IDS و IPS چیست؟ و چه کاربردی دارند؟
سلام وقتتون بخیر محمدرضا هستم مدرس و متخصص پایتون امیدوارم حال دلتون عالی باشه بازم هم با یه مقاله دیگه در خدمات شما دوستان عزیز هستیم این دفعه با یکسری مفاهیم پایه در مورد ای دی اس (ids) و آی پی اس (ips)
[ آموزش اصطلاحات هکری ( قسمت اول ) ]
[ آموزش اصطلاحات هکری ( قسمت دوم ) ]
قرار در مورد مفاهیم پایه توضیح بدیم واینکه بگیم چیجوری میشه دور زدن همچین چیزیو یا چگونه تشخیص نفوذ بدیم امیدوارم مفید واقع بشه و قطعا ازشون تو شرکت ها و سازمان و هرجایی که فکرشو بکنید حتی سیستم هایی که داریم ازشون استفاده میکنیم از ورودی یک دی وی دی تا یک فلش تا خوده آنتی ویروس کاربردی هستن و ازشون استفاده میشه خب بریم توضیح موارد رو بدیم
اول یه توضیح در مورد جفتشون بدم:
ips و ids چیست ؟
Intrusion Detection System مخفف Intrusion Prevention System بیشتر شبکه های امروزی در پیرامون ما، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند.گفتم هکرهای بد اندیش اونایی که نگرش منفی به این کار دارن من حرفی ندارم
IDS =Intrusion Detection System (سیستم های تشخیص نفوذ)
IPS-Intrusion Prevention System (سیستم های جلوگیری از نفوذ)
IDS چیست؟
ای دی اس یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند.روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند.
IPS چیست؟
سیستم جلوگیری از نفوذ (ای پی اس) یک وسیله امنیتی است که بر فعالیت های یک شبکه و یا یک سیستم نظارت کرده تا رفتارهای ناخواسته یا مخرب را شناسایی کند. در صورت شناسایی این رفتارها، بلافاصله عکسالعمل نشان داده و از ادامه فعالیت آنها جلوگیری میکند. سیستمهای جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم میشوند. یک سیستم جلوگیری از نفوذ مبتنی بر شبکه بر همهی ترافیک شبکه نظارت کرده تا حملات یا کدهای مخرب را شناسایی کند. در صورت تشخیص یک حمله، بستههای مورد استفاده در آن حمله را دور ریخته و به سایر بستهها اجازه عبور میدهد. سیستم جلوگیری از نفوذ به عنوان گسترشی از سیستم تشخیص نفوذ(ای دی اس) درنظر گرفته میشود
این نکته هم داشته باشین:
IPS همانند IDS می تواند ترافیک های شبکه را آنالیز کند اما تفاوتش با IDS این است که می تواند از تهدیدات و نفوذ جلوگیری کند. همانطور که گفته شد، تمام ترافیک های ورودی و خروجی شبکه داخلی از IPS عبور می کنند و IPS فرصت آنالیز آن ها را دارد. در این صورت اگر ترافیکی به عنوان ترافیک مخرب شناسایی شد، آن را از بین می برد
خب یکسری قابلیت ها ام دارن که من توضیح میدم بعد میرم از لحاظ امنیتی با رسم شکل نشونتون بدم
قابلیت های IDS:
- امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه
- بستن ارتباطهای مشکوک و مظنون
- قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی
انواع IDS:
1- Network-based یا NIDS که همان نوع مرسوم آن می باشد که در بالا توضیح داده شد و به عنوان یک Client یا دستگاه درون شبکه قرار می گیرد
2- Host-Based یا HIDS که به عنوان یک نرم افزار یا Agent به روی Client ها (مثل سیستم عاملهای ویندوز و لینوکس) نصب می شود تا تهدیدات فیزیکی و Local سیستم را آنالیز کند. مثلا اگر یک Flash Drive به سیستم وصل شد، آن را به سامانه ی مشخص شده اطلاع می ده
انواع IPS:
- Network-based:یا NIPS که همان نوع مرسوم آن می باشد که در بالا توضیح داده شد و به عنوان یک دستگاه پشت یا بعد از فایروال و روتر درون شبکه داخلی راه اندازی می شود.
- Host-Based:یا HIPS که به عنوان یک نرم افزار یا Agent به روی Client ها (مثل سیستم عامل های ویندوز یا لینوکس) نصب می شود تا تهدیدات فیزیکی و Local سیستم را آنالیز کند. مثلا اگر یک Flash Drive به سیستم وصل شد، آن را بررسی می کند و اگر مشکل و تهدیدی را پیدا شد، اجازه کار به آن Flash Drive داده نمی شود
خب تا اینجا شاید همه چی آسون بوده و خیلی مفاهیم ساده یی رو گفتیم اما روش ها و تفاوت های رو قرار در ادامه بهتون بگیم
روش های کار ids و ips:
در IDS و IPS دیتابیسی وجود دارد که در آن الگو هایی از حملات مختلف قرار داده شده است. یعنی اگر حمله به شبکه صورت گرفت و اگر الگو و قالب آن حمله در دیتابیس IDS و IPS قرار داشت، آنرا تشخیص می دهد بر اساس سیاست تعریف شده برای آن حمله تصمیم گیری می کند
یک روش هک سیستم های ویندوزی به اسم ABC وجود دارد در این روش نفوذگر، ترافیکی با قالب پروتکل FTP را برای پورت SSH (پورت 22) ویندوز ارسال می کند. به دلیل باگ امنیتی ای که در سیستم ویندوزی وجود دارد، اجازه ورود نفوذگر به FTP از راه پورت SSH را می دهد. شبکه ی داخلی ما در این مثال دارای IPS است دیتابیس این IPS به صورت خودکار به روز رسانی شده است و شرکت ارائه دهنده آن، الگو حملاتی روش ABC را به آن اضافه کرده است. نفوذگر دوباره اقدام به حمله به یک سیستم ویندوزی با استفاده از روش ABC می کند. در این مرحله IPS این حمله را می شناسد یعنی زمانی که ترافیک هایی با قالب FTP می خواهند به سمت پورت SSH ارسال شوند، IPS تشخیص می دهد که این یک حمله با روش ABC می باشد و اجازه ارسال ترافیک را نمی دهد
تفاوت IPS و IDS :
تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ چه تفاوتی بین استفاده از IPS و استفاده از IPS در شبکه وجود دارد؟ شما می توانید سنسور را به یکی از دو روش زیر برای آنالیز ترافیک در شبکه قرار دهید. روش اول استفاده در حالت inline است که در آن ترافیک شبکه باید از سنسور عبور کند که سنسور ترافیک را بررسی و سپس در صورت عدم مشکل آنرا ارسال می کند و به این ترتیب سنسور قادر است جلوی ترافیک مخرب را بگیرد. این روشی است که IPS از آن استفاده می کند. هر زمان که نام IPS را شنیدید بدانید که سنسور در مسیر جریان ترافیک قرار دارد و می تواند جلوی حملات را بگیرد. یک نکته منفی که در رابطه با IPS به خاطر inline بودن وجود دارد این است که اگر سنسور دچار مشکل شود و شما مسیر دیگر برای شبکه نداشته باشید تا زمانی که مشکل برطرف نشود کل شبکه شما دچار مشکل خواهد بود
خب یه قسمت دیگه مونده خودمم واسم جالب بود این بحث که باهتون در میان میزارم اینو یه بار دیگه میگم
سیستم پیشگیری از نفوذ IPS چگونه کار می کند؟
یک سیستم پیشگیری از نفوذ به دلیل داشتن قابلیت های پیشگیری از تهدیدهای پیشرفته، یک راه حل بسیار امن در مقایسه با سیستم تشخیص نفوذ است. یک سیستم پیشگیری از نفوذ در حالت in-line کار می کند. این شامل یک سنسور است که به طور مستقیم در مسیر واقعی ترافیک شبکه قرار دارد، که هنگام عبور بسته ها از طریق آن، تمام ترافیک شبکه را بازرسی می کند. حالت in-line به سنسور اجازه می دهد تا در حالت پیشگیری که در آن بازرسی بسته واقعی را انجام می دهد، کار کند. به همین دلیل، هر بسته مشکوک یا مضر شناسایی شده فوراً Drop می شود
خب خسته نباشین که این مقاله رو خوندین وقتتون گذاشتین تا آخر این مقاله با من همراه بودین ممنونم😉
نکته هایی که باید بگم:
در این مقاله ما سعی کردیم یکسری موارد مهم در مورد ips و ids بگیم که بزودی به صورت تخصصی تر در مورد اینا در مقاله جدا خواهیم پرداخت
خیلی ممنون از شما خدا نگهدارتون
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
3 Comments
Join the discussion and tell us your opinion.
خیلیم عالی 😀تخصصی ولی ساده 👌
عالی بود ممنون
خیلی کاربردی بود ممنون