سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) یک ابزار امنیتی شبکه است که ترافیک شبکه را به صورت مداوم بررسی میکند تا هرگونه فعالیت مخرب یا مشکوک را شناسایی و به طور خودکار از آن جلوگیری کند. به عبارت دیگر، IPS مانند یک نگهبان هوشیار در شبکه عمل میکند که نه تنها نفوذها را تشخیص میدهد (مانند سیستم تشخیص نفوذ یا IDS)، بلکه به طور فعال از وقوع آنها نیز جلوگیری میکند که در مقاله معرفی سیستم پیشگیری از نفوذ، معرفی چند ابزار رایج، شیوه کار و پیاده سازی، ضرورت های IPS حدود ۹ دقیقه به صورت کامل در موردش صحبت کردم. در این مقاله می خواهم در مورد تنظیمات و پروفایل سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) باهاتون صحبت کنم.
پروفایل سیستم پیشگیری از نفوذ (Intrusion Prevention System یا IPS) چیست؟
پروفایل سیستم پیشگیری از نفوذ (IPS) مجموعهای از قوانین، تنظیمات و پیکربندیهاست که به IPS میگوید چگونه ترافیک شبکه را بررسی کند، تهدیدات را شناسایی کند و به آنها واکنش نشان دهد. به عبارت دیگر، پروفایل IPS مانند یک دستورالعمل جامع برای IPS عمل میکند و نحوه عملکرد آن را در مواجهه با تهدیدات مختلف تعیین میکند.
انواع پروفایل سیستم پیشگیری از نفوذ (IPS)

پروفایلهای سیستم پیشگیری از نفوذ (IPS) را میتوان بر اساس معیارهای مختلفی دستهبندی کرد. در اینجا به دستهبندیهای اصلی و مهمترین انواع پروفایلهای IPS اشاره میکنیم:
بر اساس روش تشخیص (Detection Method)
این دستهبندی رایجترین روش است و بر اساس نحوه شناسایی تهدیدات توسط IPS انجام میشود:
مبتنی بر امضا (Signature-based)
این نوع پروفایلها از پایگاه دادهای از امضاهای حملات شناخته شده (مانند کدهای مخرب، الگوهای ترافیکی خاص و …) استفاده میکنند. هرگاه ترافیک شبکه با یکی از این امضاها مطابقت داشته باشد، IPS آن را به عنوان یک تهدید شناسایی میکند این پروفایلها ابتدا یک “خط مبنا” از رفتار عادی شبکه (مانند میزان ترافیک، پروتکلهای مورد استفاده، پورتهای باز و …) ایجاد میکنند. سپس هرگونه انحراف از این خط مبنا را به عنوان یک تهدید احتمالی شناسایی میکنند. دقت بالا در شناسایی حملات شناخته شده، سرعت بالا در پردازش است اما عدم توانایی شناسایی حملات جدید (zero-day attacks) که هنوز امضایی برای آنها تعریف نشده است. نیاز به بهروزرسانی مداوم پایگاه داده امضاها می باشد.برای مثال شناسایی تلاش برای بهرهبرداری از یک آسیبپذیری خاص در یک نرمافزار می تواند یکی از این گزینه های تشخیص در روش تشخیص مبتنی بر امضا (Signature-based) است.
مبتنی بر ناهنجاری (Anomaly-based)
این پروفایلها ابتدا یک “خط مبنا” از رفتار عادی شبکه (مانند میزان ترافیک، پروتکلهای مورد استفاده، پورتهای باز و …) ایجاد میکنند. سپس هرگونه انحراف از این خط مبنا را به عنوان یک تهدید احتمالی شناسایی میکنند.مزیت آن توانایی شناسایی حملات جدید و ناشناخته است اما احتمال ایجاد هشدارهای کاذب بیشتر نسبت به روش مبتنی بر امضا است که برای بهبود بخشیدن به آن نیاز به آموزش و تنظیم دقیق برای ایجاد خط مبنای صحیح در هنگام تشخیص مبتنی بر ناهنجاری (Anomaly-based) است. برای مثال افزایش ناگهانی ترافیک خروجی از یک سرور، که ممکن است نشاندهنده آلودگی به بدافزار باشد.
مبتنی بر سیاست (Policy-based)
این پروفایلها بر اساس سیاستهای امنیتی تعریف شده توسط مدیر شبکه، ترافیک را کنترل میکنند. این سیاستها میتوانند شامل مسدود کردن ترافیک از آدرسهای IP خاص، محدود کردن دسترسی به پروتکلهای خاص، یا جلوگیری از اجرای برنامههای خاص باشند.مزیت آن انعطافپذیری بالا و امکان سفارشیسازی بر اساس نیازهای خاص سازمان است اما برای این کار نیاز به تعریف دقیق و جامع سیاستها برای تنظیم مبتنی بر سیاست (Policy-based) لازم است. برای مثال مسدود کردن ترافیک از یک کشور خاص یا محدود کردن به یک کشور (مثل دسترسی تنها از ایران) به دلیل وجود تهدیدات سایبری از آن منطقه یا مناطق شناسایی شده است.
مبتنی بر رفتار (Behavior-based)
این پروفایلها با تحلیل رفتار برنامهها و کاربران، فعالیتهای مشکوک را شناسایی میکنند. به عنوان مثال، اگر یک برنامه به طور ناگهانی شروع به دسترسی به فایلهای سیستمی حساس کند، IPS میتواند آن را به عنوان یک تهدید شناسایی کند. مزیت آن توانایی شناسایی تهدیدات پیچیده و هدفمند است اما پیچیدگی بیشتر در پیادهسازی و تنظیم وجود دارد که باید به دقت انجام شود.

بر اساس محل استقرار (Deployment Location)
مبتنی بر شبکه (Network-based IPS یا NIPS)
در نقاط استراتژیک شبکه (مانند مرز شبکه یا بین بخشهای مختلف شبکه) مستقر میشود و ترافیک کل شبکه را بررسی میکند.

مبتنی بر میزبان (Host-based IPS یا HIPS)
بر روی یک سیستم خاص (مانند یک سرور یا کامپیوتر کاربر) نصب میشود و فعالیتهای آن سیستم را بررسی میکند.

بر اساس نوع تهدید (Threat Type)
پروفایلهای IPS میتوانند برای مقابله با انواع خاصی از تهدیدات پیکربندی شوند، مانند:
- جلوگیری از حملات DDoS: پروفایلهایی که برای شناسایی و مسدود کردن حملات منع سرویس توزیع شده طراحی شدهاند.
- جلوگیری از نفوذ به سیستمها: پروفایلهایی که برای شناسایی تلاش برای بهرهبرداری از آسیبپذیریهای سیستمها طراحی شدهاند.
- جلوگیری از بدافزارها: پروفایلهایی که برای شناسایی و مسدود کردن بدافزارها طراحی شدهاند.
بسیاری از سیستمهای IPS مدرن برای ارائه سطح حفاظتی بالاتر، از ترکیبی از روشهای تشخیص مختلف استفاده میکنند. این رویکرد ترکیبی به آنها اجازه میدهد تا نقاط قوت هر روش را ترکیب کرده و نقاط ضعف آنها را پوشش دهند. در اینجا به چند مثال بر اساس محصول و برند اشاره میکنیم:
فایروال Fortinet FortiGate
فایروالهای نسل بعدی (NGFW) فورتینت که با نام FortiGate شناخته میشوند، از ترکیبی از روشهای تشخیص زیر در IPS خود استفاده میکنند:
- مبتنی بر امضا (Signature-based): فورتینت دارای یک پایگاه داده جامع از امضاهای حملات شناخته شده است که به طور مداوم توسط FortiGuard Labs (آزمایشگاه تحقیقاتی فورتینت) بهروزرسانی میشود. این امضاها شامل حملات شناخته شده، بدافزارها، و آسیبپذیریها میشوند.
- مبتنی بر ناهنجاری (Anomaly-based): فورتیگیت از تحلیل رفتار شبکه برای شناسایی ترافیک غیرعادی و مشکوک استفاده میکند. این شامل شناسایی تغییرات ناگهانی در حجم ترافیک، پروتکلهای غیرمعمول، و سایر رفتارهای غیرعادی شبکه میشود.
- مبتنی بر رفتار (Behavior-based): فورتیگیت با استفاده از تکنیکهای یادگیری ماشین و تحلیل رفتار، میتواند فعالیتهای مخرب برنامهها و کاربران را شناسایی کند. به عنوان مثال، اگر یک برنامه به طور ناگهانی شروع به ارسال حجم زیادی از داده به یک آدرس IP ناشناخته کند، فورتیگیت میتواند آن را به عنوان یک تهدید شناسایی کند.
- Sandbox (سندباکس): فورتیگیت میتواند فایلهای مشکوک را به یک محیط ایزوله (سندباکس) ارسال کند تا در آنجا اجرا و تحلیل شوند. این به شناسایی بدافزارهای جدید و ناشناخته کمک میکند.

فرض کنید یک کاربر در شبکه شما سعی در دانلود یک فایل آلوده دارد. فورتیگیت ابتدا با استفاده از امضاهای خود، فایل را بررسی میکند. اگر امضای مطابق با آن پیدا نشد، فایل به سندباکس ارسال میشود تا رفتار آن تحلیل شود. همزمان، فورتیگیت ترافیک شبکه را برای هرگونه ناهنجاری بررسی میکند. این رویکرد چندلایه، احتمال شناسایی تهدید را به طور قابل توجهی افزایش میدهد.
فایروال Cisco Firepower NGFW
سیسکو فایرپاور نیز از رویکرد مشابهی استفاده میکند:
- SNORT (اسنورت): سیسکو از موتور تشخیص نفوذ متن باز SNORT استفاده میکند که مبتنی بر امضا است.
- Advanced Malware Protection (AMP) (محافظت پیشرفته در برابر بدافزار): AMP از تحلیل رفتار و سندباکس برای شناسایی بدافزارهای پیشرفته استفاده میکند.
- Contextual Awareness (آگاهی از زمینه): فایروالهای سیسکو اطلاعات مربوط به کاربران، برنامهها، دستگاهها، و آسیبپذیریها را برای بهبود دقت تشخیص تهدیدات جمعآوری میکنند.

آنتی ویروس ESET Smart Security Premium
محصولات ESET علاوه بر آنتیویروس، دارای قابلیت HIPS نیز هستند که به صورت یکپارچه با آنتیویروس کار میکند. HIPS در ESET از ترکیبی از روشهای زیر برای تشخیص و پیشگیری از نفوذ استفاده میکند:
- تحلیل رفتاری (Behavioral Analysis): HIPS در ESET رفتار برنامهها را زیر نظر دارد و هرگونه فعالیت مشکوک مانند تلاش برای تغییر فایلهای سیستمی، ایجاد فرآیندهای مخفی یا اتصال به آدرسهای اینترنتی مشکوک را شناسایی میکند.
- مسدود کننده اکسپلویت (Exploit Blocker): این قابلیت به طور خاص برای جلوگیری از بهرهبرداری از آسیبپذیریهای نرمافزاری طراحی شده است. اکسپلویتها کدهایی هستند که از این آسیبپذیریها برای اجرای کدهای مخرب استفاده میکنند. مسدود کننده اکسپلویت تلاش برای اجرای این کدها را متوقف میکند.
- محافظت از باجافزار (Ransomware Shield): این قابلیت با نظارت بر رفتار فایلها و جلوگیری از رمزگذاری غیرمجاز آنها، از سیستم در برابر حملات باجافزار محافظت میکند.
- فایروال شخصی (Personal Firewall): فایروال موجود در ESET Smart Security Premium نیز بخشی از سیستم پیشگیری از نفوذ محسوب میشود و با کنترل ترافیک ورودی و خروجی، از دسترسیهای غیرمجاز جلوگیری میکند.
مثال: فرض کنید یک فایل آلوده به باجافزار از طریق ایمیل به سیستم شما وارد شود. آنتیویروس ESET ممکن است در ابتدا قادر به شناسایی آن نباشد (به دلیل جدید بودن باجافزار). اما HIPS با تحلیل رفتار فایل و مشاهده تلاش آن برای رمزگذاری فایلها، فعالیت آن را متوقف کرده و از آلوده شدن سیستم جلوگیری میکند.

آنتی ویروس Bitdefender Total Security
محصولات بیتدیفندر نیز دارای قابلیتهای HIPS پیشرفته هستند که به صورت یکپارچه با آنتیویروس و سایر اجزای امنیتی کار میکنند:
- Advanced Threat Defense (دفاع پیشرفته در برابر تهدیدات): این قابلیت از تحلیل رفتاری پیشرفته برای شناسایی تهدیدات جدید و ناشناخته استفاده میکند.
- Ransomware Remediation (جبران خسارت باجافزار): بیتدیفندر در صورت وقوع حمله باجافزار، تلاش میکند تا فایلهای رمزگذاری شده را بازیابی کند.
- Network Threat Prevention (جلوگیری از تهدیدات شبکه): این قابلیت ترافیک شبکه را برای شناسایی فعالیتهای مشکوک مانند اسکن پورتها و حملات شبکه بررسی میکند.

مثال: فرض کنید یک برنامه مخرب سعی در ایجاد یک اتصال خروجی به یک سرور C&C (فرمان و کنترل) داشته باشد. HIPS در بیتدیفندر این اتصال را شناسایی کرده و آن را مسدود میکند.
آنتی ویروس Microsoft Defender Antivirus
مایکروسافت دیفندر که به صورت پیشفرض در ویندوز وجود دارد، نیز دارای قابلیتهای HIPS است که با نامهای مختلفی شناخته میشوند:
- Real-time Protection (محافظت بلادرنگ): این قابلیت فایلها و فرآیندها را به صورت مداوم برای شناسایی تهدیدات بررسی میکند.
- Behavior Monitoring (نظارت بر رفتار): دیفندر رفتار برنامهها را زیر نظر دارد و هرگونه فعالیت مشکوک را شناسایی میکند.
- Controlled Folder Access (دسترسی کنترل شده به پوشهها): این قابلیت از فایلهای شما در برابر باجافزارها با محدود کردن دسترسی برنامهها به پوشههای محافظت شده، محافظت میکند.
- Exploit Protection (محافظت در برابر اکسپلویت): این قابلیت از سیستم در برابر بهرهبرداری از آسیبپذیریهای نرمافزاری محافظت میکند.

مثال: فرض کنید یک فایل مخرب از طریق یک وبسایت دانلود شود. دیفندر با استفاده از تحلیل رفتاری و امضاهای خود، فایل را شناسایی کرده و از اجرای آن جلوگیری میکند.
تنظیمات مهم در سیستم پیشگیری از نفوذ (IPS)
تنظیمات مهم و کلیدی در IPS (سیستم پیشگیری از نفوذ) بسیار متنوع هستند و بسته به نوع IPS (مبتنی بر شبکه یا میزبان)، برند و مدل دستگاه، و همچنین نیازهای امنیتی سازمان، میتوانند متفاوت باشند. با این حال، برخی از تنظیمات اصلی و رایج وجود دارند که در اکثر سیستمهای IPS یافت میشوند. در اینجا به مهمترین این تنظیمات اشاره میکنیم:
حالت عملکرد (Operating Mode)
- تشخیص (Detection/Monitoring): در این حالت، IPS فقط ترافیک را بررسی میکند و در صورت شناسایی تهدید، آن را گزارش میدهد، اما هیچ اقدامی برای مسدود کردن یا جلوگیری از آن انجام نمیدهد. این حالت برای تست و ارزیابی تنظیمات IPS یا جمعآوری اطلاعات در مورد تهدیدات موجود در شبکه مفید است.
- جلوگیری (Prevention/Blocking): در این حالت، IPS علاوه بر تشخیص تهدیدات، به طور فعال از آنها جلوگیری میکند. این میتواند شامل مسدود کردن ترافیک مخرب، قطع اتصال، یا قرنطینه کردن دستگاه آلوده باشد. این حالت معمولاً حالت عملیاتی اصلی IPS است.
روشهای تشخیص (Detection Methods)
همانطور که قبلاً اشاره شد، IPSها از روشهای مختلفی برای تشخیص تهدیدات استفاده میکنند. تنظیمات مربوط به هر روش عبارتند از:
- مبتنی بر امضا (Signature-based):
- انتخاب امضاها: میتوان امضاهای خاصی را برای فعال یا غیرفعال کردن انتخاب کرد. این به مدیران اجازه میدهد تا تمرکز خود را بر روی تهدیدات خاصی که برای سازمانشان مهمتر هستند، بگذارند.
- بهروزرسانی امضاها: تنظیمات مربوط به بهروزرسانی خودکار یا دستی پایگاه داده امضاها.
- مبتنی بر ناهنجاری (Anomaly-based):
- تعیین خط مبنا (Baseline): تنظیماتی برای تعریف رفتار عادی شبکه و تعیین آستانه برای تشخیص ناهنجاریها.
- حساسیت (Sensitivity): تنظیم سطح حساسیت IPS در تشخیص ناهنجاریها. حساسیت بالاتر ممکن است منجر به هشدارهای کاذب بیشتر شود.
- مبتنی بر سیاست (Policy-based):
- تعریف قوانین (Rules): تنظیماتی برای تعریف قوانین دسترسی به منابع شبکه و اعمال محدودیتها بر اساس آدرس IP، پورت، پروتکل، و سایر معیارها.
سطوح حساسیت (Sensitivity Levels)
این تنظیم میزان سختگیری IPS در تشخیص تهدیدات را تعیین میکند. سطوح بالاتر حساسیت ممکن است منجر به هشدارهای کاذب بیشتر شود، در حالی که سطوح پایینتر ممکن است برخی از تهدیدات را از دست بدهد.

واکنش به تهدیدات (Response Actions)
این تنظیمات تعیین میکنند که IPS در صورت شناسایی تهدید چه واکنشی نشان دهد:
- مسدود کردن (Block): قطع کامل ترافیک مخرب.
- قرنطینه (Quarantine): جدا کردن دستگاه یا ترافیک مشکوک از شبکه.
- گزارش (Log): ثبت رویداد مربوط به تهدید.
- هشدار (Alert): ارسال هشدار به مدیر سیستم.
- بازنشانی اتصال (Reset Connection): قطع اتصال فعلی.
لیستهای سفید و سیاه (Whitelists and Blacklists)
- لیست سفید (Whitelist): تعریف آدرسهای IP، دامنهها، یا برنامههایی که به عنوان امن شناخته میشوند و توسط IPS بررسی نمیشوند.
- لیست سیاه (Blacklist): تعریف آدرسهای IP، دامنهها، یا برنامههایی که به عنوان مخرب شناخته میشوند و به طور خودکار مسدود میشوند.

ثبت وقایع (Logging)
تنظیمات مربوط به نحوه و میزان ثبت وقایع مربوط به فعالیتهای IPS، از جمله تهدیدات شناسایی شده، واکنشهای انجام شده، و سایر رویدادها.

گزارشدهی (Reporting)
تنظیمات مربوط به نحوه تولید گزارشها و هشدارهای مربوط به فعالیتهای IPS.

بهروزرسانیها (Updates)
تنظیمات مربوط به نحوه و زمانبندی بهروزرسانی پایگاه داده امضاها و نرمافزار IPS.

مدیریت (Management)
تنظیمات مربوط به نحوه دسترسی و مدیریت IPS، از جمله تعیین سطوح دسترسی کاربران و استفاده از پروتکلهای امنیتی برای مدیریت دستگاه.
مثالی برای درک بهتر تنظیمات سیستم پیشگیری از نفوذ (IPS)
فرض کنید میخواهید یک IPS را برای جلوگیری از حملات DDoS پیکربندی کنید. تنظیمات مهم در این حالت میتواند شامل موارد زیر باشد:
- حالت عملکرد: جلوگیری
- روش تشخیص: مبتنی بر ناهنجاری و مبتنی بر رفتار
- سطح حساسیت: متوسط یا بالا
- واکنش به تهدید: مسدود کردن ترافیک مخرب
- لیست سفید: تعریف آدرسهای IP سرورهای قانونی
با تنظیم صحیح این موارد و سایر تنظیمات مربوطه، میتوانید از شبکه خود در برابر حملات DDoS به طور مؤثری محافظت کنید.
توجه داشته باشید که این فقط بخشی از تنظیمات مهم در IPS است و بسته به نوع دستگاه و نیازهای سازمان، تنظیمات دیگری نیز ممکن است وجود داشته باشد. مطالعه مستندات مربوط به دستگاه IPS و مشاوره با متخصصان امنیت شبکه میتواند در تنظیم بهینه IPS بسیار مفید باشد.