سیستمهای جلوگیری از نفوذ (IPS) و تشخیص نفوذ (IDS)
سیستمهای جلوگیری از نفوذ (IPS) و سیستمهای تشخیص نفوذ (IDS) ملاحظات مهمی برای هر هکر باهوشی هستند. برای شما به عنوان یک هکر، مهم است که ردپای خود را بپوشانید و پروفایل پایینی داشته باشید — یا در واقع هیچ پروفایلی نداشته باشید. این باید عقل سلیم باشد، اما این را در نظر بگیرید: اگر به جای پاورچین پاورچین حرکت کردن در یک شبکه، شبکه را با درخواستهای ARP، پینگسوییپها و پورتاسکنها بمباران کنید؛ فکر میکنید تا کجا پیش خواهید رفت؟ دقیقاً! اصلاً زیاد پیش نمیروید.
IPSها و IDSها تجهیزات شبکهای هستند که برای به دام انداختن دقیقاً همان فعالیتهایی که به بهترین نحو در خدمت اهداف ما هستند، نصب شدهاند. کلید کار این است که آهسته قدم بردارید، اما همچنان قدم بردارید. ابتدا بیایید با اصول IPS و IDS آشنا شویم؛ اگر بدانید چیزی چگونه کار میکند، میتوانید یاد بگیرید که چگونه دفاعهای آن را دور بزنید.
سیستم تشخیص نفوذ (IDS)
هدف یک IDS تشخیص هرگونه فعالیت مشکوک در شبکه است. کلمه کلیدی در اینجا تشخیص (Detect) است. یک IDS ذاتاً غیرفعال (Passive) است؛ فعالیت مشکوکِ در حال وقوع را حس میکند و به صورت غیرفعال با ارسال یک اعلان به مدیر سیستم مبنی بر اینکه مشکلی وجود دارد، واکنش نشان میدهد. آن را مانند دزدگیر خانه تصور کنید. در حالی که دزدگیر به شما هشدار میدهد که دزدی حضور دارد، مانع از ورود دزد و دزدیدن وسایل شما نمیشود.
اگرچه چنین دستگاهی غیرفعال است، اما مزیت استفاده از آن، توانایی شناسایی واکنشی فعالیتهای بالقوه مخرب شبکه بدون تأثیر منفی بر عملکرد کل شبکه است. نقطه ضعف آشکار آن این است که تنها پاسخی که چنین دستگاهی ایجاد میکند، یک اعلان است.
سیستم جلوگیری از نفوذ (IPS)
از سوی دیگر، IPSها پیشگیرانه (Proactive) و بازدارنده هستند. یک IPS نهتنها فعالیت بالقوه مخرب را در شبکه حس میکند، بلکه اقداماتی را برای جلوگیری از آسیب بیشتر و خنثی کردن حملات بعدی انجام میدهد.