از چه IDS ای در سازمان استفاده کنیم ؟ پیشنهاد سیستم تشخیص نفوذ

از لینکی که جناب رستمی زحمت کشیدن و دادن من اینارو برداشت کردم:

نحوه عملکرد IDS و IPS باهم خیلی فرق می کنه

IPS مثل فایروال بین دو شبکه قرار می گیره و پکت های عبوری رو آنالیز می کنه و به جای اینکه مثل فایروال اول مواردی که Allow شده رو عبور بده و بعد در آخر آگر با رول هاش همخوانی نداشت Deny کنه، IPS میاد دنبال بهونه ای میگرده واسه Deny کردن بسته ها، اگه بسته با لیستی که تو دستش داره (لیست موارد مشکوک یا همون Signature ها) مطابقت داشته باشه Deny می کنه و اگر نه در آخر Allow می کنه و اجازه عبور میده به بسته ها (یعنی برعکس فایروال)

IDS برای داشتن دید بیشتر تو شبکه هست و مکان نصبش مثل فایروال و IPS صرفاً بین دو شبکه محدود نشده، در گوشه و کنار شبکه هم میشه نصبش کرد و تو سوییچ و روتر میشه تعریف کرد که نمونه ای از ترافیک ها برای آنالیز به پورتی که به IDS وصله فرستاده بشه

اگه می خواهید بر ترافیک عبوری نظارت داشته باشید بهتره IPS استفاده کنید

اگر سازمانتون دارای IPS و IDS نیست پیشنهاد میده که ابتدا IPS بخرید

دستگاه های Hybrid هم هستند که IPS و IDS رو به صورت یک chasis ارایه میدن می تونید از اونا هم استفاده کنید

IDS ها بیشتر مثل packet analyzer هستند (مثل Wireshark) فقط به جای اینکه Admin شبکه بیاد دونه دونه جزئیات بسته رو آنالیز کنه خود دستگاه این کارو انجام میده و با لیست intrusion هاش مقایسه می کنه در صورت مشاهده موارد مشکوک admin رو در جریان میذاره

برای استفاده از IDS نیاز به دانش بیشتری هست چون admin باید انواع تهدید ها و نقص های امنیتی رو بدونه تا با گزارش IDS بتونه اون موارد رو تشخیص بده و به موقع حلش کنه

ولی IPS معمولاً کار خودشو انجام میده هر از گاهی باید admin بهش برسه و اونو نسبت به شبکش tune کنه(منظور update خود IPS و لیست intrusion ها و ...)

در آخر مقاله هم نوشته: واسه سازمان بهترین انتخاب، اول Firewall هست بعد IPS و بعد IDS، چون جلوگیری از ورود ترافیک نا امن خیلی بهتر از تشخیص اون بعد از وروده، منظور پیش گیری بهتر از درمانه!

در متن مذکور به UTM هم اشاره ای شده بود، نوشته تقریباً ترکیبی از Firewall و IPS هست با یه کنسول مدیریتی تحت وب ترکیبی از این دو که به درد شرکت های کوچیک و مصارف خانگی میخوره (یعنی SOHO) و نه قدرتی مثل IPS داره و نه Firewall ، پس واسه سازمان ها بهتره دستگاه های Dedicated بخرید یعنی یا صرفاً IPS یا صرفاً Firewall

فایروال که برای بحث امنیت واجبه و یکی از ارکان اصلی امنیت محسوب میشه و یکی از جاهایی که از IPS استفاده میشه در کنار فایروال هست به طور مثال می تونید روی فایروال های ASA ماژول IPS نصب کنید البته IPS در نقاط مختلف شبکه قابل استفاده هست مثلا روی سوئیچ core می تونید اونو پیاده سازی کنید

شما می تونید IPS رو در حالت promiscuous پیاده سازی کنید که عملکردی مشابه IDS پیدا می کنه و در حالت IDS شما می تونید با کمک دستگاه های دیگه جلوی حملات رو بگیرید مثلا می تونه با کمک یک روتر مانع حمله بشه اما در کل به لحاظ جلوگیری از حملات نسبت به IPS در حالت inline ضعیف تره

IPS برای شناسایی ترافیک مخرب از روش های مختلفی استفاده می کنه که مهمترین روش اون استفاده از signature هست که مثل یه آنتی ویروس باید لیستش رو آپدیت کنه نکته لذت بخش برای من در رابطه با این signature ها اینه که مثل آنتی ویروس نیست که به شما یه پیغام بده آپدیت شد و تمام و شما ندونید که پشت پرده چه اتفاقی افتاده ؟ لینک زیر رو ببینید

Cisco Services for IPS

همینطور که می بینید لیست تک تک signature ها IPS در این لینک قرار داره و شما می توجه میشید که هر singature مربوط به چیه و می تونید اطلاعات کاملی از اون نقطه ضعف امنیتی و اینکه مربوط به چه سیستم هایی است و ... بدست بیارید. سیسکو این اطلاعات رو با همکاری شرکت trend micro تهیه می کنه

توی لینک که در پست قبلی گذاشتم خیلی از این موارد رو توضیح دادم که می تونید از اون استفاده کنید

درود

مهندس در محیط اجرایی از ids استفاده نمیشه و از ips استفاده میشه که سیستم ids رو هم در دل خودش داره.

دوستان با توجه به این مطالب ایا IDS هایی نظیر

network based IDS-

Hos based intrusion detection -

log file monitoring-

file integritycheking -

دیگه استفاده نمیشه یا در همون IPS وجود داره؟

همینطور که سرکار خانم حمیدپور گفتند در حال حاضر از IDS استفاده نمیشه و IDS جای خودش رو به IPS داده که علاوه بر شناسایی حملات می تونه جلوی حملات رو هم بگیره

برای آشنایی بیشتر با این مبحث می تونید از آموزش هایی که قبلا در این رابطه در سایت قرار دادم استفاده کنید :

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

بله ips اینکار هارو انجام میده البته خود ماژل ips هم در device های مختلف فرق میکنه.از لحاظ کارایی یکیه از نظر کمی و کیفی فرق میکنه.

سلام دوست عزیز می تونید برای اطلاعات بیشتر به آدرس زیر مراجعه نمایید البته نظر دوستان هم درست می باشد.

Do you need an IDS or IPS, or both?