قالب وردپرس قالب وردپرس آموزش وردپرس قالب فروشگاهی وردپرس وردپرس
یکشنبه , ۱ بهمن ۱۳۹۶

چیستی: سیستم پیشگیری و تشخیص نفوذ (IDPS)

سیستم های پیشگیری و تشخیص نفوذ

دزدی اطلاعات، مخاطره اصلی سازمان ها

سیستم های اطلاعاتی در کنار تسهیلات فراوانی که در حوزه های مختلف برای سازمان ها به ارمغان آورده اند، در عین حال مخاطرات زیادی را نیز از جنبه های گوناگون به همراه داشته و دارایی اصلی سازمان های امروز یعنی اطلاعات و داده های حساس سازمانی، تجاری و… را در معرض افشاء و دزدیده شدن قرار داده اند. در این شرایط، سیستم های پیشگیری و تشخیص نفوذ، از جمله ابزارهای مفیدی هستند که با فراهم کردن ساز و کار لازم، نیازهای امنیتی سازمان ها را پوشش داده و آسیب پذیری آنها در مقابل انواع و اقسام حملات امنیتی را کاهش می دهند. از این جهت در این پست و پست‌های آتی تلاش می‌کنیم ضمن معرفی مفاهیم اولیه در سیستم های پیشگیری و تشخیص نفوذ (Intrusion Detection and Prevention Systems)، انواع این سیستم ها، روش های تشخیص نفوذ، نقاط قوت و ضعف آنها، ملاحظات انتخاب کالاها و محصولات این حوزه و نحوه پیاده سازی و توسعه یک سیستم تشخیص و نفوذ  را تبیین نموده و در نهایت برخی از ابزارهای تحلیل و اسکنینگ را بطور مختصر و به زبانی ساده جهت آشنایی خوانندگان گرامی معرفی نماییم.

دزدی اطلاعات مخاطره اصلی سازمان ها

سیستم پیشگیری و تشخیص نفوذ

روزانه اخبار زیادی مبنی بر نفوذ به سیستم اطلاعاتی یک سازمان و افشای اطلاعات حساس آن را در گوشه و کنار دنیا می‌شنویم. اما اساسا ‌نفوذ چیست؟ آیا هرگونه دسترسی و ورود به یک سیستم را می‌توان به عنوان نفوذ تلقی نمود؟ مطابق با تعاریف موجود، زمانی که یک مهاجم تلاش می‌کند تا به یک سیستم اطلاعاتی ورود غیرمجاز داشته و یا عملیات نرمال سیستم را مختل نماید، نفوذ اتفاق می‌افتد. بنابراین نفوذ در واقع نوعی ورود غیرمجاز به یک سیستم اطلاعاتی است. تلاش‌هایی از این دست اغلب همواره به قصد خرابکاری و آسیب رساندن به سیستم‌های قربانی می‌باشد. براین اساس، کلیه‌ فعالیت‌هایی که به منظور اجتناب از وقوع یک حمله نفوذی توسط اجزای انسانی و فنی سیستم انجام می‌شود، تحت عنوان پیشگیری نفوذ نامیده می‌شود.

سیستم پیشگیری و تشخیص نفوذ

هر سیستم اطلاعاتی، معمولا رویه‌هایی را برای شناسایی نفوذهای غیرمجاز در درون خود تعبیه می‌کند، از این رو کشف نفوذ، شامل رویه‌ها و سیستم‌هایی است که برای شناسایی و تشخیص نفوذهای سیستمی ایجاد شده و عمل می کنند. در صورت رخداد یک نفوذ و شناسایی آن از سوی سیستم، می‌بایست سازمان برنامه‌ای برای مقابله با آن داشته باشد. اقداماتی که یک سازمان به هنگام کشف یک رویداد نفوذی انجام می دهد،‌ واکنش به نفوذ اطلاق می‌گردد. این اقدامات به دنبال محدود نمودن خسارت ناشی از نفوذ در کوتاه‌ترین زمان ممکن می باشند. در کنار واکنش به نفوذ انجام شده، بازیابی عملیات سیستمی به وضعیت نرمال و طبیعی در قالب فعالیت‌های اصلاحی نفوذ و شناسایی منبع و روش نفوذ جهت حصول اطمینان از اینکه حمله مشابه دیگری رخ نخواهد داد، حائز اهمیت فروان می‌باشد.

دلایل استفاده از یک سیستم پیشگیری و تشخیص نفوذ

چه ضرورتی به پیاده‌سازی یک سیستم پیشگیری و تشخیص نفوذ وجود دارد؟ یکی از بهترین دلایل نصب یک سیستم پیشگیری و تشخیص نفوذ، در واقع عمل کردن به عنوان یک مانع، با افزایش ترس از شناسایی شدن در ذهن مهاجمین می‌باشد. در صورتی که کاربران داخلی و خارجی سازمان بدانند که سیستم اطلاعاتی سازمان، مجهز به چنین سیستمی است، به احتمال زیاد، تلاش کمتری برای سرک کشیدن و ورود به بخش‌های غیرمجاز سیستم انجام خواهند داد، این استدلال مشابه مثال خانه‌ای است که مجهز به سیستم دزدگیر بوده و همین عامل بسیاری از کسانی که قصد دزدی دارند را از تصمیم خود باز می‌دارد. بطور خلاصه دلایل زیر را می‌توان جهت توجیه ‌نصب و استفاده از یک سیستم تشخیص و پیشگیری نفوذ ارائه نمود:

  • اجتناب از رفتارهای مشکل آفرین کسانی که به سیستم حمله می کنند یا از آن سوءاستفاده می نمایند با افزایش درک آنها از ریسک شناسایی و تنبیه؛
  • کشف حملات و سایر آسب‌پذیری‌های امنیتی؛
  • کشف حملات و رویارویی با آنها مبتنی بر دستورالعمل مواجه؛
  • مستندسازی تهدیدات موجود برای سازمان؛
  • عمل کردن به عنوان ابزار کنترل کیفیت طراحی و مدیریت امنیت بویژه در سازمان‌های بزرگ و پیچیده؛
  • ارائه اطلاعات مفید درباره نفوذها، اقدامات شناسایی، بازیابی و اصلاحی که صورت گرفته است.

سیستم پیشگیری و تشخیص نفوذ

سیستم‌های تشخیص نفوذ (IDS) در مقابل سیستم‌های پیشگیری نفوذ (IPS)

هدف اولیه ابزار پیشگیری و تشخیص نفوذ، کشف اتفاقات مشکوک در جریان بر روی شبکه و به صدا در آوردن اعلام خطر با انعکاس یک پیام برروی صفحه مانیتور مدیر شبکه یا احتمالا پیج کردن وی یا حتی پیکربندی مجدد تنظیمات فایروال سیستم می باشد. ضرورتی ندارد که رخداد مورد نظر یک نفوذ باشد تا اعلام خطر به صدا درآید، هر نوع رفتار «غیر طبیعی» می تواند منجر به این کار شود.

سیستم پیشگیری و تشخیص نفوذ

مطابق با استانداردهای بین المللی ( از جمله راهنمای شماره ۹۴-۸۰۰ NIST)، فناوری‌های مبتنی بر  پیشگیری نفوذ از سیستم‌های تشخیص و کشف نفوذ متفاوت می‌باشند. در حالیکه سیستم‌های تشخیص نفوذ، حملات احتمالی علیه سیستم را بررسی و شناسایی می‌کنند و گزارش خود را به مدیر شبکه برای انجام اقدام مقتضی ارائه کرده و بنابراین قادر به پاسخ دادن به حملات نیستند، در مقابل فناوری‌های پیشگیری نفوذ، می‌توانند به تهدیدات شناسایی شده، واکنش نشان دهند. سیستم‌های پیشگیری نفوذ، از تکنیک‌های مختلفی برای انجام این کار استفاده می‌کنند. برای مثال آنها می‌توانند حملات را از طرق مختلف نظیر قطع شبکه یا نشست (session) کاربری که قصد حمله به سیستم را دارد، بلاک کردن دسترسی به مقصد که می‌تواند یک هاست، سرویس یا نرم‌افزار باشد، بلاک کردن آدرس‌های آی‌پی، تغییر پیکربندی و تنظیمات امنیتی سیستم‌ها و تجهیزات شبکه نظیر فایروال‌ها، روترها و سوئیچ‌ها، متوقف کنند. برخی از سیستم‌های پیشگیری نفوذ می‌‌توانند حتی بخش‌های مخرب یک حمله را حذف کرده یا جابجا کنند. مثال این مورد، یک سیستم پیشگیری نفوذ است که یک فایل آلوده را که از طریق پست الکترونیکی ارسال شده است، حذف کرده و اجازه می‌دهد که نامه همراه آن به مقصد برسد. در حال حاضر، اغلب سیستم‌ها و ابزارهای موجود این حوزه، هر دو قابلیت شناسایی و پیشگیری را توأمان ارائه می‌کنند.

اجزای سیستم‌های پیشگیری و تشخیص نفوذ

بطور کلی هر سیستم پیشگیری و تشخیص نفوذ به منظور انجام کارکردهای تعریف شده خود، از ۳ جزء اصلی تحت عنوان سنسورها، تحلیلگرها و واسط‌های مدیر شبکه تشکیل می‌شود.

  • سنسورها، ضمن رصد ترافیک موجود بر روی شبکه یا میزبان، اطلاعات مربوط به جریان اطلاعات و فعالیت کاربران را جمع‌آوری نموده و آنها را برای یک واحد دیگر تحت عنوان تحلیل‌گر، ارسال می‌نمایند، که در جستجوی فعالیت‌های مشکوک می‌باشد.
  • اگر تحلیل‌گر، براساس اطلاعات دریافتی، فعالیتی را شناسایی کند که مطابق با برنامه‌ریزی صورت گرفته برای آن به عنوان فعالیتی مشکوک تشخیص داده شود، یک اعلان خطر به واسط مدیرشبکه ارسال می‌کند.
  • واسط مدیر شبکه، مبتنی بر برنامه‌ریزی واکنشی، اقدام مقتضی را برای خنثی‌سازی حمله احتمالی مطابق با دستورالعمل موجود انجام می‌دهد که می‌تواند از قطع ارتباط یا توقف نشست تا حمله متقابل به مهاجم را شامل شود.

سیستم پیشگیری و تشخیص نفوذ

سخن پایانی

حفاظت دارایی‌های اطلاعاتی یک سازمان، همانقدر که نیازمند وجود پرسنل خبره و آگاه نسبت به ملاحظات امنیتی است، به وجود کنترل‌های فنی و راه‌کارهای مبتنی بر فناوری نیز نیازمند است. راه‌کارهای فنی که با استفاده از سیاست‌ها و دستورالعمل‌های مناسب، پیاده‌سازی شوند، جزء اصلی برنامه امنیت اطلاعات سازمان ها به شمار می‌روند. در این میان سیستم های پیشگیری و تشخیص نفوذ در انواع گوناگون و با بهره گیری از تکنیک ها و ابزارهای مختلف، تا حد زیادی می توانند آسیب پذیری های امنیتی سازمان ها را پوشش داده و مخاطرات امنیتی گریبانگیر سیستم های اطلاعاتی آنها را کاهش دهند.

منابع

  • Whitman, M., & Mattord, H. (2011). Principles of information security. Cengage Learning.
  • Harris, S. (2008). All in one CISSP exam guide. McGraw-Hill., 2005.

درباره ی Hamid Golmohammadi

Hamid Golmohammadi
کارشناسی ارشد فناوری اطلاعات و دانشجوی دکتری مدیریت فناوری اطلاعات هستم. بیش از ۱7 سال در حوزه‌های مختلف فناوری اطلاعات به ویژه تجارت الکترونیکی و کاربردهای آن کار پژوهشی و تحقیقاتی انجام داده‌ام. هدف من از حضور در این وب سایت، به اشتراک گذاشتن تجربیات و دانش خود در حوزه های مدیریت و فناوری اطلاعات جهت توسعه آگاهی و ارتقای سطح دانش اقشار مختلف جامعه می باشد.

مطلب پیشنهادی

اتومبيل هاي هوشمند نسل آينده

چیستی: اتومبیل‌ های هوشمند نسل آینده

پیش بینی ها نشان می دهد تا سال ۲۰۳۰ بسیاری از ماشین های جدید آینه …

۳ دیدگاه

  1. حمید گل محمدی

    دوست عزیز سلام، اگر با جزئیات بیشتری نیازتون رو تشریح کنید، شاید بتونم کمکتون کنم. ممنون میشم اگر فینگلیش تایپ نکنید.

    • سلام بسیار ممنون میشه بگید اصلا نفوذ در شبکه به چ معناس اگه واسم میل کنید بسیار بسیار ممنون میشم

      • حمید گل محمدی

        سلام دوست عزیز. تشکر از بذل توجه شما به مطالب وب سایت ۳che.
        در خصوص سوالی که فرمودید باید عرض کنم نفوذ یا Penetration به هر عمل یا اقدامی اطلاق می شه که از ناحیه یک فرد یا سیستم غیر مجاز یا تعریف نشده در سیستم هدف صورت می گیره که عمدتا این اعمال به قصد خربکاری یا سوء استفاده از تمام یا بخشی از سیستم هدف طراحی و انجام می شه. از اون جهت که این گونه اقدامات، اغلب فعالیت های نامتعارف یا غیر معمول برای سیستم هدف هستند توسط سازو کارهایی نظیر سیستم های IDPS شناسایی و کشف می شن.
        اگر اطلاعات تکمیلی تر و تخصصی تر در این خصوص می خواید به info@3che.ir ایمیل بزنید.
        شاد و سربلند باشید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*