IPS چیست و چگونه کار میکند به همراه ۶ نکته در مورد پیاده سازی

زمان مطالعه: ۶ دقیقه

سیستم پیشگیری از نفوذ IPS چیست؟

یک سیستم پیشگیری از نفوذ Intrusion Prevention System و یا به اختصار (IPS) یک راه حل امنیتی است که امنیت را در برابر دسترسی غیرمجاز و فعالیت های مخرب در سطح شبکه فراهم می کند. بر خلاف سیستم تشخیص نفوذ (IDS) که فقط بر ترافیک شبکه نظارت می کند، یک IPS همچنین در برابر حملاتی که در شبکه اتفاق می افتد، سیستم ها را محافظت می کند. وظیفه اصلی یک سیستم پیشگیری از نفوذ، تجزیه و تحلیل کلیه ترافیک شبکه برای فعالیت های مشکوک و انجام اقدامات فوری برای جلوگیری از ورود متجاوزان به شبکه داخلی است.

IPS با شناسایی و پیشگیری از رسیدن ترافیک مخرب به سیستم ها از آنها محافظت میکند.

سیستم IPS، در صورت استقرار صحیح، بلافاصله بسته های داده ناخواسته یا مخرب شناسایی شده را Drop می کند. بسته هایی که ممکن است موجب آسیب به شبکه و منابع داخل آن شوند. یک سیستم پیشگیری از نفوذ می تواند در برابر حملات امنیتی مختلف شبکه مانند حملات Brute Force، حملات انکار سرویس (DoS) و تشخیص آسیب پذیری کاملاً مفید باشد. علاوه بر این IPS همچنین از اجرای اکسپلویت روی سیستم جلوگیری میکند.

سیستم پیشگیری از نفوذ همچنین به عنوان راه حل امنیتی فعال شناخته می شود زیرا نه تنها تهدیدات امنیتی احتمالی شبکه را شناسایی می کند بلکه اقدام فوری را نیز علیه آن انجام می دهد تا از حمله فعلی و موارد مشابهی که متجاوزان ممکن است در آینده انجام دهند جلوگیری کند. عملکردهای دیگری که یک سیستم پیشگیری از نفوذ می تواند انجام دهد شامل موارد زیر است:

• IP آدرس های منابع حمله را بلاک میکند.
• کانکشن های TCP را ریست میکند.
• خطای CRC را اطلاح میکند.
• توالی پکت های TCP را بررسی میکند.

سیستم پیشگیری از نفوذ IPS چگونه کار می کند؟

یک سیستم پیشگیری از نفوذ به دلیل داشتن قابلیت های پیشگیری از تهدیدهای پیشرفته، یک راه حل بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک سیستم پیشگیری از نفوذ در حالت in-line کار می کند. این شامل یک سنسور است که به طور مستقیم در مسیر واقعی ترافیک شبکه قرار دارد، که هنگام عبور بسته ها از طریق آن، تمام ترافیک شبکه را بازرسی می کند. حالت in-line به سنسور اجازه می دهد تا در حالت پیشگیری که در آن بازرسی بسته واقعی را انجام می دهد، کار کند. به همین دلیل، هر بسته مشکوک یا مضر شناسایی شده فوراً Drop می شود.

یک سیستم پیشگیری از نفوذ می تواند به جهت شناسایی هرگونه فعالیت مخرب در شبکه، هر یک از اقدامات زیر را انجام دهد:

• جلسه TCP که توسط یک شخص خارجی برای حمله مورد سوء استفاده قرار می گیرد را خاتمه می دهد. این حساب کاربری متخلف یا آدرس IP منبع را که سعی در دسترسی به هاست، برنامه یا سایر منابع غیر اخلاقی دارد، مسدود می کند.
• به محض اینکه IPS یک واقعه نفوذ را تشخیص داد، می تواند دیوار آتش را مجدداً تنظیم یا مجدداً برنامه ریزی کند تا از بروز حملات مشابه در آینده جلوگیری کند.
• فن آوری های IPS همچنین به اندازه کافی هوشمند هستند تا محتوای مخرب حمله را جایگزین یا حذف کنند. هنگامی که به عنوان پراکسی استفاده می شود، IPS درخواست های دریافتی را تنظیم می کند. برای انجام این کار، payload ها را بررسی می کند و اطلاعات هدر را که درخواست های دریافتی در آن قرار دارند، حذف می کند. همچنین این قابلیت را دارد که پیوست های آلوده را از طریق ایمیل قبل از ارسال به گیرنده خود در شبکه داخلی حذف کند.

سیستم پیشگیری از نفوذ از چهار نوع رویکرد برای تأمین امنیت شبکه در مقابل هجوم استفاده می کند که عبارتند از:

1. مبتنی بر امضا: در رویکرد مبتنی بر امضا (signature–based) امضاهای از پیش تعریف شده یا الگوهای حملات شبکه شناخته شده توسط فروشندگان در دستگاه IPS رمزگذاری می شوند. الگوهای از پیش تعریف شده سپس با مقایسه الگوهای موجود در حمله، در برابر الگوهای موجود در IPS، برای شناسایی حمله مورد استفاده قرار می گیرند. از این روش همچنین به عنوان روش Pattern-Matching یاد می شود.
2. مبتنی بر ناهنجاری: در رویکرد مبتنی بر ناهنجاری (Anomaly-based)، در صورت مشاهده هرگونه رفتار یا فعالیت غیر عادی در شبکه، IPS دسترسی به دستگاه مورد نظر را مطابق معیارهای تعریف شده توسط مدیران مسدود می کند. این روش همچنین به عنوان رویکرد مبتنی بر Profile شناخته می شود.
3. مبتنی بر خط مشی: با رویکرد مبتنی بر خط مشی ، مدیران خط مشی های امنیتی را براساس زیرساخت های شبکه و خط مشی های سازمان خود پیکربندی می کنند. اگر یک فعالیت برای نقض خط مشی های امنیتی پیکربندی شده، IPS زنگ خطر را برای هشدار به مدیران درباره فعالیت مخرب ایجاد کند.
4. مبتنی بر پروتکل: این رویکرد تا حدودی شبیه رویکرد مبتنی بر امضا است. تنها تفاوت بین رویکرد مبتنی بر امضا و رویکرد مبتنی بر پروتکل در این است که دومی می تواند بازرسی بسته داده های بسیار عمیق تری را انجام دهد و در تشخیص تهدیدات امنیتی نسبت به امضای مبتنی بر مقاومت بسیار مقاوم تر است.

انواع IPS

سیستم پیشگیری از نفوذ IPS مبتنی بر میزبان (Host IPS): یک IPS مبتنی بر میزبان یک برنامه نرم افزاری است که بر روی سیستم های خاص مانند سرور، نوت بوک یا دسک تاپ نصب شده است. این Agent ها یا برنامه های مستقر در میزبان فقط از سیستم عامل و برنامه هایی که روی آن هاست های خاص نصب شده اند محافظت می کنند. یک برنامه IPS مبتنی بر میزبان یا حمله به سیستم عمل و نرم افزارهای نصب شده روی آن را مسدود می کند.

سیستم پیشگیری از نفوذ مبتنی بر شبکه (Network IPS): یک تجهیز سخت افزاری مبتنی بر شبکه است که در حالت in-line درشبکه مستقر می شود. در IPS مبتنی بر شبکه، کلیه ترافیک شبکه ورودی و خروجی  برای تهدیدات امنیتی احتمالی مورد بازرسی قرار میگیرد. به محض شناسایی IPS، بسته اطلاعات مخرب را مسدود یا می کند تا از رسیدن آن به هدف مورد نظر جلوگیری کند.

فایروال های نسل جدید که دارای ویژگی IPS هستند مبتنی بر شبکه است حداقل شامل دو کارت رابط شبکه (NIC) است. یکی به عنوان NIC داخلی انتخاب شده و به شبکه داخلی سازمان وصل می شود. NIC دیگر به عنوان خارجی انتخاب می شود و به پیوند خارجی متصل می شود که در بیشتر موارد اینترنت است.

از آنجا که ترافیک در هر یک از NIC ها دریافت می شود، توسط موتور تشخیص NIPS یکپارچه مورد بازرسی قرار می گیرد. اگر NIPS یک بسته اطلاعات مخرب را درک کند ، بلافاصله بسته داده را Drop می کند و به پرسنل امنیت شبکه در مورد این رویداد هشدار می دهد. پس از شناسایی یک بسته مخرب از منبع، بلافاصله سایر بسته های دیگر که از آن اتصال TCP خاص به دست می آیند را دور می ریزد، یا جلسه را برای همیشه مسدود می کند.

نکاتی در مورد قرار دادن IPS در شبکه

با در نظر گرفتن این ۶ نکته پیاده سازی IPS در شبکه بیسار ساده خواهد شد:

1. قرار دادن IPS در جای مناسب . دو مورد اصلی را در نظر بگیرید توان دستگاه در برابر ترافیکی که به آن ارسال میکنید . و به شیوه ای در مسیر قرار بگیرد که ترافیک از روی آن رد شود . IPS شما به طور کلی در لبه شبکه قرار می گیرد ، مانند بلافاصله پس از یک فایروال اینترنت یا در پیش از رسیدن ترافیک به سرورهای شما. IPS را در جایی جایی قرار دهید که ترافیک ابتدا توسط فایروال فیلتر شده باشد .
2.  IPS را با توجه به سناریوی شبکه خود تنظیم کنید. شما اطلاعات بیشتری در مورد شبکه خود از IPS می دانید. شما سیستم های عامل سرور ، آدرس های IP و زیر شبکه ها ، پروتکل های برنامه و پورت ها را می شناسید. هرچه دانش بیشتری به پیکربندی IPS وارد کنید ، IPS قادر به گرفتن حملات خواهد بود (به خصوص در پروتکل ها یا پورت های غیرمعمول) و احتمال کمتری دارد که باعث مثبت کاذب false positives شود.

به همین دلیل IPS های کلاس سازمانی دارای انعطاف پذیری قابل توجهی در تنظیمات هستند: پیکربندی جامع IPS را در آنچه انجام می دهد بهتر می کند. برنامه ریزی کنید تا با آموزش هرچه بیشتر در مورد شبکه خود از قدرت IPS خود استفاده کنید.

3. به HA فکر کنید. وقتی IPS را در مسیری مهم برای ترافیک قرار می دهید، باید برنامه ای را برای انجام کار خود در هنگام بروز مشکل سخت افزاری یا نرم افزاری تهیه کنید. بعضی از IPS ها قابلیت عدم بازرسی ترافیک در صورت وجود اشکال در سیستم را دارند .

قبل از استقرار کامل، مطمئن شوید که ابزارهای مانیتورینگ شما قادر خواهند بود تشخیص دهند که IPS متوقف شده است یا خیر. همچنین برنامه مشخصی را داشته باشید تا اگر IPS متوقف شود چه کاری انجام دهید و اگر مشکلی پیش بیاید، بتوانید آن را از مدار خارج کنید.

 

4. در ابتدای راه اندازی IPS خود را در حالت یادگیری (Learning_Mode) قرار دهید تا بتواند ترافیک شبکه شما را شناسایی و یاد بگیرد. مدتی وقت بگذارید تا مطمین شوید IPS شما درست کار میکند. شما تمام این سالها بدون IPS رفته اید – چند هفته بیشتر شما را نمی کشد. با IPS، یک دوره آزمایش طولانی تر و سخت تر از آنچه ممکن است با سایر دستگاه های زیرساختی داشته باشید، انجام دهید.
5. برای کارکردن با IPS خود آموزش ببیند. IPS های Enterprise و کنسول های مدیریت آنها معمولاً بسیار پیچیده هستند. آموزش IPS چه به صورت دوره و یا خودآموز، به شما این امکان را می دهد که بیشتر از محصول انتخاب شده خود بهتر و بیشتراستفاده کنید.
6. برای بهینه سازی IPS خود تلاش کنید هر IPS نیاز به بهینه سازی و بروز رسانی مداوم دارد. بروز رسانی ممکن است آنلاین و یا آفلاین از طریق فایل انجام گیرد.

در پایان از تجربه خودتون با سیستم IPS برامون بنویسد.