بررسی تفاوت IDS و IPS

IPS مخفف عبارت Intrusion Prevention System به معنای سیستم جلوگیری از نفوذ و IDS مخفف عبارت Intrusion Detection System به معنای سیستم تشخیص نفوذ است. این دو تکنولوژی امنیت را در سطح شبکه برقرار می‌کنند. برای آشنایی با IDS و IPS و نقش آن‌ها در امنیت شبکه تا انتهای مقاله با نیک اندیشان همراه باشید.

بررسی تفاوت IDS و IPS؟

تکنولوژی‌های IDS و IPS از فایروال حساس‌ترند و ترافیک شبکه را با جزئیات بیشتری بررسی می‌کنند. در صورت تشخیص تهدید، این ابزارها وارد عمل می‌شوند. به این ترتیب ابزارهای IDS سیستم را از وقوع یک حمله مطلع می‌سازند؛ ابزارهای IPS یک گام جلوتر می‌روند و به‌صورت خودکار ترافیک مخرب را مسدود می‌کنند.

IDS چیست؟

IDS یا سیستم تشخیص نفوذ یک سیستم محافظتی است که مانند یک کلاینت در شبکه فعالیت دارد و به کمک پروتکل NetFlow می‌تواند همه ترافیک شبکه را بررسی و مانیتور کند. IDS ترافیک شبکه را آنالیز می‌کند و در صورت تشخیص تهدیدات، به سامانه اطلاع می‌دهد.

روش کار IDS به این صورت است که اطلاعات را جمع‌آوری و پورت‌ها را بررسی می‌کند و درنهایت نفوذ تهدیدات و خرابکاری‌ها را گزارش می‌کند.

امکان تشخیص ترافیک مخرب از بیرون به داخل شبکه و اعلام آن به مدیر شبکه و تشخیص حملات کاربران داخلی و خارجی ازجمله قابلیت‌های IDS می‌باشد.

در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی کرد:

سیستم‌های تشخیص نفوذ تحت شبکه (NIDS):

مانند یک Sniffer می‌باشند که با بررسی بسته‌ها و پروتکل‌ها، حملات را جستجو می‌کنند و ترافیک روی خطوط ارتباطی را بررسی می‌کنند. NIDSها، فقط بسته‌هایی که بر روی شبکه‌ها رد و بدل می‌شوند را چک می‌کنند. این سیستم به عنوان یک کلاینت یا دستگاه درون شبکه قرار می‌گیرد.

سیستم‌های تشخیص نفوذ میزبان (HIDS):

این سیستم‌ها به عنوان یک Agent بر روی Client نصب می‌شود و اطلاعات جمع‌آوری شده بر روی Client های شبکه را معیار قرار می‌دهند. در این سیستم‌ها نرم‌افزار به‌صورت تک به تک بر روی تمامی سیستم‌ها نصب می‌شود و به‌صورت مجزا فعالیت می‌کنند. این سیستم حفاظتی، هنگام شناسایی کد مخرب و تهدید، به طور خودکار و بلافاصله از طریق SNMP هشدارهایی به مدیر شبکه ارسال می‌کند.

جهت مشاهده محصولات HP کلیک کنید.

IPS چیست؟

سیستم جلوگیری از نفوذ (IPS) یک ابزار امنیتی است که در ورودی شبکه داخلی یا بعد از فایروال و درون روتر قرار می‌گیرد. تمام ترافیک‌های ورودی و خروجی شبکه باید از IPS عبور کنند.

سیستم جلوگیری از نفوذ یا IPS بر فعالیت‌های یک شبکه نظارت و رفتار‌های مخرب را شناسایی ‌می‌کند. در صورت شناسایی رفتارهای مخرب، بلافاصله از ادامه فعالیت آن‌ها جلوگیری می‌کند. IPS به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می‌شود. IPS مبتنی بر شبکه همه‌ی ترافیک شبکه را نظارت کرده و حملات یا کدهای مخرب را شناسایی می‌کند. بعد از شناسایی کدهای مخرب و حملات، بسته‌های مورد استفاده در آن حمله را دور می‌ریزد و به سایر بسته‌ها اجازه عبور می‌دهد. سیستم جلوگیری از نفوذ گسترش‌یافته‌ی سیستم تشخیص نفوذ (IDS) می‌باشد. IPS علاوه بر آنالیز ترافیک‌های شبکه می‌تواند از تهدیدات و نفوذ آلودگی‌ها جلوگیری کند. به این ترتیب تمام ترافیک‌های ورودی و خروجی شبکه داخلی از IPS عبور می‌کنند.

IPS و IDS هم به صورت سخت افزاری و هم نرم افزاری وجود دارند. همچنین بر روی برخی از روتر ها ماژول IPS وجود دارد.

انواع IPS

سیستم پیشگیری از نفوذ شبکه (NIPS):

این نوع IPS فقط در نقاط استراتژیک نصب می‌شود تا بر تمامی ترافیک شبکه نظارت داشته باشد و به طور فعال تهدیدات را اسکن کند.

سیستم پیشگیری از نفوذ میزبان (HIPS):

برخلاف NIPS، یک HIPS روی یک نقطه پایانی (مانند رایانه شخصی) نصب می‌شود و فقط ترافیک ورودی و خروجی آن دستگاه را بررسی می‌کند. بهترین عملکرد را در ترکیب با یک NIPS دارد، زیرا به عنوان آخرین خط دفاعی برای تهدیداتی که آن را از NIPS عبور داده اند، عمل می‌کند.

تجزیه و تحلیل رفتار شبکه (NBA):

ترافیک شبکه را برای شناسایی جریان های ترافیک غیرعادی، مانند حملات DDoS (Distributed Denial of Service) تجزیه و تحلیل می‌کند.

سیستم پیشگیری از نفوذ بی سیم (WIPS):

این نوع IPS به سادگی یک شبکه وای فای را برای دسترسی غیرمجاز اسکن می‌کند و دستگاه‌های غیرمجاز را از شبکه خارج می‌کند.

۳ روش برای شناسایی و تشخیص نفوذ به شبکه

۱– روش شناسایی با استفاده از امضا یا Signature-based:

در این روش ترافیک عبوری از شبکه با اطلاعات پایگاه داده مطابقت داده می‌شود و در صورت بروز تطابق هشدار می‌دهد. یکی از اشکالات این روش این است که فقط می‌تواند حملات شناسایی شده قبلی را متوقف کند و قادر به تشخیص حملات جدید نیست.

۲– شناسایی مبتنی بر آنومالی آماری یا Anomaly-based:

این روش با مقایسه نمونه‌های تصادفی فعالیت شبکه با استاندارد پایه، رفتار غیرعادی را پایش می‌کند. این نظارت قوی‌تر از نظارت مبتنی بر امضا است، اما گاهی اوقات می‌تواند نتایج مثبت کاذب ایجاد کند. برخی از سیستم‌های پیشگیری از نفوذ جدیدتر و پیشرفته‌تر از هوش مصنوعی و فناوری یادگیری ماشین برای پشتیبانی، از شناسایی مبتنی بر ناهنجاری استفاده می‌کنند.

۳– آنالیز پروتکل‌های مبتنی بر حالت یا Policy-based:

این روش تا حدودی کمتر از نظارت مبتنی بر امضا یا مبتنی بر ناهنجاری رایج است. از سیاست‌های امنیتی تعریف شده توسط شرکت استفاده می‌کند و فعالیت‌هایی را که این خط مشی‌ها را نقض می‌کند مسدود می‌کند. این پروتکل به یک مدیر نیاز دارد تا سیاست‌های امنیتی را تنظیم و پیکربندی کند.

پیشنهاد نیک اندیشان: باج افزار چیست؟

نمونه هایی از نرم افزارهای IDS و IPS

Snort

OSSEC

Suricata

Zeek

پیشنهاد نیک اندیشان: چگونه از سرور خود در برابر حملات DDOS محافظت کنیم؟

سوالات خود در زمینه بررسی تفاوت IDS و IPS را در قسمت نظرات با کارشناسان IT شرکت نیک اندیشان مطرح کنید.

۰ ۰ رای ها

رأی دادن به این مقاله

بررسی تفاوت IDS و IPS

بررسی تفاوت IDS و IPS؟

IDS چیست؟

در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی کرد:

سیستم‌های تشخیص نفوذ تحت شبکه (NIDS):

سیستم‌های تشخیص نفوذ میزبان (HIDS):

IPS چیست؟

انواع IPS

سیستم پیشگیری از نفوذ شبکه (NIPS):

سیستم پیشگیری از نفوذ میزبان (HIPS):

تجزیه و تحلیل رفتار شبکه (NBA):

سیستم پیشگیری از نفوذ بی سیم (WIPS):

۳ روش برای شناسایی و تشخیص نفوذ به شبکه

۱– روش شناسایی با استفاده از امضا یا Signature-based:

۲– شناسایی مبتنی بر آنومالی آماری یا Anomaly-based:

۳– آنالیز پروتکل‌های مبتنی بر حالت یا Policy-based:

نمونه هایی از نرم افزارهای IDS و IPS

تفاوت های Windows Security و Microsoft Defender

چگونه چاپگر خود را به Wi-Fi متصل کنیم؟

آسیب‌پذیری‌ با سطح خطر بالا و بحرانی در WordPress

۱۲ روش آموزش کامل نحوه ویرایش فایل PDF

انواع و مشخصات کانکتورهای کابل شبکه

آسان ترین روش شبکه کردن دو کامپیوتر به کمک کابل LAN

cURL چیست؟

سبد خرید