[h=1]IDS - یک راهکار امنیتی غیرفعال[/h]
IDS مخفف عبارت Intrusion Detection System به معنای سیستم کشف نفوذ می باشد، به منظور نظارت بر تمامی فعالیت های ورودی و خروجی شبکه و شناسایی هرگونه فعالیت مشکوک طراحی شده است. این فعالیت های مشکوک ممکن است، نشان دهنده ی یک حمله به سیستم یا شبکه توسط شخصی که در تلاش است تا سیستم امنیتی را در هم بشکند باشد. IDS یک سیستم مانیتورینگ غیرفعال (Passive) در نظر گرفته می شود، چرا که عملکرد اصلی یک IDS هشدار در مورد فعالیت های مشکوک در حال وقوع است و در متوقف کردن آن ها نقشی ایفا نمی کند. اساسا یک IDS ترافیک شبکه و داده های شما را مورد بررسی قرار می دهد و حملات، موارد سوء استفاده و سایر نقاط آسیپ پذیری را شناسایی می کند. ای دی اس ها می توانند، رویدادهای مشکوک را به چندین روش اطلاع رسانی کنند که شامل نمایش یک آلارم، درج در بخش رویدادها (Logs) یا حتی برقراری ارتباط (مثل تماس تلفنی) با مدیر سیستم می باشد. در برخی از موارد IDS ها درخواست پیکربندی مجدد سیستم به منظور کاهش نفوذهای مشکوک را مطرح می کنند. یکی از کاربردهای IDS تشخیص ترافیک نامتعارف در حال ورود به شبکه و گزارش آن به مدیر سیستم است. IDS به طور خاص به دنبال فعالیت های مشکوک و رویدادهایی می باشد که ممکن است از اثرات ویروس ها، کرم ها و هکرها باشند. این امر بوسیله جستجو در امضاهای نفوذ (گزارش های ذخیره شده از جزئیات ورود به سیستم) یا امضاهای حمله (Attack Signatures) که کرم ها و ویروس های گوناگونی را شناسایی می کنند، انجام می شود. اصلاح IDS گستره وسیعی از محصولات متنوع را در بر می گیرد. یک راه کار IDS می تواند در قالب یک نرم افزار متن باز (Open Source) رایگان و یا به صورت یک نرم افزار امنیتی گران قیمت برای فروش ارائه شود. علاوه بر این برخی از IDSها شامل برنامه های نرم افزاری و سخت افزاری می باشند که در نقاط مختلف از شبکه نصب شده و مورد استفاده قرار می گیرند.
[h=2]آیا IDS همان فایروال است؟[/h]
پاسخ این سوال خیر می باشد. به طور معمول IDS با فایروال اشتباه گرفته شده و یا به عنوان یک جانشین برای آن در نظر گرفته می شود. در حالی که هر یک بصورت مجزا به امنیت شبکه مربوط می باشند. فایروال نفوذها را به منظور جلوگیری از به وقوع پیوستن آن ها جستجو می کند و دسترسی بین شبکه ها را به منظور توقف نفوذها محدود می کند، اما در مورد حملات درون شبکه اطلاع رسانی نمی کند. IDS یک نفوذ مشکوک را شناسایی می کند و اگر نفوذ انجام شد به وسیله آلارم اطلاع رسانی می کند. همچنین IDS ها حملاتی که از درون یک سیستم آغاز می شوند را نیز مورد بررسی قرار می دهد. محافظت کننده های نفوذ به سیستم که مبتنی بر شبکه می باشند، می توانند پکت هایی را که توسط قوانین (rule) ساده فایروال نادیده گرفته می شوند را نیز شناسایی کنند. در حقیقت IDS جایگزینی برای یک فایروال یا یک آنتی ویروس قوی نیست. IDS می بایست به صورت ترکیبی با محصولات امنیتی مثل فایروال و آنتی ویروس در نظر گرفته شود تا بتوانند بصورت یک مجموعه امنیت شبکه را افزایش دهند. به طور عمده می توان تفاوت IDS و فایروال را در این دانست که IDS با جزئیات بیشتری نسبت به فایروال ترافیک شبکه را مورد بررسی قرار می دهد و بر خلاف فایروال که تنها ترافیک ورودی و خروجی را ارزیابی می کند، IDSها ترافیک های درون سیستم را نیز مورد بررسی قرار می دهند.
[h=2]IPS - یک راه کار امنیتی فعال[/h]
IPS مخفف عبارت Intrusion Prevention System به معنای سیستم ممانعت از نفوذ است، مرحله بالاتری از فناوری های امنیتی است که قابلیت فراهم سازی امنیت در تمام سطوح سیستم از هسته ی سیستم عامل گرفته تا پکت های شبکه (بسته های داده ارسالی یا دریافتی در شبکه) را دارا می باشد. IPS سیاست ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. هنگامی که IDS یک حمله بالقوه را اطلاعی رسانی می کند، ای پی اس تلاش می کند تا آن را متوقف کند. IPS همچنین این ظرفیت را دارد که بتواند امضاهای نفوذ شناخته شده در سیستم را متوقف کند. با توجه به تفکر ترکیب IDS و فایروال به منظور محافظت می توان گفت که IPS نسل پیشرفته ی IDS می باشد. در حال حاضر دو نوع IPS وجود دارد. این دو مورد شامل سیستم های ممانعت از نفوذ میزبان محور (host-based intrusion prevention systems) و سیستم های ممانعت از نفوذ شبکه محور (network-based intrusion prevention systems) می شوند.
[h=3]IDS و IPS، کدام یک؟[/h]
در حالی که بسیاری از صنایع امنیتی بر این باورند که IPS در آینده بصورت کامل جایگزین IDS خواهد شد، اما عده ای این تفکر را مثل جایگزینی پرتقال با سیب در نظر می گیرند. این عده بر این باورند که IPS و IDS دو راهکار متفاوت می باشند که یکی سیستم مانیتورینگ کشف نفوذ غیرفعال و دیگری سیستم مانیتورینگ ممانعت از نفوذ فعال می باشد. گروه اول بر این باورند که در حالی که امکان ورود ابزارهای فعال به صحنه است، چرا باید از تجهیزات غیرفعال استفاده کرد؟ همچنین در عمل نیز IPS نسل جوانِ IDS بالغ می باشد. اشکالات ذکر شده در مورد IDS می تواند تا حدود زیادی با آموزش و مدیریت مناسب برطرف شود. به علاوه پیاده سازی IDS به مراتب کم هزینه تر می باشد. بسیاری از افراد با توجه به ویژگی های افزوده شده به IPS و اعتقاد به این تفکر که IPS نسل بعدی IDS است، استفاده از IPSها را به IDS ترجیح می دهند.
IDS مخفف عبارت Intrusion Detection System به معنای سیستم کشف نفوذ می باشد، به منظور نظارت بر تمامی فعالیت های ورودی و خروجی شبکه و شناسایی هرگونه فعالیت مشکوک طراحی شده است. این فعالیت های مشکوک ممکن است، نشان دهنده ی یک حمله به سیستم یا شبکه توسط شخصی که در تلاش است تا سیستم امنیتی را در هم بشکند باشد. IDS یک سیستم مانیتورینگ غیرفعال (Passive) در نظر گرفته می شود، چرا که عملکرد اصلی یک IDS هشدار در مورد فعالیت های مشکوک در حال وقوع است و در متوقف کردن آن ها نقشی ایفا نمی کند. اساسا یک IDS ترافیک شبکه و داده های شما را مورد بررسی قرار می دهد و حملات، موارد سوء استفاده و سایر نقاط آسیپ پذیری را شناسایی می کند. ای دی اس ها می توانند، رویدادهای مشکوک را به چندین روش اطلاع رسانی کنند که شامل نمایش یک آلارم، درج در بخش رویدادها (Logs) یا حتی برقراری ارتباط (مثل تماس تلفنی) با مدیر سیستم می باشد. در برخی از موارد IDS ها درخواست پیکربندی مجدد سیستم به منظور کاهش نفوذهای مشکوک را مطرح می کنند. یکی از کاربردهای IDS تشخیص ترافیک نامتعارف در حال ورود به شبکه و گزارش آن به مدیر سیستم است. IDS به طور خاص به دنبال فعالیت های مشکوک و رویدادهایی می باشد که ممکن است از اثرات ویروس ها، کرم ها و هکرها باشند. این امر بوسیله جستجو در امضاهای نفوذ (گزارش های ذخیره شده از جزئیات ورود به سیستم) یا امضاهای حمله (Attack Signatures) که کرم ها و ویروس های گوناگونی را شناسایی می کنند، انجام می شود. اصلاح IDS گستره وسیعی از محصولات متنوع را در بر می گیرد. یک راه کار IDS می تواند در قالب یک نرم افزار متن باز (Open Source) رایگان و یا به صورت یک نرم افزار امنیتی گران قیمت برای فروش ارائه شود. علاوه بر این برخی از IDSها شامل برنامه های نرم افزاری و سخت افزاری می باشند که در نقاط مختلف از شبکه نصب شده و مورد استفاده قرار می گیرند.
[h=2]آیا IDS همان فایروال است؟[/h]
پاسخ این سوال خیر می باشد. به طور معمول IDS با فایروال اشتباه گرفته شده و یا به عنوان یک جانشین برای آن در نظر گرفته می شود. در حالی که هر یک بصورت مجزا به امنیت شبکه مربوط می باشند. فایروال نفوذها را به منظور جلوگیری از به وقوع پیوستن آن ها جستجو می کند و دسترسی بین شبکه ها را به منظور توقف نفوذها محدود می کند، اما در مورد حملات درون شبکه اطلاع رسانی نمی کند. IDS یک نفوذ مشکوک را شناسایی می کند و اگر نفوذ انجام شد به وسیله آلارم اطلاع رسانی می کند. همچنین IDS ها حملاتی که از درون یک سیستم آغاز می شوند را نیز مورد بررسی قرار می دهد. محافظت کننده های نفوذ به سیستم که مبتنی بر شبکه می باشند، می توانند پکت هایی را که توسط قوانین (rule) ساده فایروال نادیده گرفته می شوند را نیز شناسایی کنند. در حقیقت IDS جایگزینی برای یک فایروال یا یک آنتی ویروس قوی نیست. IDS می بایست به صورت ترکیبی با محصولات امنیتی مثل فایروال و آنتی ویروس در نظر گرفته شود تا بتوانند بصورت یک مجموعه امنیت شبکه را افزایش دهند. به طور عمده می توان تفاوت IDS و فایروال را در این دانست که IDS با جزئیات بیشتری نسبت به فایروال ترافیک شبکه را مورد بررسی قرار می دهد و بر خلاف فایروال که تنها ترافیک ورودی و خروجی را ارزیابی می کند، IDSها ترافیک های درون سیستم را نیز مورد بررسی قرار می دهند.
[h=2]IPS - یک راه کار امنیتی فعال[/h]
IPS مخفف عبارت Intrusion Prevention System به معنای سیستم ممانعت از نفوذ است، مرحله بالاتری از فناوری های امنیتی است که قابلیت فراهم سازی امنیت در تمام سطوح سیستم از هسته ی سیستم عامل گرفته تا پکت های شبکه (بسته های داده ارسالی یا دریافتی در شبکه) را دارا می باشد. IPS سیاست ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. هنگامی که IDS یک حمله بالقوه را اطلاعی رسانی می کند، ای پی اس تلاش می کند تا آن را متوقف کند. IPS همچنین این ظرفیت را دارد که بتواند امضاهای نفوذ شناخته شده در سیستم را متوقف کند. با توجه به تفکر ترکیب IDS و فایروال به منظور محافظت می توان گفت که IPS نسل پیشرفته ی IDS می باشد. در حال حاضر دو نوع IPS وجود دارد. این دو مورد شامل سیستم های ممانعت از نفوذ میزبان محور (host-based intrusion prevention systems) و سیستم های ممانعت از نفوذ شبکه محور (network-based intrusion prevention systems) می شوند.
[h=3]IDS و IPS، کدام یک؟[/h]
در حالی که بسیاری از صنایع امنیتی بر این باورند که IPS در آینده بصورت کامل جایگزین IDS خواهد شد، اما عده ای این تفکر را مثل جایگزینی پرتقال با سیب در نظر می گیرند. این عده بر این باورند که IPS و IDS دو راهکار متفاوت می باشند که یکی سیستم مانیتورینگ کشف نفوذ غیرفعال و دیگری سیستم مانیتورینگ ممانعت از نفوذ فعال می باشد. گروه اول بر این باورند که در حالی که امکان ورود ابزارهای فعال به صحنه است، چرا باید از تجهیزات غیرفعال استفاده کرد؟ همچنین در عمل نیز IPS نسل جوانِ IDS بالغ می باشد. اشکالات ذکر شده در مورد IDS می تواند تا حدود زیادی با آموزش و مدیریت مناسب برطرف شود. به علاوه پیاده سازی IDS به مراتب کم هزینه تر می باشد. بسیاری از افراد با توجه به ویژگی های افزوده شده به IPS و اعتقاد به این تفکر که IPS نسل بعدی IDS است، استفاده از IPSها را به IDS ترجیح می دهند.
