اللهم صلِّ على سيدنا محمد صلاةً تخرجنا بها من ظلمات الوهم وتُكرمنا بها بنور الفهم
وتُوضح لنا بها ما أشكل علينا حتى نفهم وعلى آله وصحبه وسلم.
مرحبًا بكم في حلقة جديدة من بودكاست شيفرات تقنية، أعتذر عن هذه الانقطاع الطويل. مع التطور الهائل في التكنولوجيا والاعتماد المتزايد على الأنظمة الرقمية، أصبحت حماية الشبكات والمعلومات أولوية قصوى لذلك في حلقة اليوم، سنتحدث عن نظام كشف التسلل ( IDS) ونظام منع التسلل ( IPS ).
وتُوضح لنا بها ما أشكل علينا حتى نفهم وعلى آله وصحبه وسلم.
مرحبًا بكم في حلقة جديدة من بودكاست شيفرات تقنية، أعتذر عن هذه الانقطاع الطويل. مع التطور الهائل في التكنولوجيا والاعتماد المتزايد على الأنظمة الرقمية، أصبحت حماية الشبكات والمعلومات أولوية قصوى لذلك في حلقة اليوم، سنتحدث عن نظام كشف التسلل ( IDS) ونظام منع التسلل ( IPS ).
هو أداة أمنية تهدف إلى مراقبة حركة المرور في الشبكة وتحليلها لاكتشاف أي نشاط غير طبيعي أو تهديد محتمل. لا يقوم هذا النظام باتخاذ إجراء مباشر لمنع التهديد، ولكنه يعمل كـ"عين مراقبة" لتنبيه مسؤولي الأمن عند حدوث مشكلة.
هو أداة أمنية متقدمة تتشابه مع IDS في آلية الكشف، ولكنه يتخذ خطوات فعلية لمنع الهجوم بمجرد اكتشافه. يعمل IPS كدرع لحماية الشبكة من التهديدات.
يراقب الـ IDS / IPS كل حركة المرور (Traffic) على الشبكة لتحديد أي سلوك ضار معروف؛ و تتمثل إحدى الطرق التي سيحاول المهاجم من خلالها اختراق الشبكة عن طريق استغلال ثغرة أمنية داخل جهاز أو داخل برنامج؛ تحدد الـ IDS / IPS محاولات الاستغلال هذه وتحظرها قبل أن تنجح في اختراق أي end point داخل الشبكة.
الـ IPS/ IDS هي تقنيات أمان ضرورية، على حافة الشبكة وداخل مركز البيانات، لأنها تستطيع إيقاف المهاجمين أثناء قيامهم بجمع معلومات حول شبكتك.
تُستخدم منهجيات الـ IDS Detection عادةً لاكتشاف الحوادث:
1) يقارن الاكتشاف القائم على التوقيع (Signature-based detection) التوقيعات مقابل الأحداث المرصودة لتحديد الحوادث المحتملة؛ وهذه هي أبسط طريقة للكشف، لأنها تقارن فقط وحدة النشاط الحالية (مثل حزمة (packet) أو إدخال سجل بقائمة من التواقيع) باستخدام عمليات مقارنة السلاسل(string comparison operations). وفي ما يلي مثال على هذه التوقيعات:
2)الـ Anomaly-based detection يقارن تعريفات ما يعتبر نشاطًا طبيعيًا مع الأحداث المرصودة من أجل تحديد الانحرافات المهمة؛ يمكن أن تكون طريقة الكشف هذه فعالة جدًا في اكتشاف التهديدات غير المعروفة سابقًا.
تراقب أنظمة الكشف عن التطفل (IDS) وأنظمة منع التطفل (IPS) شبكتك باستمرار، وتحديد الحوادث المحتملة وتسجيل المعلومات المتعلقة بها، وإيقاف الحوادث، وإبلاغ مسؤولي الأمن بها. بالإضافة إلى ذلك، تستخدم بعض الشبكات الـIDS / IPS لتحديد المشكلات المتعلقة بسياسات الأمان وردع الأفراد عن انتهاك سياسات الأمان. أصبح الـ IDS / IPS إضافة ضرورية للبنية التحتية الأمنية لمعظم المؤسسات، وذلك على وجه التحديد لأنها تستطيع إيقاف المهاجمين أثناء قيامهم بجمع معلومات حول شبكتك.
نعم، تحتوي جدران الحماية من الجيل التالي Next-Generation Firewalls على وظائف الـ IDS و الـ IPS .ومع ذلك ، ليست كل جدران الحماية هي جدران حماية من الجيل التالي؛ يقوم جدار الحماية بحظر حركة مرور الشبكة وتصفيتها ، بينما الـ IDS و IPS يكشف و ينبه و يحظر محاولة الاستغلال، اعتمادًا على الاعدادات.
يعمل الـ IDS و IPS على حركة المرور بعد أن يقوم جدار الحماية بتصفية حركة المرور، وفقًا للسياسة الاعدادات.
تراقب الـ IPS باستمرار حركة المرور بحثًا عن الثغرات المعروفة لحماية الشبكة؛ ثم يقارن الـ IPS حركة المرور بالتوقيعات الموجودة ( existing signatures) في حالة حدوث تطابق، ستتخذ الـ IPS أحد الإجراءات الثلاثة:
1) اكتشاف حركة المرور وتسجيلها.
2) اكتشاف حركة المرور وحظرها.
3) اكتشاف حركة المرور وتسجيلها وحظرها (الخيار الموصى به)
- (Network-based Intrusion Detection System (NIDS: يتم وضعه لمراقبة الـ Traffic المار من وإلي الشبكة والكشف عن أي نشاط مشبوه.
- Host-based Intrusion Detection System (HIDS): يتم وضعه في أجهزة الكمبيوتر المتصلة بالشبكة (الداخلية)، لمراقبة الـ Traffic الذاهب من وإلى تلك الأجهزة حيث يمكنه أكتشاف الحزم الضارة "Network Packets" المرسلة في الشبكة الداخلية للمؤسسة، بما في الكشف عن أي جهاز مصاب يحاول التطفل علي الأجهزة الأخرى.
- Anomaly-Based Intrusion Detection System (AIDS): يعتمد هذا النوع علي طريقة ونظام معين حيث يتم تحليل الـ Traffic المستمر الخاص بالشبكة ويحلل النمط الخاص بها طبقاً للمعايير المحددة مسبقاً ويقوم بتنبية المسئولين إلى السلوك غير المعتاد الذي يحدث في الـ Traffic، الأجهزة، الـ Ports، والبروتوكولات.
- Signature-Based Intrusion Detection System (SIDS): تعتمد تلك الأنظمة بشكل كبير علي قواعد البيانات التي تحتوي علي مجموعة كبير من التوقيعات "signatures" الخاص بهجمات أو تهديدات سابقة ومعروفة، فتقوم تلك الأنظمة القائمة علي الـ signatures بمراقبة جميع الـ Network Packets والكشف عن أي برمجيات خبية "Malwares" أو تهديدات محتملة من خلال تتطابق الـ signatures مع الأنشطة والبرمجيات الخبيثة التي تحدث.
- Network-based intrusion prevention system (NIPS): يقوم بمراقبة الشبكة بالكامل وتحليل الـ Traffic وكشف المشبوه منه ومنعه.
- Host-based intrusion prevention system (HIPS): يعمل علي مراقبة الـ Traffic الخاص بجهاز معين وتحليله وكشف المشبوه منه ومحاولة التصدي له.
- Network behavior analysis (NBA): يفحص الـ Traffic الخاص بالشبكة لتحديد وكشف التهديدات التي تسبب تدفقات عالية في الشبكة كهجوم حجب الخدمة، وأشكال مختلفة من الـ Malwares وأنتهاكات السياسة.
- Wireless intrusion prevention system (WIPS): يقوم بمراقبة الـ Traffic للشبكة اللاسلكية.
وبهذا نكون قد تحدثنا بشكل بسيط عن نظام كشف التسلل (Intrusion Detection System - IDS) ونظام منع التسلل (Intrusion Prevention System - IPS), أرجو أن يكون هذا مفيدًا لكم.
يإمكانك الإطلاع على الحلقات السابقة عن طريق الروابط التالية. ولا تنسى أن ُتتابع كل ما هو جديد من هذا البودكاست:
1. الذكاء الاصطناعي | Artificial Intelligence
2. الحوسبة السحابية | Cloud Computing
3. أمن المعلومات | Information Security
4. تقنية سلسلة الكتل | Blockchain
5. التوأم الرقمي | Digital Twins
6. التنقيب عن البيانات | Data Mining
7. الحوسبة الطرفية | Edge Computing
8. حوسبة التشفير الكامل | Fully Homomorphic Encryption
9. الواقع الافتراضي (Virtual Reality - VR) والواقع المعزز (Augmented Reality - AR) والواقع المختلط (Mixed Reality - MR)
10. الأنظمة القابلة للتوسع | Scalable Systems
دُمتم بحفظ الله ورعايته
