سوف نتطرق لموضوع مهم فى عالم السيكورتي
security للشبكات و هو اساسيات التعامل مع IPS & IDS
اجهزة منع و كشف المتطفلين فى الشبكه (sensors) و الذى يساعد على بقاء الشبكه امنه من الهجمات الخارجيه.
IDS
: Intrusion Detection Systems
جهاز
حماية يقوم بتحليل ومراقبة كل الترافيك المارة في الشبكة ومقارنتها مع بعض القواعد
والـ signatures وبهذا
فانه يستطيع تحديد الهجمات ويقوم بارسال تحذير او انذار الى مدير الشبكة Network
Administrator لذلك لا يلزم ان يكون IDS
فى مسار تدفق البيانات .
IPS
: Intrusion Prevention Systems
نسخة
مطورة لـ IDS ويحمل كل
مواصفات IDS بالاضافة الى انه يقوم بتحديد و استشعار الهجمات و التصدى
لها وامكانيه منعها وايقافها من الوصول للهدف، لهذا يجب ان يكون IPS
فى مسار تدفق حزم البيانات .
اليه العمل:
يقوم الـ IPS بتحديد الهجمات
الشائعه (common attack) , وهذا يعتمد على عمل
القواعد والـ
signature لكل هجمه ,اوالبصمه التي تميز الهجوم او العمل
الخبيث بحيث يستطيع الجهاز التعرف عليه
.
الان نفترض ان هناك هجوم و يقوم ال IPS بعرض هذا الهجوم على
كل signatures و جاء دور ال sig المخصصة لكشف هذا
الهجوم ماذا سيحدث ؟ سيتم التحقق من ان هناك هجوم يحدث و هنا تقوم ال sig بعمل عده اشياء :
1- ارسال تنبيه alert و تخزينه فى مكان
يسمى ال Event store حيث يستطيع مراقب
الشبكه ان يعرف ان هناك هجوم جارى
.
2- تقوم باتخاذ قرار حسب
طريقة اعداد الـ
sig فمثلا عندما يتم تصميم الـ
sig يجب تحديد ما هو رد الفعل اذا حدث الهجوم ؟
- هل يقوم بارسال alert فقط ؟
- هل يقوم بمنع الـ packet التى تحتوى على هذا الهجوم فقط ؟
- هل يقوم بمنع المهاجم منعا كاملا ؟
- هل يقوم بقطع الاتصال
- هل يقوم بعمل log للهجوم
و خيارات اخرى كثيره وذلك حسب الحاجه فهناك هجمات
ليست خطيره يكفى ارسال alert و هجمات اخرى خطيرة
فيجب فى هذه الحاله اتخاذ اكثر من قرار حاسم بصددها مثل منع الهجوم و حجب المهاجم
نهائيا .
للاطلاع أكثر على الموضوع اضغط هنا
للاطلاع أكثر على الموضوع اضغط هنا
منقول بتصرف من مدونة
Security Request
الإبتساماتإخفاء