اگر برای حفظ امنیت شبکه‌ سازمانی خود تنها به فایروال متکی هستید، دیر یا زود و با اولین تلاش، دیواری که به آن تکیه کرده‌اید فرو می‌ریزد. در حالیکه هرساله سازمان‌های بسیاری به دلیل ترافیک مشکوک شبکه و حملات منجر به نفوذ دچار آسیب می‌شوند، ساده‌لوحانه است که تنها به اتکای فایروال حرف از امنیت شبکه بزنیم. راه‌اندازی دو سیستم امنیتی IDS و IPS که به صورت بسته‌های نرم‌افزاری یا تجهیزات سخت‌افزاری ارائه می‌شوند، نقش مهمی در تشخیص و جلوگیری از حملات هکری دارند. پیش از ادامه و صحبت درباره روش عملکرد این دو سیستم، بد نیست گذری به تعریف نفوذ در شبکه بزنیم.

نفوذ به شبکه به معنای مجموعه‌ای از اعمال خرابکارانه است که برای یافتن حفره‌های امنیتی و ایجاد اختلال در بحث محرمانگی، یکپارچگی، دسترسی‌پذیری و مصرف منابع شبکه صورت می‌گیرد. تست نفود به شبکه یا Penetration Security که جزء فرآیندهای پیشگیرانه در بحث امنیت شبکه است، به ما در یافتن حفره‌های امنیتی و باگ‌های موجود کمک می‌کند. البته گاهی نقطه ضعفی وجود دارد که از چشم ما دور مانده و به فرصتی برای سوءاستفاده تبدیل می‌شود. به همین دلیل به سیستم‌های امنیتی چون IDS و IPS در کنار فایروال نیاز داریم تا با تشخیص و مقابله با حملات هکری در سطوح بالاتر، امنیت شبکه‌های کامپیوتری را تضمین کنند.

آشنایی با مفاهیم IDS و IPS در شبکه‌های کامپیوتری

سیستم‌های امنیتی IDS و IPS با کنترل ترافیک عبوری از شبکه، جزئیات بیشتری را نسبت به فایروال بررسی کرده و حتی به عنوان مکمل آن عمل می‌کنند. این دو سرویس به منظور پشتیبانی شبکه به تحلیل بسته‌های ترافیکی پرداخته و آن‌ها را با اطلاعات موجود در پایگاه داده خود مطابقت می‌دهند. در حالیکه IDS مدیر شبکه را درباره وقوع حمله آگاه می‌سازد، سیستم IPS سدی در مسیر حمله ایجاد کرده و ترافیک مشکوک را متوقف می‌کند. در ادامه به طور دقیق‌تر شیوه کار هر کدام از این دو سیستم امنیتی را بررسی می‌کنیم.

IDS سیستمی برای تشخیص نفوذ به شبکه

سیستم تشخیص نفوذ یا IDS (Intrusion Detection System) مسئول نظارت بر عملکرد یک شبکه کامپیوتری با کمک پروتکل NetFlow برای یافتن انحراف‌های امنیتی است. ازآنجاکه IDS همچون یک کلاینت در مسیر شبکه قرار می‌گیرد، باید از Port Mirroring در سوئیچ‌های شبکه کمک گرفت تا بررسی‌های لازم را انجام دهند.

این گونه است که IDS قادر به جلوگیری از ورود ترافیک آلوده به شبکه نبوده و تنها پس از تشخیص نفوذ که شامل جمع‌آوری داده، بررسی پورت‌ها، به دست گرفتن کنترل کامپیوترها و هک کردن است، با آگاه کردن فایروال سیستم مانع از خرابکاری در شبکه سازمانی می‌شود. سیستم IDS به دو صورت تحت شبکه (NIDS) به صورت سخت‌افزاری و تحت میزبان (HIDS) به شکل نرم‌افزاری قابل پیاده‌سازی است.

IPS سیستمی برای جلوگیری از نفوذ به شبکه

برخلاف IDS یک سیستم IPS (Intrusion Prevention System) قادر است اطلاعات ترافیک شبکه را مستقیماً دریافت کرده و پس از بررسی، ترافیک مشکوک را شناسایی و با آن مقابله کند. محل قرارگیری IPS در ورودی شبکه و پس از فایروال است تا تمام بسته‌های ترافیکی از آن گذشته و مورد تحلیل قرار گیرند. به‌این‌ترتیب هدف یک سیستم IPS بررسی کامل ترافیک عبوری شبکه و اقدام فوری (Block) هرگونه رفتار مشکوک، نفوذ (Attack) و دسترسی غیرمجاز به شبکه داخلی سازمان است.

سیستم پیشگیری از نفود شبکه IPS به عنوان یک راه‌حل امنیتی در کنار شناسایی تهدیدات، قادر به اقدام فوری در مقابله با آن‌ها است. IPS به دو شیوه مبتنی بر میزبان (HIPS) به صوت نرم‌افزاری و مبتنی بر شبکه (NIPS) به صورت سخت‌افزاری اجرا می‌شود.

ویژگی‌های دو سرویس IDS و IPS

تکنولوژی‌های IDS و IPS از فایروال حساس‌تر بوده و ترافیک ورودی شبکه را با دقت بیشتری تحلیل می‌کنند. در صورت تشخیص اختلال، هر کدام از این دو سیستم ‌امنیتی، به روش خود برای حفظ سیستم گامی برمی‌دارند. همان‌طور که اشاره شد، در یک شبکه کامپیوتری می‌توانید سنسورها را به دو روش در مسیر ترافیک عبوری قرار دهید.

در روش اول که Inline گفته می‌شود، ترافیک شبکه از سنسور گذشته و در کنار تشخیص، توانایی مقابله با تهدیدات را دارد. این روش که همان تکنولوژی IPS است نقص کوچکی دارد؛ درواقع اگر سنسور IPS به مشکل بخورد و مسیر جایگزینی برای عبور ترافیک شبکه نداشته باشیم، اختلال شبکه تا زمان برطرف کردن این نقص ادامه خواهد داشت. در روش دوم سنسور خارج از مسیر ترافیک و به صورت ناظر قرار گرفته و به یک نیروی انسانی برای بررسی نتایج نیاز است. با توجه به ترافیک شبکه، این کار ممکن است زمان‌ و هزینه‌ زیادی در بر داشته باشد البته این مزیت را نیز دارد که با اختلال در آن، شبکه از کار نمی‌افتد.

ویژگی‌های IDS:

• در مسیر ترافیک قرار نگرفته و تنها کپی ترافیک به سمت آن فرستاده می‌شود
• چون در مسیر اصلی نیست، باعث تاخیر نمی‌شود
• در صورت خرابی سنسور صدمه‌ای به شبکه نمی‌زند
• در صورت تشخیص حمله، آن را به دستگاه دیگری همچون روتر اعلام می‌کند (البته تضمینی برای مقابله روتر یا فایروال با اخطار ارسالی وجود ندارد)
• این سیستم قابلیت اعمال تغییر روی بسته‌ها را ندارد

ویژگی‌های IPS:

• در مسیر اصلی قرار داشته و ترافیک از سنسورهای آن می‌گذرد
• به دلیل زمان‌بر بودن آنالیز بسته‌ها، تاخیر کوچکی در ترافیک شبکه ایجاد می‌کند
• اگر سنسور به مشکل بخورد روی جریان ترافیک اثر می‌گذارد (برای رفع این مشکل می‌توان سنسور را در حالت Fail Open قرار داد)
• کنترل بسته‌ها و امکان ارسال و عدم ارسال آن‌ها را در اختیار دارد
• می‌تواند بسته‌ها را تغییر دهد

اهمیت IDS و IPS برای سازمان‌ها

امروزه یکی از مباحث مهم در بحث خدمات شبکه، امنیت و راهکارهای امنیتی است که فایروال یا دیوار آتش به عنوان اولین سد در برابر آن شناخته می‌شود. به دلایل زیر دیوار آتش برای حفظ شبکه‌های کامپیوتری کافی نیست:

• تمامی دسترسی‌ها به اینترنت از مسیر دیوار آتش نمی‌گذرد
• محدوده تهدیدات امنیتی تنها در خارج از دیوار آتش نیست
• دیوار آتش در برابر حملات نرم افزاری به داده‌های سازمان (Active | Java Applet | Virus Programs) توانایی مقابله خوبی ندارد

به عقیده رایانه کمک | ارائه دهنده خدمات پشتیبانی از شبکه‌های کامپیوتری به صورت ریموت و حضوری باتوجه به محدودیت‌های فایروال و اهمیت روزافزون ایمنی داده‌های سازمانی، راه‌اندازی سیستم‌های IDS و IPS همچون یک راهکار پیشگیرانه و تقویت کننده در کنار فایروال، به سازمان‌های متوسط و بزرگ پیشنهاد می‌شود. در صورت نیاز برای دریافت خدمات شبکه با شماره‌های 9099071540 برای تلفن ثابت و 0217129 برای تلفن همراه تماس بگیرید.