جستجو برای:
  • صفحه اصلی
  • دوره ها
    • حساب کاربری
    • سبد خرید
  • مقالات
 
  • دانلودها
  • تدریس در ساینت
  • سبد خرید
ساینت
  • صفحه اصلی
  • دوره ها
    • آزمون ها
    • حساب کاربری
    • سبد خرید
    • پرداخت
    • استعلام گواهی‌نامه
  • مقالات
  • ساینت TV
  • لایسنس اسپلانک
  • درباره ما
  • اساتید
0
ورود / عضویت

بلاگ

ساینت مقالات امنیت شبکه معرفی کامل سیستم جلوگیری از نفوذ (IPS) و نحوه عملکرد آن در تامین امنیت شبکه

معرفی کامل سیستم جلوگیری از نفوذ (IPS) و نحوه عملکرد آن در تامین امنیت شبکه

1400/03/26
ارسال شده توسط ساینت
امنیت شبکه
8.32k بازدید
IPS چیست
زمان مطالعه: 6 دقیقه

سیستم پیشگیری از نفوذ IPS چیست؟

یک سیستم پیشگیری از نفوذ Intrusion Prevention System و یا به اختصار (IPS) یک راه حل امنیتی است که امنیت را در برابر دسترسی غیرمجاز و فعالیت های مخرب در سطح شبکه فراهم می کند. بر خلاف سیستم تشخیص نفوذ (IDS) که فقط بر ترافیک شبکه نظارت می کند، یک IPS همچنین در برابر حملاتی که در شبکه اتفاق می افتد، سیستم ها را محافظت می کند. وظیفه اصلی یک سیستم پیشگیری از نفوذ، تجزیه و تحلیل کلیه ترافیک شبکه برای فعالیت های مشکوک و انجام اقدامات فوری برای جلوگیری از ورود متجاوزان به شبکه داخلی است.

IPS با شناسایی و پیشگیری از رسیدن ترافیک مخرب به سیستم ها از آنها محافظت میکند.

سیستم IPS، در صورت استقرار صحیح، بلافاصله بسته های داده ناخواسته یا مخرب شناسایی شده را Drop می کند. بسته هایی که ممکن است موجب آسیب به شبکه و منابع داخل آن شوند. یک سیستم پیشگیری از نفوذ می تواند در برابر حملات امنیتی مختلف شبکه مانند حملات Brute Force، حملات انکار سرویس (DoS) و تشخیص آسیب پذیری کاملاً مفید باشد. علاوه بر این IPS همچنین از اجرای اکسپلویت روی سیستم جلوگیری میکند.

سیستم پیشگیری از نفوذ همچنین به عنوان راه حل امنیتی فعال شناخته می شود زیرا نه تنها تهدیدات امنیتی احتمالی شبکه را شناسایی می کند بلکه اقدام فوری را نیز علیه آن انجام می دهد تا از حمله فعلی و موارد مشابهی که متجاوزان ممکن است در آینده انجام دهند جلوگیری کند. عملکردهای دیگری که یک سیستم پیشگیری از نفوذ می تواند انجام دهد شامل موارد زیر است:

  • IP آدرس های منابع حمله را بلاک میکند.
  • کانکشن های TCP را ریست میکند.
  • خطای CRC را اطلاح میکند.
  • توالی پکت های TCP را بررسی میکند.

IPS چگونه کار می کند

سیستم پیشگیری از نفوذ IPS چگونه کار می کند؟

یک سیستم پیشگیری از نفوذ به دلیل داشتن قابلیت های پیشگیری از تهدیدهای پیشرفته، یک راه حل بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک سیستم پیشگیری از نفوذ در حالت in-line کار می کند. این شامل یک سنسور است که به طور مستقیم در مسیر واقعی ترافیک شبکه قرار دارد، که هنگام عبور بسته ها از طریق آن، تمام ترافیک شبکه را بازرسی می کند. حالت in-line به سنسور اجازه می دهد تا در حالت پیشگیری که در آن بازرسی بسته واقعی را انجام می دهد، کار کند. به همین دلیل، هر بسته مشکوک یا مضر شناسایی شده فوراً Drop می شود.

یک سیستم پیشگیری از نفوذ می تواند به جهت شناسایی هرگونه فعالیت مخرب در شبکه، هر یک از اقدامات زیر را انجام دهد:

  • جلسه TCP که توسط یک شخص خارجی برای حمله مورد سوء استفاده قرار می گیرد را خاتمه می دهد. این حساب کاربری متخلف یا آدرس IP منبع را که سعی در دسترسی به هاست، برنامه یا سایر منابع غیر اخلاقی دارد، مسدود می کند.
  • به محض اینکه IPS یک واقعه نفوذ را تشخیص داد، می تواند دیوار آتش را مجدداً تنظیم یا مجدداً برنامه ریزی کند تا از بروز حملات مشابه در آینده جلوگیری کند.
  • فن آوری های IPS همچنین به اندازه کافی هوشمند هستند تا محتوای مخرب حمله را جایگزین یا حذف کنند. هنگامی که به عنوان پراکسی استفاده می شود، IPS درخواست های دریافتی را تنظیم می کند. برای انجام این کار، payload ها را بررسی می کند و اطلاعات هدر را که درخواست های دریافتی در آن قرار دارند، حذف می کند. همچنین این قابلیت را دارد که پیوست های آلوده را از طریق ایمیل قبل از ارسال به گیرنده خود در شبکه داخلی حذف کند.

سیستم پیشگیری از نفوذ از چهار نوع رویکرد برای تأمین امنیت شبکه در مقابل هجوم استفاده می کند که عبارتند از:

  1. مبتنی بر امضا: در رویکرد مبتنی بر امضا (signature–based) امضاهای از پیش تعریف شده یا الگوهای حملات شبکه شناخته شده توسط فروشندگان در دستگاه IPS رمزگذاری می شوند. الگوهای از پیش تعریف شده سپس با مقایسه الگوهای موجود در حمله، در برابر الگوهای موجود در IPS، برای شناسایی حمله مورد استفاده قرار می گیرند. از این روش همچنین به عنوان روش Pattern-Matching یاد می شود.
  2. مبتنی بر ناهنجاری: در رویکرد مبتنی بر ناهنجاری (Anomaly-based)، در صورت مشاهده هرگونه رفتار یا فعالیت غیر عادی در شبکه، IPS دسترسی به دستگاه مورد نظر را مطابق معیارهای تعریف شده توسط مدیران مسدود می کند. این روش همچنین به عنوان رویکرد مبتنی بر Profile شناخته می شود.
  3. مبتنی بر خط مشی: با رویکرد مبتنی بر خط مشی ، مدیران خط مشی های امنیتی را براساس زیرساخت های شبکه و خط مشی های سازمان خود پیکربندی می کنند. اگر یک فعالیت برای نقض خط مشی های امنیتی پیکربندی شده، IPS زنگ خطر را برای هشدار به مدیران درباره فعالیت مخرب ایجاد کند.
  4. مبتنی بر پروتکل: این رویکرد تا حدودی شبیه رویکرد مبتنی بر امضا است. تنها تفاوت بین رویکرد مبتنی بر امضا و رویکرد مبتنی بر پروتکل در این است که دومی می تواند بازرسی بسته داده های بسیار عمیق تری را انجام دهد و در تشخیص تهدیدات امنیتی نسبت به امضای مبتنی بر مقاومت بسیار مقاوم تر است.

انواع IPS

سیستم پیشگیری از نفوذ IPS مبتنی بر میزبان (Host IPS): یک IPS مبتنی بر میزبان یک برنامه نرم افزاری است که بر روی سیستم های خاص مانند سرور، نوت بوک یا دسک تاپ نصب شده است. این Agent ها یا برنامه های مستقر در میزبان فقط از سیستم عامل و برنامه هایی که روی آن هاست های خاص نصب شده اند محافظت می کنند. یک برنامه IPS مبتنی بر میزبان یا حمله به سیستم عمل و نرم افزارهای نصب شده روی آن را مسدود می کند.

سیستم پیشگیری از نفوذ مبتنی بر شبکه (Network IPS): یک تجهیز سخت افزاری مبتنی بر شبکه است که در حالت in-line درشبکه مستقر می شود. در IPS مبتنی بر شبکه، کلیه ترافیک شبکه ورودی و خروجی  برای تهدیدات امنیتی احتمالی مورد بازرسی قرار میگیرد. به محض شناسایی IPS، بسته اطلاعات مخرب را مسدود یا می کند تا از رسیدن آن به هدف مورد نظر جلوگیری کند.

network IPS

فایروال های نسل جدید که دارای ویژگی IPS هستند مبتنی بر شبکه است حداقل شامل دو کارت رابط شبکه (NIC) است. یکی به عنوان NIC داخلی انتخاب شده و به شبکه داخلی سازمان وصل می شود. NIC دیگر به عنوان خارجی انتخاب می شود و به پیوند خارجی متصل می شود که در بیشتر موارد اینترنت است.

از آنجا که ترافیک در هر یک از NIC ها دریافت می شود، توسط موتور تشخیص NIPS یکپارچه مورد بازرسی قرار می گیرد. اگر NIPS یک بسته اطلاعات مخرب را درک کند ، بلافاصله بسته داده را Drop می کند و به پرسنل امنیت شبکه در مورد این رویداد هشدار می دهد. پس از شناسایی یک بسته مخرب از منبع، بلافاصله سایر بسته های دیگر که از آن اتصال TCP خاص به دست می آیند را دور می ریزد، یا جلسه را برای همیشه مسدود می کند.

نکاتی در مورد قرار دادن IPS در شبکه

با در نظر گرفتن این 6 نکته پیاده سازی IPS در شبکه بیسار ساده خواهد شد:

  1. قرار دادن IPS در جای مناسب . دو مورد اصلی را در نظر بگیرید توان دستگاه در برابر ترافیکی که به آن ارسال میکنید . و به شیوه ای در مسیر قرار بگیرد که ترافیک از روی آن رد شود . IPS شما به طور کلی در لبه شبکه قرار می گیرد ، مانند بلافاصله پس از یک فایروال اینترنت یا در پیش از رسیدن ترافیک به سرورهای شما. IPS را در جایی جایی قرار دهید که ترافیک ابتدا توسط فایروال فیلتر شده باشد .
  2.  IPS را با توجه به سناریوی شبکه خود تنظیم کنید. شما اطلاعات بیشتری در مورد شبکه خود از IPS می دانید. شما سیستم های عامل سرور ، آدرس های IP و زیر شبکه ها ، پروتکل های برنامه و پورت ها را می شناسید. هرچه دانش بیشتری به پیکربندی IPS وارد کنید ، IPS قادر به گرفتن حملات خواهد بود (به خصوص در پروتکل ها یا پورت های غیرمعمول) و احتمال کمتری دارد که باعث مثبت کاذب false positives شود.

به همین دلیل IPS های کلاس سازمانی دارای انعطاف پذیری قابل توجهی در تنظیمات هستند: پیکربندی جامع IPS را در آنچه انجام می دهد بهتر می کند. برنامه ریزی کنید تا با آموزش هرچه بیشتر در مورد شبکه خود از قدرت IPS خود استفاده کنید.

  1. به HA فکر کنید. وقتی IPS را در مسیری مهم برای ترافیک قرار می دهید، باید برنامه ای را برای انجام کار خود در هنگام بروز مشکل سخت افزاری یا نرم افزاری تهیه کنید. بعضی از IPS ها قابلیت عدم بازرسی ترافیک در صورت وجود اشکال در سیستم را دارند .

قبل از استقرار کامل، مطمئن شوید که ابزارهای مانیتورینگ شما قادر خواهند بود تشخیص دهند که IPS متوقف شده است یا خیر. همچنین برنامه مشخصی را داشته باشید تا اگر IPS متوقف شود چه کاری انجام دهید و اگر مشکلی پیش بیاید، بتوانید آن را از مدار خارج کنید.

 

  1. در ابتدای راه اندازی IPS خود را در حالت یادگیری (Learning_Mode) قرار دهید تا بتواند ترافیک شبکه شما را شناسایی و یاد بگیرد. مدتی وقت بگذارید تا مطمین شوید IPS شما درست کار میکند. شما تمام این سالها بدون IPS رفته اید – چند هفته بیشتر شما را نمی کشد. با IPS، یک دوره آزمایش طولانی تر و سخت تر از آنچه ممکن است با سایر دستگاه های زیرساختی داشته باشید، انجام دهید.
  2. برای کارکردن با IPS خود آموزش ببیند. IPS های Enterprise و کنسول های مدیریت آنها معمولاً بسیار پیچیده هستند. آموزش IPS چه به صورت دوره و یا خودآموز، به شما این امکان را می دهد که بیشتر از محصول انتخاب شده خود بهتر و بیشتراستفاده کنید.
  3. برای بهینه سازی IPS خود تلاش کنید هر IPS نیاز به بهینه سازی و بروز رسانی مداوم دارد. بروز رسانی ممکن است آنلاین و یا آفلاین از طریق فایل انجام گیرد.

در پایان از تجربه خودتون با سیستم IPS برامون بنویسد.

اشتراک گذاری:
برچسب ها: IPSآنالیز ترافیک شبکهابزارهای امنیت شبکهامنیت شبکهپایش شبکهتشخیص تهدیداتتشخیص نفوذسیستم تشخیص نفوذسیستم جلوگیری از نفوذشناسایی حملاتمحافظت از شبکه
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید
  • reverse shell چیست
    آشنایی با Reverse Shell و اهمیت آن در امنیت سایبری

    506 بازدید

  • آشنایی با beats
    آشنایی با Beats: ابزارهای جمع‌آوری داده در اکوسیستم ELK

    311 بازدید

  • راهنمای جامع PowerShell Remoting
    راهنمای جامع PowerShell Remoting: مدیریت از راه دور ویندوز به‌صورت امن و کارآمد

    330 بازدید

  • آشنایی با routersploite
    بررسی کامل Routersploit: ابزار تست نفوذ و ارزیابی امنیت روترها

    385 بازدید

  • همه چیز درباره +CompTIA A
    همه چیز درباره +CompTIA A: دروازه ورود به دنیای فناوری اطلاعات

    368 بازدید

  • امنیت در مجازی‌سازی
    بررسی امنیت در مجازی‌سازی: تهدیدات، چالش‌ها و راهکارها

    516 بازدید

قدیمی تر حملات DDoS چیست و چگونه از کسب‌وکار خود در برابر آن محافظت کنیم؟
جدیدتر کنترل دسترسی شبکه (Network Access Control) چیست؟
جدیدترین نوشته ها
  • کوکی (Cookie) چیست؟ راهنمای جامع برای درک کوکی‌ها در وب
  • تصاحب حساب کاربری (Account Takeover) چیست؟
  • بررسی سیاست منشأ یکسان (Same Origin Policy) و نقش آن در امنیت وب
  • مقایسه تخصصی بین WAF و Firewall با هدف درک کاربرد هرکدام
  • آشنایی با Reverse Shell و اهمیت آن در امنیت سایبری
  • HSTS (HTTP Strict Transport Security) چیست؟
  • آشنایی با Cipher Suite: سنگ‌بنای ارتباطات امن در شبکه‌های مدرن
  • ریورس پراکسی (Reverse Proxy) چیست؟
  • آشنایی با OWASP راهکاری کامل برای امنیت نرم‌افزارهای وب
  • راهنمای جامع SQLmap: ابزار قدرتمند برای شناسایی و بهره‌برداری از آسیب‌پذیری‌های SQL
محصولات
  • دوره آموزش فورتی وب
    دوره آموزش FortiWeb
  • دوره آموزش ارزیابی آسیب پذیری های با Nessus
    دوره آموزش ارزیابی آسیب‌پذیری‌ها با ابزار Nessus
  • دوره آموزش FortiGate
    دوره آموزش فایروال FortiGate
  • دوره آموزش CISSP2021
    دوره آموزش CISSP
  • آموزش eve
    آموزش کامل شبیه‌ساز شبکه EVE-NG
  • دوره آموزش CEH
    دوره آموزش CEH | آموزش هک اخلاقی(عملی و سناریو محور)
جدیدترین دوره:
آموزش Nessus
درباره ساینت

مجموعه آموزشی ساینت ارائه دهنده به‌روز ترین آموزش‌های ویدئویی در زمینه امنیت شبکه و امنیت سایبری با بالاترین کیفیت می‌باشد.

دوره های امنیت

  • آموزش امنیت شبکه
  • مقالات امنیت شبکه
  • آموزش +Security
  • آموزش CISSP
  • آموزش eve
  • آموزش FortiGate
  • آموزش CEH
  • امنیت سایبری
  • آموزش امنیت
  • امنیت شبکه
  • امنیت لایه 2
  • مدارک سیسکو
  • آموزش Nessus
  • آموزش FortiWeb
  • دوره CEH
مجوزها
ساینت در زمینه آموزش امنیت و شبکه، تحت قوانین کشور ایران فعالیت می‌کند. استفاده از مطالب با ذکر منبع و لینک مستقیم مجاز است.
ورود
استفاده از موبایل
استفاده از آدرس ایمیل
آیا هنوز عضو نیستید؟ اکنون عضو شوید
ورود با گوگل
بازنشانی رمز عبور
استفاده از موبایل
استفاده از آدرس ایمیل
عضویت
قبلا عضو شدید؟ اکنون وارد شوید
ورود با گوگل

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت