(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش اول

IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.

انواع IPS های شرکت سیسکو


1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.

Image

2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.

Image

3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.

Image

4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR

Image

5- IPS نرم افزاری : در روتر های ISR کاربرد دارد

Image

انواع Mode های IPS


  1. promiscuous Mode
  2. Inline mode

 

معرفی promiscuous Mode در IPS های سیسکو


در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.

مزایا این حالت


  1. بر روی سرعت شبکه تاثیر نمی گذارد
  2. در صورت خراب شدن باعث مختل شدن کار شبکه نمی شود
  3. در صورتی که ترافیک ارسالی بیش از حد توان دستگاه باشد باز هم در حریان شبکه بی تاثیر است

 

معایب این حالت


    1. در صورت بروز حمله توانایی جلوگیری از ان را ندارد و فقط مورد را گزارش می کند
    2. بسته های آلوده شناسایی شده وارد شبکه شده بعد شناسایی می شوند
    3. پیاده سازی ان نیاز به یک فکر و ایده مناسب و اگاهی کامل نسب به عملکرد promiscuous mode دارد
Image

 

معرفی inline mode در IPS های سیسکو


در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد

مزایا این حالت


  1. توانایی جلوگیری و مسدود کردن ترافیک آلوده را دارد
  2. توانایی استفاده از تکنیک جریان عادی ترافیک (stream normalization techniques)

 

معایب این حالت


    1. با توجه به اینکه ترافیک ابتدا وارد IPS شده و بعد از پردازش اجازه ورود به شبکه را پیدا می کنند در نتیجه نسب به حالت promiscuous کندتر است
    2. در صورتی که جریان ترافیک بیش از حد توان دستگاه باشد بر جریان ترافیک تاثیر می گذارد
    3. در صورت از کار افتادن دستگاه جریان ترافیک نیر قطع می گردد
Image

 

تکنیک های بررسی ترافیک


  1. Signature Based
  2. Policy Based
  3. Anomaly Based

 

تکنیک Signature Based


در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد

مزایا


  1. تظیم کردن ان ساده است
  2. دارای اشتباه کمتری در تشخیص ترافیک سالم به عنوان ترافیک آلوده
  3. بروز رسانی حملات جدید شناسای شده به صورت خودکار

 

معایب


  1. توانایی شناسایی حملات ناشناخته را ندارد
  2. باید برای ان دیتابیس ایجاد و به طور مداوم بروزرسانی شود
  3. برای استفاده نیاز به خریداری license است

 

تکنیک Policy Based


در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد

مزایا


  1. ساده و قابل اعتماد
  2. براساس خواسته ها و سیاست های ما عمل می کند
  3. توانایی جلوگیری حملات ناشناخته را دارد

 

معایب


  1. تمام سیاست ها توسط ما باید انجام گیرد
  2. باید تمام جوانب را در نظر گرفت و به وضعیت شبکه خود اشراف داشته باشیم

 

تکنیک Anomaly Based


در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند

مزایا


  1. تنظیم کردن ان ساده است
  2. توانایی شناسایی حملات ناشناخته را دارد

 

معایب


  1. مشخص کردن فعالیت عادی در شبکه های بزرگ بسیار سخت است
  2. جریان و فعالیت شبکه باید ثابت باشد
  3. در صورت الوده بودن جریان شبکه در زمان مشخص شده برای بررسی جریان شبکه این جریان نیز به عنوان جریان سالم شناخته می شود

نویسنده : جعفر قنبری شوهانی

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *