~~Ips و ids چیست ؟ 
Intrusion Detection System

&

Intrusion Prevention System

بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند :

IDSIntrusion Detection System (سیستم های تشخیص نفوذ)
IPSIntrusion Prevention System (سیستم های جلوگیری از نفوذ)

تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS وIPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند.هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهایIDS مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکارترافیک آسیب رسان را مسدود می کنند.

IDSهاوIPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی هااین است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند.

IDS چیست؟

IDS یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند.روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند.

IPSچیست ؟

سیستم جلوگیری از نفوذ (IPS) یک وسیله امنیتی است که بر فعالیت‌ های یک شبکه و یا یک سیستم نظارت کرده تا رفتار‌های ناخواسته یا مخرب را شناسایی ‌کند. در صورت شناسایی این رفتارها، بلافاصله عکس‌العمل نشان داده و از ادامه فعالیت آن‌ها جلوگیری می‌کند. سیستم‌های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می‌شوند. یک سیستم جلوگیری از نفوذ مبتنی بر شبکه بر همه‌ی ترافیک شبکه نظارت کرده تا حملات یا کدهای مخرب را شناسایی کند. در صورت تشخیص یک حمله، بسته‌های مورد استفاده در آن حمله را دور ریخته و به سایر بسته‌ها اجازه عبور می‌دهد. سیستم جلوگیری از نفوذ به عنوان گسترشی از سیستم تشخیص نفوذ(IDS) درنظر گرفته می‌شود.

قابلیتهای IDS :

امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه
بستن ارتباطهای مشکوک و مظنون
قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی

جایگزین های IDS :

بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی زیر نمی توانند به عنوان IDSمورد استفاده قرار گیرند :
1. سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
2.ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
3.نرم افزارهای ضد ویروس که برای تشخیص انواع کرمها، ویروسها و ...
4.دیواره آتش (Firewall )v مکانیزمهای امنیتی مانند SSL و Radius و ...

چرا دیواره آتش به تنهایی کافی نیست ؟

به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند:
1.چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
2. تمام تهدیدات خارج از دیواره آتش نیستند.
3.امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود :Active ، Java Applet، Virus Programs.

تکنولوژی IDS

v Plain Hand Work
v Network Based ( (NIDS
v Host Based (HIDS(
v Honey pot

Network Base
گوش دادن به شبکه و جمع آوری اطلاعات ازطریق کارت شبکه ای که در آن شبکه وجود دارد .
به تمامی ترافیک های موجود گوش داده و در تمام مدت در شبکه مقصد فعال باشد.

Host Base
تعداد زیادی از شرکتها در زمینه تولید این نوع IDS فعالیت می کنند.روی PC نصب می شود و از CPU و هارد سیستم استفاده می کنند.دارای اعلان خطر در لحظه می باشد.

Honey pot
سیستمی می باشد که عملا طوری تنظیم شده است که در معرض حمله قرار بگیرد. اگر یک پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد که گرفتار یک Honey pot شده است و خرابکاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابکاریی ها برای امن کردن شبکه استفاده کرد.

Honey potها یک تکنولوژی جدید می باشند که قابلیتهای فراوانی برای جامعه امنیتی دارند. البته مفهوم آن در ابتدا به صورتهای مختلفی تعریف شده بود به خصوص توسط Cliff Stoll در کتاب « The Cuckoos Egg » . از آنجا به بعد بود که Honey pot ها شروع به رشد کردند و به وسیله ابزارهای امنیتی قوی توسعه یافتند و رشد آنها تا به امروز ادامه داشته است. هدف این مقاله تعریف و شرح واقعی Honey pot می باشد و بیان منفعت ها و مضرات آنها و اینکه آنها در امنیت چه ارزشی برای ما دارند.

قدم اول در فهم اینکه Honey pot چه می باشند بیان تعریفی جامع از آن است. تعریف Honey pot می تواند سخت تر از آنچه که به نظر می رسد باشد. Honey pot ها از این جهت که هیچ مشکلی را برای ما حل نمی کنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند. در عوض آنها یک ابزار قابل انعطافی می باشند که به شکلهای مختلفی قابل استفاده هستند.آنها هر کاری را می توانند انجام دهند از کشف حملات پنهانی در شبکه های IPv6 تا ضبط آخرین کارت اعتباری جعل شده! و همین انعطاف پذیریها باعث شده است که Honey pot ها ابزارهایی قوی به نظر برسند و از جهتی نیز غیر قابل تعریف و غیر قابل فهم!!

یک Honey pot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
به صورت کلی تمامی Honey pot ها به همین صورت کار می کنند. آنها یک منبعی از فعالیتها بدون مجوز می باشند. به صورت تئوری یک Honey pot نباید هیچ ترافیکی از شبکه ما را اشغال کند زیرا آنها هیچ فعالیت قانونی ندارند. این بدان معنی است که تراکنش های با یک Honey pot تقریبا تراکنش های بی مجوز و یا فعالیتهای بد اندیشانه می باشد. یعنی هر ارتباط با یک Honey pot می تواند یک دزدی ، حمله و یا یک تصفیه حساب می باشد. حال آنکه مفهوم آن ساده به نظر می رسد ( و همین طور هم است) و همین سادگی باعث این هم موارد استفاده شگفت انگیز از Honey pot ها شده است .