ماهونظام كشف التسلل ((IDS)Intrusion Detection System)؟
كشف التسلل (Intrusion detection): عبارة عن عملية مراقبة (monitoring) حركة مرور الشبكة (network traffic) الخاصة بك، وتحليلها (analyzing) بحثًا عن علامات الاقتحام المحتملة (possible intrusions)، مثل محاولات الاستغلال (exploit attempts) والحوادث التي قد تكون تهديدات وشيكة لشبكتك.
ماهو نظام منع التسلل ((IPS)Intrusion Prevention System)؟
هو عملية إجراء كشف التسلل ثم إيقاف الحوادث المكتشفة (Detected Incidents)، وعادة ما يتم ذلك عن طريق إسقاط الحُزم (Dropping packets) أو إنهاء الجلسات (Terminating Sessions).
ما هي فوائد الـ IDS / IPS؟
يراقب الـ IDS / IPS كل حركة المرور(Traffic) على الشبكة لتحديد أي سلوك ضار معروف؛ و تتمثل إحدى الطرق التي سيحاول المهاجم من خلالها اختراق الشبكة عن طريق استغلال ثغرة أمنية (exploiting a vulnerability) داخل جهاز أو داخل برنامج؛ تحدد الـ IDS / IPS محاولات الاستغلال هذه وتحظرها قبل أن تنجح في اختراق أي endpoint داخل الشبكة.
الـ IPS/ IDS هي تقنيات أمان ضرورية، على حافة الشبكة (network edge) وداخل مركز البيانات (DataCenter)، لأنها تستطيع إيقاف المهاجمين أثناء قيامهم بجمع معلومات حول شبكتك.
كيف يعمل الـ IDS؟
تُستخدم ثلاث منهجيات الـ IDS Detectionعادةً لاكتشاف الحوادث:
1) يقارن الاكتشاف القائم على التوقيع (Signature-based detection) التوقيعات مقابل الأحداث المرصودة لتحديد الحوادث المحتملة؛ وهذه هي أبسط طريقة للكشف، لأنها تقارن فقط وحدة النشاط الحالية (مثل حزمة (packet) أو إدخال سجل بقائمة من التواقيع) باستخدام عمليات مقارنة السلاسل(string comparison operations).
2)الـ Anomaly-based detection يقارن تعريفات ما يعتبر نشاطًا طبيعيًا مع الأحداث المرصودة من أجل تحديد الانحرافات المهمة؛ يمكن أن تكون طريقة الكشف هذه فعالة جدًا في اكتشاف التهديدات غير المعروفة سابقًا.
ماذا يمكنك أن تفعل مع IDS / IPS؟
تراقب أنظمة الكشف عن التطفل (IDS) وأنظمة منع التطفل (IPS) شبكتك باستمرار، وتحديد الحوادث المحتملة وتسجيل المعلومات المتعلقة بها، وإيقاف الحوادث، وإبلاغ مسؤولي الأمن بها. بالإضافة إلى ذلك، تستخدم بعض الشبكات الـIDS / IPS لتحديد المشكلات المتعلقة بسياسات الأمان وردع الأفراد عن انتهاك سياسات الأمان. أصبح الـ IDS / IPS إضافة ضرورية للبنية التحتية الأمنية لمعظم المؤسسات، وذلك على وجه التحديد لأنها تستطيع إيقاف المهاجمين أثناء قيامهم بجمع معلومات حول شبكتك.
هل جدر الحماية (firewall)هو IDS أو IPS؟
نعم، تحتوي جدران الحماية من الجيل التالي Next-Generation Firewalls على وظائف الـ IDS و الـ IPS .ومع ذلك ، ليست كل جدران الحماية (firewalls)هي جدران حماية من الجيل التالي( next-generation firewalls)؛ يقوم جدار الحماية (firewall) بحظر(blocks) حركة مرور الشبكة وتصفيتها (filters) ، بينما الـ IDS و IPS يكشف (detect) و ينبه (alert) و يحظر (block) محاولة الاستغلال، اعتمادًا على الاعدادات (Configuration).
يعمل الـ IDS و IPS على حركة المرور بعد أن يقوم جدار الحماية (firewall) بتصفية حركة المرور، وفقًا للسياسة الاعدادات (configured policy).
كيف يتم تنفيذ الـ IDS و IPS؟
نظام كشف التطفل (IDS) مسؤول عن تحديد الهجمات والتقنيات، وغالبًا ما يتم نشره خارج النطاق (out of band) في وضع الاستماع فقط (listen-only) حتى يتمكن من تحليل كل حركة المرور وتوليد أحداث التطفل (generate intrusion events) من حركة المرور المشبوهة أو الخبيثة.
يتم نشر نظام منع التطفل (IPS) في مسار حركة المرور(path of traffic) بحيث يجب أن تمر كل حركة المرور عبر الجهاز للمتابعة إلى وجهتها. عند اكتشاف حركة المرور الضارة (malicious traffic)، يقوم الـIPS بقطع الاتصال وإلغاء الجلسة أو الغاء حركة المرور.
هل يمكن لـ IPS منع حركة المرور؟
نعم، تراقب الـ IPS باستمرار حركة المرور بحثًا عن الثغرات المعروفة لحماية الشبكة؛ ثم يقارن الـ IPS حركة المرور بالتوقيعات الموجودة ( existing signatures) في حالة حدوث تطابق، ستتخذ الـ IPS أحد الإجراءات الثلاثة:
1) اكتشاف حركة المرور وتسجيلها.
2)أو اكتشاف حركة المرور وحظرها.
3)أو (الخيار الموصى به) اكتشاف حركة المرور وتسجيلها وحظرها.
ما الذي يمكن أن يكتشفه نظام كشف التسلل(IDS)؟
يكتشف نظام كشف التسلل التهديدات بناءً على أنماط عمليات الاستغلال المعروفة (known exploits) والسلوكيات الضارة (malicious behaviors) وأساليب الهجوم ( attack techniques)؛ ويكتشف نظام الـ IDS الفعال أيضًا تقنيات المراوغة التي يستخدمها المهاجمون لإخفاء عمليات الاستغلال، مثل تجزئة استدعاء الإجراء البعيد (remote procedure call RPC) وحشو(padding) الـ HTML وأنواع أخرى من تلاعب TCP / IP.
هل يمكن لـ IPS منع DDoS؟
يمكن لـ IPS منع أنواع معينة من هجمات DDoS (distributed denial of service) .على سبيل المثال، تعد هجمات رفض التطبيق للخدمة (AppDoS) إحدى فئات التهديدات التي يمكن لوظيفة IPS التعرف عليها والحماية منها.
م.أمــل عبــــدالكريــــم الأصبـــحي،،،
مصدر المعلومات موقع: https://www.juniper.net
