یکی از مزایای سیستمهای شناسایی نفوذ مبتنی بر شبکه آنست که تاثیری بر سرعت شبکه و یا اعمال فشار بر سیستم نظارتی ندارند. اغلب IDSهای مبتنی بر شبکه دارای یک بانک اطلاعاتی جامع از علائم مربوط به حملات هستند که آنها را در امر شناسایی آنها یاری میکند. به هر جهت IDS ها نیز مانند ضدویروسها بدون بروزشدن بانک اطلاعاتی خود قادر به شناسایی حملات نمی باشند. آنها با تهدیدات خزنده ای که دارای موعد حمله است در ستیز هستند.

هکرها اغلب حملات به شبکه ها را با روش آزمون و خطایی که نتیجه موفقیت آمیزی در یورش قبلی داشته به انجام می رسانند. تولید کنندگان محصولات امنیتی شبکه با توجه به تحلیلهای به عمل آمده بر روی اینگونه حملات ، مشخصه های اصلی حمله را تهیه می نمایند و جزئیات آنرا مورد توجه قرار می دهند. فنون شناسایی، رد اثر یورش به شبکه را با توجه به اثرات موجود در ترافیک شبکه و مقایسه با الگوهای تهدیدات موجود در بانک اطلاعاتی مورد شناسایی قرار میدهند. به محض آنکه مشخصه یک حمله مورد شناسایی قرار گرفت ، سیستم امنیتی در مقابل آن عکس العمل نشان داده و در اغلب موارد اقدام به ارسال پیامهای هشدار ساده می نماید. موفقیت در شناسایی حملات، بسته به میزان بروز بودن الگوی حملاتی است که در بانک اطلاعاتی مربوطه سابقاٌ ذخیره گردیده است.

اشکال سیستمهایی که تنها به خود و یا الگوی شناسایی تکیه می کنند کاملاٌ مشخص است :
آنها فقط می توانند یورشهایی را که دارای الگوی شناسایی هستند رهگیری نمایند و در این صورت اگر برای حفاظت شبکه فقط از فنون شناسایی مبتنی بر علائم حمله استفاده گردد، بطور یقین زیر ساختهای شبکه کماکان در معرض انواع و اقسام تهدیدات شناخته شده قرار دارد.

به هنگامیکه هکرها بدنبال کشف نقاط ضعف جدید و هجوم به منظور بهره برداری از نقاط آسیب پذیر هستند، فنون نامتعارف (anomaly) شناسایی مورد نیاز است. در این کار زار هیچگونه الگو و یا علائم شناسایی در کار نیست. اولین نمونه از اینگونه حمله با ویروس CodeRed به معرض ظهور رسید، جائیکه هیچ سیستم شناسایی نتوانست از طریق الگوی حمله آنرا شناسایی نماید.

محصولات IDS به منظور شناسایی ضربات اولیه اینگونه حملات نیاز به فنون شناسایی نامتعارف دارند. اینکار میتواند با مقایسه ترافیک شبکه با یک الگوی ترافیک اولیه صورت گیرد. این مکانیسم بر اساس مشاهده آمار ترافیک غیر متعارف بنا نهاده شده است.

در حال حاضر سیستمهای IDS قادر به شناسایی و ممانعت از برخی حملات هوشمندانه جدید نمی باشند. فنون غیر متعارف شناسایی نیز ممکن است در بعضی مواقع موثر نیافتد.

تصور کنید یک دروازه بان هستید و نباید اجازه دهید توپ وارد دروازه شود. اگر شما سرمایه گذار هستید و برای امنیت شبکه تان تلاش می کنید این موضوع برای شما به یک کابوس تبدیل خواهد شد. تصمیم بگیرید و سیستم واکنشی را با فناوری پیشگیرانه جایگزین کنید.

مقاومت سیستم های اطلاعاتی در مقابل حمله به لایه های کاربردی نفوذگران را برآن داشته تا روز به روز ماهرتر و خبره تر شوند. سیستم شناسایی نفوذ (IDS) در لایه پروتکل شبکه عمل می کند و کار شناسایی الگو های ظاهرًا غیر عادی را که در حقیقت تهدیدی نیستند بر عهده دارد. این کار موجب سنگینی و کند شدن سیستم امنیتی می شود.
روش پیشگیرانه راه موثر تری را در خصوص این تهدیدات پیشنهاد می کند. این کار باید با اعمال تغییرات بر روی الگوهای جدید از حملات مختلف نفوذگران که دائماً دامنه حملاتشان را گسترش می دهند صورت بگیرد.
آنچه بیشتر از همه نفوذگران را در این زمینه قدرتمند ساخته، پیچیدگی و سرعت عمل آنهاست. آنها حملاتشان را آنقدر پیچیده می کنند که یک ضد ویروس یا دیواره آتش معمولی، مدت زیادی در مقابل آنها دوام نمی آورد. آنها سعی میکنند با چنان سرعتی گسترش یابند که انسان توانایی واکنش به موقع نداشته باشد.

اکنون فقط سیستم ممانعت از نفوذ (Intrusion Prevention System) IPS ، با هوش مصنوعی خود قادر به مسدود کردن حملات، در زمانی که رخ میدهند است.

تفاوت میان IPS و IDS چیست؟
IDS بیشتر شبیه یک دزدگیر عمل میکند. IDS قسمتهایی از شبکه را که به نظر می رسدکسی به آنجا صدمه زده کشف می کند و سپس اخطار می دهد. بدیهی است که این اخطار بعد و یا در حین آسیب به دستگاه صورت می گیرد. اکنون زمان آن رسیده که شما از صدمات، پیش تر جلوگیری نموده و سیستم را اصلاح کنید.
IPS برای جلوگیری از ورود بدون مجوز به شبکه یا سرویس دهنده طراحی شده است و بجای اعلام اخطار مبنی بر اینکه قسمتی از سیستم دچار مشکل شده از صدمه سیستم جلوگیری به عمل می آورد.
IPS نسل جدیدی از فن آوری IDS است. سیستم IDS به توانایی احتیاج دارد نه فقط شناسایی. همچنین باید توانایی مسدود کردن حملات را داشته باشد. تفاوت IPS با IDS سنتی در این است که IPS یک سد امنیتی دور تا دور شبکه و یا سرویس دهنده می کشد تا صدمه ای به آن وارد نگردد. از دیگر توانایی های IPS بیرون راندن تراکم موجود در شبکه ، قطع و وصل ارتباط شبکه داخلی با شبکه خارجی و کنترل رفت و آمدها به داخل و خارج شبکه است.
به عبارت ساده تر قابلیت کنترل ارتباط و توانایی بازداشتن حمله ای را که در حال وقوع است دارد. در حالی که ممکن است تفاوت میان IPS و IDS گیچ کننده به نظر آید از اسامی آنها به سادگی می توان تفاوت میانشان را دریافت. IDS ها بیش از یک دستگاه گردآوری کننده اطلاعات و آگاه کننده اختلالات شبکه نیستند که تنها قادرند هر بسته ای را که قصد عبور دارد ارزیابی و تحلیل کنند. IPS ها تغییر شکل طبیعی IDS ها هستند.
IPS ها دارای همه توانایی های IDS ها هستند ولی در سطحی بالاتر. آنها در حقیقت می توانند بر اساس معیار هایی که به آنها می دهیم تصمیم بگیرند. در نتیجه IPS ها، دارای مکانیسم پیشگیری هستند و نه فقط واکنش به یک حمله.

ذاتا تمام IPS ها IDS نیز هستند اما IDS ها IPS نیستند. تفاوت در مکانیزم پاسخ دهی است ، که با تغییر وظایف IDS از حالت انفعالی به حالت تصمیم گیرنده صورت می پذیرد.
هنگامی که مدیر شبکه IPSی را برای بررسی عیوب شبکه فعال می کند IPS بسته های عبوری را بر اساس بانک علائم خود بطور دقیق بررسی می کند. در این میان نه تنها عناوین نامه های الکترونیکی ، بلکه کل محتوای آنها را نیز قبل از ورود به شبکه بررسی می کند و در صورت مخرب بودن ، از ورود آنها جلوگیری به عمل می آورد.

خودکارسازی امنیتی راهی است که منتظر استفاده خرابکاران از یک حفره نمی ماند
کدهای مخرب، ویروس ها و نفوذگران می بایست راهی برای ورود به سیستم پیدا کنند. دیواره های آتش معمولی در جلوگیری از حملات ساده به شبکه ، از طریق پورت های باز یا پرتکل های مختلف موثر بودند. همچنین سیستم های ضد ویروس نیز در شناسایی ویروس هایی که می شناسند و از طریق نامه های الکترونیک و کپی فایل وارد سیستم می شوند، موثر بودند. گرچه نویسنده های کد های مخرب به تازگی استفاده از پروتکل های استاندارد و نقاط ورودی (مانند http و پورت 80) که باید برای انجام کارهای سیستم باز نگه داشته شود را برای نفوذ به داخل سیستم شروع کرده اند.
بدین ترتیب سیستمهای امنیتی که دارای مکانیسم های ثابت هستند به مرور دچار افت عملیاتی میشوند و قادر به پاسخگویی به حملات برنامه ریزی شده پیشرفته نمی باشند. اینجاست که تقش IPSها پر رنگ می گردد تا بطور کاملاً موثری جلوی نفوذگران را بگیرد.

IPS برای جلوگیری از این قبیل ورودهای غیر مجاز از چند روش استفاده می کند :
IPSها (مبتنی بر میزبان یا شبکه) هر بسته ای را که قصد ورود به شبکه را دارد بسیار بهتر از سیستم هشدار دهنده بازرسی می کند و سپس دو کار را به انجام می رساند: اول جستجوی بانک اطلاعاتی برای یافتن نوع حمله، که اگر موفق به پیدا کردن نوع حمله شد از پدافند آن استفاده خواهد کرد و در غیر این صوررت سیستم اجازه دسترسی به فایل ها را پیدا می کند. این پایه و اساس کارکرد هسته سیستم است که برای جستجوی فعالیت های غیر عادی به کار می رود.
برای دستیابی به چنین سیستمی دو شرط لازم است :

توان اجرایی بالا : اگر از توان اجرایی کافی برخوردار نباشید، سیستم نمی تواند بهترین عکس العمل را نشان دهد
و دوم دقت : شما نباید تصمیم اشتباه بگیرید

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: