سیستم پیشگیری از نفوذ در شبکه (IPS) چیست؟

IPS به چه معناست؟

برای اکثر کاربران، فایروال یک روش آزمایش شده و تجربه شده برای محافظت از سیستم یا شبکه خود در برابر حملات خارج است. یک سیستم پیشگیری از نفوذ مناسب (IPS) یک مکمل توصیه شده برای این مکانیسم حفاظتی است. این سیستم در دو مرحله کار می‌کند. اول وظایف یک سیستم تشخیص نفوذ (IDS) را انجام می‌دهد و میزبان، شبکه یا هر دو را برای شناسایی سریع فعالیت‌های غیرمجاز با ایجاد الگوها و مقایسه آن‌ها با ترافیک بلادرنگ نظارت می‌کند. مرحله دوم زمانی وارد عمل می‌شود که سیستم پیشگیری از نفوذ یک تهدید را شناسایی کند، در این مرحله می‌تواند اقدامات متقابل مناسب را آغاز کند.

تفاوت بین سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در این است که سیستم جلوگیری از نفوذ فقط یک هشدار برای مدیر ارسال می‌کند. از سوی دیگر، سیستم جلوگیری از نفوذ، به طور فعال مداخله می‌کند، بسته‌های داده را مسدود می‌کند یا اتصالات آسیب پذیر را قطع می‌کند در مرحله اول، مهم است که سیستم جلوگیری از نفوذ به طور مناسب پیکربندی شود تا از همه تهدیدات بدون ایجاد مانع در جریان کار جلوگیری شود. علاوه بر این، همکاری نزدیک بین IPS و فایروال برای حفاظت بهینه بسیار مهم است. به طور معمول، سیستم جلوگیری از نفوذ مستقیماً در پشت فایروال قرار می‌گیرد و از سنسورها برای ارزیابی کامل داده‌های سیستم و بسته‌های شبکه استفاده می‌کند.

چه نوع سیستم‌های جلوگیری از نفوذ وجود دارد؟

انواع مختلفی از سیستم‌های جلوگیری از نفوذ وجود دارد که در درجه اول در مکان استقرار آنها متفاوت است.

• سیستم‌های پیشگیری از نفوذ مبتنی بر میزبان : IPS مبتنی بر میزبان (HIPS) مستقیماً بر روی دستگاه‌های نهایی جداگانه نصب می‌شوند، جایی که آنها به طور انحصاری داده‌های ورودی و خروجی را نظارت می‌کنند. در نتیجه، قابلیت‌های دفاعی فعال آن‌ها به دستگاه خاصی که روی آن نصب شده‌اند محدود می‌شود. HIPS اغلب در ارتباط با روش‌های امنیتی گسترده‌تر مورد استفاده قرار می‌گیرد و سیستم پیشگیری از نفوذ مبتنی بر میزبان به عنوان آخرین خط دفاعی عمل می‌کند.
• سیستم‌های پیشگیری از نفوذ مبتنی بر شبکه : IPS مبتنی بر شبکه (NIPS) به‌طور استراتژیک در مکان‌های متعددی در یک شبکه قرار می‌گیرد تا حجم زیادی از بسته‌های داده در حال گردش در آن را بررسی کند. آنها را می‌توان از طریق دستگاه‌های اختصاصی یا داخل فایروال‌ها مستقر کرد. این راه‌اندازی امکان اسکن و حفاظت جامع از تمام سیستم‌های متصل به شبکه را فراهم می‌کند.
• سیستم‌های پیشگیری از نفوذ بی سیم : WIPS (سیستم پیشگیری از نفوذ بی سیم) به طور ویژه برای کار در یک شبکه WLAN طراحی شده است. در صورت دسترسی غیرمجاز، IPS دستگاه مربوطه را مکان یابی کرده و آن را از محیط حذف می‌کند.
• سیستم‌های پیشگیری از نفوذ رفتاری : تحلیل رفتار شبکه (NBA) برای مبارزه با حملات DDoS توصیه می‌شود. این همه ترافیک داده‌ها را بررسی می‌کند و بنابراین می‌تواند حملات را از قبل شناسایی و از آن جلوگیری کند.

بیشتر بخوانید: جلوگیری از هک رمز عبور(پسورد) وای فای

سیستم پیشگیری از نفوذ چگونه کار می‌کند؟

نقش یک سیستم پیشگیری از نفوذ شامل دو جنبه اصلی است. اولاً، باید تهدیدات بالقوه را شناسایی، از قبل فیلتر، تجزیه و تحلیل و گزارش کند که اساساً شبیه به یک سیستم تشخیص نفوذ است. علاوه بر این، سیستم پیشگیری از نفوذ اقدامات پیشگیرانه‌ای را در پاسخ به یک تهدید انجام می‌دهد و اقدامات پیشگیرانه خود را فعال می‌کند. در هر دو سناریو، IPS طیف وسیعی از روش‌ها را در اختیار دارد.

روش‌های تحلیل IPS

• تشخیص ناهنجاری : تشخیص ناهنجاری شامل مقایسه رفتار شبکه یا دستگاه نهایی با یک استاندارد از پیش تعریف شده است. انحرافات قابل توجه از این استاندارد، سیستم جلوگیری از نفوذ را به اتخاذ اقدامات متقابل مناسب ترغیب می‌کند. با این حال، بسته به پیکربندی، این روش همچنین می‌تواند منجر به هشدارهای نادرست مکرر شود. به همین دلیل نیز، سیستم‌های مدرن به طور فزاینده‌ای بر هوش مصنوعی تکیه می‌کنند تا میزان خطا را به میزان قابل توجهی کاهش دهند.
• تشخیص سوء استفاده : در این روش، بسته‌های داده برای صورت‌های شناخته شده حملات مورد بررسی قرار می‌گیرند. این نوع سیستم پیشگیری از نفوذ، نرخ‌های تشخیص قوی را برای تهدیدات تثبیت شده نشان می‌دهد و آنها را با درجه بالایی از اطمینان شناسایی می‌کند. با این حال، در برابر حملات جدید و ناشناخته قبلی کمتر مؤثر است.
• IPS مبتنی بر سیاست(Policy) : سیستم پیشگیری از نفوذ مبتنی بر سیاست در مقایسه با دو روشی که قبلاً مورد بحث قرار گرفت، کمتر مورد استفاده قرار می‌گیرد. برای اجرای این رویکرد، ابتدا باید سیاست‌های امنیتی منحصر به فرد و خاص پیکربندی شود. این سیاست‌ها به عنوان پایه‌ای برای نظارت بر سیستم مربوطه عمل می‌کنند.

مکانیسم‌های دفاعی IPS

سیستم جلوگیری از نفوذ در زمان واقعی بدون ایجاد مانع در جریان داده عمل می‌کند. هنگامی که یک تهدید از طریق روش‌های نظارتی که قبلا توضیح داده شد شناسایی می‌شود، IPS چندین گزینه پاسخ را ارائه می‌دهد. در شرایط کمتر بحرانی، مشابه IDS، یک اعلان برای اقدام بیشتر به مدیر ارسال می‌کند. با این حال، در موارد شدیدتر، سیستم پیشگیری از نفوذ اقدام مستقلی انجام می‌دهد. این می‌تواند مسیرهای انتقال را مختل و بازنشانی کند، منابع یا مقصدها را مسدود کند یا حتی بسته‌های داده را به طور کامل دور بیندازد.

مزایای سیستم جلوگیری از نفوذ چیست؟

استقرار استراتژیک یک سیستم جلوگیری از نفوذ مزایای زیادی برای کاربران ارائه می‌دهد. مهمتر از همه، با شناسایی خطراتی که ممکن است توسط ابزارهای دیگر مورد توجه قرار نگیرد، امنیت کلی را افزایش می‌دهد. از طریق پیش فیلتر کردن، سیستم جلوگیری از نفوذ نیز بار دیگر مکانیسم‌های امنیتی را کاهش می‌دهد و از کل زیرساخت محافظت می‌کند. گزینه‌های پیکربندی، سفارشی‌سازی دقیق IPS را برای برآوردن نیازهای خاص امکان‌پذیر می‌سازد. با پیکربندی موفقیت آمیز، سیستم به طور مستقل عمل می‌کند و در نتیجه مزیت قابل توجهی در صرفه جویی در زمان ایجاد می‌کند.

معایب سیستم جلوگیری از نفوذ چیست؟

اگر به درستی استفاده شود، یک سیستم جلوگیری از نفوذ امنیت شبکه را به میزان قابل توجهی افزایش می‌دهد. با این حال، برخی از اشکالات احتمالی مرتبط با این رویکرد نیز وجود دارد. علاوه بر محدودیت‌های ذکر شده قبلی در مورد تشخیص ناهنجاری و سوء استفاده، نگرانی قابل توجهی در مورد نیازهای سخت افزاری وجود دارد. سیستم‌های پیشگیری از نفوذ معمولاً منابع قابل توجهی را طلب می‌کنند که همزمان با اندازه شبکه افزایش می‌یابد. بنابراین، ارزش واقعی آنها زمانی محقق می‌شود که ظرفیت‌های آنها با خواسته‌های شبکه هماهنگ شود. علاوه بر این، پیکربندی می‌تواند چالش برانگیز باشد، به ویژه برای افراد غیر متخصص. تنظیمات کمتر از حد مطلوب ممکن است منجر به مشکلات شبکه شود.