ips چیست و چه تفاوتی با IDS دارد؟

فرض کنید یک ایست بازرسی در ابتدای دروازه ورودی شبکه قرار گرفته باشد که هم تهدیدات و حملات احتمالی را به‌موقع شناسایی می‌کند، هم به‌صورت خودکار اقدام به مسدودسازی یا کاهش اثرات مخرب آن‌ها می‌نمایند.

سیستم IPS، نقش همین ایست بازرسی را دارد!

سیستم تشخص نفوذ (یا همان IPS) آنقدر کارراه‌انداز است که تقریباً تمام شبکه‌های معتبر از آن در کنار دیگر سازوکارهای امنیتی استفاده می‌کنند تا خیالشان از بابت عدم نفوذ راحت باشد. اول تعریف زیر را از این مفهوم داشته باشید تا برویم سراغ جزئیات بیشتر.

IPS چیست؟

اگر می‌پرسید IPS مخفف چیست، باید بگوییم مخفف Intrusion Prevention System و به معنای «سیستم تشخیص نفوذ» است.

به زبان ساده، IPS یک ابزار تأمین امنیت شبکه است که می‌تواند در قالب نرم‌افزار یا سخت‌افزار،‌ تمام ترافیک شبکه را رصد کند و به‌محض مشاهدۀ هر اتفاق یا اقدام مخرب و مشکوک، به‌صورت خودکار، اقدامات لازم برای جلوگیری از خطر را انجام می‌دهد.

ابزار دیگری هم با کاربرد و نام مشابه وجود دارد که در بخش بعد کمی بیشتر راجع‌به آن صحبت خواهیم کرد.

تفاوت IPS با IDS چیست؟

IDS هم درست مثل IPS وظیفۀ خطیر مانیتور کردن شبکه را بر عهده دارد؛ در واقع، بهتر است بگوییم IPS نسخۀ پیشرفته‌تر IDS است که در عین برخورداری از قابلیت‌های مشابه، توانایی‌های بیشتری دارد.

حالا بیایید ببینیم تفاوت ips و ids چیست.

برخلاف سیستم پیشگیری از نفوذ (یا همان IPS)، سیستم تشخیص نفوذ یا IDS (مخفف Intrusion Detection System) توانایی اقدام و مقابله با خطر را ندارد!
این ابزار ابتدایی‌تر، اخطار را برای نیروی انسانی می‌فرستد تا بعد از تجزیه‌وتحلیل اطلاعات، اقدام مناسب با توجه به نوع خطر، صورت بگیرد.

در خیلی مواقع، هکرها و مجرمان سایبری بلافاصله بعد از نفوذ، در مدت‌زمانی کوتاه زهر خود را به شبکه می‌ریزند و می‌توانند باعث خسارات سنگین و جبران‌ناپذیری شوند.
IPS چون می‌تواند اتوماتیک برای مقابله با خطرات اقدام کند، دست بالاتر را دارد و اجازه نمی‌دهد هکرها به هدف خود برسند؛ این را مقایسه کنید با سازوکار IDS که در آن، نیروی انسانی باید وارد عمل شود و شاید کار از کار بگذرد.

البته این را هم بگوییم که در بسیاری از مواقع، امکان اعمال تنظیمات خاص روی IPS وجود دارد و می‌توان آن را به یک IDS تبدیل کرد؛ یعنی ابزاری که فقط نفوذ را تشخیص می‌دهد و کار خاصی انجام نمی‌دهد (مثل این می‌ماند دندان‌های سگ نگهبان را بکشید!)

یکی دیگر از ابزارهای امنیتی که سازوکاری تقریباً مشابه با IPS دارد، فایروال است.

فرق IPS و فایروال چیست؟

قبلاً در مقالۀ “فایروال چیست؟ نحوۀ کار، مزایا و انواع Firewall” توضیح داده‌ایم که این به‌اصطلاح دیوارهای آتشین، موانعی هستند که از عبور ترافیک مشکوک و احتمالاً مخرب جلوگیری می‌کنند؛ با توجه به این موضوع و کاربرد تقریباً یکسان با IPS، آیا سیستم پیشگیری از نفوذ، نیاز به فایروال را از بین می‌برد؟!

نه! این‌طور نیست.

IPS سد دفاعی ثانویه‌ای است که پشت فایروال قرار می‌گیرد و ترافیک ورودی را یک بار دیگر بررسی می‌کند! هرقدر هم فایروال کارش را به‌درستی انجام دهد، بالاخره درصدی خطا وجود دارد و احتمالاً خطراتی از دید آن پنهان می‌مانند. اینجا IPS کارش را آغاز می‌کند و نمی‌گذار ترافیک مخرب به مقصد برسد.

پس فایروال در خط مقدم جبهۀ نبرد با هکرها قرار می‌گیرد و سیستم پیشگیری از نفوذ ایست‌ بازرسی‌ای است که پشت جبهه، با نفوذی‌هایی که موفق به گذر از سد دفاعی اولیه شده‌اند مقابله می‌کند!

نکته: خیلی از فایروال‌های امروزی، سیستم IPS را به‌صورت پیش‌فرض درون خود دارند!

حالا که می‌دانید ids/ips چیست و تفاوت این سیستم کارآمد با فایروال را یاد گرفتید، بیایید بپردازیم به طرز کار این ابزارها.

سازوکار سیستم‌های IPS چگونه است؟

گفتیم این سیستم‌ها سر راه ترافیکی قرار می‌گیرند که قصد ورود به شبکه را دارد؛ معمولاً پشت فایروال! بعد از اینکه ترافیک الک‌شده توسط فایروال به این سیستم‌ها می‌رسد، آن‌ها کارشان را با دقت حداکثری انجام می‌دهند تا دانه‌های ریزتری که از اَلَک فایروال عبور کردند را شناسایی کنند.

بعد از شناسایی، نوبت به انجام اقدامات لازم برای فع خطر می‌رسد. بسته به شرایط و نوع خطر، IPS ممکن است یکی از کارهای زیر را برای مقابله با ترافیک مشکوک انجام دهد:

• مسدود کردن دسترسی ترافیک (بلاک کردن): بسته به وضعیت، IPS اتصال کاربر را قطع یا یک IP به‌خصوص را کلاً بلاک می‌کند! حتی ممکن است دسترسی به شبکه برای همۀ کاربرها (به‌صورت موقت) مسدود شود.
• حذف محتویات خطرناک: ممکن است ترافیک بتواند به مسیرش ادامه دهد، اما بخش‌های مخرب آن توسط IPS حذف خواهند شد.
• فعال‌سازی دیگر سازوکارهای امنیتی: IPS می‌تواند سازوکارهای امنیتی مختلف را وادار به واکنش‌های مختلف بکند؛ مثلاً به‌روزرسانی قوانین تنظیم‌شده برای فایروال جهت مسدودسازی نوع خاصی از ترافیک؛ یا تغییر تنظیمات روتر برای منحرف کردن هکرها به مقصدی دیگر.
• اجرای ضوابط قانونی تعیین‌شده: IPS می‌تواند پیرو قوانین و ضوابطی که برایش تعریف می‌شوند، به‌شکل‌های مختلف با تخلفاتی که توسط هکرها و کاربرهای غیرمجاز انجام می‌گیرند برخورد کند.

تصویر زیر خیلی خوب نشان می‌دهد که طرز کار ips چیست:

در بخش بعدی، راجع‌به انواع روش‌های شناسایی این ابزارها صحبت می‌کنیم.

سیستم‌های IPS از چه تکنیک‌هایی برای شناسایی تهدیدات استفاده می‌کنند؟

انواع مختلف سیستم‌های پیشگیری از نفوذ، برای شناسایی تهدیدات به ۳ روش اصلی و ۲ روش کمتر رایج وابسته هستند. در این قسمت، با هر ۵  تکنیک آشنا خواهید شد.

۱) شناسایی مبتنی‌ بر امضا (Signature-based Detection)

این روش برای شناسایی انواع خطرات رایج‌تری به‌ کار می‌رود که الگوهای مشخصی دارند؛ برای مثال، یک تکه کد (یا هر امضای دیگری که مختص یک حملۀ به‌خصوص است) که در ترافیک وجود دارد. IPSهایی که با این سیستم کار می‌کنند، به یک دیتابیس حاوی اطلاعات راجع‌به خطرات سایبری رایج متصل هستند و می‌توانند حملات مرسوم سایبری را شناسایی کنند.

قاعدتاً دیتابیس مورد بحث باید دائماً با اطلاعات خطرات جدیدتر به‌روزرسانی شود و البته تأکید می‌کنیم این روش برای شناسایی خطرات ناشناخته‌تر فایده‌ای ندارد!

۲) شناسایی مبتنی بر ناهنجاری (Anomaly-based Detection)

هوش مصنوعی (AI) و یادگیری ماشین (Machine Learning) در این تکنیک نقش بسیار مهمی را بازی می‌کنند. این دو تکنولوژی در کنار هم، یک مدل کلی از رفتار نرمال ترافیک در شبکه درست کرده و به‌صورت مداوم آن را بهینه‌سازی می‌کنند. مدل‌ ساخته‌شده مبنا قرار می‌گیرد و سیستم پیشگیری از نفوذ، هر ترافیکی که قصد عبور داشته باشد را با آن مقایسه می‌کند.

برای مثال، اگر ترافیک عبوری پهنای باندی بیشتر از حد معمول مصرف می‌کند، IPS به آن مشکوک خواهد شد؛ چون یک ناهنجاری رخ داده است! یا مثلاً اگر یک دستگاه می‌خواهد پورتی که معمولاً بسته است را باز کند، باز هم رفتاری غیرمعمول رخ داده که مشکوک به نظر می‌رسد.

برخلاف تکنیک شناسایی مبتنی‌بر امضا که برای تشخیص خطرات شناخته‌شده کاربرد دارد، این تکنیک به کار شناسایی خطرات نوظهور و ناشناخته می‌آید. جالب است طبق اطلاعات موجود، این روش در تشخیص روش‌های کاملاً خام، یعنی حملاتی که برای بار اول امتحان می‌شوند هم موفق عمل کرده است!

البته ناگفته نماند که این روش درصد خطای نسبتاً بالایی دارد؛ مثلاً شاید کاربر معمولی‌ای که می‌خواهد برای اولین بار به شبکه متصل شود هم یک خطر در نظر گرفته شده و اجازۀ اتصال را پیدا نکند.

۳) شناسایی مبتنی بر سیاست‌های امنیتی (Policy-based Detection)

این روش در مقایسه با دو تکنیک قبلی کمتر رواج دارد. وقتی دستورات عملکردی توسط تیم امنیتی یک مجموعه به IPS داده می‌شوند، در واقع این روش به کار گرفته شده است.

بر این اساس، هر وقت سیستم پیشگیری از نفوذ ببیند ترافیک ورودی سیاست‌های امنیتی را به هر شکلی نقض می‌کند، دسترسی به شبکه قطع خواهد شد.

شناسایی مبتنی‌بر سیاست‌های امنیتی سطح بالایی از سفارشی‌سازی را فراهم می‌کند؛ منتهی اجرا و پیاده‌سازی آن نیازمند سرمایۀ اولیه زیادی است.

۴) شناسایی مبتنی‌بر اعتبار (Reputation-based Detection)

در این تکنیک، آی‌پی‌هایی که سابقۀ فعالیت‌های مخرب و مشکوک از خود به‌جای گذشته‌اند، بلاک می‌شوند و اجازۀ دسترسی به شبکه را نخواهند داشت.

۵) تحلیل پیشرفته پروتکل‌ها (Stateful Protocol Analysis)

اینجا تمام تمرکز روی نحوۀ رفتار پروتکل‌ها است! مثال بزنیم تا بهتر متوجه شوید:

این روش با مشاهدۀ اینکه یک آدرس آی‌پی سعی دارد به‌صورت هم‌زمان چندین درخواست اتصال TCP را در یک بازۀ زمانی کوتاه به شبکه بفرستد، وقوع یک حملۀ DDoS را تشخیص می‌دهد.

یادآوری می‌کنیم که دو روش آخر، در مقایسه با ۳ تکنیک اول، رواج خیلی کمتری دارند و ISPها خیلی سراغ آن‌ها نمی‌روند.

بعد از دانستن اینکه روش شناسایی ips چیست، وقت آن می‌رسد که با انواع این ابزارها آشنا شویم.

انواع سیستم‌های پیشگیری از نفوذ (IPS) را بشناسید

مقدمه لازم نیست؛ این شما و این انواع مختلف IPS:

سیستم پیشگیری از نفوذ مبتنی‌ بر شبکه (NIPS)

این نوع IPSها در نقاط استراتژیک قرار می‌گیرند و با رصد کردن تمام ترافیک‌های عبوری، به‌شکلی فعالانه دنبال شناسایی خطرات و حذف آن‌ها هستند.

سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS)

در مقایسه با NIPS، این نوع سیستم پیشگیری از نفوذ عملکرد محدودتر و متمرکزتری دارد. به بیان ساده، HIPS روی یک دستگاه به‌خصوص (مثلاً لپ‌تاپ یا سرور) قرار می‌گیرد و فقط ترافیک ردوبدلی آن دستگاه را مانیتور می‌کند.

نکته: در خیلی از مجموعه‌ها، برای بالا بردن حداکثری امنیت، HIPS به‌صورت هم‌زمان با NIPS استفاده می‌شود تا احتمال نفوذ به کمترین حد ممکن برسد.

تحلیل رفتار شبکه (NBA)

IPSهایی که در این دسته قرار می‌گیرند، کارشان را با تجزیه‌وتحلیل دقیق شبکه، جهت شناسایی جریان‌های غیرعادی ترافیک انجام می‌دهند. در واقع، NBA به‌جای اینکه روی پکت‌های ردوبدلی متمرکز شود، به تصویر بزرگ‌تر کار دارد و همه‌چیز را از ارتفاعی بالاتر زیر نظر می‌گیرد.

این نوع سیستم‌های پیشگیری از نفوذ، معمولاً از تکنیک شناسایی مبتنی‌بر ناهنجاری استفاده می‌کنند و برای تشخیص خطراتی مثل حملات DDoS و تلاش برای وارد کردن بدافزارها کاربرد دارند.

سیستم پیشگیری از نفوذ بی‌سیم (WIPS)

WIPS عملکرد نسبتاً ساده‌ای دارد! این نوع IPS شبکه‌های بی‌سیم را اسکن می‌کند و در صورت مشاهدۀ هر مورد غیرعادی (مثلاً حضور کاربر غیرمجاز در شبکه) آن را حذف می‌کند تا امنیت به خطر نیفتد.

با اینکه احتمالاً خودتان متوجه شده باشید چنین ابزارهایی چقدر مفید هستند، اجازه دهید در بخشی جداگانه مزیت‌های IPS را زیر ذره‌بین ببریم.

مزایای IPS چیست؟

امنیت بیشتر می‌شود! این می‌تواند کوتاه‌ترین جواب ممکن به سؤال مزیت ips چیست باشد؛ ولی خب اگر بخواهیم دقیق‌تر به نقش این سیستم در امنیت شبکه نگاه کنیم، این موراد مهم‌ترین مزایای IPS هستند:

۱. افزودن یک لایۀ امنیتی به کل سیستم

IPS به‌تنهایی نمی‌تواند معجزه کند؛ نه IPS و نه هیچ سیستم امنیتی دیگر! همۀ این سازوکارها دست در دست هم می‌دهند و سعی می‌کنند جلوی خطرات را بگیرند. سیستم پیشگیری از نفوذ به‌گونه‌ای طراحی شده که می‌تواند خطراتی که از دید دیگر ابزارها مخفی مانده‌اند را شناسایی کند.

پس فایدۀ اصلی IPS این است که نقشی جدی در تأمین امنیت کل سیستم دارد.

۲. افزایش کارآمدی دیگر سازوکارهای امنیتی

بالاتر گفتیم که IPS پشت فایروال قرار می‌گیرد و به‌لطف دیوارهای آتشین که سد دفاعی اول هستند، کار سیستم پیشگیری از نفوذ سبک‌تر و راحت‌تر می‌شود.

ابزارهای دیگری که بعد از IPS گارد دفاعی گرفته‌اند و مثل آن وظیفۀ تأمین امنیت را دارند، به‌لطف این ابزار، کار سبک‌تری خواهند داشت و می‌توانند با دقت بیشتری ترافیک عبوری را زیر نظر بگیرند؛ این‌طوری است که IPS به افزایش کارآمدی دیگر سازوکارها کمک می‌کند.

۳. صرفه‌جویی در زمان

با توجه به خودکار بودن IPS، این دست ابزارها باعث می‌شوند تیم‌های دپارتمان IT در وقت صرفه‌جویی و از زمان اضافه برای پرداختن به موضوعات دیگر استفاده کنند.

۴. انطباق با استانداردهای امنیتی

پیاده‌سازی IPS باعث می‌شود شبکه‌ها بتوانند از قوانین و استانداردهای جهانی در رابطه با تأمین امنیت پیروی کنند.

۵. به وجود آمدن امکان سفارشی‌سازی

کامل توضیح دادیم که می‌توان سیستم پیشگیری از نفوذ را براساس نیازها و سیاست‌های امنیتی خاص یک مجموعه سفارشی‌سازی کرد؛ به این ترتیب، امکان دفع حداکثری خطرات (براساس برآوردهای مختصصان امنیتی مجموعه) فراهم می‌شود.

حالا هم می‌دانید ids و ips مخفف چیست، هم پاسخ تمام پرسش‌های احتمالی خود در رابطه با این ابزارها را گرفته‌اید؛ پس بیایید مقاله را جمع‌بندی کنیم و تمام!

پیاده‌سازی سیستم IPS ضروری است چون…

سیستم پیشگیری از نفوذ می‌تواند در تأمین امنیت حداکثری شبکه نقشی مهم ایفا کند و به همین خاطر است که می‌گوییم استفاده از آن ضرورت دارد؛ به‌علاوه، به‌کارگیری این ابزارها مزایای دیگری هم به‌همراه دارد مثل صرفه‌جویی در زمان، افزایش کارآمدی دیگر سازوکارهای امنیتی، مواجهۀ مؤثرتر با خطراتی که بیشتر شبکه را تهدید می‌کنند و….

همان‌طور که در ابتدای مقاله گفتیم، برای تأمین امنیت به بهترین ابزارها نیاز دارید و IPS سازوکاری است که قطعاً به کارتان می‌آید. ابزاری که به‌خاطر عملکرد خودکارش، بار سنگینی را از دوش نیروی انسانی برمیدارد و آسیب‌پذیری را به حداقل می‌رساند.

امیدواریم توانسته باشیم با نوشتن این مقاله، کمکتان کنیم امنیت شبکۀ تحت کنترل خود را بالاتر ببرید؛ اگر همچنان ابهام و سؤالی دارید، در قسمت نظرات آن را بنویسید.

منابع: IBM | vmware | TechTarget