جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

IPS و IDS چگونه ترافیک مخرب را تشخیص می دهند؟ معرفی 4 روش تشخیص

سیستم های تشخیص و جلوگیری از نفوذ ( IPS/IDS ) از چه روشهایی برای شناسایی ترافیک های مخرب شبکه استفاده می کنند؟ سنسور می تواند ترافیک مخرب را به روش های مختلفی شناسایی کند. زمانی که سنسور ترافیک را آنالیز می کند براساس مجموعه قوانینی که برای آن مشخص شده است به دنبال ترافیک مخرب می گردد. روش های مختلفی برای شناسایی ترافیک مخرب وجود دارد که به شرح زیر هستند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. Signature-based IPS/IDS
  2. Policy-based IPS/IDS
  3. Anomaly-based IPS/IDS
  4. Reputation-based IPS/IDS

Signature-Based IPS/IDS چیست؟

یک signature الگویی است که سنسور آنرا با ترافیک در حال عبور مقایسه می کند این الگوی می تواند درون یک بسته یا مجموعه ای از بسته ها یافت شود. یک سنسور هزاران signature را شامل می شود که توسط سیسکو ارائه شده اند. همه این signature ها به صورت پیش فرض فعال نیستند ولی برحسب نیاز می توانید آنها را فعال ، غیر فعال یا تغییر دهید و حتی براساس شرایط شبکه می توانید signature مورد نظر خود را بنویسید. به طور مثال حمله cross-site scripting را در نظر بگیرید که در آن مهاجم یه مقدار غیر متعارف در متغییرهای HTTP قرار می دهد و به این شکل دستورات مورد نظر خود را روی سایت اجرا می کند.

سیسکو برای این مشکل signature در نظر گرفته است تا مقادیری که توسط کاربران در سایت وارد می شود در ابتدا کنترل و در صورت سالم بودن اجازه ارسال به سمت سرور را پیدا می کنند. یکی از نکات مهم در این رابطه این است که باید به صورت مرتب سنسور را آپدیت کنیم تا signature ها جدید را دریافت کند و توانایی مقابله با حملات جدید را پیدا کند. امروزه Signature-based IPS/IDS مهمترین روشی است که سنسورها از آن برای شناسایی ترافیک مخرب استفاده می کنند.

Policy-Based IPS/IDS چیست؟

شناسایی ترافیک در این روش براساس سیاست های امنیتی شبکه شما مشخص می شود. به طور مثال سیاست های امنیتی سازمان شما اجازه استفاده از telnet را در یک بخش خاص از شبکه را نمی دهد. در نتیجه براساس این سیاست امنیتی شما یک rule تعریف می کنید و در آن مشخص می کنید اجازه عبور ترافیک با پورت 23 به سمت یک بخش خاص شبکه وجود ندارد و IPS با استفاده از این rule می تواند برای ما alert ایجاد کند و بسته های آنرا drop کند.

Anomaly-Based IPS/IDS چیست؟

در این روش رفتار معمول شبکه در نظر گرفته می شود و غیر از این شرایط به عنوان رفتار غیر مجاز در نظر گرفته می شود. به طور مثال تعداد درخواست های TCP بدون پاسخ در واحد زمان مشخص می شود که به آن اتصالات نیمه باز (half-opened session) گفته می شود. اگر مقدار این اتصالات نیمه باز از مقدار مشخص شده بیشتر شود سنسور آنرا تشخیص می دهد و اقدام به تولید هشدار و drop کردن بسته می کند. سنسور با استفاده از این روش می تواند موفق به شناسایی worm ها شود و جلوی تکثیر آنرا بگیرد.

Reputation-Based IPS/IDS چیست؟

این روش شناسایی براساس شهرت و خوشنامی انجام می گیرد. در این روش اطلاعات از تمام دستگاه های دنیا که در global correlation شرکت کرده اند جمع آوری می شود و سنسور ما می تواند از این اطلاعات استفاده کند ، این اطلاعات می تواند شامل IP های مسدود شده ، URLs , DNS domains و ... که به عنوان مبدا حمله شناسایی شده باشند. سرویس Global correlation توسط سیسکو به عنوان یک سرویس ابری مدیریت می شود.

وب سایت توسینسو

در اینجا مزایا و معایب این روش ها عنوان داده شده است :

مزایا و معایب سیستم تشخیص و جلوگیری از نفوذ Signature-based :

  • مزایا : تنظیم و پیاده سازی آن ساده و آسان است. قابلیت تشخیص نام و نوع حمله وجود دارد. حملات شناسایی شده جدید به صورت خودکار به سنسور اضافه می شود.
  • معایب : شناسایی حملات بر پایه signature است درنتیجه اگر برای یک حمله signature نداشته باشد قادر به شناسایی آن نیست. همچنین ممکن است شما مجبور به غیرفعال کردن برخی از signature ها شوید که باعث false positives می شوند. این روش نیاز دارد به صورت مرتب update شود تا signature های جدید را دریافت کند و به صورت موثر عمل کند.

مزایا و معایب سیستم تشخیص و جلوگیری از نفوذ Policy Based :

  • مزایا : ساده و قابل اعتماد است. بسیار انعطاف پذیر است. می تواند جلوی حملات ناشناس را بگیرد.
  • معایب : سیاست ها باید به صورت دستی ایجاد شوند درنتیجه باید دقیقا بدانید که می خواهید چه کاری کنید.

مزایا و معایب سیستم تشخیص و جلوگیری از نفوذ Anomaly-based :

  • مزایا : شرایط نرمال به صورت خودکار تنظیم می شود ، قابلیت تشخیص worm را دارد ، قابلیت تشخیص حملات را دارد حتی اگر این یک حمله ناشناخته باشد.
  • معایب : بدست آوردن شرایط نرمال در شبکه های بزرگ سخت است ، امکان بوجود آمدن false positives در زمان تغییر در شبکه وجود دارد.

مزایا و معایب سیستم تشخیص و جلوگیری از نفوذ Reputation-based :

  • مزایا : اطلاعات براساس تجربه سایر دستگاه ها بدست می آید.
  • معایب : نیاز دارد به صورت مرتب آپدیت شود و نیاز به شرکت در correlation process دارد.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات