FortinetFortinet NSE 4Network Security

آموزش Fortigate IPS به صورت عملی

معرفی سیستم های جلوگیری از نفوذ IPS یا Intrusion Prevention System

Fortigate IPS | در این پست قرار است درباره IPS یا Intrusion Prevention System صحبت کنیم و به کمک یک سناریو روش استفاده آن را در Fortigate یادبگیریم.

Image excerpted from "CYBERSECURITY: Actions Needed to Address Challenges Facing Federal Systems", page 10
Fortigate IPS – Image excerpted from “CYBERSECURITY: Actions Needed to Address Challenges Facing Federal Systems

IPS چیست ؟

سیستم جلوگیری از نفوذ که با عنوان IPS شناخته می‌شود، یک فناوری پیشگیری از تهدیدهای تحت شبکه است که برای شناسایی و متوقف کردن فعالیت‌های مخرب و آسیب‌های احتمالی مورد استفاده قرار می‌گیرد. سیستم‌های پیشگیری از نفوذ (IPS) همانند سیستم‌های شناسایی نفوذ (IDS) فعالیت‌های مخرب را شناسایی می‌کنند با این تفاوت که در IDS صرفاً عمل شناسایی نفوذ و گزارش انجام می‌شود و قابلیت جلوگیری از تخریب وجود ندارد.

Intrusion Detection VS Prevention Systems: What's The Difference?
Fortigate IPS – Intrusion Detection VS Prevention Systems: What’s The Difference?

اما IPS علاوه بر شناسایی قادر به مسدودسازی حملات نیز می‌باشدبه عبارتی می‌توان گفت که IPS ها نسل پیشرفته IDS می‌باشند. IPSها به طور کلی فعالیت‌های مخرب را شناسایی کرده، اطلاعات مربوط به این فعالیت‌ها را ثبت می‌کنند و پس از جلوگیری از انجام این فعالیت‌ها گزارش کاملی از کارهای انجام شده نیز ثبت می‌ کنند.

چه تفاوتی بین IPS و فایروال وجود دارد؟

Fortigate IPS
Fortigate IPS

در پاسخ به این سؤال باید توجه داشته باشید که فایروال تنها ترافیک ورودی و خروجی شبکه را کنترل می‌کند در حالی که سیستم جلوگیری از نفوذ علاوه بر ترافیک ورودی و خروجی فعالیت‌های درون سیستم‌ها را نیز بررسی می‌کند و در صورت استفاده به همراه فایروال ضریب بالایی از امنیت به وجود می‌آید.

به طول کلی IPSها به چهار دسته تقسیم می‌شوند:

  1. سیستم‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS): در این نمونه تمامی ترافیک شبکه به منظور یافتن ترافیک مشکوک مورد نظارت قرار می‌گیرد.
  2. سیستم‌های تشخیص نفوذ بی‌سیم (WIPS): در این مورد شبکه بی‌سیم به منظور شناسایی ترافیک مشکوک توسط آنالیز پروتکل‌های شبکه‌های بی‌سیم، مورد نظارت قرار می‌گیرد.
  3. آنالیز رفتار شبکه (BNA): در این گروه ترافیک شبکه به منظور شناسایی تهدیداتی مثل حملات DOS و یا بدافزارها بررسی می‌شود.
  4. سیستم‌های تشخیص نفوذ مبتنی بر میزبان (HIPS): یک بسته نرم‌افزاری نصب شده که یک هاستینگ را به منظور شناسایی فعالیت‌های مشکوک توسط آنالیز رخدادهای درون هاست، مورد نظارت قرار می‌دهد.

IPSها چگونه فعالیت‌های مخرب را شناسایی می‌کنند؟

عموما سیستم‌های تشخیص نفوذ از سه روش به منظور شناسایی فعالیت‌های مخرب استفاده می‌کنند:

  1. روش شناسایی با استفاده از امضا: در این روش سیستم‌های تشخیص نفوذ (IDS) ترافیک ورودی و خروجی شبکه را با الگوهای پیش از پیکربندی و پیش از حمله که به عنوان امضا شناخته می‌شود مقایسه می‌کنند.
  2. شناسایی مبتنی بر آنومالی آماری: سیستم تشخیص نفوذ مبتنی بر آنومالی آماری، فعالیت شبکه نرمال را مشخص می‌کندمثلاً به طور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفته است، چه پروتکل‌هایی استفاده شده است یا کدام پورت‌ها و وسایلی به طور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به مدیر شبکه هشدار می دهد.
  3. آنالیز پروتکل‌های مبتنی بر حالتاین روش، انحراف حالت پروتکل‌ها را مشخص می‌کند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایل‌های از پیش تعیین شده‌ای که مطابق با تعریف مورد قبول هستند، انجام می‌شود.

آموزش Fortigate IPS

Fortigate
Fortigate IPS

در صورتی که آموزش های قبل را دنبال کرده باشید متوجه می شوید که سناریوی بالا در ادامه همان آموزش های می باشد، حالا قرار است در این سناریو IPS را بر روی DMZ خودمان فعال کنیم. قبل از هرچیز شما باید برای تست یک IIS بر روی سیستم سرور خودمان در DMZ نصب نمایید، در صورتی که آموزش  نصب آن را بلد نیستید می توانید از این آموزش استفاده کنید.

اگر شما از قسمت Security Profile وارد Intrusion Prevention شوید چندین Profile فایل مشاهده می کنید که در صورت نیاز می توانید Profile خود را ایجاد کنید و یا از همین Profile ها استفاده کنید.

آموزش Fortigate IPS به صورت عملی
آموزش Fortigate IPS به صورت عملی

از قسمت Security Profile وارد IPS Signatures می توانید Packeage هایی که فورتی شما میتواند شناسیی کند را مشاهده کنید، این لیست در صورت استفاده از لایسنس معتبر  به صورت خودکار بروز می شود و یا شما باید آن را به کمک فایل های آفلاین بروزرسانی کنید.

آموزش Fortigate IPS به صورت عملی
آموزش Fortigate IPS به صورت عملی

ما در این سناریو اول از قسمت Virtual IPs یک Virtual IP ایجاد میکنیم که در صورتی که IP 192.168.160.50 را Map میکنیم به آدرس 172.31.0.10 یعنی اگر از شبکه 192.168.160.0/24 درخواستی برای فایروال ارسال شد آن را به 172.31.0.10 متصل می کند.

آموزش Fortigate IPS به صورت عملی
آموزش Fortigate IPS به صورت عملی

حالا وارد Firewall Policy شده و در صورتی که آموزش های قبل را مشاهده نکردید به صورت زیر اطلاعات را وارد می کنیم، فقط در قسمت IPS یکی از پروفایل هایی که بالاتر صحبت کردیم را انتخاب می کنیم تا این پروفایل برای این شبکه فعال شود.

آموزش Fortigate IPS به صورت عملی
آموزش Fortigate IPS به صورت عملی

حالا برای این که بتونیم تستی داشته باشیم باید یک حمله به سرور خود داشته باشیم که میتونیم به صورت زیر عمل کنیم و آدرس زیر را بر روی یک مرورگر که به شبکه مورد نظر وصل هست وارد کنیم، قسمت قرمز رنگ باید حتما زده شود تا بتونیم تست را انجام دهیم.

iisstart.htm?id=1 OR 1=1

حالا اگه وارد Log & Report شویم در قسمت Intrusion Prevention میتونیم لاگ های IPS را مشاهده کنیم که در اینجا باید جلوی حمله مارو گرفته باشه.

آموزش Fortigate IPS به صورت عملی
آموزش Fortigate IPS به صورت عملی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا