در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

سیستم های جلوگیری از نفوذ سیسکو قسمت 1 : معرفی ماژول ها

سیسکو Intrusion Prevention Systems-IPS راه حلی برای مقابله با تهدیدات


IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.

انواع IPS های شرکت سیسکو


1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

5- IPS نرم افزاری : در روتر های ISR کاربرد دارد

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها
*


انواع Mode های IPS


  1. promiscuous Mode
  2. Inline mode

معرفی promiscuous Mode در IPS های سیسکو

--
در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.

مزایا این حالت


  1. بر روی سرعت شبکه تاثیر نمی گذارد
  2. در صورت خراب شدن باعث مختل شدن کار شبکه نمی شود
  3. در صورتی که ترافیک ارسالی بیش از حد توان دستگاه باشد باز هم در حریان شبکه بی تاثیر است

معایب این حالت


  1. در صورت بروز حمله توانایی جلوگیری از ان را ندارد و فقط مورد را گزارش می کند
  2. بسته های آلوده شناسایی شده وارد شبکه شده بعد شناسایی می شوند
  3. پیاده سازی ان نیاز به یک فکر و ایده مناسب و اگاهی کامل نسب به عملکرد promiscuous mode دارد
  4. سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها


معرفی inline mode در IPS های سیسکو


در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد

مزایا این حالت


  1. توانایی جلوگیری و مسدود کردن ترافیک آلوده را دارد
  2. توانایی استفاده از تکنیک جریان عادی ترافیک (stream normalization techniques)

معایب این حالت


  1. با توجه به اینکه ترافیک ابتدا وارد IPS شده و بعد از پردازش اجازه ورود به شبکه را پیدا می کنند در نتیجه نسب به حالت promiscuous کندتر است
  2. در صورتی که جریان ترافیک بیش از حد توان دستگاه باشد بر جریان ترافیک تاثیر می گذارد
  3. در صورت از کار افتادن دستگاه جریان ترافیک نیر قطع می گردد
  4. سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها


تکنیک های بررسی ترافیک


  1. Signature Based
  2. Policy Based
  3. Anomaly Based

تکنیک Signature Based


در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد

مزایا


  1. تظیم کردن ان ساده است
  2. دارای اشتباه کمتری در تشخیص ترافیک سالم به عنوان ترافیک آلوده
  3. بروز رسانی حملات جدید شناسای شده به صورت خودکار

معایب


  1. توانایی شناسایی حملات ناشناخته را ندارد
  2. باید برای ان دیتابیس ایجاد و به طور مداوم بروزرسانی شود
  3. برای استفاده نیاز به خریداری license است

تکنیک Policy Based


در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد

مزایا


  1. ساده و قابل اعتماد
  2. براساس خواسته ها و سیاست های ما عمل می کند
  3. توانایی جلوگیری حملات ناشناخته را دارد

معایب


  1. تمام سیاست ها توسط ما باید انجام گیرد
  2. باید تمام جوانب را در نظر گرفت و به وضعیت شبکه خود اشراف داشته باشیم

تکنیک Anomaly Based


در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند

مزایا


  1. تنظیم کردن ان ساده است
  2. توانایی شناسایی حملات ناشناخته را دارد

معایب


  1. مشخص کردن فعالیت عادی در شبکه های بزرگ بسیار سخت است
  2. جریان و فعالیت شبکه باید ثابت باشد
  3. در صورت الوده بودن جریان شبکه در زمان مشخص شده برای بررسی جریان شبکه این جریان نیز به عنوان جریان سالم شناخته می شود

نویسنده :جعفر قنبری شوهانی
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#آموزش_راه_اندازی_ips_سیسکو #روش_کار_سیستمهای_تشخیص_نفوذ #سیستم_جلوگیری_از_نفوذ #راه_اندازی_ips_های_سیسکو #سیستم_تشخیص_نفوذ
عنوان
1 سیستم های جلوگیری از نفوذ سیسکو قسمت 1 : معرفی ماژول ها رایگان
2 سیستم های جلوگیری از نفوذ سیسکو قسمت 2 : آماده سازی سنسورها رایگان
3 سیستم های جلوگیری از نفوذ سیسکو قسمت 3 : آماده سازی پیشرفته سنسور رایگان
4 سیستم های جلوگیری از نفوذ سیسکو قسمت 4 : دستورات ابتدایی رایگان
5 سیستم های جلوگیری از نفوذ سیسکو قسمت 5 : متدهای بررسی ترافیک رایگان
6 سیستم های جلوگیری از نفوذ سیسکو قسمت 6 : دور زدن IPS و جلوگیری رایگان
7 سیستم های جلوگیری از نفوذ سیسکو قسمت 7 : اصطلاحات معمول رایگان
8 سیستم های جلوگیری از نفوذ سیسکو قسمت 8 : Signature و Action رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....