(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش هشتم
Signature :
انواع دسته بندی Signatureها :
- براساس نوع حمله مثل DOS ، Email ، Adware و …
- براساس نوع Engine : براساس پیاده سازی نرم افزاری در IPS به طور مثال Atomic فقط تک Packet را بررسی می کند.
انواع Signature :
- Default :به Signature های پیش فرض IPS گفته می شود.
- Tune : به Signature های پیش فرض IPS که براساس نیاز ما تغییر داده شده اند گفته می شود.
- Custome : به Signature هایی که توسط ما نوشته می شود گفته می شود.
انواع Action ها :
به دو دسته تقسیم می شوند:
- Detective : صرفا جهت شناسایی مورد استفاده قرار می گیرد.
- Preventive : هم شناسایی و هم جلوگیری می کند.
انواع Detective :
- Produce Alert : یک Alert در رابطه با Signature مربوطه تولید می شود.
- Produce Verbose Alert : یک Alert با جزئیات بیشتر تولید می شود.
- Log Attacker Packets : در این حالت کل بسته هایی که شامل آدرس هکر است را Capture می کند.
- Log Victim Packets : در این حالت کل بسته هایی که شامل آدرس دستگاه مورد حمله است را Capture می کند.
- Log Pair Packets : در این حالت کل بسته هایی که شامل آدرس هکر و دستگاه مورد حمله است را Capture می کند.
- Request SNMP Trap : یک بسته SNMP ارسال می کند.
انواع Preventive :
در حالت inline :
- Deny Packet inline : بسته را Drop می کند.
- Deny Connection inline : کل Session را Drop می کند.
- Deny Attacker Victim pair inline : کل ترافیک مربوط به هکر به مقصد مورد نظر را Drop می کند.
- Deny Attacker Service Pair inline : کل ترافیک هکر مربوط به سرویس مورد نظر را Drop می کند.
- Deny Attacker inline : کل ترافیک هکر را مسدود می کند.
- Modify Packet inline : ابهامات را از بسته برطرف می کند.(Normalization)
در حالت Promiscuous :
- Reset TCP Connection : در این حالت درخواست ریست کردن Connection به روتر یا فایروال ارسال می کند.
- Request Block Connection : در خواست مسدود کردن Session ارسال می کند.
- Request Block Host : درخواست مسدود کردن هکر ارسال می کند.
- Request Rate Limit : درخواست محدود کردن ارسال بسته از طرف هکر
Leave a Reply
Want to join the discussion?Feel free to contribute!