سیستم تشخیص و پیشگیری از نفوذ (DIPS)

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

DIPS (Douran Intrusion Prevention System)

در یک نگاه: امروزه استفاده از فایروال و آنتی ویروس برای مقابله با تهدیدهای سایبری کافی نیست. ماهیت تهدیدها روز به روز در حال پیچیده شدن است و روش‌های حمله و سوء استفاده از آسیب پذیری ها دائما در حال تغییر است. تهدیدهای نوظهور، بات نت‌ها، ابزارهای جاسوسی و حملات هدفمند همه سازمان‌ها و کاربران را با خطر مواجه کرده‌اند. به تناسب این موضوع، سازمان‌ها به ابزارهای پیشرفته و روش های هوشمندانه‌تری برای شناسایی و پیشگیری نیاز دارند.

نسل جدید سیستم تشخیص و پیشگیری از نفوذ پاسخی به این نیاز روزافزون سازمان‌ها است. این سیستم با استفاده از روش‌های هوشمند، ترافیک شبکه را تحلیل کرده و از ورود محتوای مشکوک یا آلوده به داخل شبکه پیشگیری می‌کند. علاوه بر این، رفتارهای غیرعادی و برنامه‌های ناشناس یا ناخواسته را شناسایی و از گسترش آنها جلوگیری می‌کند. این سیستم، برخلاف روش سنتی تشخیص نفوذ، صرفا مبتنی بر امضای حملات عمل نمی‌نماید. بلکه از مجموعه‌ای از تکنیکهای رفتاری برای طبقه بندی ترافیک و شناسایی رفتارهای خطرآفرین برنامه‌ها استفاده می‌کند. علاوه بر این، به دلیل گسترش استفاده از تلفن همراه، تبلت و لپ تاپ، تهدیدها از راه‌هایی به جز اتصال اینترنت سازمان هم وارد شبکه داخلی می‌شوند. در این مورد، سیستم تشخیص نفوذ با بررسی رفتار نودها و برنامه‌ها، منشا آلودگی را تشخیص داده و از گسترش آن پیشگیری می‌کند.

سازمان‌ها می‌توانند با نصب این محصول در هر نقطه‌ای از شبکه، چه بصورت فعال و چه غیرفعال، از لایه دو تا لایه هفت و کلیه تهدیدهای مربوط به شبکه، چه به صورت فعال و چه غیرفعال، از لایه دو تا لایه هفت و کلیه تهدیدهای مربوط به شبکه، سیستم عامل و برنامه‌ها را پوشش داده و مخاطرات را مدیریت نموده و از گسترش تهدید به سایر نقاط شبکه جلوگیری نمایند.

گروه داده پردازان دوران با توجه به نیاز سازمان‌های مختلف و بر مبنای تجربه موفق محصول مدیریت یکپارچه تهدیدات خود با نام DSGate به تولید و ارائه محصول تشخیص و پیشگیری از نفوذ DIPS (Douran IPS) اقدام نموده است که در ادامه معرفی می‌گردد. این محصول بصورت کاملا بومی و مبتنی بر بیش از ده سال تجربه در بومی‌سازی محصولات امنیتی طراحی و پیاده‌سازی شده است. موتور این محصول از نظر کلیه قابلیت‌های بنیادی از جمله طبقه‌بندی ترافیک، شناسایی و پیشگیری، متفاوت با محصولات متن باز می‌باشد. اصولا محصولات متن باز بر اساس تست‌های انجام شده توسط شرکت، امکان استفاده در کلاس کسب و کارهای بزرگ را ندارند. گروه دوران کلیه مراحل طراحی، پیاده‌سازی و تست محصول را به صورت بومی و مبتنی بر چارچوب محصولات امنیتی بومی خود اجرا نموده است.


ویژگی‌های کلیدی:

محصول DIPS دارای چند قابلیت کلیدی است که آن را نسبت به راه‌حل‌های قدیمی با نرم‌افزارهای متن باز متمایز ساخته و به محصولی قابل رقابت با رقبای خارجی نموده است، از جمله:

  • طراحی و پیاده‌سازی موتور محصول به صورت بومی و بدون استفاده از محصولات متن باز
  • نصب و راه‌اندازی آسان، سریع و راهبری ساده
  • قابلیت پردازش ترافیک در پهنای باندهای چند گیگابایتی
  • استفاده از چارچوب و هسته DSGate به عنوان یک محصول بومی شناخته شده
  • امکان راه‌اندازی بلافاصله پس از نصب با حداقل تنظیمات مورد نیاز
  • روش‌های محافظتی بسیار پیشرفته از لایه دو تا لایه هفت
  • دفاع در برابر پیشرفته‌ترین حملات بر اساس تحلیل پروتکل، برنامه، امضا و رفتار
  • امکان شناسایی آنومالی در سطح برنامه، پروتکل و کل ترافیک
  • ارائه انواع گزارش‌ها، نمودارها و داشبوردهای امنیتی
  • عملکرد بصورت سنسور غیرفعال یا فعال
  • امکان اعمال سیاست‌های متنوع امنیتی در صورت شناسایی حمله یا رفتار مشکوک
  • امکان تغییر در همه جزئیات قواعد و امضاهای حملات توسط راهبر
  • نصب، راه‌اندازی و پشتیبانی و بروزرسانی داخلی بدون وابستگی به خارج از کشور

مزایای DIPS:

محصول DIPS یک سخت‌افزار بومی امنیت شبکه با قابلیت تشخیص و پیشگیری از نفوذ است که قابل استفاده در انواع شبکه‌های کوچک، متوسط و بزرگ می‌باشد. این محصول قابل نصب در حالت‌های مختلف بوده و در هر حالت می‌تواند مجموعه تهدیدها و آسیب پذیری‌ها در لایه‌های مختلف شبکه را شناسایی و پیشگیری کند. DIPS به عنوان یک لایه افزونه دفاعی در کنار فناوری‌های دیگر از جمله فایروال، آنتی‌ویروس و غیره قرار می‌گیرد، با این تفاوت که قابلیت‌های شناسایی و پیشگیری آن بسیار قوی‌تر و عمیق‌تر از فناوری‌های امنیتی مذکور است.

این محصول بصورت بومی طراحی شده و موتور شناسایی و پیشگیری از نفوذ آن که قلب محصول IPS می باشد، بدون استفاده از نرم‌افزارهای متن باز و آماده، پیاده‌سازی شده است. تجربه عملیاتی گروه داده پردازان دوران در زمینه توسعه انواع محصولات امنیت شبکه و نصب آنها در شبکه‌های بزرگ کشور، دانش لازم برای تولید این محصول بدون استفاده از نرم‌افزارهای متن باز را ایجاد نموده است. یکی از مشکلات استفاده از محصولات امنیتی خارجی، وابستگی سازمان به آپدیت‌های آنها است که خود یک نقطه ضعف بزرگ برای بسیاری از سازمان‌ها محسوب می‌شود. در مقابل، محصول DIPS هیچگونه وابستگی به خارج از کشور ایجاد نمی‌کند. کلیه امضاهای حملات، بروز‌رسانی میان‌افزار و ... توسط گروه داده پردازان دوران بر اساس خدمات پشتیبانی محصول، ارائه می‌شود. امضاها و اطلاعات حملات و بدافزارهای جدید با استفاده از منابع معتبر رایگان و غیر‌رایگان در دسترس، جمع‌آوری و پس از توسعه در داخل شرکت، به صورت اتوماتیک برای کلیه محصولات DIPS مشتریان اعمال می‌گردد.

کارایی این محصول با آزمایش حجم‌های بسیار بالای ترافیک واقعی و با نصب در شبکه‌های بزرگ داخلی آزمایش و اثبات شده است. حجم بهینه‌سازی‌های انجام شده در توسعه محصول، شامل هسته سیستم‌عامل، ماژول‌های نرم‌افزاری تشخیص و پیشگیری و رابط‌های کاربری، باعث شده که محصولات متن باز شناخته شده از نظر کارایی و امکان استفاده در سطح سازمان‌های بزرگ، قابل مقایسه با DIPS نباشند.

این محصول قابلیت شناسایی ترافیک صدها برنامه کاربردی و پروتکل را دارا است. با توجه به گسترش کاربردها و برنامه‌های تحت شبکه و اینترنت، سازمان‌ها به طور روزافزون در معرض تهدیدهای جدید قرار دارند. بدافزارهای تحت شبکه و اینترنت، سازمان‌ها بطور روزافزون در معرض تهدیدهای جدید قرار دارند. بدافزارهای مورد استفاده در این تهدیدها گاه مدت بسیار زیادی به صورت مخفی درون شبکه سازمان باقی می‌مانند. محصول DIPS بسیاری از رفتارهای مشکوک و محتواهای غیرعادی مورد استفاده توسط بدافزارها را می‌شناسد و می‌تواند در صورت آلودگی شبکه از راه‌هایی مانند حافظه‌های جانبی و تبلت‌ها، هشدارهای لازم را تولید کند.

این محصول در زمینه تنظیمات و مدیریت پیکربندی در سطح بسیار پیشرفته‌ای قرار دارد. از طرفی، تنظیمات پیش‌فرض محصول به گونه‌ای است که حداقل پیکربندی برای راه‌اندازی اولیه محصول مورد نیاز است. از طرف دیگر، بخش های مختلف محصول با بیشترین جزئیات ممکن، قابل پیکربندی بوده و راهبر شبکه می‌تواند همه پارامترها و گزینه‌ها را مطابق نیاز و به دلخواه تغییر دهد.

عملکرد محصول بصورت DPI بوده و در نتیجه می‌تواند تهدیدهای لایه کاربرد را شناسایی و از آنها پیشگیری کند. موتور تشخیص DIPS دارای هزاران امضاء حملات شناخته شده مربوط به لایه‌های مختلف شبکه بوده و امکان دریافت امضاهای جدید را داراست. به‌علاوه، کاربر می‌تواند امضاهای دلخواه را تعریف و در دیتابیس محصول ذخیره کند. شکل ظاهری امضای حملات کاملا ساده و قابل فهم برای راهبر سیستم است. راهبر سیستم علاوه بر امضاها، می‌تواند پارامترها و ویژگی‌های متنوعی مربوط به پروتکل، نشست، برنامه و جریان داده را به دلخواه تنظیم نموده و حملات مربوط به این پارامترها را شناسایی نماید.

برتری‌های DIPS نسبت به نرم‌افزارهای متن‌باز:

متن‌بازها قابل استفاده به صورت یک محصول تجاری قابل اتکا نیستند:

یک سازمان نمی‌تواند بدون توجه به همه جنبه‌های تجاری، اقدام به استفاده از محصولات شبکه و امنیت نماید. با فرض اینکه قابلیت‌های نرم‌افزارهای متن‌باز از جمله Snort، متناسب با نیازهای واقعی سازمان باشد (که اینگونه نیست)، اما این نرم‌افزارها را نمی‌توان به عنوان یک محصول قابل اتکا به شمار آورد. زیرا این محصولات نیاز به توسعه دارند، رابط کاربری آنها ضعیف است و اساسا سخت‌افزاری و مبتنی بر Appliance نیستند. برای استفاده از متن‌بازها باید دانش کار سیستمی با لینوکس داشته باشید و در حالیکه یک محصول تجاری مناسب نباید وابسته به دانش سیستمی راهبر مربوطه باشد. نداشتن خدمات پشتیبانی و اشکال‌زدایی از دیگر مشکلات نرم‌افزارهای متن‌باز است.

2- کارایی پایین نرم‌افزارهای متن‌باز:

تست‌های مستند ما در آزمایشگاه شرکت و نیز تست‌های معتبر بین‌المللی نشان دهنده پایین بودن کارایی Snort نسبت به نیازهای بزرگ سازمان است. مثلا گذردهی Snort در حالت عادی و نه در صورت فعال بودن همه امکانات، کمتر از 200 مگابیت بر ثانیه است که به هیچ وجه با ابعاد شبکه سازمان‌های امروزی همخوانی ندارد. نصب DIPS در سازمان‌های بزرگ نشان داده است که گذردهی آن قابل مقایسه با Snort نیست.

3- عدم تناسب معماری متن‌بازها با نیازهای سازمان های بزرگ:

مطالعه اسناد و کدهای منبع Snort نشان می‌دهد که این نرم‌افزار از ابتدا برای استفاده در سازمان‌های بزرگ طراحی نشده و ویژگی‌های ترافیک معمول امروزی را پوشش نمی‌دهد. به عنوان مثال، طراحی ماژول‌های داخلی Snort مطلقا بهینه نبوده و منجر به هدر رفتن حافظه و پردازنده می‌شود. همچنین اکثر قریب به اتفاق وظایف Snort در لایه کاربر، که در هسته سیستم‌عامل انجام می‌شود که خلاف اصول پیاده‌سازی کارا است. علاوه بر این، الگوریتم‌های بازسازی ترافیک لایه هفت و DPI نرم‌افزار Snort به شدت غیربهینه است. علاوه بر این، پیاده‌سازی اصلی Snort مبتنی بر شناسایی است و پیشگیری در آن به صورت اولیه تعبیه نشده است. به همین دلیل برای تبدیل آن به IPS نیاز به افزونه‌های نرم‌افزاری وجود دارد.

4- عدم پیاده‌سازی مناسب الگوریتم‌های داخلی در متن بازها:

بسیاری از الگوریتم‌های Snort که برای عملکرد IPS لازم هستند، بصورت بهینه پیاده‌سازی نشده‌اند. در نتیجه هم باعث افت کارایی شده و هم در پیکربندی‌ها، کاربر را با محدودیت مواجه می‌کنند. در حالی که این محدودیت‌ها در استانداردهای امروزی IPS ها قابل توجیه نمی‌باشد.

5- فقدان امکانات گزارش، داشبورد و ... در متن‌بازها:

یکی از چالش‌های استفاده مفید از محصولات IPS آن است که حجم بسیار وسیعی از قواعد و تنوع حملات منجر به ثبت لاگ‌های بسیار زیاد شده و عملا تحلیل لاگ‌ها را بخصوص در شبکه‌های متوسط و بزرگ غیرممکن می‌کند. یک نقطه قوت IPS های برتر دنیا نسبت به محصولات رایگان موجود، ارائه انواع گزارش‌ها، نمودارها و داشبوردهای تحلیلی، آماری و real time است که منجر به قابل استفاده شدن لاگ‌های IPS برای راهبر سیستم می‌شود.

محصول DIPS با توجه به نکته فوق، مجهز به ده‌ها نوع گزارش داشبورد و نمودار با پارامترهای مختلف است که وضعیت شبکه و حملات را بر اساس طیف وسیعی از ابعاد و پارامترها نمایش می‌دهد.

کلیه ضعف‌های برشمرده در بالا، در طراحی و پیاده سازی DIPS پوشش داده شده است و به همین دلیل، محصول DIPS در تست‌های انجام شده، کارایی و دیگر ویزگی‌های متناسب با سازمان‌های بزرگ را به خوبی نشان می‌دهد. بومی بودن محصول DIPS بر اساس شواهد و مدارک معتبر، قابل اثبات بوده و مراحل ثبت آن به عنوان محصول بومی انجام شده است. به منظور مشاهده ساختار کاملا متفاوت قواعد در DIPS نسبت به Snort و دیگر نرم‌افزارهای رایگان، در تصویر زیر قابل مشاهده است.

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 1 - ساختار متنی قواعد DIPS

موارد کاربرد:

محصول DIPS مانند بسیاری از محصولات مشابه، دارای دو نوع کاربرد عمومی است که در هر دو مورد برای پایش امنیتی و اعمال سیاست‌های شناسایی و پیشگیری از حملات قابل پیکربندی می‌باشد. یکی از کاربردها، حفاظت از دروازه شبکه است و دیگری پایش و شناسایی حملات در شبکه داخلی و DMZ ها که در ادامه توضیح داده می‌شود. باید توجه داشت که این محصول، به صورت یک باکس مستقل و بدون نیاز به اجزای دیگر می‌تواند کلیه وظایف مربوطه را انجام دهد.

تجهیز مرکز عملیات امنیت سازمان:

محصول DIPS می‌تواند به عنوان یکی از موثرترین سنسورهای امنیتی برای مرکز عملیات امنیت سازمان ایفای نقش نماید. این محصول با قابلیت بررسی ترافیک شبکه از لایه دو تا لایه هفت و امکان شناسایی صدها برنامه و پروتکل می‌تواند کلیه رخدادهای امنیتی قابل شناسایی از ترافیک شبکه را تولید نموده و به صدها برنامه و پروتکل می‌تواند کلیه رخدادهای امنیتی قابل شناسایی از ترافیک شبکه را تولید نموده و به مرکز عملیات امنیت ارسال نماید. قابلیت‌های منحصر به فرد و بهینه شده DIPS برای دسته‌بندی و تحلیل ترافیک، به آن امکان می‌دهد که یک نقش کلیدی در تکمیل قابلیت‌های مرکز عملیات ایفا کند، نقشی که ممکن است بطور کامل از دیگر انواع سنسورهای مرکز عملیات امنیت قابل انتظار نباشد.

تجهیز مرکز داده سازمان:

امروزه بسیاری از سازمان‌های داخلی دارای مرکز داده اختصاصی هستند. این مراکز به عنوان نقطه تمرکز ذخیره‌سازی داده‌ها و ارائه خدمات سازمان می‌باشند. به همین دلیل امنیت مرکز داده یکی از الویت‌های اصلی سازمان است. تامین امنیت در مرکز داده به دلیل وجود برنامه‌ها و سرویس‌های متنوع و وجود انواع سرورها نیاز به استفاده از تجهیزات پیشرفته دارد و نمی‌توان به امکانات فایروال‌ها و آنتی‌ویروس‌ها اکتفا نمود. محصول DIPS برای تحلیل کامل ترافیک مرکز داده و شناسایی رخدادهای مشکوک و پیشگیری از حملات به مرکز داده بهترین گزینه برای سازمان می‌باشد. این محصول را می‌توان هم در محل ورود ترافیک به مرکز داده و هم در نواحی مختلف داخلی مرکز داده نصب نمود. امکانات شناسایی و تحلیل ترافیک لایه هفت، شناسایی برنامه‌ها و پروتکل‌های مختلف منجر به بالا رفتن ضریب امنیت مرکز داده می‌شود. محصول DIPS را می‌توان در مرکز داده سازمان بصورت Inline (لایه دو) یا بصورت Sniffer نصب نمود. در نتیجه بدون ایجاد هرگونه تغییری در تنظیمات مسیریابی و توپولوژی مرکز داده می‌توان از امکانات این محصول استفاده کرد.

محافظت از GATEWAY سازمان:

شبکه سازمان را می‌توان به نواحی امنیتی مختلفی تقسیم نمود. معمولا ناحیه اینترنتی که دروازه اتصال شبکه سازمان به اینترنت است را پرمخاطره‌ترین ناحیه می‌شناسیم. به همین دلیل معمولا تمرکز و توجه سازمان به این نقطه در حد مناسبی است. اما به دلیل تهدیدهای جدیدی که شبکه‌ها با آن مواجه هستند و تغییر ماهیت و عملکرد بدافزارها، نمی‌توان صرفا به فایروال یا سیستم‌های تشخیص نفوذ سنتی در این نقطه اکتفا نمود. علاوه بر این، فایروال‌ها و UTM ها وظایف گسترده‌ای دارند که در نتیجه استفاده از همه امکانات، پیشگیری از نفوذ آنها، معمولا پیشنهاد نمی‌شود و فراتر از آن، بسیاری از UTM ها به دلیل همه منظوره بودن، امکانات بسیار پیشرفته یک محصول IPS را ندارند. در مقابل، محصول DIPS در نقطه اتصال شبکه سازمان به اینترنت یا شبکه‌های بیرونی قابل نصب بصورت Inline بوده و پیشرفته‌ترین امکانات تشخیص و پیشگیری از نفوذ را در آن نقطه ارائه می‌دهد. عملکرد محصول بصورت شفاف و بدون نیاز به تغییر تنظیمات مسیریابی شبکه می‌باشد. نصب DIPS به همراه فایروال یا UTM موجود سازمان، به عنوان یک لایه افزونه دفاعی و بر اساس الگوی دفاع در عمق توصیه می‌شود.

محافظت از شبکه داخلی و سرورها:

نواحی امنیتی حساس دیگری از جمله DMZ ها و شبکه محلی سازمان هم می‌توانند گزینه مناسبی برای نصب DIPS باشند. امروزه استفاده از ابزارهایی مانند تبلت، لپ‌تاپ و تلفن‌همراه و اتصال آنها به شبکه داخلی به کی از منابع ورود بدافزار به شبکه تولید شده است و نمی‌توان به محافظت از Gateway شبکه اکتفا نمود. در واقع سازمان نیاز دارد که همه نقاط حساس شبکه را از نظر امنیتی پایش نماید تا در صورت نقاط امنیت در هر نقطه، بموقع از آن مطلع شده و از گسترش آن جلوگیری شود. بطور مثال، محل اتصال سرورها به شبکه و ارتباط میان آنها نیز حساسیت بالایی داشته و نیاز به پایش امنیتی دارد. محصول DIPS را می‌توان در حالت غیرفعال (شنود) برای شناسایی حملات و پایش ترافیک در این نواحی نصب نمود. نصب DIPS می‌تواند بدون کوچکترین تغییری در تنظیمات مسیریابی شبکه در این نقاط انجام شود.

محافظت از شعبه‌ها و شبکه گسترده سازمان:

بسیاری از سازمان‌های بزرگ از جمله بانک‌ها، وزارتخانه‌ها و دانشگاه‌ها دارای شبکه گسترده اختصاصی و شعبه‌های متعدد در سطح کشور هستند. پراکندگی جرافیایی می‌تواند اولا منجر به دشوار شدن اعمال خط مشی‌های یکپارچه امنیتی شده و ثانیا شناسایی حملات و آلودگی‌ها را با تاخیر روبرو کند. در این مورد، می‌توان از محصول DIPS به عنوان یک سنسور امنیتی برای پایش دائمی ترافیک شعبه‌ها و تولید رخدادها و گزارش‌های امنیتی و فراتر از آن، اعمال تنظیمات امنیتی یکپارچه از مرکز سازمان استفاده نمود.

خلاصه امکانات و قابلیت‌ها:

ویژگی‌های عمومی:

محصول DIPS یک سخت‌افزار امنیت شبکه است که دارای امکانات استانداردهای Appliance های امنیتی می‌باشد. برخی از قابلیت‌های عمومی DIPS عبارت‌اند از:

  • سخت‌افزار صنعتی در مدل‌های مختلف
  • قابل اتصال به رک
  • دارای رابط کاربری LCD برای انجام تنظیمات اولیه و مشاهده وضعیت دستگاه
  • دارای رابط کنسول، خط فرمان و نرم‌افزار ویندوزی امن
  • مجهز به هارد‌دیسک در برخی مدل‌ها
  • میان‌افزار بومی و بهینه شده با قابلیت بروز رسانی
  • میان افزار محکم سازی شده از نظر امنیتی
  • پشتیبانی از رابط‌های شبکه اترنت و فیبر (در برخی مدل‌ها)
  • پشتیبانی از چندین لینک خروجی و توزیع بار بر روی آنها
  • توزیع بار بر اساس الگوریتم‌های مختلف (Ratio, Round Robin, حجمی و ...)
  • تشخیص قطع شدن لینک بر اساس پروتکل‌های Port Status، ICMP، TCP
  • امکان ثبت قطع شدن لینک و تعیین قواعد خاص برای وضعیت قطعی لینک
  • تشخیص Fail Back و برگرداندن خودکار تنظیمات
  • قابلیت اندازه‌گیری کیفیت 10 پروتکل مختلف و اعمال قواعد امنیتی بر اساس آن
  • امکان ارسال لاگ‌ها به لاگ سرور
  • امکان مدیریت مجوزهای کاربران راهبر سیستم
  • پشتیبانی از استاندارد Q802.1 و امکان تعریف VLAN

ویژگی‌های اختصاصی:

قابلیت نصب بصورت فایروال:

این ویژگی به سازمان امکان می‌دهد که با نصب DIPS در هر نقطه از شبکه بصورت شفاف و بدون نیاز به تغییر تنظیمات مسیریابی فعلی، دسترسی به نواحی مختلف شبکه را محدود کند. عملکرد محصول بصورت Statefull بوده و می‌تواند نقش فایروال را ایفا نماید. البته قابلیت‌هایی مانند NAT که صرفا مخصوص فایروال‌ها هستند، در این محصول وجود ندارند.

امکان پیکربندی با رابط گرافیکی:

محصول DIPS با استفاده از یک رابط گرافیکی که بصورت برنامه‌ای اجرایی در سیستم راهبر نصب می شود قابل پیکربندی می‌باشد. شکل ظاهری، زیر‌سیستم‌ها و گروه‌بندی امکانات رابط گرافیکی کاملا ساده و بر اساس استانداردهای پذیرفته شده در محصولات معتبر جهانی می‌باشد. در نتیجه، راهبری سیستم به سهولت و سرعت قابل انجام است.

مقابله با طیف وسیعی از تهدیدات:

ویژگی منحصر به فرد محصول DIPS، فراهم نمودن امکان مقابله با انواع تهدیدات با استفاده از یک راه‌حل متمرکز است. جلوگیری از دانلود بدافزارها و فایل‌های مشکوک، جلوگیری از اتصال به وب‌سایت‌های آلوده، جلوگیری از اتصال کلاینت‌های آلوده به مراکز کنترل و فرماندهی (C&C)، جلوگیری از انواع حملات لایه شبکه، مقابله با حملات Dos، پیشگیری از ورود تروجان، شناسایی منشا آلودگی به بدافزار در شبکه داخلی، پیشگیری از گسترش آلودگی و جلوگیری از سوء‌استفاده از سیستم‌های آسیب‌پذیر از جمله قابلیت‌های DIPS است. به عنوان مثال، شکل بعدی نشان دهنده تنظیمات قابل انجام برای شناسایی Backdoor های احتمالی موجود در شبکه بر اساس ترافیک ارسالی آنها به سرورهای C&C می‌باشد.

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 2 - شناسایی ترافیک مشکوک به Backdoor در شبکه داخلی

همچنین یکی از نقاط قوت بسیار مهم DIPS، امکان تحلیل روند کلی ترافیک سازمان و ارائه آن به راهبر بصورت نموداری است. سپس راهبر می‌تواند با بررسی این نمودارها، موارد تغییر غیرعادی در روندهای ترافیک را مشاهده و برای بررسی بیشتر آنها اقدام کند. به عنوان مثال، نسبت بسته‌های TCP SYN به کل ترافیک، نسبت حجم Payload ها به کل ترافیک، نسبت بسته‌های ICMP به کل ترافیک و ... نمونه‌هایی از این روندها هستند. شکل‌های بعدی انواع این نمودارها و روندها را نشان می‌دهند.

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 3 - روند تعداد جلسات، سرعت افزایش جلسات و تعداد جلسات برای هر کاربر

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 4 - روند نسبت تعداد پروتکل‌ها در کل ترافیک

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 5 - روند نسبت اعمال سیاست‌های مختلف در کل ترافیک

انعطاف‌پذیری در روش‌های مقابله با تهدیدات:

محصول می‌تواند انواع روش‌های مقابله با تهدیدها را بر اساس نیاز سازمان و پیکربندی مورد نظر راهبر سیستم اعمال نماید. این موضوع به راهبر سیستم امکان اعمال انواع خط مشی‌های امنیتی را بر اساس نیاز سازمان، نوع حمله و مشخصات حمله کننده و سیستم مورد حمله می‌دهد. از جمله روش‌هایی که در صورت شناسایی حمله می‌توان اعمال نمود عبارت‌اند از:

  • ثبت کلیه مشخصات حمله
  • مسدود‌سازی آدرس مبدا حمله
  • مسدود‌سازی آدرس مقصد حمله
  • مسدود‌سازی پورت و پروتکل مربوطه
  • مسدود‌سازی URL
  • مسدود‌سازی یا Shape کردن کل ترافیک یک برنامه
  • قطع نمودن نشست
  • Shape کردن اتصال
  • Shape کردن کل ترافیک آدرس مبدا حمله
  • محدود کردن سرعت و تعداد اتصالات
  • ایجاد تله برای فریب نفوذگر با استفاده از Honeypot و Tarpit

امکان تنظیمات وسیع شناسایی و پیشگیری:

محصول DIPS بصورت پیش‌فرض طیف وسیعی از برنامه‌ها و پروتکل‌ها را می‌شناسد و متناسب با آنها امضاها و الگوهای حملات و رفتارهای مشکوک را نیز ارائه می‌دهد. با این حال، راهبر سیستم امکان تعریف انواع امضاها و الگوهای دلخواه را نیز دارد. همچنین می‌تواند جزئی‌ترین پارامترهای امضاها و الگوهای موجود را به دلخواه تغییر دهد. در نتیجه محصول بطور وسیعی قابلیت شخصی سازی و انطباق با سیاست‌های خاص مدنظر راهبر سیستم را دارا است.

در اینجا برای مثال نمونه هایی از تنظیمات جزئی قابل انجام از طریق رابط کاربری محصول ارائه می گردد:

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 6 - تعریف قاعده جدید

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 7 - پارامترهای قابل تنظیم برای پروتکل HTTP

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 8 - مشاهده همه قواعد تعریف شده

سخت‌افزار و سیستم‌عامل ویژه:

سخت‌افزار محصول DIPS یک سخت‌افزار صنعتی و مخصوص تولید Appliance های امنیتی می‌باشد. سیستم عامل یا Firmware مربوطه هم بر اساس ویژگی‌های مورد نیاز برای سازمان‌های بزرگ و ترافیک بالا بهینه‌سازی شده و مبتنی بر هسته محصول موفق DSGate می‌باشد. امنیت، قابلیت اطمینان، پایداری و کارایی بالا مهم‌ترین ویژگی‌های سخت‌افزار بستر محصول DIPS می‌باشند.

امکانات لاگ و گزارش‌گیری:

محصول DIPS دارای ده‌ها نوع گزارش و لاگ‌های متنی و تصویری و نموداری می‌باشد که بر اساس نیازهای عملیاتی و مقایسه محصولات معتبر بین‌المللی طراحی شده است. راهبر سیستم می‌تواند دید بسیار مناسبی از وضعیت ترافیک و عملکرد کاربران با استفاده از این گزارش‌ها بدست آورد. بطور کلی در سیستم DIPS چهار نوع اطلاعات وجود دارد:

  • لاگ‌ها
  • چارت‌ها
  • گزارش‌ها
  • داشبوردها

راهبر سیستم در هر یک از بخش‌های فوق می‌تواند مقداری از اطلاعات وضعیت ترافیک را با میزان جزئیات مشخص، مشاهده نماید. به عنوان مثال، در بخش لاگ‌ها، جزئیات دقیق حمله شناسایی شده قابل مشاهده است و در بخش چارت‌ها، نمودارهای مختلف مربوط به حمله‌ها نمایش داده می‌شود. در ادامه، جزئیات اطلاعات هر بخش توضیح داده می شود:

لاگ ها:

در این بخش جزئیات حملات شناسایی شده یا جلوگیری شده نمایش داده می‌شوند، از جمله:

  • تاریخ، ساعت، دقیقه و ثانیه حمله
  • نام حمله
  • آدرس مبدا و مقصد حمله
  • پورت مبدا و پورت مقصد
  • کشور مبدا و مقصد حمله بر اساس آدرس IP
  • پروتکل استفاده شده در حمله
  • واکنش انجام شده به حمله
  • سایز ترافیک (بایت)
  • تعداد بسته‌ها
  • سنسور ارسال کننده لاگ

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 9 - DIPS Log Viewer

چارت‌ها:

در این بخش نمودارهای مختلفی، ارائه می‌شود. این نمودارها به دو صورت ارئه می‌شوند.

1- نمودارهای مبتنی بر تاریخچه شامل موارد زیر:

  • 1- Top Attacks
  • 2- Top Attacked Ports
  • 3- Top Attacked Country
  • 4- Top Attackers Country
  • 5- Top Actions
  • 6- Top Attackers IP
  • 7- Top Attacked IP

2- نمودارهای real time شامل موارد زیر:

  • 1- Traffic Rate (Byte/Sec or Packet/Sec)
  • 2- Session/User Rate/Count

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 10 - Top Attacked Countries During Last Day

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

شکل 11 - Top Attacked Ports During Last Month

مدل‌های مختلف DIPS:

محصول DIPS در مدل‌های متفاوتی تولید و عرضه می‌شود. هر یک از این مدل‌ها دارای ویژگی‌های سخت‌افزاری و ظرفیت‌های نرم‌افزاری متفاوتی هستند که بر اساس نیازهای سازمان از جمله سایز شبکه، مقدار پهنای باند، امکانات مورد نیاز و ... می‌توان مدل مناسبی را انتخاب نمود.

گواهینامه‌ها:

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

سیستم تشخیص و پیشگیری از نفوذ (DIPS)

سیستم تشخیص و پیشگیری از نفوذ (DIPS)


5.7.4.0
گروه دورانV5.7.4.0