سیستم پیشگیری از نفوذ (IPS) – قسمت اول – معرفی ویژگی ها و انواع IPS

سیستم پیشگیری از نفوذ (IPS) ، شامل مجموعه ای از اقدامات از پیش تعیین شده است که هدف آن مسدود کردن فعالیت های مخرب چه از طرف شبکه داخلی و چه از طرف شبکه خارجی است و حتی شامل محافظت از خود سیستم IPS نیز می شود.
IPS دارای مزیت های برجسته ای نسبت به تکنولوژی فایروال های سنتی ست ، چرا که تصمیم کنترل دسترسی را بر اساس محتوای ترافیک می گیرد نه بر اساس IP آدرس ها و پورت ها.

 

ویژگی ها و انواع IPS :

بر اساس signature ها اقدام به شناسایی فعالیت های مشکوک می کند.
یک سیستم پیشگیری از نفوذمی تواند یک سخت افزار یا نرم افزار و یا ترکیبی از هر دو باشد.
انواع IPS بر اساس موقعیت مکانی آن ها در شبکه می تواند شامل :

 

Network IPS :
• هدف آن محافظت از بخش های از شبکه یا Zoneهای شبکه است.
• با capture کردن ترافیک شبکه یا شنود آن اقدام به آنالیز ترافیک برای شناسایی الگوهایی که می توانند حمله باشند ، می کنند.
• اگر در محل درستی در شبکه قرار بگیرند می توانند شبکه های بزرگ را آنالیز کرده و به صورت کلی حداقل تأثیر را بر ترافیک بگذارند.
• به صورت پیش فرض از یک device استفاده می کند. یعنی حتی می توانند با قرار گرفتن در مسیر ترافیک، بدون نیاز به آدرس دهی تمامی بسته ها را در شبکه آنالیز کنند.
• معمولا ترافیک شبکه را به صورت real time بررسی می کنند.
• فقط در لایه TCP/IP عمل نمی کنند ، یعنی قادر به عملکرد در لایه ی Application نیز هستند.
• می توانند جهت آنالیز ترافیک از WAN به یک Zone داخلی مانند DMZ استفاده شوند و یا اقدام به آنالیز ترافیک LAN نمایند.
• راه حل بهینه برای تشخیص مهاجمان از شبکه های غیر قابل اعتماد (Untrust) ، استفاده از یک تجهیز فایروال با قابلیت IPS است.
• فن آوری سیستم پیشگیری از نفوذ یا IPS چه به عنوان یکی از قابلیت های فایروال و چه به عنوان یک تجهیز مجزا ، به صورت فزاینده ای در حال تبدیل شدن به یک بخش غیر قابل حذف در امنیت شبکه است.

 

Host IPS :
هدف آن ها محافظت از یک کامپیوتر است.
آن ها اقدام به مانیتور کردن حجم زیادی ازفعایت ها می کنند، و دقیقا مشخص می کنند که چه پروسه ها و چه کاربرانی در یک اقدام مشخص دخیل هستند.
آن ها اطلاعات سیستم نظیر فایل ها ، فایل های لاگ و منابع راجمع آوری می کنند و آن ها را به صورت locally برای حوادث احتمالی در سیستم آنالیز می کنند.
فورتی نت که به عنوان نسل جدید فایروال ها شناخته شده است ، دارای فن آوری IPS انحصاری با سابقه ی بیش از ده سال است.
IPS فورتی گیت ، نسبت به IPS های سنتی مسیر تکامل متفاوتی را پیش گرفته است و در این راه نوآوری هایی داشته که سایر محصولات IPS فاقد این نوآوری ها هستند.

 

ویژگی های کلیدی و مزیت های IPS فورتی گیت
۱- بازرسی عمیق (deep inspection) برای حملات پیشرفته ، bontnet ها ، zero day ها و حملات هدفمند در شبکه
۲- تکنولوژی امنیتی نوآورانه (SPU) برای افزایش کارایی شبکه و بازرسی امنیتی عمیق
۳- یکپارچگی بدون درز(seamless integration) – تجهیز یا سرویس ابری – با sandboxing در سطح جهانی برای حملات پیشرفته
۴- کنترل های امنیتی ویژه برای سرورهای وب و application ها ، شامل cross-site scripting و SQL Injection
۵- کنترل های حفاظتی از اطلاعات برای جلوگیری از نشت اطلاعات حساس