نظام كشف التطفل هو أداة منتشرة في الواجهة بين الشبكة العامة والشبكة الخاصة لمنع اختراق حزم الشبكة الضارة، إن الغرض من وجود هذه الأداة هو عدم السماح للحزم ذات التوقيع الضار بالدخول إلى الشبكة الخاصة لأنها يمكن أن تؤدي إلى إلحاق الضرر بالإنترنت إذا تم الترفيه عنها، حيث أن أدوات (IPS) قادرة بشكل كبير على الاندماج مع الأدوات الأخرى المستخدمة في أمان الشبكة لمنع الهجمات على مستوى الشبكة،لا يقتصر هذا النظام على فحص حزم الشبكة على مستوى الدخول فقط ولكن أيضًا لمواجهة النشاط الضار للشبكة الخاصة.
أنواع أنظمة منع التطفل
نظام منع التطفل القائم على المضيف
يمكن تعريفه على أنه نوع نظام منع التطفل الذي يعمل على مضيف واحد، حيث يهدف هذا النوع من (IPS) إلى التأكد من عدم حدوث أي نشاط ضار في الشبكة الداخلية، حيث انه عندما تكشف (IPS) أي نشاط داخليًا له توقيع غير طبيعي، تقوم (IPS) بفحص الشبكة للحصول على مزيد من التفاصيل حول النشاط، كما انه وبهذه الطريقة، تمنع حدوث أي نشاط ضار ومؤذي في هذا المضيف المحدد، ان الميزة الرئيسية لهذا النوع من (IPS) هي أنه لا يهتم أبدًا بالشبكة بأكملها، لكن المضيف الوحيد الذي يتم نشره فيه يحافظ على أمانها ومحميها بالكامل من جميع الهجمات التي يمكن أن تحدث من خلال طبقة الشبكة.
- “IPS” هي اختصار لـ “Intrusion Prevention System”.
نظام منع التطفل اللاسلكي
يعتبر هذا النظام نوعًا آخر من أنظمة كشف التسلل التي تعمل عبر الشبكة اللاسلكية، حيث يتم نشر هذا النوع من (IPS) لمراقبة النشاط الضار في الشبكة اللاسلكية، يتم فحص جميع الحزم التي تتحرك داخل الشبكة اللاسلكية أو مراقبتها بواسطة هذا النوع من (IPS) بمساعدة التوقيعات.
حيث انه إذا تم العثور على أي حزمة تحمل (IPS) لها علامة التوقيع الضار، فإن (IPS) ستمنع الحزمة من الدخول إلى الشبكة بشكل أكبر، كما إنه أحد أفضل أنواع (IPS) بالوقت الحالي، حيث يتم استخدام الشبكات اللاسلكية في كثير من الأحيان أكثر من الشبكات القائمة على (LAN) وهي عبارة عن مجموعة من اجهزة الكمبيوتر متصلة مع بعضها على شبكة واحدة، مما يجعل الشبكة آمنة بشكل كبير ويمنع كل حزم الشبكة الضارة من إجراء أي تغيير في البيئة الحالية.
نظام منع التسلل المستند إلى الشبكة
يمكن اعتبار هذا النوع الآخر من (IPS) الذي يتم نشره في الشبكة من أجل منع الأنشطة الضارة، ان الغرض من (IPS) هذا هو مراقبة الشبكة بالكامل أو التحقق منها، كما يمكن منع أي نشاط ضار يتم اكتشافه في الشبكة بالكامل باستخدام هذا النوع من (IPS).
حيث يمكن دمج هذا النظام مع أدوات مسح الشبكة الأخرى مثل (Nexpose) وهو مجتمع الحماية العربي، وما إلى ذلك، ونتيجة لذلك، يتم الأخذ بعين الاعتبار الثغرات الأمنية التي تم اكتشافها بواسطة هذه الأدوات بواسطة هذا النوع من (IPS)، وإذا تمت مواجهة أي هجوم ضد الثغرات الأمنية التي تشهدها أداة فحص الشبكة، في هذه الحالة، ستدافع (IPS) هذه عن النظام حتى لو التصحيح لتلك الثغرة الأمنية غير متوفر.
تحليل سلوك الشبكة
يتم استخدام هذا النوع من (IPS) لفهم سلوك الشبكة، حيث تبقى جميع الشبكات التي تتحرك في جميع أنحاء الشبكة تحت المراقبة المستمرة لهذا النظام، في أي وقت يكتشف النظام الحزم ذات التوقيع الضار، تتأكد (IPS) من حظر الحزمة حتى لا تؤدي إلى إلحاق الضرر بالتطبيق، أن الغرض الرئيسي من هذا النوع من (IPS) هو ضمان عدم صياغة أي حزم ضارة وإرسالها عبر الشبكة الداخلية، تظل المؤسسات التي تستخدم هذا النوع من (IPS) دائمًا محمية ضد هجمات مثل (DOS) أو أي هجوم قائم على انتهاك الخصوصية.
كما يجب أيضًا معرفة أن (IPS) تعمل جنبًا إلى جنب مع نظام كشف التسلل (IDS)، يتمثل دور (IDS) في اكتشاف الحزمة الضارة، بينما يتمثل دور (IPS) في التأكد من تدمير الحزم الضارة أو يجب حظرها من التنفيذ، كما تعمل (IPS) أيضا إما عن طريق اكتشاف ومنع الحزم بناءً على التوقيع أو الشذوذ الإحصائي، كما ان هناك فرق كبير بين العمل من خلال كلا النهجين، بالنهاية تعد هذه الأنظمة أحد أقوى ركائز أمن الشبكات