی های سازمان خود پیکربندی می کنند. اگر یک فعالیت برای نقض خط مشی های امنیتی پیکربندی شده، IPS زنگ خطر را برای هشدار به مدیران درباره فعالیت مخرب ایجاد کند.
  4. مبتنی بر پروتکل: این رویکرد تا حدودی شبیه رویکرد مبتنی بر امضا است. تنها تفاوت بین رویکرد مبتنی بر امضا و رویکرد مبتنی بر پروتکل در این است که دومی می تواند بازرسی بسته داده های بسیار عمیق تری را انجام دهد و در تشخیص تهدیدات امنیتی نسبت به امضای مبتنی بر مقاومت بسیار مقاوم تر است.

انواع IPS

سیستم پیشگیری از نفوذ IPS مبتنی بر میزبان (Host IPS): یک IPS مبتنی بر میزبان یک برنامه نرم افزاری است که بر روی سیستم های خاص مانند سرور، نوت بوک یا دسک تاپ نصب شده است. این Agent ها یا برنامه های مستقر در میزبان فقط از سیستم عامل و برنامه هایی که روی آن هاست های خاص نصب شده اند محافظت می کنند. یک برنامه IPS مبتنی بر میزبان یا حمله به سیستم عمل و نرم افزارهای نصب شده روی آن را مسدود می کند.

سیستم پیشگیری از نفوذ مبتنی بر شبکه (Network IPS): یک تجهیز سخت افزاری مبتنی بر شبکه است که در حالت in-line درشبکه مستقر می شود. در IPS مبتنی بر شبکه، کلیه ترافیک شبکه ورودی و خروجی  برای تهدیدات امنیتی احتمالی مورد بازرسی قرار میگیرد. به محض شناسایی IPS، بسته اطلاعات مخرب را مسدود یا می کند تا از رسیدن آن به هدف مورد نظر جلوگیری کند.

network IPS

فایروال های نسل جدید که دارای ویژگی IPS هستند مبتنی بر شبکه است حداقل شامل دو کارت رابط شبکه (NIC) است. یکی به عنوان NIC داخلی انتخاب شده و به شبکه داخلی سازمان وصل می شود. NIC دیگر به عنوان خارجی انتخاب می شود و به پیوند خارجی متصل می شود که در بیشتر موارد اینترنت است.

از آنجا که ترافیک در هر یک از NIC ها دریافت می شود، توسط موتور تشخیص NIPS یکپارچه مورد بازرسی قرار می گیرد. اگر NIPS یک بسته اطلاعات مخرب را درک کند ، بلافاصله بسته داده را Drop می کند و به پرسنل امنیت شبکه در مورد این رویداد هشدار می دهد. پس از شناسایی یک بسته مخرب از منبع، بلافاصله سایر بسته های دیگر که از آن اتصال TCP خاص به دست می آیند را دور می ریزد، یا جلسه را برای همیشه مسدود می کند.

نکاتی در مورد قرار دادن IPS در شبکه

با در نظر گرفتن این ۶ نکته پیاده سازی IPS در شبکه بیسار ساده خواهد شد:

  1. قرار دادن IPS در جای مناسب . دو مورد اصلی را در نظر بگیرید توان دستگاه در برابر ترافیکی که به آن ارسال میکنید . و به شیوه ای در مسیر قرار بگیرد که ترافیک از روی آن رد شود . IPS شما به طور کلی در لبه شبکه قرار می گیرد ، مانند بلافاصله پس از یک فایروال اینترنت یا در پیش از رسیدن ترافیک به سرورهای شما. IPS را در جایی جایی قرار دهید که ترافیک ابتدا توسط فایروال فیلتر شده باشد .
  2.  IPS را با توجه به سناریوی شبکه خود تنظیم کنید. شما اطلاعات بیشتری در مورد شبکه خود از IPS می دانید. شما سیستم های عامل سرور ، آدرس های IP و زیر شبکه ها ، پروتکل های برنامه و پورت ها را می شناسید. هرچه دانش بیشتری به پیکربندی IPS وارد کنید ، IPS قادر به گرفتن حملات خواهد بود (به خصوص در پروتکل ها یا پورت های غیرمعمول) و احتمال کمتری دارد که باعث مثبت کاذب false positives شود.

به همین دلیل IPS های کلاس سازمانی دارای انعطاف پذیری قابل توجهی در تنظیمات هستند: پیکربندی جامع IPS را در آنچه انجام می دهد بهتر می کند. برنامه ریزی کنید تا با آموزش هرچه بیشتر در مورد شبکه خود از قدرت IPS خود استفاده کنید.

  1. به HA فکر کنید. وقتی IPS را در مسیری مهم برای ترافیک قرار می دهید، باید برنامه ای را برای انجام کار خود در هنگام بروز مشکل سخت افزاری یا نرم افزاری تهیه کنید. بعضی از IPS ها قابلیت عدم بازرسی ترافیک در صورت وجود اشکال در سیستم را دارند .

قبل از استقرار کامل، مطمئن شوید که ابزارهای مانیتورینگ شما قادر خواهند بود تشخیص دهند که IPS متوقف شده است یا خیر. همچنین برنامه مشخصی را داشته باشید تا اگر IPS متوقف شود چه کاری انجام دهید و اگر مشکلی پیش بیاید، بتوانید آن را از مدار خارج کنید.

 

  1. در ابتدای راه اندازی IPS خود را در حالت یادگیری (Learning_Mode) قرار دهید تا بتواند ترافیک شبکه شما را شناسایی و یاد بگیرد. مدتی وقت بگذارید تا مطمین شوید IPS شما درست کار میکند. شما تمام این سالها بدون IPS رفته اید – چند هفته بیشتر شما را نمی کشد. با IPS، یک دوره آزمایش طولانی تر و سخت تر از آنچه ممکن است با سایر دستگاه های زیرساختی داشته باشید، انجام دهید.
  2. برای کارکردن با IPS خود آموزش ببیند. IPS های Enterprise و کنسول های مدیریت آنها معمولاً بسیار پیچیده هستند. آموزش IPS چه به صورت دوره و یا خودآموز، به شما این امکان را می دهد که بیشتر از محصول انتخاب شده خود بهتر و بیشتراستفاده کنید.
  3. برای بهینه سازی IPS خود تلاش کنید هر IPS نیاز به بهینه سازی و بروز رسانی مداوم دارد. بروز رسانی ممکن است آنلاین و یا آفلاین از طریق فایل انجام گیرد.

در پایان از تجربه خودتون با سیستم IPS برامون بنویسد.

اشتراک گذاری:
برچسب ها: IPSسیستم IPSسیستم پیشگیری از نفوذ
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید
  • چگونه یک متخصص امنیت سایبری شویم
    چگونه یک متخصص امنیت سایبری شویم؟ نقشه راه و دوره های مورد نیاز

    16.9k بازدید

  • کلاهبرداری های اس ام اسی ایران
    رشد سریع کلاه برداری های SMSای در ایران

    1.16k بازدید

  • CSRF چیست
    حمله CSRF چیست؟ و راهکارهای مقابله با آن

    3.04k بازدید

  • bgp hijacking چیست
    BGP Hijacking چیست؟ و چگونه انجام می شود

    1.55k بازدید

  • تهدیدهای مدرن امنیت سایبری
    تهدیدهای مدرن امنیت سایبری چیست؟

    1.36k بازدید

  • امنیت زیرساخت
    امنیت زیرساخت (Infrastructure Security) چیست؟

    1.54k بازدید

قدیمی تر حملات DDoS و 6 راهکارِ مقابله با آن
جدیدتر کنترل دسترسی شبکه (Network Access Control) چیست؟
جستجو برای:
جدیدترین نوشته ها
  • چگونه یک متخصص امنیت سایبری شویم؟ نقشه راه و دوره های مورد نیاز
  • رشد سریع کلاه برداری های SMSای در ایران
  • حمله CSRF چیست؟ و راهکارهای مقابله با آن
  • ترانک (Trunk) چیست؟ و چگونه کار می کند.
  • پروتکل ARP چیست؟ و چگونه کار می کند
  • IPv6 چیست؟ و چگونه کار می کند
  • Spanning-Tree چیست؟ و چگونه کار می کند
  • VTP چیست؟ و چگونه کار می کند
  • VLAN چیست؟ و چگونه کار می کند
  • پروتکل مسیریابی ISIS چیست و چگونه کار می کند
محصولات
  • دوره آموزش CISSP2021
    دوره آموزش CISSP
  • دوره آموزش CEH
    دوره آموزش CEH V11
  • دوره آموزش FortiGate
    دوره آموزش فایروال FortiGate
  • دوره آموزش Security+
    دوره آنلاین آموزش CompTIA Security+
  • آموزش eve
    آموزش کامل شبیه ساز شبکه EVE-NG
دوره سکیوریتی پلاس
درباره ساینت

مجموعه آموزشی ساینت ارائه دهنده بروز ترین آموزشهای ویدئویی در زمینه امنیت شبکه با بالاترین کیفیت میباشد.

اطلاعات تماس:
  • 09191461822

دوره های امنیت

  • آموزش امنیت شبکه
  • مقالات امنیت شبکه
  • آموزش Security+
  • آموزش CISSP
  • آموزش eve
  • آموزش FortiGate
  • آموزش CEH
  • امنیت سایبری
  • آموزش امنیت
  • امنیت شبکه
  • امنیت لایه ۲
  • مدارک سیسکو
  • دوره CEH
اطلاع از فروش‌های ویژه!
برای اطلاع از جدیدترین دوره‌ها کارگاه‌ها و محصولات آموزشی و فروش‌های ویژه، همین الان ایمیل‌تان را وارد کنید تا به شما خبر بدهیم!

مجوزها
ساینت در زمینه آموزش امنیت و شبکه، تحت قوانین جمهوری اسلامی ایران فعالیت می‌کند. استفاده از مطالب با ذکر منبع و لینک مستقیم مجاز است.
ورود ×
کد تایید
لطفاً کد تأیید ارسال شده را تایپ کنید
ثبت
ورود با گوگل
ورود با کد یکبارمصرف
ارسال مجدد کد یکبار مصرف(00:30)
آیا حساب کاربری ندارید؟
ثبت نام
ورود با گوگل
ارسال مجدد کد یکبار مصرف (00:30)
برگشت به ورود
  • (+98) ایران

ورود

رمز عبور را فراموش کرده اید؟

یا

ارسال مجدد کد یکبار مصرف (00:30)

هنوز عضو نشده اید؟ عضویت در سایت