زمان مطالعه : 10 دقیقه

سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) یک ابزار امنیتی شبکه است که ترافیک شبکه را به صورت مداوم بررسی می‌کند تا هرگونه فعالیت مخرب یا مشکوک را شناسایی و به طور خودکار از آن جلوگیری کند. به عبارت دیگر، IPS مانند یک نگهبان هوشیار در شبکه عمل می‌کند که نه تنها نفوذها را تشخیص می‌دهد (مانند سیستم تشخیص نفوذ یا IDS)، بلکه به طور فعال از وقوع آن‌ها نیز جلوگیری می‌کند که در مقاله معرفی سیستم پیشگیری از نفوذ، معرفی چند ابزار رایج، شیوه کار و پیاده سازی، ضرورت های IPS حدود ۹ دقیقه به صورت کامل در موردش صحبت کردم. در این مقاله می خواهم در مورد تنظیمات و پروفایل سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) باهاتون صحبت کنم.

آنچه در این مطلب خواهید آموخت پنهان کردن

پروفایل سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) چیست؟

پروفایل سیستم پیشگیری از نفوذ (IPS) مجموعه‌ای از قوانین، تنظیمات و پیکربندی‌هاست که به IPS می‌گوید چگونه ترافیک شبکه را بررسی کند، تهدیدات را شناسایی کند و به آن‌ها واکنش نشان دهد. به عبارت دیگر، پروفایل IPS مانند یک دستورالعمل جامع برای IPS عمل می‌کند و نحوه عملکرد آن را در مواجهه با تهدیدات مختلف تعیین می‌کند.

انواع پروفایل سیستم پیشگیری از نفوذ (IPS)

انواع پروفایل سیستم پیشگیری از نفوذ (IPS)

پروفایل‌های سیستم پیشگیری از نفوذ (IPS) را می‌توان بر اساس معیارهای مختلفی دسته‌بندی کرد. در اینجا به دسته‌بندی‌های اصلی و مهم‌ترین انواع پروفایل‌های IPS اشاره می‌کنیم:

بر اساس روش تشخیص (Detection Method)

این دسته‌بندی رایج‌ترین روش است و بر اساس نحوه شناسایی تهدیدات توسط IPS انجام می‌شود:

مبتنی بر امضا (Signature-based)

این نوع پروفایل‌ها از پایگاه داده‌ای از امضاهای حملات شناخته شده (مانند کدهای مخرب، الگوهای ترافیکی خاص و …) استفاده می‌کنند. هرگاه ترافیک شبکه با یکی از این امضاها مطابقت داشته باشد، IPS آن را به عنوان یک تهدید شناسایی می‌کند این پروفایل‌ها ابتدا یک “خط مبنا” از رفتار عادی شبکه (مانند میزان ترافیک، پروتکل‌های مورد استفاده، پورت‌های باز و …) ایجاد می‌کنند. سپس هرگونه انحراف از این خط مبنا را به عنوان یک تهدید احتمالی شناسایی می‌کنند. دقت بالا در شناسایی حملات شناخته شده، سرعت بالا در پردازش است اما عدم توانایی شناسایی حملات جدید (zero-day attacks) که هنوز امضایی برای آن‌ها تعریف نشده است. نیاز به به‌روزرسانی مداوم پایگاه داده امضاها می باشد.برای مثال شناسایی تلاش برای بهره‌برداری از یک آسیب‌پذیری خاص در یک نرم‌افزار می تواند یکی از این گزینه های تشخیص در روش تشخیص مبتنی بر امضا (Signature-based) است.

مبتنی بر ناهنجاری (Anomaly-based)

این پروفایل‌ها ابتدا یک “خط مبنا” از رفتار عادی شبکه (مانند میزان ترافیک، پروتکل‌های مورد استفاده، پورت‌های باز و …) ایجاد می‌کنند. سپس هرگونه انحراف از این خط مبنا را به عنوان یک تهدید احتمالی شناسایی می‌کنند.مزیت آن توانایی شناسایی حملات جدید و ناشناخته است اما احتمال ایجاد هشدارهای کاذب بیشتر نسبت به روش مبتنی بر امضا است که برای بهبود بخشیدن به آن نیاز به آموزش و تنظیم دقیق برای ایجاد خط مبنای صحیح در هنگام تشخیص مبتنی بر ناهنجاری (Anomaly-based) است. برای مثال افزایش ناگهانی ترافیک خروجی از یک سرور، که ممکن است نشان‌دهنده آلودگی به بدافزار باشد.

مبتنی بر سیاست (Policy-based)

این پروفایل‌ها بر اساس سیاست‌های امنیتی تعریف شده توسط مدیر شبکه، ترافیک را کنترل می‌کنند. این سیاست‌ها می‌توانند شامل مسدود کردن ترافیک از آدرس‌های IP خاص، محدود کردن دسترسی به پروتکل‌های خاص، یا جلوگیری از اجرای برنامه‌های خاص باشند.مزیت آن انعطاف‌پذیری بالا و امکان سفارشی‌سازی بر اساس نیازهای خاص سازمان است اما برای این کار نیاز به تعریف دقیق و جامع سیاست‌ها برای تنظیم مبتنی بر سیاست (Policy-based) لازم است. برای مثال مسدود کردن ترافیک از یک کشور خاص یا محدود کردن به یک کشور (مثل دسترسی تنها از ایران) به دلیل وجود تهدیدات سایبری از آن منطقه یا مناطق شناسایی شده است.

مبتنی بر رفتار (Behavior-based)

این پروفایل‌ها با تحلیل رفتار برنامه‌ها و کاربران، فعالیت‌های مشکوک را شناسایی می‌کنند. به عنوان مثال، اگر یک برنامه به طور ناگهانی شروع به دسترسی به فایل‌های سیستمی حساس کند، IPS می‌تواند آن را به عنوان یک تهدید شناسایی کند. مزیت آن توانایی شناسایی تهدیدات پیچیده و هدفمند است اما پیچیدگی بیشتر در پیاده‌سازی و تنظیم وجود دارد که باید به دقت انجام شود.

بر اساس روش تشخیص (Detection Method)

بر اساس محل استقرار (Deployment Location)

مبتنی بر شبکه (Network-based IPS یا NIPS)

در نقاط استراتژیک شبکه (مانند مرز شبکه یا بین بخش‌های مختلف شبکه) مستقر می‌شود و ترافیک کل شبکه را بررسی می‌کند.

مبتنی بر شبکه (Network-based IPS یا NIPS)

مبتنی بر میزبان (Host-based IPS یا HIPS)

بر روی یک سیستم خاص (مانند یک سرور یا کامپیوتر کاربر) نصب می‌شود و فعالیت‌های آن سیستم را بررسی می‌کند.

مبتنی بر میزبان (Host-based IPS یا HIPS)

بر اساس نوع تهدید (Threat Type)

پروفایل‌های IPS می‌توانند برای مقابله با انواع خاصی از تهدیدات پیکربندی شوند، مانند:

  • جلوگیری از حملات DDoS: پروفایل‌هایی که برای شناسایی و مسدود کردن حملات منع سرویس توزیع شده طراحی شده‌اند.
  • جلوگیری از نفوذ به سیستم‌ها: پروفایل‌هایی که برای شناسایی تلاش برای بهره‌برداری از آسیب‌پذیری‌های سیستم‌ها طراحی شده‌اند.
  • جلوگیری از بدافزارها: پروفایل‌هایی که برای شناسایی و مسدود کردن بدافزارها طراحی شده‌اند.

بسیاری از سیستم‌های IPS مدرن برای ارائه سطح حفاظتی بالاتر، از ترکیبی از روش‌های تشخیص مختلف استفاده می‌کنند. این رویکرد ترکیبی به آنها اجازه می‌دهد تا نقاط قوت هر روش را ترکیب کرده و نقاط ضعف آنها را پوشش دهند. در اینجا به چند مثال بر اساس محصول و برند اشاره می‌کنیم:

فایروال Fortinet FortiGate

فایروال‌های نسل بعدی (NGFW) فورتینت که با نام FortiGate شناخته می‌شوند، از ترکیبی از روش‌های تشخیص زیر در IPS خود استفاده می‌کنند:

  • مبتنی بر امضا (Signature-based): فورتینت دارای یک پایگاه داده جامع از امضاهای حملات شناخته شده است که به طور مداوم توسط FortiGuard Labs (آزمایشگاه تحقیقاتی فورتینت) به‌روزرسانی می‌شود. این امضاها شامل حملات شناخته شده، بدافزارها، و آسیب‌پذیری‌ها می‌شوند.
  • مبتنی بر ناهنجاری (Anomaly-based): فورتی‌گیت از تحلیل رفتار شبکه برای شناسایی ترافیک غیرعادی و مشکوک استفاده می‌کند. این شامل شناسایی تغییرات ناگهانی در حجم ترافیک، پروتکل‌های غیرمعمول، و سایر رفتارهای غیرعادی شبکه می‌شود.
  • مبتنی بر رفتار (Behavior-based): فورتی‌گیت با استفاده از تکنیک‌های یادگیری ماشین و تحلیل رفتار، می‌تواند فعالیت‌های مخرب برنامه‌ها و کاربران را شناسایی کند. به عنوان مثال، اگر یک برنامه به طور ناگهانی شروع به ارسال حجم زیادی از داده به یک آدرس IP ناشناخته کند، فورتی‌گیت می‌تواند آن را به عنوان یک تهدید شناسایی کند.
  • Sandbox (سندباکس): فورتی‌گیت می‌تواند فایل‌های مشکوک را به یک محیط ایزوله (سندباکس) ارسال کند تا در آنجا اجرا و تحلیل شوند. این به شناسایی بدافزارهای جدید و ناشناخته کمک می‌کند.
فایروال Fortinet FortiGate and FortiWeb

فرض کنید یک کاربر در شبکه شما سعی در دانلود یک فایل آلوده دارد. فورتی‌گیت ابتدا با استفاده از امضاهای خود، فایل را بررسی می‌کند. اگر امضای مطابق با آن پیدا نشد، فایل به سندباکس ارسال می‌شود تا رفتار آن تحلیل شود. همزمان، فورتی‌گیت ترافیک شبکه را برای هرگونه ناهنجاری بررسی می‌کند. این رویکرد چندلایه، احتمال شناسایی تهدید را به طور قابل توجهی افزایش می‌دهد.

فایروال Cisco Firepower NGFW

سیسکو فایرپاور نیز از رویکرد مشابهی استفاده می‌کند:

  • SNORT (اسنورت): سیسکو از موتور تشخیص نفوذ متن باز SNORT استفاده می‌کند که مبتنی بر امضا است.
  • Advanced Malware Protection (AMP) (محافظت پیشرفته در برابر بدافزار): AMP از تحلیل رفتار و سندباکس برای شناسایی بدافزارهای پیشرفته استفاده می‌کند.
  • Contextual Awareness (آگاهی از زمینه): فایروال‌های سیسکو اطلاعات مربوط به کاربران، برنامه‌ها، دستگاه‌ها، و آسیب‌پذیری‌ها را برای بهبود دقت تشخیص تهدیدات جمع‌آوری می‌کنند.
فایروال Cisco Firepower NGFW

آنتی ویروس ESET Smart Security Premium

محصولات ESET علاوه بر آنتی‌ویروس، دارای قابلیت HIPS نیز هستند که به صورت یکپارچه با آنتی‌ویروس کار می‌کند. HIPS در ESET از ترکیبی از روش‌های زیر برای تشخیص و پیشگیری از نفوذ استفاده می‌کند:

  • تحلیل رفتاری (Behavioral Analysis): HIPS در ESET رفتار برنامه‌ها را زیر نظر دارد و هرگونه فعالیت مشکوک مانند تلاش برای تغییر فایل‌های سیستمی، ایجاد فرآیندهای مخفی یا اتصال به آدرس‌های اینترنتی مشکوک را شناسایی می‌کند.
  • مسدود کننده اکسپلویت (Exploit Blocker): این قابلیت به طور خاص برای جلوگیری از بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری طراحی شده است. اکسپلویت‌ها کدهایی هستند که از این آسیب‌پذیری‌ها برای اجرای کدهای مخرب استفاده می‌کنند. مسدود کننده اکسپلویت تلاش برای اجرای این کدها را متوقف می‌کند.
  • محافظت از باج‌افزار (Ransomware Shield): این قابلیت با نظارت بر رفتار فایل‌ها و جلوگیری از رمزگذاری غیرمجاز آنها، از سیستم در برابر حملات باج‌افزار محافظت می‌کند.
  • فایروال شخصی (Personal Firewall): فایروال موجود در ESET Smart Security Premium نیز بخشی از سیستم پیشگیری از نفوذ محسوب می‌شود و با کنترل ترافیک ورودی و خروجی، از دسترسی‌های غیرمجاز جلوگیری می‌کند.

مثال: فرض کنید یک فایل آلوده به باج‌افزار از طریق ایمیل به سیستم شما وارد شود. آنتی‌ویروس ESET ممکن است در ابتدا قادر به شناسایی آن نباشد (به دلیل جدید بودن باج‌افزار). اما HIPS با تحلیل رفتار فایل و مشاهده تلاش آن برای رمزگذاری فایل‌ها، فعالیت آن را متوقف کرده و از آلوده شدن سیستم جلوگیری می‌کند.

آنتی ویروس ESET Smart Security Premium

آنتی ویروس Bitdefender Total Security

محصولات بیت‌دیفندر نیز دارای قابلیت‌های HIPS پیشرفته هستند که به صورت یکپارچه با آنتی‌ویروس و سایر اجزای امنیتی کار می‌کنند:

  • Advanced Threat Defense (دفاع پیشرفته در برابر تهدیدات): این قابلیت از تحلیل رفتاری پیشرفته برای شناسایی تهدیدات جدید و ناشناخته استفاده می‌کند.
  • Ransomware Remediation (جبران خسارت باج‌افزار): بیت‌دیفندر در صورت وقوع حمله باج‌افزار، تلاش می‌کند تا فایل‌های رمزگذاری شده را بازیابی کند.
  • Network Threat Prevention (جلوگیری از تهدیدات شبکه): این قابلیت ترافیک شبکه را برای شناسایی فعالیت‌های مشکوک مانند اسکن پورت‌ها و حملات شبکه بررسی می‌کند.
آنتی ویروس Bitdefender Total Security

مثال: فرض کنید یک برنامه مخرب سعی در ایجاد یک اتصال خروجی به یک سرور C&C (فرمان و کنترل) داشته باشد. HIPS در بیت‌دیفندر این اتصال را شناسایی کرده و آن را مسدود می‌کند.

آنتی ویروس Microsoft Defender Antivirus

مایکروسافت دیفندر که به صورت پیش‌فرض در ویندوز وجود دارد، نیز دارای قابلیت‌های HIPS است که با نام‌های مختلفی شناخته می‌شوند:

  • Real-time Protection (محافظت بلادرنگ): این قابلیت فایل‌ها و فرآیندها را به صورت مداوم برای شناسایی تهدیدات بررسی می‌کند.
  • Behavior Monitoring (نظارت بر رفتار): دیفندر رفتار برنامه‌ها را زیر نظر دارد و هرگونه فعالیت مشکوک را شناسایی می‌کند.
  • Controlled Folder Access (دسترسی کنترل شده به پوشه‌ها): این قابلیت از فایل‌های شما در برابر باج‌افزارها با محدود کردن دسترسی برنامه‌ها به پوشه‌های محافظت شده، محافظت می‌کند.
  • Exploit Protection (محافظت در برابر اکسپلویت): این قابلیت از سیستم در برابر بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری محافظت می‌کند.
آنتی ویروس Microsoft Defender Antivirus

مثال: فرض کنید یک فایل مخرب از طریق یک وب‌سایت دانلود شود. دیفندر با استفاده از تحلیل رفتاری و امضاهای خود، فایل را شناسایی کرده و از اجرای آن جلوگیری می‌کند.

تنظیمات مهم در سیستم پیشگیری از نفوذ (IPS)

تنظیمات مهم و کلیدی در IPS (سیستم پیشگیری از نفوذ) بسیار متنوع هستند و بسته به نوع IPS (مبتنی بر شبکه یا میزبان)، برند و مدل دستگاه، و همچنین نیازهای امنیتی سازمان، می‌توانند متفاوت باشند. با این حال، برخی از تنظیمات اصلی و رایج وجود دارند که در اکثر سیستم‌های IPS یافت می‌شوند. در اینجا به مهم‌ترین این تنظیمات اشاره می‌کنیم:

حالت عملکرد (Operating Mode)

  • تشخیص (Detection/Monitoring): در این حالت، IPS فقط ترافیک را بررسی می‌کند و در صورت شناسایی تهدید، آن را گزارش می‌دهد، اما هیچ اقدامی برای مسدود کردن یا جلوگیری از آن انجام نمی‌دهد. این حالت برای تست و ارزیابی تنظیمات IPS یا جمع‌آوری اطلاعات در مورد تهدیدات موجود در شبکه مفید است.
  • جلوگیری (Prevention/Blocking): در این حالت، IPS علاوه بر تشخیص تهدیدات، به طور فعال از آنها جلوگیری می‌کند. این می‌تواند شامل مسدود کردن ترافیک مخرب، قطع اتصال، یا قرنطینه کردن دستگاه آلوده باشد. این حالت معمولاً حالت عملیاتی اصلی IPS است.

روش‌های تشخیص (Detection Methods)

همانطور که قبلاً اشاره شد، IPSها از روش‌های مختلفی برای تشخیص تهدیدات استفاده می‌کنند. تنظیمات مربوط به هر روش عبارتند از:

  • مبتنی بر امضا (Signature-based):
    • انتخاب امضاها: می‌توان امضاهای خاصی را برای فعال یا غیرفعال کردن انتخاب کرد. این به مدیران اجازه می‌دهد تا تمرکز خود را بر روی تهدیدات خاصی که برای سازمانشان مهم‌تر هستند، بگذارند.
    • به‌روزرسانی امضاها: تنظیمات مربوط به به‌روزرسانی خودکار یا دستی پایگاه داده امضاها.
  • مبتنی بر ناهنجاری (Anomaly-based):
    • تعیین خط مبنا (Baseline): تنظیماتی برای تعریف رفتار عادی شبکه و تعیین آستانه برای تشخیص ناهنجاری‌ها.
    • حساسیت (Sensitivity): تنظیم سطح حساسیت IPS در تشخیص ناهنجاری‌ها. حساسیت بالاتر ممکن است منجر به هشدارهای کاذب بیشتر شود.
  • مبتنی بر سیاست (Policy-based):
    • تعریف قوانین (Rules): تنظیماتی برای تعریف قوانین دسترسی به منابع شبکه و اعمال محدودیت‌ها بر اساس آدرس IP، پورت، پروتکل، و سایر معیارها.

سطوح حساسیت (Sensitivity Levels)

این تنظیم میزان سخت‌گیری IPS در تشخیص تهدیدات را تعیین می‌کند. سطوح بالاتر حساسیت ممکن است منجر به هشدارهای کاذب بیشتر شود، در حالی که سطوح پایین‌تر ممکن است برخی از تهدیدات را از دست بدهد.

سطوح حساسیت (Sensitivity Levels)

واکنش به تهدیدات (Response Actions)

این تنظیمات تعیین می‌کنند که IPS در صورت شناسایی تهدید چه واکنشی نشان دهد:

  • مسدود کردن (Block): قطع کامل ترافیک مخرب.
  • قرنطینه (Quarantine): جدا کردن دستگاه یا ترافیک مشکوک از شبکه.
  • گزارش (Log): ثبت رویداد مربوط به تهدید.
  • هشدار (Alert): ارسال هشدار به مدیر سیستم.
  • بازنشانی اتصال (Reset Connection): قطع اتصال فعلی.

لیست‌های سفید و سیاه (Whitelists and Blacklists)

  • لیست سفید (Whitelist): تعریف آدرس‌های IP، دامنه‌ها، یا برنامه‌هایی که به عنوان امن شناخته می‌شوند و توسط IPS بررسی نمی‌شوند.
  • لیست سیاه (Blacklist): تعریف آدرس‌های IP، دامنه‌ها، یا برنامه‌هایی که به عنوان مخرب شناخته می‌شوند و به طور خودکار مسدود می‌شوند.
لیست‌های سفید و سیاه (Whitelists and Blacklists)

ثبت وقایع (Logging)

تنظیمات مربوط به نحوه و میزان ثبت وقایع مربوط به فعالیت‌های IPS، از جمله تهدیدات شناسایی شده، واکنش‌های انجام شده، و سایر رویدادها.

ثبت وقایع (Logging)

گزارش‌دهی (Reporting)

تنظیمات مربوط به نحوه تولید گزارش‌ها و هشدارهای مربوط به فعالیت‌های IPS.

گزارش‌دهی (Reporting)

به‌روزرسانی‌ها (Updates)

تنظیمات مربوط به نحوه و زمان‌بندی به‌روزرسانی پایگاه داده امضاها و نرم‌افزار IPS.

به‌روزرسانی‌ها (Updates)

مدیریت (Management)

تنظیمات مربوط به نحوه دسترسی و مدیریت IPS، از جمله تعیین سطوح دسترسی کاربران و استفاده از پروتکل‌های امنیتی برای مدیریت دستگاه.

مثالی برای درک بهتر تنظیمات سیستم پیشگیری از نفوذ (IPS)

فرض کنید می‌خواهید یک IPS را برای جلوگیری از حملات DDoS پیکربندی کنید. تنظیمات مهم در این حالت می‌تواند شامل موارد زیر باشد:

  • حالت عملکرد: جلوگیری
  • روش تشخیص: مبتنی بر ناهنجاری و مبتنی بر رفتار
  • سطح حساسیت: متوسط یا بالا
  • واکنش به تهدید: مسدود کردن ترافیک مخرب
  • لیست سفید: تعریف آدرس‌های IP سرورهای قانونی

با تنظیم صحیح این موارد و سایر تنظیمات مربوطه، می‌توانید از شبکه خود در برابر حملات DDoS به طور مؤثری محافظت کنید.

توجه داشته باشید که این فقط بخشی از تنظیمات مهم در IPS است و بسته به نوع دستگاه و نیازهای سازمان، تنظیمات دیگری نیز ممکن است وجود داشته باشد. مطالعه مستندات مربوط به دستگاه IPS و مشاوره با متخصصان امنیت شبکه می‌تواند در تنظیم بهینه IPS بسیار مفید باشد.