سیستم های جلوگیری از نفوذ
سیستم پیشگیری از نفوذ (IPS) یک دستگاه امنیتی شبکه است که معمولاً با شبکه ای که از آن محافظت می کند در لایه 2 ارتباط برقرار می کند ، بنابراین معمولاً روی شبکه "شفاف" است. بیشتر راه حل های IPS برای شناسایی حملاتی که آسیب پذیری های شناخته شده را هدف قرار می دهند (و همچنین جلوگیری از آنها هنگام پیکربندی برای این کار) طراحی شده اند. ویژگی های اضافی در راه حل های IPS از جمله لیست سیاه در زمان واقعی (RBL) ، شناسایی بدافزار (و جلوگیری از آن) و شناسایی برنامه (و کنترل) وجود دارد. نسل جدیدی از راه حل های IPS وجود دارد که به عنوان نسل بعدی IPS یا NGIPS شناخته می شوند و دارای ویژگی های اضافی هستند تا شباهت زیادی به NGFW ها داشته باشند. این راه حل ها ممکن است راه حل مناسبی برای سازمانهایی باشد که دیوار آتش سنتی را به کار انداخته و به دنبال جایگزینی آن نیستند ، اما گزینه های "نسل بعدی" / گزینه های حفاظتی ارائه شده توسط راهکارهای NGIPS و NGFW را می خواهند.
هر دو راه حل IPS و NGIPS اساساً مبتنی بر امضاها هستند اما از حمله رفتاری که به درستی در تعریف امضا نمی گنجد یا رفتار بهترین روش برای تشخیص آن است (مانند حملات DDoS) از تشخیص رفتار استفاده می کنند.
امنیت و انطباق
بیل هولتسنایدر ، برایان دی. جافه ، در دفترچه راهنمای فناوری اطلاعات (چاپ سوم) ، 2012
تشخیص و پیشگیری از نفوذ
سیستم های پیشگیری از نفوذ (IPS) و سیستم های تشخیص نفوذ (IDS) علاوه بر دیوارهای محافظ در برابر مواجهه با اینترنت ، یک لایه محافظت نیز دارند.
•
یک سیستم تشخیص نفوذ ، ترافیک مشکوک را براساس الگوهای فعالیت شناسایی می کند. IDS مشابه روش کار نرم افزار آنتی ویروس ، الگوهای ترافیکی را در برابر امضاهای مخرب شناخته شده مختلف (که به طور مکرر به روز می شوند) مقایسه می کند. اساساً IDS در حال ارزیابی ترافیک است تا ببیند با حملات شناخته شده مطابقت دارد یا خیر. با شناسایی فعالیت مشکوک ، سیستم IDS به مدیر شبکه هشدار می دهد.
•
یک سیستم پیشگیری از نفوذ یک IDS را یک قدم جلوتر می برد. این نه تنها فعالیت مخرب را تشخیص می دهد بلکه اقداماتی را انجام می دهد (علاوه بر اطلاع به سرپرست سیستم). ممکن است IPS بسته ای را از ترافیک مشکوک خارج کند ، درگاهی را به طور خودکار ببندد یا از مراجعه به آدرس خاص IP خاص خودداری کند. در دنیای میلی ثانیه فعالیت شبکه ، یک مدیر شبکه ممکن است نتواند به اندازه کافی سریع نسبت به اعلان یک IDS در مورد حمله احتمالی واکنش نشان دهد. یک IPS می تواند بلافاصله پس از تشخیص فعالیت مشکوک ، اقدام پیشگیرانه (براساس نحوه تنظیم و پیکربندی آن) انجام دهد.
Endpoint Security
کیت لوئیس ، در کتابچه راهنمای امنیت رایانه و اطلاعات (چاپ سوم) ، 2017
6 سیستم پیشگیری از نفوذ (IPS) ابزار ورود به سیستم شبکه: جستجو و هدف گذاری (مجرم)
ابزار IPS EPS برای ورود به سیستم در شبکه و اعلان هشدار رویداد ویژگی مهمی برای استفاده است. سیستم IPS به صورت پیش فرض یا به صورت برنامه ریزی شده از پیش تعیین شده توسط سرپرست ، در تمام دستگاه های شناسایی شده شبکه که در حال حاضر در توپولوژی شما قرار دارند ، کشف کرده و آنها را از نظر حمله یا آسیب پذیری اسکن می کند. موثرترین آنها از قبل نرم افزار Endpoint client را روی خود دارند. با این حال ، سیستم های کشف IPS همچنین می توانند سیستم های آدرس IP موجود را که ممکن است مشتری امنیتی نصب نداشته باشد ، ثبت کنند. تصور کنید که از لیست ورود به سیستم شبکه خود عبور می کنید و صدها کامپیوتر با سرویس گیرنده های Endpoint را مشاهده می کنید که به دلیل حمله سیستم عامل ، یک رویداد محافظتی را مشاهده می کنند: رویداد سرویس سرور Microsoft Remote Procedure Call (MSRPC). مشتری به لطف سیستم پیشگیری از امنیت نرم افزار مشتری صدها دستگاه مسدود شده و ایمن را تأیید می کند. با این حال ، این نشان نمی دهد که این حمله از کجا ناشی می شود. ابزارهای Endpoint zbul می توانند همه سرورها یا ایستگاه های کاری را در پرونده های ثبت شده خود در شبکه لیست کرده و آنهایی را که "بدون" نرم افزار حفاظتی نصب شده است ، شناسایی کنند. تیم پشتیبانی امنیت شبکه فقط باید این سیستم ها را نصب کند تا اینکه سرانجام سیستم محافظت نشده ای که باعث ایجاد این حملات به شبکه داخلی شما می شود را از بین ببرد. این یک نمونه از چگونگی اهمیت فعالیت های گزارش نظارت بر رویداد شبکه EPS به عنوان یک مجموعه ابزار امنیتی فعال استفاده شده برای تیم های مهندسی امنیت شبکه شما است.
راه اندازی آزمایشگاه
توماس ویلهلم ، در تست نفوذ حرفه ای (چاپ دوم) ، 2013
سیستم تشخیص نفوذ / سیستم پیشگیری از نفوذ
IDS و IPS فرار در مراحل اولیه آزمون نفوذ مفید است. سرانجام ، تیم متضرر سعی می کند IDS / IPS را هشدار دهد تا مدیران شبکه را از تلاش های هک شده تیم مطلع سازد ، اما در ابتدا ، تیم متخلخل سعی خواهد کرد تا هرچه بیشتر اطلاعات را بدون توجه به آنها بدست آورد تا آزمایش روشهای پاسخگویی به مشتری را انجام دهد. .
احتمالاً پرکاربردترین IDS / IPS ، نرم افزار Open Source به نام Snort است که در سایت www.snort.org قابل تهیه است. بسیاری از قوانینی که برای شناسایی فعالیتهای مخرب بر روی ویروس و فعالیت کرمهای شبکه مورد استفاده قرار می گیرد. با این وجود قوانینی وجود دارد که برای شناسایی تلاش های هک مانند حملات بی رحمانه و اسکن شبکه طراحی شده است. خدمات شبکه در تهران
پاسخ ها