موارد کاربرد:

محصول DIPS مانند بسیاری از محصولات مشابه، دارای دو نوع کاربرد عمومی است که در هر دو مورد برای پایش امنیتی و اعمال سیاست های شناسایی و پیشگیری از حملات قابل پیکربندی می باشد. یکی از کاربردها، حفاظت از دروازه شبکه است و دیگری پایش و شناسایی حملات در شبکه داخلی و DMZ ها که در ادامه توضیح داده می شود.باید توجه داشت که این محصول، به صورت یک باکس مستقل و بدون نیاز به اجزای دیگر می تواند کلیه وظایف مربوطه را انجام دهد.

تجهیز مرکز عملیات امنیت سازمان:

محصول DIPS می تواند به عنوان یکی از موثرترین سنسورهای امنیتی برای مرکز عملیات امنیت سازمان ایفای نقش نماید. این محصول با قابلیت بررسی ترافیک شبکه از لایه دو تا لایه هفت و امکان شناسایی صدها برنامه و پروتکل می تواند کلیه رخدادهای امنیتی قابل شناسایی از ترافیک شبکه را تولید نموده و به مرکز عملیات امنیت ارسال نماید. قابلیت های منحصر به فرد و بهینه شده DIPS برای دسته بندی و تحلیل ترافیک، به آن امکان می دهد که یک نقش کلیدی در تکمیل قابلیت های مرکز عملیات ایفا کند، نقشی که ممکن است به طور کامل از دیگر انواع سنسورهای مرکز عملیات امنیت قابل انتظار نباشد.

تجهیز مرکز داده سازمان:

امروزه بسیاری از سازمان های داخلی دارای مرکز داده اختصاصی هستند. این مراکز به عنوان نقطه تمرکز ذخیره سازی داده ها و ارائه خدمات سازمان می باشند. به همین دلیل امنیت مرکز داده یکی از الویت های اصلی سازمان است. تامین امنیت در مرکز داده به دلیل وجود برنامه ها و سرویس های متنوع و وجود انواع سرورها نیاز به استفاده از تجهیزات پیشرفته دارد و نمی توان به امکانات فایروال ها و آنتی ویروس ها اکتفا نمود. محصول DIPS برای تحلیل کامل ترافیک مرکز داده و شناسایی رخدادهای مشکوک و پیشگیری از حملات به مرکز داده بهترین گزینه برای سازمان می باشد. این محصول را می توان هم در محل ورود ترافیک به مرکز داده و هم در نواحی مختلف داخلی مرکز داده نصب نمود. امکانات شناسایی و تحلیل ترافیک لایه هفت، شناسایی برنامه ها و پروتکل های مختلف منجر به بالا رفتن ضریب امنیت مرکز داده می شود. محصول DIPS را می توان در مرکز داده سازمان به صورت Inline (لایه دو) یا به صورت Sniffer نصب نمود. در نتیجه بدون ایجاد هرگونه تغییری در تنظیمات مسیریابی و توپولوژی مرکز داده می توان از امکانات این محصول استفاده کرد.

محافظت از GATEWAY سازمان:

شبکه سازمان را می توان به نواحی امنیتی مختلفی تقسیم نمود. معمولا ناحیه اینترنتی که دروازه اتصال شبکه سازمان به اینترنت است را پرمخاطره ترین ناحیه می شناسیم. به همین دلیل معمولا تمرکز و توجه سازمان به این نقطه در حد مناسبی است. اما به دلیل تهدیدهای جدیدی که شبکه ها با آن مواجه هستند و تغییر ماهیت و عملکرد بدافزارها، نمی توان صرفا به فایروال یا سیستم های تشخیص نفوذ سنتی در این نقطه اکتفا نمود. علاوه بر این، فایروال ها و UTM ها وظایف گسترده ای دارند که در نتیجه استفاده از همه امکانات پیشگیری از نفوذ آنها، معمولا پیشنهاد نمی شود و فراتر از آن، بسیاری از UTM ها به دلیل همه منظوره بودن، امکانات بسیار پیشرفته یک محصول IPS را ندارند. در مقابل، محصول DIPS در نقطه اتصال شبکه سازمان به اینترنت یا شبکه های بیرونی قابل نصب به صورت In Line بوده و پیشرفته ترین امکانات تشخیص و پیشگیری از نفوذ را در آن نقطه ارائه می دهد. عملکرد محصول به صورت شفاف و بدون نیاز به تغییر تنظیمات مسیریابی شبکه می باشد. نصب DIPS به همراه فایروال یا UTM موجود سازمان، به عنوان یک لایه افزونه دفاعی و بر اساس الگوی دفاع در عمق توصیه می شود.

محافظت از شبکه داخلی و سرورها:

نواحی امنیتی حساس دیگری از جمله DMZ ها و شبکه محلی سازمان هم می توانند گزینه مناسبی برای نصب DIPS باشند. امروزه استفاده از ابزارهایی مانند تبلت، لپ تاپ و تلفن همراه و اتصال آنها به شبکه داخلی به یکی از منابع ورود بدافزار به شبکه تولید شده است و نمی توان به محافظت از Gateway شبکه اکتفا نمود. در واقع سازمان نیاز دارد که همه نقاط حساس شبکه را از نظر امنیتی پایش نماید تا در صورت نقض امنیت در هر نقطه، به موقع از آن مطلع شده و از گسترش آن جلوگیری شود. به طور مثال، محل اتصال سرورها به شبکه و ارتباط میان آنها نیز حساسیت بالایی داشته و نیاز به پایش امنیتی دارد. محصول DIPS را می توان در حالت غیرفعال (شنود) برای شناسایی حملات و پایش ترافیک در این نواحی نصب نمود. نصب DIPS می تواند بدون کوچکترین تغییری در تنظیمات مسیریابی شبکه در این نقاط انجام شود.

محافظت از شعبه ها و شبکه گسترده سازمان:

بسیاری از سازمان های بزرگ از جمله بانک ها، وزارتخانه ها و دانشگاه ها دارای شبکه گسترده اختصاصی و شعبه های متعدد در سطح کشور هستند. پراکندگی جغرافیایی می تواند اولا منجر به دشوار شدن اعمال خط مشی های یکپارچه امنیتی شده و ثانیا شناسایی حملات و آلودگی ها را با تاخیر روبرو کند. در این موارد، می توان از محصول DIPS به عنوان یک سنسور امنیتی برای پایش دائمی ترافیک شعبه ها و تولید رخدادها و گزارش های امنیتی و فراتر از آن، اعمال تنظیمات امنیتی یکپارچه از مرکز سازمان استفاده نمود.

خلاصه امکانات و قابلیت ها:

ویژگی های عمومی:

محصول DIPS یک سخت افزار امنیت شبکه است که دارای امکانات استانداردهای Appliance های امنیتی می باشد. برخی از قابلیت های عمومی DIPS عبارتند از:

• 1- سخت افزار صنعتی در مدل های مختلف
• 2- قابل اتصال به رک
• 3- دارای رابط کاربری LCD برای انجام تنظیمات اولیه و مشاهده وضعیت دستگاه
• 4- دارای رابط کنسول، خط فرمان و نرم افزار ویندوزی امن
• 5- مجهز به هارد دیسک در برخی مدل ها
• 6- میان افزار بومی و بهینه شده با قابلیت به روز رسانی
• 7- میان افزار محکم سازی شده از نظر امنیتی
• 8- پشتیبانی از رابط های شبکه اترنت و فیبر (در برخی مدل ها)
• 9- پشتیبانی از چندین لینک خروجی و توزیع بار روی آنها
• 10- توزیع بار بر اساس الگوریتم های مختلف (Round Robin، Ratio، حجمی و غیره)
• 11- تشخیص قطع شدن لینک بر اساس پروتکل های ICMP، Port Status و TCP
• 12- امکان ثبت قطع شدن لینک و تعیین قواعد خاص برای وضعیت قطعی لینک
• 13- تشخیص Fail Back و برگرداندن خودکار تنظیمات
• 14- قابلیت اندازه گیری کیفیت 10 پروتکل مختلف و اعمال قواعد امنیتی بر اساس آن
• 15- امکان ارسال لاگ ها به لاگ سرور
• 16- امکان مدیریت مجوزهای کاربران راهبر سیستم
• 17- پشتیبانی از استاندارد 802.1 Q و امکان تعریف VLAN

ویژگی های اختصاصی:

قابلیت نصب به صورت فایروال:

این ویژگی به سازمان امکان می دهد که با نصب DIPS در هر نقطه از شبکه به صورت شفاف و بدون نیاز به تغییر تنظیمات مسیریابی فعلی، دسترسی به نواحی مختلف شبکه را محدود کند. عملکرد محصول به صورت Stateful بوده و می تواند نقش فایروال را ایفا نماید. البته قابلیت هایی مانند NAT که صرفا مخصوص فایروال ها هستند در این محصول وجود ندارد.

امکان پیکربندی با رابط گرافیکی:

محصول DIPS با استفاده از یک رابط گرافیکی که به صورت برنامه ای اجرایی در سیستم راهبر نصب می شود قابل پیکربندی می باشد. شکل ظاهری، زیر سیستم ها و گروه بندی امکانات رابط گرافیکی کاملا ساده و بر اساس استانداردهای پذیرفته شده در محصولات معتبر جهانی می باشد. در نتیجه، راهبری سیستم به سهولت و سرعت قابل انجام است.

مقابله با طیف وسیعی از تهدیدات:

ویژگی منحصر به فرد محصول DIPS، فراهم نمودن امکان مقابله با انواع تهدیدات با استفاده از یک راه حل متمرکز است. جلوگیری از دانلود بدافزارها و فایل های مشکوک، جلوگیری از اتصال به وب سایت های آلوده، جلوگیری از اتصال کلاینت های آلوده به مراکز کنترل و فرماندهی (C&C)، جلوگیری از انواع حملات لایه شبکه، مقابله با حملات DoS، پیشگیری از ورود تروجان، شناسایی منشا آلودگی به بدافزار در شبکه داخلی، پیشگیری از گسترش آلودگی و جلوگیری از سوء استفاده از سیستم های آسیب پذیر از جمله قابلیت های DIPS است. به عنوان مثال، شکل بعدی نشان دهنده تنظیمات قابل انجام برای شناسایی Backdoor های احتمالی موجود در شبکه بر اساس ترافیک ارسالی آنها به سرورهای C&C می باشد.

همچنین یکی از نقاط قوت بسیار مهم DIPS، امکان تحلیل روند کلی ترافیک سازمان و ارائه آن به راهبر به صورت نموداری است. سپس راهبر می تواند با بررسی این نمودارها، موارد تغییر غیرعادی در روندهای ترافیک را مشاهده و برای بررسی بیشتر آنها اقدام کند. به عنوان مثال، نسبت بسته های TCP SYN به کل ترافیک، نسبت حجم Payload ها به کل ترافیک، نسبت بسته های ICMP به کل ترافیک و غیره نمونه هایی از این روندها هستند. شکل های بعدی انواع این نمودارها و روندها را نشان می دهند.

انعطاف پذیری در روش های مقابله با تهدیدات:

محصول می تواند انواع روش های مقابله با تهدیدها را بر اساس نیاز سازمان و پیکربندی مورد نظر راهبر سیستم اعمال نماید. این موضوع به راهبر سیستم امکان اعمال انواع خط مشی های امنیتی را بر اساس نیاز سازمان، نوع حمله و مشخصات حمله کننده و سیستم مورد حمله می دهد. از جمله روش هایی که در صورت شناسایی حمله می توان اعمال نمود عبارت اند از:

• - ثبت کلیه مشخصات حمله
• - مسدود سازی آدرس مبدا حمله
• - مسدود سازی آدرس مقصد حمله
• - مسدود سازی پورت و پروتکل مربوطه
• - مسدود سازی URL
• - مسدود سازی یا Shape کردن کل ترافیک یک برنامه
• - قطع نمودن نشست
• - Shape کردن اتصال
• - Shape کردن کل ترافیک آدرس مبدا حمله
• - محدود کردن سرعت و تعداد اتصالات
• - ایجاد تله برای فریب نفوذگر با استفاده از Honeypot و Tarpit

امکان تنظیمات وسیع شناسایی و پیشگیری:

محصول DIPS به صورت پیش فرض طیف وسیعی از برنامه ها و پروتکل ها را می شناسد و متناسب با آنها امضاها و الگوهای حملات و رفتارهای مشکوک را نیز ارائه می دهد. با این حال، راهبر سیستم امکان تعریف انواع امضاها و الگوهای دلخواه را نیز دارد. همچنین می تواند جزئی ترین پارامترهای امضاها و الگوهای موجود را به دلخواه تغییر دهد. در نتیجه محصول به طور وسیعی قابلیت شخصی سازی و انطباق با سیاست های خاص مدنظر راهبر سیستم را دارا است.

در اینجا برای مثال نمونه هایی از تنظیمات جزئی قابل انجام از طریق رابط کاربری محصول ارائه می گردد:

سخت افزار و سیستم عامل ویژه:

سخت افزار محصول DIPS یک سخت افزار صنعتی و مخصوص تولید Appliance های امنیتی می باشد. سیستم عامل یا Firmware مربوطه هم بر اساس ویژگی های مورد نیاز برای سازمان های بزرگ و ترافیک بالا بهینه سازی شده و مبتنی بر هسته محصول موفق DSGate می باشد. امنیت، قابلیت اطمینان، پایداری و کارایی بالا مهم ترین ویژگی های سخت افزار بستر محصول DIPS می باشند.

امکانات لاگ و گزارش گیری:

محصول DIPS دارای ده ها نوع گزارش ها و لاگ های متنی و تصویری و نموداری می باشد که بر اساس نیازهای عملیاتی و مقایسه محصولات معتبر بین المللی طراحی شده است. راهبر سیستم می تواند دید بسیار مناسبی از وضعیت ترافیک و عملکرد کاربران با استفاده از این گزارش ها به دست آورد. به طور کلی در سیستم DIPS چهار نوع اطلاعات وجود دارد:

الف: لاگ ها

ب: چارت ها

ج: گزارش ها

د: داشبوردها

راهبر سیستم در هر یک از بخش های فوق می تواند مقداری از اطلاعات وضعیت ترافیک را با میزان جزئیات مشخص، مشاهده نماید. به عنوان مثال، در بخش لاگ ها، جزئیات دقیق حمله شناسایی شده قابل مشاهده است و در بخش چارت ها، نمودارهای مختلف مربوط به حمله ها نمایش داده می شود. در ادامه، جزئیات اطلاعات هر بخش توضیح داده می شود:

لاگ ها:

در این بخش جزئیات حملات شناسایی شده یا جلوگیری شده نمایش داده می شوند، از جمله:

• - تاریخ، ساعت، دقیقه و ثانیه حمله
• - نام حمله
• - آدرس مبدا و مقصد حمله
• - پورت مبدا و پورت مقصد
• - کشور مبدا و مقصد حمله بر اساس آدرس IP
• - پروتکل استفاده شده در حمله
• - واکنش انجام شده به حمله
• - سایز ترافیک (بایت)
• - تعداد بسته ها
• - سنسور ارسال کننده لاگ

چارت ها:

در این بخش نمودارهای مختلفی ارائه می شود. این نمودارها به دو صورت ارائه می شوند.

1- نمودارهای مبتنی بر تاریخچه شامل موارد زیر:

• 1- Top Attacks
• 2- Top Attacked Ports
• 3- Top Attacked Country
• 4- Top Attackers Country
• 5- Top Actions
• 6- Top Attackers IP
• 7- Top Attacked IP

2- نمودارهای real time شامل موارد زیر:

• 1- Traffic Rate (Byte/Sec or Packet/Sec)
• 2- Session/User Rate/Count

مدل های مختلف DIPS:

محصول DIPS در مدل های متفاوتی تولید و عرضه می شود. هر یک از این مدل ها دارای ویژگی های سخت افزاری و ظرفیت های نرم افزاری متفاوتی هستند، که بر اساس نیازهای سازمان از جمله سایز شبکه، مقدار پهنای باند، امکانات مورد نیاز و غیره می توان مدل مناسبی را انتخاب نمود.

گواهینامه ها: