محادثة تقليدية على الإنترنت تحولت إلى نقاش عن بعض النقاط الخاصة بحماية الشبكات وبالتحديد أنظمة كشف التسلل (Intrusion Detection System) وأنظمة منع الإختراق (Intrusion Prevention System) التي تعتبر أدوات حديثة نسبياً وهي أحد طرق حماية الشبكات المتطورة بشكل بطيء في مواجهة التهديدات والتحديات التي تواجه أجهزة الحاسوب بشكل عام وقد أثمرت المحادثة عن تحديد ثمان نقاط أساسية توضيح أهمية أستخدام هذه الأنظمة في الشبكات لأن هناك مفهوم خاطئ لدى البعض بأن الجدران النارية والبرامج المضادة للفيروسات كافية لحماية الشبكات وذلك ما سأحاول توضيحه في عدة نقاط سريعة ستكون كالتالي :-
- النقطة الأولى: محاولة إحباط الهجمات المتوقعة على الشبكة
أنظمة الـ IPS,IDS هي أنظمة حماية تستخدم طرق متنوعة مثل signature detection, protocol and traffic anomaly detection, backdoor detection, IP spoofing detection, DoS detection, Layer 2 detection, rate liming, IPv6 detection,network honeypot لكشف حركة Malware, worms, Trojan horses, viruses, Botnet, rootkit, Spyware, keyloggers وغيرها من التهديدات التي من الممكن أن تضر بالشبكة, هذه الانظمة متطورة بما يكفي لإتخاذ إجراءات تلقائية ضد التهديدات والمخاطر الأمنية التي تواجهها فمن الممكن تقوم بعض المنتجات بوقف هجوم ما بواسطة إعادة توجية الهجوم على مكان معين مثل الجدار الناري أو الراوتر وذلك لمنع وصول المهاجم إلى الشبكة وهناك منتجات أخرى تقوم بتشغيل ملف تنفيذي على الذي يحاول إيجاد ثغرات داخل الشبكة وهناك منتجات تقوم بالقضاء على البرمجيات الخبيثة التي يرسلها المهاجم إلى الضحية مثل حذف ملف “مصاب” مرفق في رسالة إلكترونية وكل ما سبق من إجراءات وسياسات تستطيع أن تقوم تطبقها يدوياً.
- النقطة الثانية: تنبية مسئول الشبكة عن الأحداث الأمنية المحتملة
الوظيفة الأساسية لأنظمة كشف التسلل هي تحذير المسئول عن الشبكة من وجود تهديدات للشبكة أو إنتهاكات للسياسة الأمنية وعلى ذلك يقوم المسئول بإتخاذ التدابير المناسبة وفقاً للمعلومات المتاحة له وتعبر الـ IDS تكنولوجيا سلبية تتلخص وظيفتها في الفحص والتنبية والمراقبة ويكون الأمر متروك في النهاية للمسئولين إذا حدث خرق للشبكة, أما الوظيفة الأساسية لأنظمة منع الإختراق هي منع التهديدات لحظة التعرف عليها وفقاً للبيانات المتاحة لها وذلك يتم بأكثر من طريقة ثم يقوم الجهاز بعد ذلك بتحذير مدير الشبكة بما حدث.
- النقطة الثالثة: فرض سياسات قوية لحماية الشبكة
لا تستخدم هذه الأنظمة لحماية المؤسسة التي تعمل بها من المتسللين من الخارج ولكن من الممكن أن يكون الخطر داخلي سواء كان موظفين حالين أو سابقين ساخطين على وضع ما ويرغبون في الأنتقام وما أكثر الأمثلة المتعلقة بهذه النقطة فقط ويمكنكم العودة لتقارير CSO magazine السنوية المخصصة في هذه النقطة لمعرفة حجم المخاطر التي تواجه الشبكة داخلياً ولهذا لأبد أن يكون المسئولين في الشبكة على دراية بمثل هذه التهديدات وكيفية التعامل معاها مثل تطبيق إعدادات ووضع سياسات لتحديد الإنتهاكات الأمنية ومراقبة حركة الترافيك سواء من الداخل أو الخارج وأيضاً يفضل عمل إعدادات مماثلة على الجدران النارية.
- النقطة الرابعة: توفير الوقت
عند أٍستخدامك لهذه التكنولوجيا توقع أن يستغرق الأمر بعض الوقت لكشف المتطفلين بمعني أنك سترى عدد كبير من الأنذارات الخاطئة ولكن من إيجابيات هذه الأنذارات أنها ستجعلك على دراية بما يحدث في الشبكة وإن لم تكن بالخبرة المطلوبة فإن ذلك سيزيد لديك خبرة تحليل بيانات الشبكات وهذا غير أن هذه المعلومات ستوفر على قسم تكنولوجيا المعلومات الكثير من الوقت والجهد عندما تعلم منذ البداية أن مؤسستك تتعرض لهجوم ما؟!
- النقطة الخامسة: مراقبة البرامج التي يستخدمها الموظفين على الإنترنت
تستطيع أنظمة IPS,IDS أن تساعدك على أكتشاف البرامج التي تتعامل مع الإنترنت مثل برامج التحميل بكافة أنواعها وبرامج المحادثة ومواقع البث المباشر والفيديو والتي يستخدمها الموظفين سواء كانت أنواعها أو إصدارتها وذلك لأن الشركة لا تريد إهدار الباندويدث على أشياء غير مهمة وأيضاً لتأمين وحماية الشبكة فنحن لا نعلم ما الذي يفعله الموظفين عند أستخدامهم للإنترنت ومع قلة وعيهم من الناحية الأمنية فمن المتوقع أن يكونوا أكثر عرضة للأصابة بالفيروسات أو ما شابهها.
- النقطة السادسة: سيكون المسئول أكثر وعياً بفهم نشاط الشبكة
سجلات الـ IPS,IDS بها معلومات تفصيلية عن حركة البيانات بداخل الشبكة بما في ذلك المحاولات والتهديدات التي تواجه الشبكة ولو نجح الإختراق ماذا كان رد فعل أنظمة الحماية ولو فشل ماذا كان رد الفعل أيضاً وكيف تم ذلك, يذكر أن هناك العديد من المؤسسات تستخدم الـ IDS في مراقبة نشاط لشبكة والـ IPS في حمايتها وهي خطة شبة مثالية لمساعدة قسم الـ IT على فهم أنشطة الموظفين العاملين في المؤسسة من خلال مراقبة نوع البيانات التي تدخل وتخرج من الشبكة يومياً وكذلك عمل تقارير لإتخاذ التدابير الأمنية اللازمة لحمايتها وإيجاد أفضل الحلول للمشاكل المتوقع أن تحدث.
- النقطة السابعة: وجود ثقة من العملاء
إذا كانت المؤسسة التي تعمل بها تجارية فأنها بالتأكيد ستتعامل مع عملاء عاديين وهيئات خاصة وحكومية ومجموعات مالية وكل هذا يريد أن تكون بياناته محمية فلا يريد أحد أن يسمع عن خرق أمني وسرقة بياناته أو نشرها على العامة ولذلك عليك أن تضع في إعتبارك أن الحماية مسألة حاسمة في التعامل.
- النقطة الثامنة: توفير المال
يمكن لأنظمة كشف التسلل ومنع الإختراق توفير المال على مؤسستك بالعديد من الطرق فيمكنكم تعين موظف جديد متخصص في تحليل الشبكة في قسم تكنولوجيا المعلومات لتكون مهمته متابعة سجلات الفايروول وأنظمة الـ IPS,IDS لتحديد التحركات المريبة في الشبكة وتبليغ المسئولين عنها وهذه الخطوة ستكون من الخطوات الإستباقية في حماية الشبكة ولكم أن تتخيلوا حجم المال الذي سينفق إذا ما حدث خرق أمني في الشبكة أو إن تم سرقة معلومات شخصية أو فقدت بيانات العملاء وهكذا.
ومع أننا ذكرنا العديد من مميزات لهذه التكنولوجيا إلا أنها لا توفر وحدها الحماية الكافية لمؤسستك على الرغم من انها تستطيع أن توقف البرامج الخبيثة وبرامج التجسس والفيروسات وبعض أنواع هجمات DOS (الحرمان من الخدمة) وكذلك الند للند والتهديدات القادمة عبر بروتوكول VoIP ولكنها مجرد جزء من منظومة الحماية وليست الكل, أما بخصوص حجم البيانات التي تستطيع هذه الأنظمة التعامل معاه؟ فذلك يتختلف على حسب الشركة المنتجة ولكن المعدل يبدأ من 50 ميجابايت وحتى 15 جيجابايت في الثانية الواحدة.
يمكنكم الضغط على الرابط التالي لمعرفة الفرق بين أنظمة IDS , IPS
يذكر أن مبيعات أنظمة IPS,IDS تشكل حوالي 1.6 مليار دولار وذلك وفقاً لبحث شركة إنفونيتكس الأمريكية وهي شركة متخصصة في مجال أبحاث سوق الاتصالات السلكية واللاسلكية وأعتقد أن هذا الرقم يوضح مدى إعتماد الكثير من الشركات والمؤسسات على وجود مثل هذه الأنظمة بداخل شبكاتها.
مقال جميل ومفيد
بارك الله فيك أخي العزيز
متابعين لك دائما ان شاء الله
ما شاء الله ….شكرا على المعلومات و التوضيح ..استفدت كثيرا …شكرا..
بارك الله فيك وفي علمك .
جزاك الله خيرا
جزاك الله خيرا
شكرا على المجهودات واتمنى منكم عرض معلومات وافيه حول بروتوكولات الشبكات بالتفصيل باللغه العربية لفقر المحتوى العربي له . شكرا