در این مقاله به معرفی سیستم پیشگیری از نفوذ، انواع آن، قابلیتها و مزایای آن و ضرورت استفاده از آن میپردازیم. همچنین چند نمونه از رایجترین ابزارهای این سیستمها را نیز معرفی خواهیم کرد.
سیستم پیشگیری از نفوذ چیست؟
سیستم پیشگیری از نفوذ که بهاختصار به آن IPS گفته میشود سیستمی امنیتی است که وظیفهی آن کنترل و رصد دائمی بر ترافیک شبکه است تا در صورت شناسایی عوامل مشکوک و مخرب به انجام اقدامات فوری برای مقابله با تهدید این عوامل دست بزند. درواقع میتوان گفت تفاوت بنیادی سیستم پیشگیری از نفوذ با سیستمهای تشخیص نفوذ در این است که سیستمهای IPS علاوه بر رصد و تجزیهوتحلیل ترافیک شبکه قادر به انجام اقدامات پیشگیرانه جهت حفظ امنیت شبکه نیز میباشند.
وظیفهی سیستم پیشگیری از نفوذ جلوگیری از ورود عوامل مخرب به شبکه است. این سیستم از طریق روشهای عملیاتی خاص خود ابتدا اقدام به شناسایی تهدیدهای امنیتی و سپس اقدام به مقابله با حملهی آنها میکند.
قابلیتهای سیستم پیشگیری از نفوذ
- شناسایی عوامل مخرب و تهدیدهای امنیتی از طریق کنترل و نظارت دائمی بر ترافیک شبکه.
- انجام اقدامات پیشگیرانه جهت مقابله با تهدیدهای امنیتی شناساییشده.
- کاهش ریسک نفوذ به شبکه و احتمال وقوع حوادث امنیتی.
- محافظت از شبکه در برابر حملهی عوامل مخرب به شکل پویا.
- پیشگیری از وقوع حملههای مشابه با الگوهای نفوذ فعلی در آینده.
- انجام اقدامات فوری جهت Drop کردن دادههای ناخواسته یا مخرب شناساییشده.
- پیشگیری از حملات امنیتی Brute Force و جلوگیری از نفوذ آنها به شبکه.
- پیشگیری از حملات انکار سرویس یا همان DoS به شبکه.
- جلوگیری از اجرای اکسپلویت روی سیستمهای شبکه.
- بلاک کردن IP آدرسهای منابع حمله.
- اصلاح کردن خطای CRC.
- ریست کردن کانکشنهای TCP.
- بررسی توالی پکتهای TCP.
- کاهش هزینهی نگهداری شبکه.
- مسدود نمودن یا اجازهی ورود دادن به یک ترافیک ورودی خاص.
- هشدار دهی و ارسال پیام به مدیران شبکه در صورت تشخیص فعالیتها و ترافیکهای مشکوک.
- کاهش ریسک حملات DdoS و حملات Zero-day.
شیوهی کار سیستم پیشگیری از نفوذ
سیستمهای IPS در حالت in-line کار میکنند. این سیستمها از طریق یک سنسور که در مسیر واقعی ترافیک شبکه قرار دادهشده است اقدام به کنترل و رصد ترافیک شبکه میکنند. به این شکل که هنگام عبور بستهها در مسیر ترافیک شبکه سنسور اقدام به تجزیهوتحلیل و بازرسی تمام دادهها کرده تا عوامل مشکوک موجود در ترافیک شبکه را شناسایی کند. ازآنجاکه سیستم پیشگیری از نفوذ در حالت in-line کار میکند امکان این را دارد تا بهمحض شناسایی عوامل مخرب و تهدیدهای امنیتی اقدام به Drop کردن دادهها و بستههای مشکوک یا مخرب شناساییشده کند.
سیستمهای IPS میتوانند عملیات فوق را به روشهای زیر به انجام برسانند:
- سیستم پیشگیری از نفوذ بهمحض شناسایی یک تهدید اقدام به خاتمه دادن جلسهی TCP که توسط مهاجمان و جهت نفوذ به شبکه مورد سوءاستفاده قرارگرفته است میکند. این سیستم بلافاصله بعد از شناسایی تهدید مذکور اقدام به مسدود نمودن IP آدرس منبع حمله و تلاش صورت گرفته برای دسترسی به هاست مینماید.
- بهمحض اینکه سیستم پیشگیری از نفوذ یک حملهی قطعی یا احتمالی را شناسایی کرد اقدام به تنظیم مجدد یا برنامهریزی مجدد فایروال مینماید. این کار باعث میشود از تمام حملات آینده که از طریق الگوی حملهی فعلی انجام میشوند نیز پیشگیری شود.
- سیستم پیشگیری از نفوذ فوراً اقدام به حذف یا جایگزینی محتوای مخرب میکند. این سیستم سریعاً payload ها را بررسی کرده و اقدام به حذف اطلاعاتی که درخواستهای دریافتی در آنها قرار دارد میکند. سیستم پیشگیری از نفوذ همچنین اقدام به حذف پیوستهای آلودهی موجود در ایمیلهای شبکهی داخلی پیش از ارسال آنها به گیرنده مینماید.
انواع سیستمهای پیشگیری از نفوذ
- نوع Network Intrusion Prevention System: سیستمهای پیشگیری از نفوذ مبتنی بر شبکه (Network IPS) در حالت in-line روی شبکه مستقر میشوند و اقدام به کنترل و بازرسی کلیهی ترافیکهای ورودی و خروجی شبکه از طریق سنسور مورداشاره در قسمت قبل مینمایند. سیستمهای پیشگیری از نفوذ مبتنی بر شبکه که بهاختصار به آنها NIPS گفته میشود بهمحض شناسایی تهدید امنیتی یا تشخیص عوامل مشکوک اقدام مسدود نمودن بستههای اطلاعات مخرب جهت جلوگیری از رسیدن آنها به اهداف تهاجمی خود میکنند.
نوع خاصی از این سیستمها، سیستمهای Network Behavior Analysis هستند که بهاختصار به آنها NBA گفته میشود. وظیفهی سیستمهای NBA تجزیهوتحلیل رفتار شبکه بهمنظور شناسایی گردش غیرطبیعی ترافیک و درنهایت تشخیص DDoS است.
- نوع Host Intrusion Prevention System: سیستمهای پیشگیری از نفوذ مبتنی برهاست یا همان میزبان که بهاختصار به آنها HIPS گفته میشود انواعی از سیستمهای IPS هستند که بر رویهاست مستقر میشوند. این سیستمها درواقع برنامههای نرمافزاریای هستند که بر روی سیستمهای خاص موجود در شبکه نظیر نوت بوک، سرور یا دسکتاپ نصب میشوند.وظیفهی سیستمهای پیشگیری از نفوذ مبتنی بر میزبان محافظت از سیستم عاملها و برنامههایی است که روی آن میزبان خاص نصب گردیدهاند. بهعبارتدیگر سیستمهای HIPS تنها از هاست خاص خود در برابر تهدیدهای امنیتی محافظت میکنند. این سیستمها بهمحض شناسایی عوامل مهاجم یا ترافیکهای مشکوک موجود در سیستمعامل یا نرمافزارهای نصبشده روی آن، اقدام به مسدود نمودن IP آدرس منبع مهاجم مینمایند.
- نوع Signature-based Intrusion Prevention System: سیستمهای پیشگیری از نفوذ مبتنی بر امضا از طریق بهکارگیری الگوهای حملات قبلی و امضاهای از پیش شناختهشده اقدام به شناسایی حملات جدید مینمایند. سیستمهای مبتنی بر امضا که بهاختصار به آنها SIPS گفته میشود از طریق مقایسهی الگوهای از پیش تعریفشده و رمزگذاری شده با الگوی بستههای فعلی موجود در ترافیک شبکه به تشخیص و شناسایی عوامل مخرب میپردازند. سیستمهای SIPS همچنین با عنوان Pattern Matching نیز شناخته میشوند.
- نوع Anomaly-based Intrusion Prevention System: سیستمهای پیشگیری از نفوذ مبتنی بر ناهنجاری که بهاختصار به آنها AIPS گفته میشود انواعی از سیستمهای IPS مبتنی بر پروفایل هستند. وظیفهی این سیستمها مسدود نمودن تمامی منابع مشکوک میباشد. سیستمهای AIPS با بازرسی دائمی ترافیک شبکه اقدام به محدود کردن دسترسی تمامی عوامل مخرب و رفتارها و فعالیتهای غیرعادی شناساییشده میکنند. معیار این سیستمها برای تشخیص ناهنجاری، برنامهها و دستورات تعریفشده توسط مدیران و کاربران است.
- نوع Stateful Protocol Analysis Intrusion Prevention System: سیستمهای پیشگیری از نفوذ مبتنی بر پروتکل شباهت زیادی ازلحاظ رویکرد به سیستمهای مبتنی بر امضا دارند. البته این سیستمها بازرسی بستههای اطلاعات را به شکل بسیار عمیقتری انجام میدهند. سیستمهای پیشگیری از نفوذ مبتنی بر پروتکل ازجمله قویترین انواع سیستمهای IPS هستند. این سیستمها نسبت به سیستمهای مبتنی بر امضا از توانایی بالاتری در تشخیص تهدیدهای امنیتی برخوردار هستند.
لازم به ذکر است که نوع دیگری از سیستمهای پیشگیری از نفوذ وجود دارد که به آن سیستمهای مبتنی بر خطمشی گفته میشود. این سیستمها از امکان پیکربندی اختصاصی توسط مدیران شبکه برخوردار هستند. مدیران و کاربران شبکه میتوانند این سیستمها را بر اساس زیرساختهای خاص شبکهی خود و خطمشیهای خاص سازمان خود پیکربندی نمایند. این سیستمها در صورت مشاهدهی فعالیتهایی که نقضکنندهی خطمشی تعریفشده هستند، اقدام به هشدار دهی به مدیران و کاربران میکنند.
در خصوص سیستمهای NIPS این نکته را هم باید اضافه کنیم که فایروالهای نسل جدید برخوردار از حداقل دو کارت رابط شبکه (NIC) میباشند. یکی از آنها به شبکه داخلی سازمان وصل میشود و دیگری بهعنوان رابط خارجی به یک پیوند خارجی متصل میگردد. این پیوند خارجی در اکثر موارد اینترنت میباشد. ترافیک دریافت شده در هر یک از NIC ها توسط سیستم پیشگیری از نفوذ مورد بازرسی قرار میگیرد. اگر این سیستم یک بسته داده مخرب را شناسایی کند سریعاً اقدام به Drop کردن آن مینماید. همچنین سیستم اقدام به هشدار دهی به پرسنل امنیت شبکه میکند. درصورتیکه سیستم پیشگیری از نفوذ یک بسته اطلاعات مخرب را از یک منبع شناسایی کند، اقدام به دور ریختن سایر بستههای اطلاعات دیگر که از آن TCP خاص بهدست میآیند میکند. همچنین ممکن است سیستم جلسه را بهطور کل و برای همیشه مسدود سازد.
معرفی چند ابزار رایج IPS
- ابزار Zeek: این ابزار یک ابزار متنباز است که جهت نظارت بر امنیت شبکه و جلوگیری از نفوذ به آن بهصورت رایگان عرضهشده است. نرمافزار Zeek یکی از انواع سیستمهای مبتنی بر شبکه یا NIPS میباشد. این ابزار توسط یک موتور رویداد ترافیک ورودی شبکه را دریافت میکند و سپس به تجزیهوتحلیل آن میپردازد. ابزار Zeek قابلیت اجرا روی سیستمعاملهای یونیکس، لینوکس و Mac OS را دارا میباشد.
- ابزار Snort: اسنورت سیستم پیشگیری از نفوذ کمپانی مشهور سیسکو است. نرمافزار Snort مشهورترین ابزار متنباز در این زمینه است و به شکل رایگان نیز قابلاستفاده میباشد. ابزار اسنورت بر روی طیف وسیعی از سیستمعاملها ازجمله ویندوز و لینوکس قابلاجراست.
- ابزار Sguil: این ابزار دربرگیرندهی مجموعهای از مؤلفههای نظارت بر شبکه است و وظیفهی آن جمعآوری و ارائهی اطلاعات به تحلیلگران امنیت شبکه است. ابزار Sguil از نوع سیستمهای NSM میباشد و بهطور دائمی به جستجوی ترافیکهای مشکوک جهت ارائه به آنالیزور میپردازد.
- ابزار Suricata: نرمافزار Suricata نیز یک سیستم جلوگیری از نفوذ مبتنی بر شبکه یا همان NIPS است. این ابزار از نوع ابزارهای متنباز است و استفاده از آن نیز کاملاً رایگان میباشد. این ابزار یک اکوسیستم امنیتی کامل جهت نظارت بر شبکه است. Suricata قادر است علاوه بر نظارت دائمی بر ترافیک شبکه از اقدامات تهاجمی برای نفوذ به شبکه نیز جلوگیری کند. یکی از قابلیتهای مهم این ابزار امکان سازگاری آن با ساختار داده ابزار Snort است. درنتیجه کاربران قادرند برای راحتی بیشتر پایههای سیاست اسنورت را بر روی ابزار Suricata پیادهسازی کنند.
- ابزار OpenWIPS-ng: این ابزار یک سیستم پیشگیری از نفوذ مبتنی بر شبکه است که بهطور اختصاصی در شبکههای بیسیم بهکار گرفته میشود. ابزار OpenWIPS-ng نیز توسط تیم توسعهدهندهی ابزار Aircrack-ng ساختهشده است.
نکاتی در خصوص پیادهسازی سیستمهای IPS در شبکه
جهت پیادهسازی و قرار دادن سیستمهای IPS در شبکه، توصیه میکنیم نکات زیر را در نظر داشته باشید:
- با توجه به شناختی که از شبکهی خوددارید اقدام به پیکربندی اختصاصی سیستم IPS کنید. خوشبختانه سیستمهای IPS این امکان را دارند که با توجه به سناریوی خاص شبکهی شما تنظیم شوند. پس هنگام پیکربندی سیستم جلوگیری از نفوذ حتماً بهویژگیهای خاص شبکهی خود توجه داشته باشید. سعی کنید سیستم را بر اساس ویژگیهای خاص سرورها و سیستمعاملها، پروتکلهای برنامه، پورتها، آدرسهای IP و زیر شبکهها تنظیم کنید. از این طریق قادر خواهید بود کارایی سیستم جلوگیری از نفوذ را افزایش دهید. خصوصاً در مورد پروتکلها و پورتهای غیرمعمول، این کار باعث کاهش ریسک False Positives خواهد شد.
- سیستم جلوگیری از نفوذ را در جای مناسبی نصب کنید. در این خصوص لازم است به دو نکته توجه داشته باشید: یکی توان سیستم در برابر ترافیکی که با آن مواجه خواهد شد، و دیگری جایگاه آن در مسیر ترافیک شبکه. بهعبارتدیگر سیستم باید طوری در مسیر قرار داده شود که ترافیک شبکه از روی آن رد شود. همچنین لازم است سیستم IPS درجایی قرارگرفته باشد که ترافیک دریافتی آن ابتدا توسط فایروال فیلتر شده باشد.
- سیستمهای IPS بر اساس تکنولوژی ماشین لرنینگ فعالیت میکنند. درنتیجه لازم است آنها را در ابتدا روی حالت Learning Mode قرار دهید. در این صورت سیستم قادر است بهمرور با ویژگیهای خاص شبکهی شما آشنا شود و به کنترل کارآمدتر ترافیک آن بپردازد. همچنین پیش از بهکارگیری سیستم حتماً یک دورهی آزمایشی را برای آن ترتیب دهید.
- پیش از نصب سیستم جلوگیری از نفوذ اقدام به تهیهی برنامهای جهت واکنش به بروز مشکلات سختافزاری و نرمافزاری در سیستم کنید. لازم است مطمئن شوید که ابزارهای مانیتورینگ شما قادرند بر فعالیت سیستم IPS نظارت دقیق داشته باشند. این ابزارها لازم است توان تشخیص این را داشته باشند که آیا سیستم پیشگیری از نفوذ متوقفشده است یا نه. از قبل باید برای واکنش به بروز مشکل آمادهباشید. بهعنوانمثال قادر باشید در صورت بروز مشکل، سیستم را از مدار خارج کنید.
- سیستم خود را بهطور مداوم بهینهسازی و بروز رسانی کنید. بروز رسانی سیستمهای IPS میتواند هم به شکل آنلاین و هم به شکل آفلاین و از طریق فایل انجام شود.
- سیستمهای IPS از تکنولوژی پیچیدهای بهره میبرند. درنتیجه لازم است جهت استفادهی مؤثرتر و کارآمدتر از آنها به کسب آموزشهای لازم بپردازید.
سیستمهای پیشگیری از نفوذ چه مزایایی دارند؟
ازجمله مهمترین مزایای سیستم پیشگیری از نفوذ میتوان به موارد زیر اشاره نمود:
- کنترل و نظارت دائمی بر ترافیک شبکه.
- انجام اقدامات لازم جهت مقابله با تهدیدهای شناساییشده.
- کاهش ریسک نفوذ به شبکه و احتمال وقوع حوادث امنیتی.
- محافظت از شبکه در برابر حملهی عوامل مخرب به شکل پویا.
- کاهش هزینهی نگهداری شبکه.
- مسدود نمودن یا اجازهی ورود دادن به یک ترافیک ورودی خاص.
- هشدار دهی و ارسال پیام به مدیران شبکه در صورت تشخیص فعالیتها و ترافیکهای مشکوک.
- کاهش ریسک حملات Brute Force، حملات DDoS، حملات DoS و حملات Zero-day.
ضرورت استفاده از سیستمهای پیشگیری از نفوذ
استفاده از سیستم پیشگیری از نفوذ در کاهش آسیبپذیری شبکه در برابر حملات امنیتی بسیار مؤثر میباشد. هیچ شبکهای غیرقابل نفوذ نیست. هر شبکهای باگها و نقاط آسیبپذیری دارد که اکسپلویتها میتوانند با سوءاستفاده از آنها و از طریق آنها به شبکه نفوذ کنند. هکرها در تلاشاند تا از این فرصت استفاده کرده و از لایههای امنیتی شبکه به این طریق عبور نمایند. استفاده از سیستم جلوگیری از نفوذ میتواند سبب شود که چنین حملاتی بهسرعت شناساییشده و پیش از وارد آمدن آسیب واقعی به شبکه، منبع مهاجم مسدود گردد.
سیستم پیشگیری از نفوذ همچنین علاوه بر مقابله با تهدیدهای امنیتی شبکه، به توسعهی نرمافزارها و کدهای امنیت شبکه نیز کمک میکند.
در پایان توصیه میکنیم برای آشنایی دقیقتر با سیستم پیشگیری از نفوذ و چگونگی کار آن حتماً ویدیوی تولیدشده توسط مهندس کرمی را در کانال یوتیوب متخصص شو ما تماشا کنید.