درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من
صندوق پیام
همه را دیدم تنظیمات
  • در حال دریافت لیست پیام ها
صندوق پیام
  • در حال دریافت لیست رویدادها
همه رویدادهای من

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

0 نظرات

سیسکو Intrusion Prevention Systems-IPS راه حلی برای مقابله با تهدیدات


IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.

انواع IPS های شرکت سیسکو


1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.

Image

2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.

Image

3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.

Image

4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR

Image

5- IPS نرم افزاری : در روتر های ISR کاربرد دارد

Image
*


انواع Mode های IPS


  1. promiscuous Mode
  2. Inline mode

معرفی promiscuous Mode در IPS های سیسکو

--
در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.

مزایا این حالت


  1. بر روی سرعت شبکه تاثیر نمی گذارد
  2. در صورت خراب شدن باعث مختل شدن کار شبکه نمی شود
  3. در صورتی که ترافیک ارسالی بیش از حد توان دستگاه باشد باز هم در حریان شبکه بی تاثیر است

معایب این حالت


  1. در صورت بروز حمله توانایی جلوگیری از ان را ندارد و فقط مورد را گزارش می کند
  2. بسته های آلوده شناسایی شده وارد شبکه شده بعد شناسایی می شوند
  3. پیاده سازی ان نیاز به یک فکر و ایده مناسب و اگاهی کامل نسب به عملکرد promiscuous mode دارد
  4. Image


معرفی inline mode در IPS های سیسکو


در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد

مزایا این حالت


  1. توانایی جلوگیری و مسدود کردن ترافیک آلوده را دارد
  2. توانایی استفاده از تکنیک جریان عادی ترافیک (stream normalization techniques)

معایب این حالت


  1. با توجه به اینکه ترافیک ابتدا وارد IPS شده و بعد از پردازش اجازه ورود به شبکه را پیدا می کنند در نتیجه نسب به حالت promiscuous کندتر است
  2. در صورتی که جریان ترافیک بیش از حد توان دستگاه باشد بر جریان ترافیک تاثیر می گذارد
  3. در صورت از کار افتادن دستگاه جریان ترافیک نیر قطع می گردد
  4. Image


تکنیک های بررسی ترافیک


  1. Signature Based
  2. Policy Based
  3. Anomaly Based

تکنیک Signature Based


در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد

مزایا


  1. تظیم کردن ان ساده است
  2. دارای اشتباه کمتری در تشخیص ترافیک سالم به عنوان ترافیک آلوده
  3. بروز رسانی حملات جدید شناسای شده به صورت خودکار

معایب


  1. توانایی شناسایی حملات ناشناخته را ندارد
  2. باید برای ان دیتابیس ایجاد و به طور مداوم بروزرسانی شود
  3. برای استفاده نیاز به خریداری license است

تکنیک Policy Based


در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد

مزایا


  1. ساده و قابل اعتماد
  2. براساس خواسته ها و سیاست های ما عمل می کند
  3. توانایی جلوگیری حملات ناشناخته را دارد

معایب


  1. تمام سیاست ها توسط ما باید انجام گیرد
  2. باید تمام جوانب را در نظر گرفت و به وضعیت شبکه خود اشراف داشته باشیم

تکنیک Anomaly Based


در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند

مزایا


  1. تنظیم کردن ان ساده است
  2. توانایی شناسایی حملات ناشناخته را دارد

معایب


  1. مشخص کردن فعالیت عادی در شبکه های بزرگ بسیار سخت است
  2. جریان و فعالیت شبکه باید ثابت باشد
  3. در صورت الوده بودن جریان شبکه در زمان مشخص شده برای بررسی جریان شبکه این جریان نیز به عنوان جریان سالم شناخته می شود

نویسنده :جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان قیمت
1 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها رایگان
2 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت دوم - آماده سازی سنسورها رایگان
3 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت سوم - آماده سازی پیشرفته سنسور رایگان
4 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت چهارم - دستورات ابتدایی رایگان
5 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت پنجم- متدهای بررسی ترافیک رایگان
6 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت ششم- دور زدن IPS و مقابله با ان رایگان
7 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم رایگان
8 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هشتم رایگان
9 IPS و IDS چیست؟ رایگان
10 تفاوت و ویژگی های IPS و IDS رایگان
11 پلتفرم های مختلف IPS شرکت سیسکو رایگان
12 واژه های False positive/negative و True positive/negative در IPS و IDS رایگان
13 روش های شناسایی ترافیک مخرب در شبکه توسط IPS/IDS رایگان
14 action های قابل استفاده در IPS/IDS در زمان شناسایی ترافیک مخرب رایگان
15 محاسبه Risk Rating برای انتخاب action در IPS/IDS رایگان
16 تکنیک های دور زدن IPS/IDS و روش های مقابله با آن رایگان
مطالب مرتبط
نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow