في تدوينتي لهذا اليوم سوف أتناول موضوع لم يتناوله الوسط العربي بأي شكل من الأشكال وأحببت أن أقدمها لكم كون الموضوع هام وفي صلب الشبكات وهو تدور عن أنظمة الـ IPS وأنطمة الـ IDS ماهي ؟ وماوظيفتها ؟ وماهي أهم الأختلافات بينها وهي تدوينة خاصة بأمن وحماية الشبكات
ماهو الـ IDS ؟
الـ IDS أو intrusion detection system هو عبارة عن نظام حماية تستطيع تشبيه بي مضاد الفيروسات الموجود على جهازك يقوم بتحليل كل الترافيك المار عبر الشبكة من خلال أرسال نسخة من هذا الترافيك إليه وتتركز وظيفته الأساسية على التحليل العملي فقط وذلك أعتمادا على Rules يمكن تحميلها من الأنترنت أو أعداداها يدويا كما سوف نشاهد لاحقا بالأضافة إلى قواعد بيانات تحوي معلومات عن الفيروسات والديدان أستطاعت النفاذ من خلال جدار الحماية الموجود على الشبكة وتعمد إليه عمل النظام على مقارنة الـ Signature الخاص بكل فايروس والتى تكون مخذنة في قاعدة البيانات ولكن مايعيب هذا النظام أنه لايقوم بأي ردة فعل اتجاه هذا الفيروسات فكل مايقوم به هو أرسال تحذير إلى مدير الشبكة بوجود شيء غير طبيعي في الترافيك المار ومن هنا نستطيع ان نستنتج ان كلمة detection لاتعني إلا الكشف وقد يخطر على بالك سؤال صغير ماذا أستفيد من هذه العملية ؟ وبكلام آخر ماذا سوف أستفيد أذا دخل الفيروس إلى الشبكة ؟ الأجابة على هذا السؤال يجب أن نعلم أولا أن هذا النوع من الأنظمة مفيد في عدة حالات
الحالة الأولى كشف الثغرات الموجودة في أنظمة الحماية
الحالة الثانية أرشفة كل أنواع التهديدات التى تحدث للشبكة
الحالة الثالثة تحديد الأخطاء التى وقع فيها مسؤولوا الحماية وتصحيحها
ومايميز هذا النوع أيضا هو أمكانية وضعه بعيدا عن السار الحقيقي للترافيك بحيث لايؤثر على سرعة نقل الداتا وهذه صورة توضيحية
كما تشاهدون السيرفر موجود على منفذ آخر وكل مانقوم به هو أرسال نسخة من هذا الترافيك إليه وبذلك نكون قد ضمنا أن سرعة النقل أو عبور الداتا لن يتأثر أبدا بعمل النظام .
وآخيرا هذا النظام يعد نظاما قديما جدا بدأ مشروع تطويره أول مرة عام 1984 وأعلن عن اول نظام IDS عام 1986 وهو موجود كهاردوير أو سوفت وير وسوف أعود لأتحدث عنها
ماهوالـ IPS ؟
الـ IPS أو Intrusion Prevention Systems وهو نسخة مطورة من النظام السابق فهو يقوم بعملية الكشف Detection أولا وبعدها يقوم بتنفيذ ردة فعل معينة Prevention مثل عمل Drop للباكيت الضارة لذا يتوجب وضعه على ممر الترافيك مباشرة وهذه صورة توضيحية
وكما تلاحظ معي أن النظام هنا هو سوفت وير تم تنصيبه على نظام تشغيل لكي يعمل IPS للترافيك ومايميزه ايضا هو طريقة الأستجابة للترافيك الخطر فهو يستطيع أن يمنعه ويستطيع أيضا أن يقوم بأرسال أعدادات لأجهزة الأمن الموجودة على الشبكة مثل الجدران النارية أو الروترات لكي تقوم هي بأيقافه
وآخيرا لهذه السيرفرات كما ذكرت سابقا برامج سوفت وير واجهزة هاردوير وقد قمت بعملية بحص صغيرة على الأنترنت فوجدت الكثير من البرامج التى تقوم بهذه الوظيفة وأستخلصت لكم برنامج يدعى Snort وهو برنامج مفتوح المصدر يمكن تنصيبه على انطمة مايكروسوفت ولينوكس وطبعا أنا أنصح دائما لمثل هذه الأشياء أنظمة لينوكس فهي مستقرا وتعمل لفترات طويلة ولاتستهلك كثيرا من أمكانيات الجهاز بالأضافة إلى كونها أأمن وطبعا البرنامج مجاني وتستطيع أيضا تحميل Rules جاهزة وهذا رابط البرنامج
أما الهاردوير فهي أيضا كثيرة جدا فهناك أجهزة من سيسكو وأجهزة من 3com وأجهزة من جونيبر والخ….. أتمنى مشاركتكم العملية حول أفضل أنواع هذه الأجهزة ؟
كما يمكنك شراء Module خاص بهذا النظام ووضعه على روترات أو جدران نارية خاصة بسيسكو مثل هذا الـ Module الخاص بي أجهزة 1841 and 2800 3800
هذا مالدي اليوم أتمنى أن تكون التدوينة قد أفادتكم وإلى لقاء ثريب أن شاء الله ودمتم بود