آشنایی با IDS و انواع سیستم های جلوگیری از نفوذ
Intrusion Detection System از جمله ابزار امنیتی است که ترافیک شبکه و دستگاهها را برای فعالیتهای مخرب شناسایی و به نظارت آنها میپردازد. استفاده از این سیستم به شما در حفظ امنیت شبکه و محافظت از دادهها در برابر حملات سایبری کمک میکند. اگر بخواهیم خیلی کوتاه درباره نحوه عملکرد این سیستم توضیح دهیم میتوان گفت که IDS با بررسی ترافیک شبکه و ارسال هشدار در صورت دیدن فعالیتهای غیرعادی باعث میشود سیستم شما ایمن بماند و دل نگرانیهایتان درباره از دست دادن دادهها و سلامت سیستمتان به حداقل خود برسد.
انواع سیستمهای جلوگیری از نفوذ
اینکهIDS ها در چه جایگاهی در سیستم قرار بگیرند و چه فعالیتی انجام دهند زمینهساز دسته بندی آنها به حساب میآید. اگر بخواهیم انواع آنها را توضیح دهیم میتوان گفت:
-
سیستمهای تشخیص نفوذ شبکه (NIDS)
Network Intrusion Detection Systemsها به بررسی و کنترل ترافیکهای ورودی و خروجی به دستگاهها میپردازند. جایگاه قرارگیری NIDS معمولا پشت فایروالهاست تا بتوانند ترافیکهای مخرب را شناسایی نمایند. علاوه بر آن ممکن است در داخل شبکه نیز وجود داشته باشند تا تهدیدات داخلی یا هکرهایی که به حسابهای کاربری دست پیدا کردهاند را شناسایی کنند.
-
سیستمهای تشخیص نفوذ میزبان (HIDS)
جایگاه آن روی سرور، روتر و یا لپ تاپ شماست. HIDS فعالیتهای دستگاه از جمله ترافیکها را نظارت میکند. این سیستم عکسهای دورهای از فایلهای سیستم عامل گرفته و آنها با شرایط استاندارد مقایسه میکند. در صورتی که تغییری حس شود هشدارهای لازم به تیم امنیتی داد خواهد شد.
-
IDS مبتنی بر پروتکل (PIDS)
به نظارت بر پروتکلهای اتصال میان سرورها و دستگاهها میپردازد. این سیستم معمولا روی وب سرورها و برای نظارت بر اتصالات HTTP یا HTTPS قرار میگیرد.
-
IDS مبتنی بر پروتکل برنامه (APIDS)
در لایه برنامه بوده و بر پروتکلهای خاص برنامه نظارت میکند. از این سیستم برای تشخیص SQL Injection استفاده میشود
ویژگیهای مثبت IDS
حال اصلا چرا IDS؟ چه ویژگیهایی این سیستم را برای شما ممتاز میسازد؟
- شناسایی فعالیتهای مخرب: با استفاده از IDS میتوانید فعالیتهای مخرب را شناسایی کنید و پیش از بروز آسیب جدی به مدیر سیستم اطلاع دهید.
- بهبود عملکرد شبکه: با استفاده از IDS مشکلاتی که در عملکرد شبکه رخ میدهد شناسایی میشود و شما میتوانید با رفع آنها عملکرد شبکه را بهبود بخشید.
- ارائه بینش: به این صورت که IDS با ارائه بینشهای ارزشمند درباره ترافیک شبکه به شما در شناسایی نقاط ضعف و بهبود امنیت شبکه کمک میکند.
حفاظت از وب سایت شما به بهترین شکل!
در صورتی که به دنبال محافظت از وب سایت خود در برابر حملات سایبری هستید. میزبانی وب پویان آی تی با امنیت بالا در کنار شماست.
میخواهید بیشتر بدانید؟ با ما در ارتباط باشید!
نحوه عملکرد IDS
اگر بخواهیم به صورت گام به گام درباره نحوه عملکرد این سیستم صحبت کنیم به این صورت است که:
- در ابتدا سیستم تشخیص نفوذ، ترافیک شبکه را برای شناسایی فعالیتها نظارت میکند.
- پس از آن دادهها را تجزیه و تحلیل و بررسی میکند تا ببیند آیا اثری از نشانههای غیرعادی هست یا نه.
- در گام بعدی فعالیتهای شبکه را با آن مجموعه قوانین و الگوها تطبق میدهد تا موارد مشکوک را شناسایی کند.
- این موارد را در قالب هشدار برای مدیر سیستم ارسال میکند تا توسط مدیریت بررسی و اقدامات لازم جهت جلوگیری از این آسیبها به عمل آید.
ادغام IDS و دیگر راهحلهای امنیتی
اگر بخواهم واضح بگویم IDSها ابزار مستقلی نیستند و برای اینکه بتوانند بخشی از یک سیستم امنیتی باشند باید با راهکارهای امنیتی مختلفی ادغام شوند. مثلا:
- IDS و SIEM: این ادغام باعث میشود تا تیمهای امنیتی بتوانند حوادث را اولویتبندی و هشدارهای کاذب را فیلتربندی کنند.
- IDS و IPS: کاری که IPS انجام میدهد این است که ترافیک شبکه را رصد میکند و با قطع خودکار اتصالات و یا فعال سازی ابزارهای امنیتی تهدیدات را خنثی میسازد. در اکثر مواقع IDS و IPS در سیستمهای تشخیص نفوذ و پیشگیری ترکیب و به تیمهای امنیتی هشدار میدهد.
- IDS و فایروالها: یک جورهایی مکمل یکدیگر هستند و در بررسی و یا مجاز و غیرمجاز نشان دادن ترافیکها برای پیشگیری از بروز خوادث امنیتی با یکدیگر کار میکنند.
فرار از IDS
همانطور که تا الان خواندیم IDS قادر است تا تهدیدات زیادی را شناسایی کند؛ ولی خب یک جاهایی ممکن است کار از دستش در برود! اگر بخواهیم یک سری از این موارد را توضیح دهیم میتوان گفت:
- جعل آی پی آدرسها و سوابق DNS که باعث میشود حس کنیم ترافیک آنها از منبعی قابل اعتماد است.
- Fragmentation یا تکه تکه شدن که به معنای تقسیم بدافزار و یا آن محموله مخرب به بستههای کوچک است که خطر شناسایی را کاهش میدهد.
- استفاده از پروتکلهای رمزگذاری شده برای دور زدن IDS.
- ایجاد هشدارهای IDS زیاد برای منحرف کردن ذهن و تمرکز تیم امنیتی.
روشهای تشخیص IDS
دو روش اصلی برای تشحیص IDS وجود دارد:
- روش مبتنی بر امضا: به این صورت که حملات را بر اساس الگوهای خاص شناسایی میکند. این الگوها در IDS به عنوان امضا شناخته میشوند. (این نکته حائز اهمیت است که IDSهای مبتنی بر امضا به راحتی میتوانند الگوهایی که از قبل در سیستم وجود داشت را شناساییی کنند؛ ولی در تشخیص حملات بدافزارهای جدید (چون الگویی از آنها وجود ندارد) ضعیف عمل میکنند.)
- روش مبتنی بر ناهنجاری: این روش برای شناسایی حملات ناشناخته مورد استفاده قرار میگیرد. در این روش از ماشین لرنینگ برای ایجاد یک مدل فعالیت قابل اعتماد استفاده و بقیه چیزها را با آن میسنجند. در صورتی که فعالیتهای انجام شده در این مدل پیدا نشود آن فعالیت مشکوک تعریف میشود.
IDS و فایروال چه تفاوتی باهم دارند؟
با وجود اینکه هردو آنها به امنیت شبکه مربوط میشوند؛ ولی تفاوتهایی نیز دارند. مثلا فایروال به دنبال نفوذ خارجی است و از وقوع آنها جلوگیری میکند. در فایروالها دسترسی بین شبکهای برای جلوگیری از نفوذ محدود و اگر حمله داخلی باشد سیگنال نمیدهد. در مقابل IDS نفوذ را پس از وقوع توصیف و بعد هشدار میدهد.
چالشهای IDS
در کنار ویژگیهای مثبت یک سری چالشها نیز در IDS وجود دارد. مثلا:
- هشدارهای کاذب: یعنی ممکن است درباره فعالیتهای بی ضرر هشدار داده و نگرانیهایی را ایجاد کند.
- Resource Intensive: استفاده از منابع زیاد میتواند عملکرد شبکه را کندتر سازد.
- عدم جلوگیری از حملات: IDS تنها حملات را شناسایی و هشدار میدهد، ولی در زمینه متوقف کردن آن کاری نمیکند.
- نیاز به تخصص: ممکن است مسیر راه اندازی و مدیریت IDS پیچیده و به دانش تخصص نیاز داشته باشد.
جمع بندی
IDSها از جمله فناوریهای امنیتی شبکه هستند که از آنها برای شناسایی آسیب پذیریها استفاده میشود. این سیستمها ترافیک را کنترل کرده و نتیجه نهایی را به مدیر ابلاغ میکنند. این نکته را فراموش نکنید که IDS نمیتواند اقدامی برای جلوگیری از نفوذ موارد شناسایی شده انجام دهد. پس شما بایستی از آن در کنار ابزار جلوگیری از نفوذ استفاده نمایید.
سوالات متداول
تفاوت IDS و IPS چیست؟
IDS نفوذ را تشخیص و فقط هشدارهای لازم را میدهد؛ ولی IPS بستههای مخرب را پیش از رسیدن به مقصد مسدود میکند.
آیا IDS میتواند تهدیدات داخلی را شناسایی کند؟
بله این سیستم تشخیص نفوذ میتواند تهدیدات را شناسایی کند.
چرا سیستمهای تشخیص نفوذ (IDS) مهم هستند؟
استفاده از سیستمهای تشخیص نفوذ باعث میشود امنیت سیستم شما را افزایش یابد. این سیستم با دیگر ابزارهای امنیتی ترکیب میشود تا تهدیدات را شناسایی کند.
منابع
- https://www.geeksforgeeks.org/intrusion-detection-system-ids/
- https://www.ibm.com/think/topics/intrusion-detection-system
به این مقاله امتیاز دهید!
میانگین امتیاز 0 / 5. تعداد رأی ها : 0
هنوز هیچ رأیی داده نشده. اولین نفر باشید!
اولین دیدگاه را اضافه کنید.