اليوم سوف أتناول موضوع هام عن الشبكات هو عن أنظمة الـ IPS وأنطمة الـ IDS ماهي وماوظيفتها وماهي أهم الأختلافات بينها
ماهو الـ IDS ؟
الـ IDS أو intrusion detection system هو عبارة عن نظام حماية تستطيع تشبيهها بـ مضاد الفيروسات الموجود على جهازك يقوم بتحليل كل الترافيك أو الباندوث والـ "الترافيك أو الباندوث" هو :
تبادل بيانات يعني دخولك لكل صفحة يستهلك (ترافيك)
مثال: سيارة تستهلك بترول و بترول الموقع هو "الباندوث او لترفك"
او تبادل البيانات
و هذا يعتمد على حجم الموقع و الصور التي فية كلما زادت المادة و الصور زاد الاستهلك
بطريقة بسيطة
مثلا انت نزلت 10 صور فى الموقع و كل صورة 1 كيلو بايت
لو دخل على موقعك 1000 زائر يستهلكوا من الباندوث 1000 * 10 * 1 كيلو بايت = 10000 كيلو بايت
فكلما زادت الصور و الملفات و البرامج كلما استهلك باندوث اكثر و خصوصا عن زيادة الزوار
و اذا خلص الباندوث بيتقفل الموقع لحد اول الشهر الجديد
يعنى لو الترافيك كان 3 جيجا و خلصوا الموقع يقفل لحد اول يوم من الشهر التالى و يتفتح و يحسب 3 جيجا من جديد
و هكذا
المار عبر الشبكة من خلال أرسال نسخة من هذا الترافيك إليه وتتركز وظيفته الأساسية على التحليل العملي فقط وذلك أعتمادا على Rules يمكن تحميلها من الأنترنت أو أعداداها يدويا كما سوف نشاهد لاحقا بالأضافة إلى قواعد بيانات تحوي معلومات عن الفيروسات والديدان أستطاعت النفاذ من خلال جدار الحماية الموجود على الشبكة وتعمد إليه عمل النظام على مقارنة الـ Signature الخاص بكل فايروس والتى تكون مخزنة في قاعدة البيانات ولكن مايعيب هذا النظام أنه لايقوم بأي ردة فعل اتجاه هذا الفيروسات فكل مايقوم به هو أرسال تحذير إلى مدير الشبكة بوجود شيء غير طبيعي في الترافيك المار ومن هنا نستطيع ان نستنتج ان كلمة detection لاتعني إلا الكشف وقد يخطر على بالك سؤال صغير ماذا أستفيد من هذه العملية ؟
وبكلام آخر ماذا سوف أستفيد أذا دخل الفيروس إلى الشبكة ؟
الأجابة على هذا السؤال يجب أن نعلم أولا أن هذا النوع من الأنظمة مفيد في عدة حالات
الحالة الأولى:كشف الثغرات الموجودة في أنظمة الحماية
الحالة الثانية: أرشفة كل أنواع التهديدات التى تحدث للشبكة
الحالة الثالثة: تحديد الأخطاء التى وقع فيها مسؤولوا الحماية وتصحيحها
ومايميز هذا النوع أيضا هو أمكانية وضعه بعيدا عن المسار الحقيقي للترافيك بحيث لايؤثر على سرعة نقل الداتا وهذه صورة توضيحية
كما تشاهدون السيرفر موجود على منفذ آخر وكل مانقوم به هو أرسال نسخة من هذا الترافيك إليه وبذلك نكون قد ضمنا أن سرعة النقل أو عبور الداتا لن يتأثر أبدا بعمل النظام .
وآخيرا هذا النظام يعد نظاما قديما جدا بدأ مشروع تطويره أول مرة عام 1984 وأعلن عن اول نظام IDS عام 1986 وهو موجود كهاردوير أو سوفت وير وسوف
ماهوالـ IPS ؟
الـ IPS أو Intrusion Prevention Systems وهو نسخة مطورة من النظام السابق فهو يقوم بعملية الكشف Detection أولا وبعدها يقوم بتنفيذ ردة فعل معينة Prevention مثل عمل Drop للباكيت الضارة لذا يتوجب وضعه على ممر الترافيك مباشرة وهذه صورة توضيحية
وكما تلاحظ معي أن النظام هنا هو سوفت وير تم تنصيبه على نظام تشغيل لكي يعمل IPS للترافيك ومايميزه ايضا هو طريقة الأستجابة للترافيك الخطر فهو يستطيع أن يمنعه ويستطيع أيضا أن يقوم بأرسال أعدادات لأجهزة الأمن الموجودة على الشبكة مثل الجدران النارية أو الروترات لكي تقوم هي بأيقافه
وآخيرا لهذه السيرفرات كما ذكرت سابقا برامج سوفت وير واجهزة هاردوير وقد قمت بعملية بحص صغيرة على الأنترنت فوجدت الكثير من البرامج التى تقوم بهذه الوظيفة وأستخلصت لكم برنامج يدعى Snort وهو برنامج مفتوح المصدر يمكن تنصيبه على انطمة مايكروسوفت ولينوكس
أما الهاردوير فهي أيضا كثيرة جدا فهناك أجهزة من سيسكو وأجهزة من 3com وأجهزة من جونيبر
كما يمكنك شراء Module خاص بهذا النظام ووضعه على روترات أو جدران نارية خاصة بسيسكو مثل هذا الـ Module الخاص بي أجهزة 1841 and 2800 3800
ما هي أنظمة الـ IDS & IPS
4/
5
Oleh
Moayad Almalat
