اقرأ في هذا المقال
- ما هو نظام منع التطفل IPS
- إجراءات مكافحة التطفل
- طريقة الكشف عن نظام منع التطفل
- فوائد أنظمة منع التطفل
- عيوب أنظمة منع التطفل
ما هو نظام منع التطفل IPS
نظام منع التطفل (IPS) عبارة عن تقنية أمان الشبكة ومنع التهديدات التي تفحص تدفقات حركة مرور الشبكة لاكتشاف ومنع استغلال الثغرات الأمنية، عادةً ما تأتي عمليات استغلال الثغرات الأمنية في شكل مدخلات ضارة لتطبيق أو خدمة مستهدفة يستخدمها المهاجمون لمقاطعة تطبيق أو جهاز والتحكم فيهما، بعد الاستغلال الناجح، يمكن للمهاجم تعطيل التطبيق الهدف مما يؤدي إلى حالة رفض الخدمة، أو يمكنه الوصول إلى جميع الحقوق والأذونات المتاحة للتطبيق المخترق.
مع وجود العديد من نقاط الوصول على شبكة أعمال نموذجية، من الضروري أن يكون لديك طريقة لمراقبة علامات الانتهاكات المحتملة والحوادث والتهديدات الوشيكة، كما أصبحت تهديدات الشبكة اليوم أكثر تعقيدًا وقادرة على التسلل حتى في أكثر الحلول الأمنية قوة.
- “IPS” هي اختصار لـ “Intrusion prevention systems”.
كيف يعمل نظام منع التطفل
يعمل نظام منع التطفل عن طريق المسح النشط لحركة مرور الشبكة المعاد توجيهها بحثًا عن الأنشطة الضارة وأنماط الهجوم المعروفة، ويحلل محرك (IPS) حركة مرور الشبكة ويقارن باستمرار تدفق البتات بقاعدة بيانات التوقيع الداخلية الخاصة به لأنماط الهجوم المعروفة، حيث تقوم (IPS) بإسقاط حزمة تم تحديد أنها ضارة، ومتابعة هذا الإجراء عن طريق حظر جميع حركات المرور المستقبلية من عنوان (IP) الخاص بالمهاجم أو المنفذ، يمكن أن تستمر حركة المرور المشروعة دون أي اضطراب محتمل في الخدمة.
عادةً ما تقوم (IPS) بتسجيل المعلومات المتعلقة بالأحداث التي تمت ملاحظتها وإخطار مسؤولي الأمان وإنتاج التقارير، للمساعدة في تأمين شبكة، يمكن لـ (IPS) تلقي تحديثات المنع والأمان تلقائيًا من أجل المراقبة المستمرة وحظر تهديدات الإنترنت الناشئة، حيث يمكن لأنظمة منع التطفل أيضًا إجراء مراقبة وتحليلات أكثر تعقيدًا، مثل المراقبة والتفاعل مع أنماط أو حزم حركة المرور المشبوهة، تشمل آليات الكشف ما يلي:
- مطابقة العنوان.
- سلسلة (HTTP) ومطابقة السلسلة الفرعية.
- مطابقة النمط العام.
- تحليل اتصال (TCP).
- كشف شذوذ الحزمة.
- كشف الشذوذ المروري.
- مطابقة منفذ (TCP،UDP).
إجراءات مكافحة التطفل
يمكن للعديد من (IPS) أيضًا الاستجابة للتهديد المكتشف عن طريق منعه من النجاح، يستخدمون العديد من تقنيات الاستجابة، والتي تشمل:
- تغيير بيئة الأمان، على سبيل المثال، عن طريق تكوين جدار حماية لزيادة الحماية ضد الثغرات الأمنية غير المعروفة سابقًا.
- تغيير محتوى الهجوم، على سبيل المثال، عن طريق استبدال الأجزاء الخبيثة من بريد إلكتروني، مثل الروابط الخاطئة، بتحذيرات حول المحتوى المحذوف.
- إرسال الإنذارات الآلية لمسؤولي النظام وإبلاغهم بالمخالفات الأمنية المحتملة.
- إسقاط الحزم الضارة المكتشفة.
- إعادة الاتصال.
- منع حركة المرور من عنوان (IP) المخالف.
طريقة الكشف عن نظام منع التطفل :
الاكتشاف القائم على:
التوقيع: تقوم أنظمة كشف الهوية القائمة على التوقيع بتشغيل الحزم في الشبكة وتقارن بأنماط الهجوم المبنية مسبقًا والمحددة مسبقًا والمعروفة باسم التوقيعات.
الاكتشاف القائم على الشذوذ الإحصائي:
يراقب نظام كشف التسلل المستند إلى الانحراف حركة مرور الشبكة ويقارنها بخط أساس محدد، سيحدد خط الأساس ما هو طبيعي لتلك الشبكة وما هي البروتوكولات المستعملة، ومع ذلك، قد يبعث إنذارًا خطأ إذا لم يتم تكوين خطوط الأساس بدقة وذكاء.
كشف تحليل حسب الحالة:
يتعرف أسلوب (IDS) هذا على اختلاف البروتوكولات الخاصة بها من خلال مقارنة الأحداث المرصودة بملفات التعريف المبنية للتعريفات المقبولة عمومًا للنشاط.
فوائد أنظمة منع التطفل :
- التخفيف من فرص وقوع مشاكل أمنية.
- توفير حماية ديناميكية من التهديدات.
- إخطار المسؤولين تلقائيًا عند العثور على نشاط مشبوه.
- التخفيف من الهجمات مثل هجمات (DoS) وهي عبارة عن هجمات حجب الخدمة وهجمات (DDoS) وهي طريقة لتوقف المواقع عن العمل من خلال بعث طلبات كثيرة تتجاوز مقدرة هذة الشبكة ومحاولات هجوم القوة الغاشمة.
- تقليل صيانة الشبكات لموظفي تكنولوجيا المعلومات.
- السماح بحركة مرور واردة محددة لشبكة أو رفضها.
عيوب أنظمة منع التطفل
تشمل عيوب أنظمة منع التطفل ما يلي:
- عندما يقوم نظام ما بحظر نشاط غير طبيعي على شبكة ما على افتراض أنه ضار، فقد يكون ذلك نتيجة إيجابية خاطئة ويؤدي إلى (DoS) إلى مستخدم شرعي.
- إذا لم يكن لدى المؤسسة ما يكفي من عرض النطاق الترددي وسعة الشبكة، فقد تؤدي أداة (IPS) إلى إبطاء النظام.
- إذا كان هناك العديد من (IPSes) على الشبكة وهي عبارة عن هجمات التلاعب بالمحتوى، فسيتعين على البيانات المرور عبر كل منها للوصول إلى المستخدم النهائي، مما يتسبب في فقدان أداء الشبكة.
- من الممكن ان تكون (IPS) أيضًا باهظة الثمن.