سیستم تشخیص نفوذ سیسکو(IDS) و سیستم پیشگیری از نفوذ (IPS)، سیستم‌هایی هستند که رویکرد دفاع از عمق دارند و از شبکه‌ی شما در برابر ترافیک‌های مخرب محافظت می‌کند، در این بخش به طور کلی این سیستم‌ها را با هم بررسی می‌کنیم.

IDS مخفف عبارت Intrusion Detection System  و IPS مخفف کلمه‌ی Intrusion Prevention Systems است.

سنسور چیست

سنسور وسیله‌ای است که ترافیک شبکه را بررسی می‌کند و سپس بر اساس آن ترافیک تصمیم می‌گیرد چه کاری انجام دهد، آیا آن ترافیک مخرب است یا نه، توجه داشته باشید این نوع سیستم‌ها بر اساس قوانینی که برای آن نوشته شده عمل می‌کند و هیچ وقت نمی‌توانید سیستمی را پیدا کنید که به صورت ۱۰۰ درصد درست عمل کند.

تفاوت بین IPS و IDS

همانطور که گفتیم IP یک سیستم پیشگیری از نفوذ است که جلوی ترافیک‌های مخرب را می‌گیرد به این صورت که سیستم‌های IPS در مرز بین دو شبکه قرار می‌گیرند و ترافیک را به صورت کامل بررسی می‌کنند که شکل آن را در زیر مشاهده می‌کنید، اگر ترافیک عبوری با سنسور‌های تعبیه شده در IPS یکی باشد آن ترافیک متوقف خواهد شد و بسته مورد نظر Drop می‌شود و به مقصد نهایی خود نمی‌رسد.

یکی از مشکلاتی که سیستم‌های IPS دارند این است که اگر بنا به دلایلی سیستم IPS از کار بیفتد و یک خط جایگزین برای آن طراحی نشده باشد، کل شبکه از مسیر خارج خواهد شد و این می‌تواند مشکل ساز باشد.

اما سیستم IDS یا همان سیستم تشخیص نفوذ یک کپی از ترافیک شبکه را بررسی خواهد کرد و اگر در این ترافیک به اطلاعات مخربی دست پیدا کند آن را در قالب گزارشی به مدیر شبکه ارسال خواهد کرد تا بر روی آن ترافیک مورد نظر اقدامات امنیتی انجام گیرد ولی سیستم IDS به خودی خود نمی‌تواند بر روی ترافیک مورد نظر که مخرب است عملیاتی را انجام دهد و آن ترافیک را Drop کند، در زیر شکل سیستم IDS را مشاهده می‌کنید که IDS در بیرون از ترافیک اصلی حضور دارد و توسط سوئیچ یک نسخه از ترافیک برای بررسی برای ان ارسال می‌‎‌شود.

اصلاحات مثبت و منفی در IPS و IDS

• False positive به موقعیتی گفته می‌شود که سنسور به اشتباه ترافیک‌های سالم را به عتوان ترافیک مخرب در نظر بگیرد.
• False negative به ترافیکی مخربی که از شبکه عبور کند و توسط سنسور شناسایی نشود می‎گویند.
• True positive به ترافیکی مخربی می‌گویند که توسط سنسور به درستی شناسایی شود.
• True negative به ترافیک سالم شبکه اشاره دارد.

روش‎های مختلفی که یک سنسور می‌تواند ترافیک مخرب را شناسایی کند شامل موارد زیر است:

• Signature-based IPS/IDS

مبتنی بر امضاء است و توسط شرکت‌های ارائه دهنده‌ی IPS/IDS مانند سیسکو ارائه می‌شوند، در این روش مجموعه‌ای از قوانین برای پیدا کردن ترافیک مخرب ایجاد شده است که اکثر آنها به صورت پیش‌فرض غیر فعال هستند و در صورت نیاز باید انها را فعال کرد.

• Policy-based IPS/IDS

مبنتی بر تعریف سیاست است که در آن شما می‌توانید مشخص کنید چه چیزی در شبکه فعال باشد یا نباشد، مثلاً می‌توانید مشخص کنید که پروتکل Telnet در شبکه غیر فعال باشد.

• Anomaly-based IPS/IDS

مبتنی بر ناهنجاری است به این صورت که اگر تعداد درخواست‌های یک ارتباط بیش از حد مجاز شود، IPS یمی‌تواند ان ارتباط را قطع و مخرب اعلام کند.

• Reputation-based IPS/IDS

مبتنی بر اعتباراست به این صورت که مجموعه‌ای از سیستم‌ها در سرتاسر جهان در یک گروه جمع می‌شوند و سنسورهایی که در IPS تعبیه شده می‌توانند بر اساس تجربه دیگر دستگاه‌ها در سرتاسر دنیا نسبت به شناسایی ترافیک مخرب عمل کنند.

در زیر نحوه تنظیم سوئیچ برای ارسال اطلاعات به سیستم IDS را مشاهده می‌کنید، البته تنظیم IDS/IPS در دوره‌های بعدی بررسی خواهد شد و مختص این دوره نیست.

تهدیدات مشترک در IPV4 و IPV6

• Application layer attacks

در این تهدید مهاجم از طریق سرویس‌های شبکه اقدام به حمله مخرب می‎‌کند، برای جلوگیری از این نوع حملات باید از طریق دستگاه‌های امنیتی مانند ASA و یا استفاده از سیستم پیشگیری از نفوذ IPS از آنها جلوگیری کرد.

• Unauthorized access

در شبکه‌های مختلف افرادی وجود دارند که بدون اجازه دسترسی به شبکه بتوانند به منابع شبکه دسترسی داشته باشند، که راه حل آن استفاده از سیستم‌های احراز هویت مانند AAA که در این کتاب به طور کامل آن را بررسی کردیم، استفاده از این نوع سیستم‌های باعث می‌شود هر کاربر برای دسترسی نیاز به رمز عبور داشته باشد و تمام عملکرد‌هایی که در شبکه انجام می‌دهد هم در گزارشگیری آن ثبت خواهد شد.

• Man-in-the-middle attacks

حملات مرد میانی با نام Bucket Bridge Attack هم شناخته می‌شوند، در این نوع حمله مهاجم خود را بین دو سیستم قرار می‌دهد و از روش‌های خاصی برای بدست آوردن اطلاعات سیستم‌ها استفاده می‌کند که در فصل اول درباره آن توضیح دادیم، برای جلوگیری از این روش می‌توان از پروتکل مسیریابی STP محافظت کرد و احراز هویت را در لایه ۳ که مربوط به مسیریابی است را پیاده‌سازی کرد.

• Sniffing or eavesdropping

این نوع حمله به عنوان استراق سمع شناخته می‌شود که مهاجم در این روش به ترافیک عبوری گوش می‌دهد و یا در اصطلاح Sniff می‌کند و از آن طریق می‌تواند سوئیچ‌ها را با استفاده از قابلیت content-addressable memory (CAM) مجبور کنند Frame‌های خود را به همه پورت‌های خود ارسال کنند که این موضوع باعث می‌شود سوئیچ از کار بیفتد، برای محافظت در برابر این حملات باید در سوئیچ سرویس Port Security را فعال کنید تا در هر پورت یک MAC address مجاز فعال شود و اجازه ورود MAC Address دیگری را به آن ندهد، البته در این مورد قبلاً صحبت کردیم.

• Denial-of-service (DoS) attacks

حملات انکار سرویس یا DOS که می‌تواند یک وب سرویس را از کار بیندازد، در مورد این حمله هم در فصل‌های قبل صحبت کردیم، برای جلوگیری از آن هم باید ترافیک شبکه را به صورت کامل رصد کرد تا ترافیک مشکوک مشخص شوند که برای این کار می‌توانیم از فایروال ASA و سرویس شناسایی IPS استفاده کنیم.

• Spoofed packets

در این نوع حملات مهاجم بسته‌های جعلی را در شبکه تزریق می‌کند، که بهترین راه حل برای جلوگیری از آن فیلتر کردن ترافیک ورودی به شبکه است، با این کار ترافیکی که ادعا می‌کند از داخل شبکه منشا گرفته متوقف خواهد شد.

• Attacks against routers and other network devices

غیرفعال کردن خدمات و سرویس‌های غیر ضروری در شبکه و خاموش کردن دستگاه‎‌های که نیاز به استفاده از آن نیست.