جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

تفاوت IDS و IPS در چیست؟ مقایسه IPS و IDS

تفاوت سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ در چیست؟ چه تفاوتی بین استفاده از IPS و استفاده از IPS در شبکه وجود دارد؟ شما می توانید سنسور را به یکی از دو روش زیر برای آنالیز ترافیک در شبکه قرار دهید. روش اول استفاده در حالت inline است که در آن ترافیک شبکه باید از سنسور عبور کند که سنسور ترافیک را بررسی و سپس در صورت عدم مشکل آنرا ارسال می کند و به این ترتیب سنسور قادر است جلوی ترافیک مخرب را بگیرد. این روشی است که IPS از آن استفاده می کند. هر زمان که نام IPS را شنیدید بدانید که سنسور در مسیر جریان ترافیک قرار دارد و می تواند جلوی حملات را بگیرد. یک نکته منفی که در رابطه با IPS به خاطر inline بودن وجود دارد این است که اگر سنسور دچار مشکل شود و شما مسیر دیگر برای شبکه نداشته باشید تا زمانی که مشکل برطرف نشود کل شبکه شما دچار مشکل خواهد بود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. ویژگی های IDS
  2. ویژگی های IPS

برحسب نوع پلتفرمی که استفاده می کنید می توان سنسور را در حالت fail open تنظیم کنید که باعث می شود در صورت اینکه سنسور دچار مشکل شود کل ترافیک بدون اینکه بررسی شود شوند عبور داده شوند. همچنین می توانید سنسور را در حالت fail close تنظیم کنید که در این حالت در صورت بروز مشکل برای سنسور هیچ ترافیکی نتواند از دستگاه عبور کند. همچنین در روش inline به خاطر آنالیز ترافیک مقدار کمی تاخیر برای جریان ترافیک به وجود می آید.حال (intrusion detection system (IDS چیست؟

برای درک IDS ، سنسور را در نظر بگیرید اما بجای اینکه دستگاه را به صورت inline در شبکه قرار دهید یک کپی از بسته های در حال عبور از شبکه را به آن ارسال می کنیم که به این حالت promiscuous گفته می شود در این روش نیز سنسور اقدام به آنالیز ترافیک می کند اما چون اصل ترافیک دست سنسور نیست نمی تواند جلوی ترافیک را بگیرد و تنها می تواند پیغام و هشدار تولید کند. به همین خاطر IDS تنها می تواند حملات را تشخیص دهد و نمی تواند جلوی این حملات را بگیرد. به صورت مختصر تفاوت بین IPS که در حالت inline قرار دارد و IDS که در حالت promiscuous قرار دارد این است که در حالت promiscuous کپی ترافیک مورد بررسی قرار می گیرد.

از مزایای IDS می توان به عدم ایجاد تاخیر در ارسال ترافیک اشاره کرد و همچنین اگر برای IDS مشکل بوجود آید بروی عملکرد شبکه تاثیری به وجود نمی آید چون در مسیر ارسال ترافیک قرار ندارد. براساس عملکرد ، IDS نمی تواند اثر حملات را به صورت مستقیم کاهش دهد چون ترافیک اصلی دست آن نیست و نمی تواند مانع ورود ترافیک مخرب به شبکه شود.تصویر زیر نحوی اجرای IDS در برابر IPS را نمایش می دهد.

تفاوت و ویژگی های IPS و IDS


توانایی مقایسه و تشخیص این دو روش برای آزمون و همچنین در دنیای واقعی بسیار مهم است.

ویژگی های IDS

  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار نمی گیرد و کپی ترافیک برای آن ارسال می شود.
  • حالت استقرار : promiscuous
  • تاخیر : چون در مسیر ترافیک اصلی قرار ندارد باعث تاخیر نمی شود.
  • تاثیر روی شبکه در صورت خرابی سنسور : چون اصل ترافیک در دست سنسور نیست مشکلی به وجود نمی آید.
  • توانایی در جلوگیری از ترافیک مخرب : در حالت promiscuous سنسور نمی تواند مانع عبور ترافیک شود چون اصل ترافیک را در اختیار ندارد. امکانی که وجود دارد این است که با کمک یک دستگاه دیگر مانع عبور ترافیک مخرب شود به طور مثال IDS می تواند درخواست بلاک کردن ترافیک را به یک روتر ارسال کند اما تضمینی برای جلوگیری از این حمله وجود ندارد و همینطور حداقل یک بسته از ترافیک مخرب وارد شبکه می شود سپس جلوی جمله گرفته می شود.
  • قابلیت نرمال سازی (Normalization) : چون IDS اصل بسته ها را در اختیار ندارد نمی تواند تغییری روی بسته ها انجام دهد.

ویژگی های IPS

  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار می گیرد و ترافیک از سنسور عبور می کند.
  • حالت استقرار : inline
  • تاخیر : به دلیل اینکه اصل ترافیک را آنالیز می کند با مقدار کمی تاخیر ترافیک را ارسال می کند.
  • تاثیر روی شبکه در صورت خرابی سنسور : اگر سنسور دچار مشکل شود روی جریان ترافیک تاثیر گذاشته و ترافیک نمی تواند از سنسور عبور کند اما می توان سنسور را در حالت fail open تنظیم کرد که تاثیر منفی را کاهش داد.
  • توانایی در جلوگیری از ترافیک مخرب : IPS می تواند جلوی حملات را بگیرد چون اصل بسته ها را در دست دارد و در ابتدا بسته ها را آنالیز می کند و در صورت سالم بودن اقدام به ارسال بسته می کند.
  • قابلیت نرمال سازی (Normalization) : چون IPS اصل بسته ها را در اختیار دارد در نتیجه می تواند بسته ها را تغییر دهد.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات