درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
جعفر قنبری شوهانی
امتیاز: 143221
رتبه:8
198
186
253
2929
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم ، به طور کلی در زمینه های سیسکو ، شبکه های مایکروسافتی ، VoIP ، مانیتورینگ و NOC ، محصولات امنیتی فورتی نت ، طراحی و پیاده سازی مرکز داده ، مجازی سازی ، وایرلس و ... تخصص دارم. کانال اختصاصی من در تلگرام https://telegram.me/ghanbarinetwork پروفایل کاربر

تفاوت و ویژگی های IPS و IDS

تاریخ 34 ماه قبل
نظرات 5
بازدیدها 1714
شما می توانید سنسور را به یکی از دو روش زیر برای آنالیز ترافیک در شبکه قرار دهید. روش اول استفاده در حالت inline است که در آن ترافیک شبکه باید از سنسور عبور کند که سنسور ترافیک را بررسی و سپس در صورت عدم مشکل آنرا ارسال می کند و به این ترتیب سنسور قادر است جلوی ترافیک مخرب را بگیرد. این روشی است که IPS از آن استفاده می کند. هر زمان که نام IPS را شنیدید بدانید که سنسور در مسیر جریان ترافیک قرار دارد و می تواند جلوی حملات را بگیرد. یک نکته منفی که در رابطه با IPS به خاطر inline بودن وجود دارد این است که اگر سنسور دچار مشکل شود و شما مسیر دیگر برای شبکه نداشته باشید تا زمانی که مشکل برطرف نشود کل شبکه شما دچار مشکل خواهد بود. برحسب نوع پلتفرمی که استفاده می کنید می توان سنسور را در حالت fail open تنظیم کنید که باعث می شود در صورت اینکه سنسور دچار مشکل شود کل ترافیک بدون اینکه بررسی شود شوند عبور داده شوند. همچنین می توانید سنسور را در حالت fail close تنظیم کنید که در این حالت در صورت بروز مشکل برای سنسور هیچ ترافیکی نتواند از دستگاه عبور کند. همچنین در روش inline به خاطر آنالیز ترافیک مقدار کمی تاخیر برای جریان ترافیک به وجود می آید.
حال (intrusion detection system (IDS چیست؟ برای درک IDS ، سنسور را در نظر بگیرید اما بجای اینکه دستگاه را به صورت inline در شبکه قرار دهید یک کپی از بسته های در حال عبور از شبکه را به آن ارسال می کنیم که به این حالت promiscuous گفته می شود در این روش نیز سنسور اقدام به آنالیز ترافیک می کند اما چون اصل ترافیک دست سنسور نیست نمی تواند جلوی ترافیک را بگیرد و تنها می تواند پیغام و هشدار تولید کند. به همین خاطر IDS تنها می تواند حملات را تشخیص دهد و نمی تواند جلوی این حملات را بگیرد. به صورت مختصر تفاوت بین IPS که در حالت inline قرار دارد و IDS که در حالت promiscuous قرار دارد این است که در حالت promiscuous کپی ترافیک مورد بررسی قرار می گیرد. از مزایای IDS می توان به عدم ایجاد تاخیر در ارسال ترافیک اشاره کرد و همچنین اگر برای IDS مشکل بوجود آید بروی عملکرد شبکه تاثیری به وجود نمی آید چون در مسیر ارسال ترافیک قرار ندارد. براساس عملکرد ، IDS نمی تواند اثر حملات را به صورت مستقیم کاهش دهد چون ترافیک اصلی دست آن نیست و نمی تواند مانع ورود ترافیک مخرب به شبکه شود.
تصویر زیر نحوی اجرای IDS در برابر IPS را نمایش می دهد.
تفاوت و ویژگی های IPS و IDS

توانایی مقایسه و تشخیص این دو روش برای آزمون و همچنین در دنیای واقعی بسیار مهم است.

ویژگی های IDS :


  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار نمی گیرد و کپی ترافیک برای آن ارسال می شود.
  • حالت استقرار : promiscuous
  • تاخیر : چون در مسیر ترافیک اصلی قرار ندارد باعث تاخیر نمی شود.
  • تاثیر روی شبکه در صورت خرابی سنسور : چون اصل ترافیک در دست سنسور نیست مشکلی به وجود نمی آید.
  • توانایی در جلوگیری از ترافیک مخرب : در حالت promiscuous سنسور نمی تواند مانع عبور ترافیک شود چون اصل ترافیک را در اختیار ندارد. امکانی که وجود دارد این است که با کمک یک دستگاه دیگر مانع عبور ترافیک مخرب شود به طور مثال IDS می تواند درخواست بلاک کردن ترافیک را به یک روتر ارسال کند اما تضمینی برای جلوگیری از این حمله وجود ندارد و همینطور حداقل یک بسته از ترافیک مخرب وارد شبکه می شود سپس جلوی جمله گرفته می شود.
  • قابلیت نرمال سازی (Normalization) : چون IDS اصل بسته ها را در اختیار ندارد نمی تواند تغییری روی بسته ها انجام دهد.

ویژگی های IPS :


  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار می گیرد و ترافیک از سنسور عبور می کند.
  • حالت استقرار : inline
  • تاخیر : به دلیل اینکه اصل ترافیک را آنالیز می کند با مقدار کمی تاخیر ترافیک را ارسال می کند.
  • تاثیر روی شبکه در صورت خرابی سنسور : اگر سنسور دچار مشکل شود روی جریان ترافیک تاثیر گذاشته و ترافیک نمی تواند از سنسور عبور کند اما می توان سنسور را در حالت fail open تنظیم کرد که تاثیر منفی را کاهش داد.
  • توانایی در جلوگیری از ترافیک مخرب : IPS می تواند جلوی حملات را بگیرد چون اصل بسته ها را در دست دارد و در ابتدا بسته ها را آنالیز می کند و در صورت سالم بودن اقدام به ارسال بسته می کند.
  • قابلیت نرمال سازی (Normalization) : چون IPS اصل بسته ها را در اختیار دارد در نتیجه می تواند بسته ها را تغییر دهد.

نویسنده : جعفر قنبری شوهانی
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • سلام.این سنسور دقیقا چیه؟فایروال سخت افزاریه/؟؟
  • به IPS یا IDS سنسور گفته میشه و به صورت نرم افزار و سخت افزار وجود داره
    از یک آنتی ویروس که این قابلیت رو داره در نظر بگیرید تا روتر های سیسکو که می تونن به صورت نرم افزار یا با استفاده از ماژول این قابلیت رو فراهم کنند یا دستگاه های کامل مستقل که این قابلیت رو برای ما فراهم می کنند
  • کاسپراسکایی تجت شبکه این امکان رو داره؟
  • در جریان امکانات آنتی ویروس ها نیستم ولی معمولا دارن این امکانات رو
  • سلام
    مجموع این 10 مطلب درکنار هم یک مقاله خوب و مفیدی رو تشکیل داد
    تشکر بسیار بابت نشر علم
    خداوند حافظ شما و خانوادتان باشد --- ان شاء الله

برای ارسال نظر ابتدا به سایت وارد شوید