(intrusion detection systems (IDS و (intrusion prevention systems (IPS یکی از سیستم هایی است که در مفهوم defense in depth برای محافظت از شبکه در برابر ترافیک مخرب مورد استفاده قرار می گیرد. IPS/IDS ترافیک را با جزئیات بیشتری نسبت به فایروال کنترل می کند و این بررسی را تا لایه هفتم انجام میدهد. سیسکو برای اجرا سیستم IPS-IDS پلتفرم های مختلفی را ارائه کرده است اما مفاهیم در همه آنها یکسان است.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
پلتفرم های مختلف سنسور
اضافه کردن یک سنسور IPS/IDS باعث افزایش امنیت شبکه می شود اما از سوی دیگر می تواند برای شبکه معضل باشد. برای محافظت از بخش های مختلف شبکه شما نیاز دارید که سنسور اضافه کنید. سیسکو برای رفع این نگرانی ها چندین پلتفرم مختلف برای پیاده سازی IPS-IDS ارائه کرده است که به شرح زیر هستند :
- دستگاه های اختصاصی IPS مانند سری 4200
- نرم افزار اجرا شده روی روترها
- ماژول قابل استفاده روی روترها مانند ماژول AIM-IPS یا NME-IPS
- ماژول قابل نصب روی فایروال های ASA مانند AIP
- تیغه های قابل استفاده در سوئیچ های سری 6500
- دستگاه های اختصاصی FirePOWER سری 8000/7000
- (Virtual Next-Generation IPS (NGIPSv برای محیط VMware
- فایروال ASA با سرویس FirePOWER
سنسورها چه کاری انجام می دهند
یک سنسور دستگاهی است که به ترافیک شبکه نگاه می کند سپس براساس نقش هایی که برای سنسور تعیین شده است تشخیص می دهد که ترافیک سالم است یا مخرب. چون این سیستم برای نقش های تنظیم شده کار می کند هیچ وقت عملکرد صد درصد صحیح را نمی توان از آن انتظار داشت.
Positive/Negative
زمانی که با IPS/IDS کار می کنیم با واژه های زیر سرو کار خواهید داشت :
- False positive
- False negative
- True positive
- True negative
منظور از false positive زمانی است که سنسور ترافیک سالم را به عنوان ترافیک مخرب شناسایی کند. False negative زمانی است که ترافیک مخرب توسط سنسور شناسایی نشود. True positive زمانی است که ترافیک مخرب به درستی شناسایی می شود. True negative زمانی است که ترافیک سالم شبکه از نظر سنسور نیز ترافیک سالم است.