آشنایی با تکنولوژی IPS و IDS
IDS چیست؟
IDS مخفف عبارت Intrusion Detection System به معنای سیستم کشف نفوذ می باشد، به منظور نظارت بر تمامی فعالیت های ورودی و خروجی شبکه و شناسایی هرگونه فعالیت مشکوک طراحی شده است. این فعالیت های مشکوک ممکن است، نشان دهنده ی یک حمله به سیستم یا شبکه توسط شخصی که در تلاش است تا سیستم امنیتی را در هم بشکند باشد. IDS یک سیستم مانیتورینگ غیرفعال (Passive) در نظر گرفته می شود، چرا که عملکرد اصلی یک IDS هشدار در مورد فعالیت های مشکوک در حال وقوع است و در متوقف کردن آن ها نقشی ایفا نمی کند. اساسا یک IDS ترافیک شبکه و داده های شما را مورد بررسی قرار می دهد و حملات، موارد سوء استفاده و سایر نقاط آسیپ پذیری را شناسایی می کند. ای دی اس ها می توانند، رویدادهای مشکوک را به چندین روش اطلاع رسانی کنند که شامل نمایش یک آلارم، درج در بخش رویدادها (Logs) یا حتی برقراری ارتباط (مثل تماس تلفنی) با مدیر سیستم می باشد. در برخی از موارد IDS ها درخواست پیکربندی مجدد سیستم به منظور کاهش نفوذهای مشکوک را مطرح می کنند. یکی از کاربردهای IDS تشخیص ترافیک نامتعارف در حال ورود به شبکه و گزارش آن به مدیر سیستم است. IDS به طور خاص به دنبال فعالیت های مشکوک و رویدادهایی می باشد که ممکن است از اثرات ویروس ها، کرم ها و هکرها باشند. این امر بوسیله جستجو در امضاهای نفوذ (گزارش های ذخیره شده از جزئیات ورود به سیستم) یا امضاهای حمله (Attack Signatures) که کرم ها و ویروس های گوناگونی را شناسایی می کنند، انجام می شود. اصلاح IDS گستره وسیعی از محصولات متنوع را در بر می گیرد. یک راه کار IDS می تواند در قالب یک نرم افزار متن باز (Open Source) رایگان و یا به صورت یک نرم افزار امنیتی گران قیمت برای فروش ارائه شود. علاوه بر این برخی از IDSها شامل برنامه های نرم افزاری و سخت افزاری می باشند که در نقاط مختلف از شبکه نصب شده و مورد استفاده قرار می گیرند.
آیا IDS همان فایروال است؟
IPS – یک راه کار امنیتی فعال
IPS مخفف عبارت Intrusion Prevention System به معنای سیستم ممانعت از نفوذ است، مرحله بالاتری از فناوری های امنیتی است که قابلیت فراهم سازی امنیت در تمام سطوح سیستم از هسته ی سیستم عامل گرفته تا پکت های شبکه (بسته های داده ارسالی یا دریافتی در شبکه) را دارا می باشد.IPS سیاست ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. هنگامی که IDS یک حمله بالقوه را اطلاعی رسانی می کند، ای پی اس تلاش می کند تا آن را متوقف کند. IPS همچنین این ظرفیت را دارد که بتواند امضاهای نفوذ شناخته شده در سیستم را متوقف کند. با توجه به تفکر ترکیب IDS و فایروال به منظور محافظت می توان گفت که IPS نسل پیشرفته ی IDS می باشد. در حال حاضر دو نوع IPS وجود دارد. این دو مورد شامل سیستم های ممانعت از نفوذ میزبان محور (host-based intrusion prevention systems) و سیستم های ممانعت از نفوذ شبکه محور (network-based intrusion prevention systems) می شوند.
IDS و IPS، کدام یک؟
