
DIPS (Douran Intrusion Prevention System)
سیستم تشخیص و پیشگیری از نفوذ
در یک نگاه: امروزه استفاده از فایروال و آنتی ویروس برای مقابله با تهدیدهای سایبری کافی نیست. ماهیت تهدیدها روز به روز در حالت پیچیده شدن است و روش های حمله و سوء استفاده از آسیب پذیری ها دائما در حال تغییر است. تهدیدهای نوظهور، بات نت ها، ابزارهای جاسوسی و حملات هدفمند همه سازمان ها و کاربران را با خطر مواجه کرده اند. به تناسب این موضوع، سازمان ها به ابزارهای پیشرفته و روش های هوشمندانه تری برای شناسایی و پیشگیری نیاز دارند.
نسل جدید سیستم تشخیص و پیشگیری از نفوذ پاسخی به این نیاز روزافزون سازمان ها است. این سیستم با استفاده از روش های هوشمند، ترافیک شبکه را تحلیل کرده و از ورود محتوای مشکوک یا آلوده به داخل شبکه پیشگیری می کند. علاوه بر این، رفتارهای غیرعادی و برنامه های ناشناس یا ناخواسته را شناسایی و از گسترش آنها جلوگیری می کند. این سیستم، بر خلاف روش سنتی تشخیص نفوذ، صرفا مبتنی بر امضای حملات عمل نمی نماید. بلکه از مجموعه ای از تکنیک های رفتاری برای طبقه بندی ترافیک و شناسایی رفتارهای خطر آفرین برنامه ها استفاده می کند. علاوه بر این، به دلیل گسترش استفاده از تلفن همراه، تبلت و لپ تاپ، تهدیدها از راه هایی به جز اتصال اینترنت سازمان هم وارد شبکه داخلی می شوند. در این مورد، سیستم تشخیص نفوذ با بررسی رفتار نودها و برنامه ها،منشا آلودگی را تشخیص داده و از گسترش آن پیشگیری می کند.
سازمان ها می توانند با نصب این محصول در هر نقطه ای از شبکه، چه به صورت فعال و چه غیرفعال، از لایه دو تا لایه هفت و کلیه تهدیدهای مربوط به شبکه، چه به صورت فعال و چه غیرفعال، از لایه دو تا لایه هفت و کلیه تهدیدهای مربوط به شبکه، سیستم عامل و برنامه ها را پوشش داده و مخاطرات را مدیریت نموده و از گسترش تهدید به سایر نقاط شبکه جلوگیری نمایند.
گروه داده پردازان دوران با توجه به نیاز سازمان های مختلف و بر مبنای تجربه موفق محصول مدیریت یکپارچه تهدیدات خود با نام DSGate به تولید و ارائه محصول تشخیص و پیشگیری از نفوذ Douran IPS (DIPS) اقدام نموده است که در ادامه معرفی می گردد. این محصول به صورت کاملا بومی و مبتنی بر بیش از ده سال تجربه در بومی سازی محصولات امنیتی طراحی و پیاده سازی شده است. موتور این محصول از نظر کلیه قابلیت های بنیادی از جمله طبقه بندی ترافیک، شناسایی و پیشگیری، متفاوت بامحصولات متن باز می باشد. اصولا محصولات متن باز بر اساس تست های انجام شده توسط شرکت، امکان استفاده در کلاس کسب و کارهای بزرگ را ندارند. گروه دوران کلیه مراحل طراحی، پیاده سازی و تست محصول را به صورت بومی و مبتنی بر چارچوب محصولات امنیتی بومی خود اجرا نموده است.
ویژگی های کلیدی:
محصول DIPS دارای چند قابلیت کلیدی است که آن را نسبت به راه حل های قدیمی با نرم افزارهای متن باز متمایز ساخته و به محصولی قابل رقابت با رقبای خارجی تبدیل نموده است، از جمله:
- طراحی و پیاده سازی موتور محصول به صورت بومی و بدون استفاده از محصولات متن باز
- نصب و راه اندازی آسان و سریع و راهبری ساده
- قابلیت پردازش ترافیک در پهنای باندهای چند گیگابایتی
- استفاده از چارچوب و هسته DSGate به عنوان یک محصول بومی شناخته شده
- امکان راه اندازی بلافاصله پس از نصب با حداقل تنظیمات مورد نیاز
- روش های محافظتی بسیار پیشرفته از لایه دو تا لایه هفت
- دفاع در برابر پیشرفته ترین حملات بر اساس تحلیل پروتکل، برنامه، امضا و رفتار
- امکان شناسایی آنومالی در سطح برنامه، پروتکل و کل ترافیک
- ارائه انواع گزارش ها، نمودارها و داشبوردهای امنیتی
- عملکرد به صورت سنسور غیرفعال یا فعال
- امکان اعمال سیاست های متنوع امنیتی در صورت شناسایی حمله یا رفتار مشکوک
- امکان تغییر در همه جزئیات قواعد و امضاهای حملات توسط راهبر
- نصب، راه اندازی و پشتیبانی و به روز رسانی داخلی بدون وابستگی به خارج از کشور
مزایای DIPS:
محصول DIPS یک سخت افزار بومی امنیت شبکه با قابلیت تشخیص و پیشگیری از نفوذ است که قابل استفاده در انواع شبکه های کوچک، متوسط و بزرگ می باشد. این محصول قابل نصب در حالت های مختلف بوده و در هر حالت می تواند مجموعه تهدیدها و آسیب پذیری ها در لایه های مختلف شبکه را شناسایی و پیشگیری کند. DIPS به عنوان یک لایه افزونه دفاعی در کنار فناوری های دیگر از جمله فایروال، آنتی ویروس و غیره قرار می گیرد، با این تفاوت که قابلیت های شناسایی و پیشگیری آن بسیار قوی تر و عمیق تر از فناوری های امنیتی مذکور است.
این محصول به صورت بومی طراحی شده و موتور شناسایی و پیشگیری از نفوذ آن که قلب محصول IPS می باشد، بدون استفاده از نرم افزارهای متن باز و آماده، پیاده سازی شده است. تجربه عملیاتی گروه داده پردازان دوران در زمینه توسعه انواع محصولات امنیت شبکه و نصب آنها در شبکه های بزرگ کشور، دانش لازم برای تولید این محصول بدون استفاده از نرم افزارهای متن باز را ایجاد نموده است. یکی از مشکلات استفاده از محصولات امنیتی خارجی، وابستگی سازمان به آپدیت های آنها است که خود یک نقطه ضعف بزرگ برای بسیاری از سازمان ها محسوب می شود. در مقابل، محصول DIPS هیچگونه وابستگی به خارج از کشور ایجاد نمی کند. کلیه امضاهای حملات، بروز رسانی میان افزار و غیره توسط گروه داده پردازان دوران بر اساس خدمات پشتیبانی محصول، ارائه می شود. امضاها و اطلاعات حملات و بدافزارهای جدید با استفاده از منابع معتبر رایگان و غیر رایگان در دسترس، جمع آوری و پس از توسعه در داخل شرکت، به صورت اتوماتیک برای کلیه محصولات DIPS مشتریان اعمال می گردد.
کارآیی این محصول با آزمایش حجم های بسیار بالای ترافیک واقعی و با نصب در شبکه های بزرگ داخلی آزمایش و اثبات شده است. حجم بهینه سازی های انجام شده در توسعه محصول، شامل هسته سیستم عامل، ماژول های نرم افزاری تشخیص و پیشگیری و رابط های کاربری، باعث شده که محصولات متن باز شناخته شده از نظر کارآیی و امکان استفاده در سطح سازمان های بزرگ، قابل مقایسه با DIPS نباشند.
این محصول قابلیت شناسایی ترافیک صدها برنامه کاربردی و پروتکل را دارا است. با توجه به گسترش کاربردها و برنامه های تحت شبکه و اینترنت، سازمان ها به طور روزافزون در معرض تهدیدهای جدید قرار دارند. بدافزارهای تحت شبکه و اینترنت، سازمان ها به طور روزافزون در معرض تهدیدهای جدید قرار دارند. بدافزارهای مورد استفاده در این تهدیدها گاه مدت بسیار زیادی به صورت مخفی درون شبکه سازمان باقی می مانند. محصول DIPS بسیاری از رفتارهای مشکوک و محتواهای غیرعادی مورد استفاده توسط بدافزارها را می شناسد و می تواند در صورت آلودگی شبکه از راه هایی مانند حافظه های جانبی و تبلت ها، هشدارهای لازم را تولید کند.
این محصول در زمینه تنظیمات و مدیریت پیکربندی در سطح بسیار پیشرفته ای قرار دارد. از طرفی، تنظیمات پیش فرض محصول به گونه ای است که حداقل پیکربندی برای راه اندازی اولیه محصول مورد نیاز است. از طرف دیگر، بخش های مختلف محصول با بیشترین جزئیات ممکن، قابل پیکربندی بوده و راهبر شبکه می تواند همه پارامترها و گزینه ها را مطابق نیاز و به دلخواه تغییر دهد.
عملکرد محصول به صورت DPI بوده و در نتیجه می تواند تهدیدهای لایه کاربرد را شناسایی و از آنها پیشگیری کند. موتور تشخیص DIPS دارای هزاران امضاء حملات شناخته شده مربوط به لایه های مختلف شبکه بوده و امکان دریافت امضاهای جدید را دارا است. به علاوه، کاربر می تواند امضاهای دلخواه را تعریف و در دیتابیس محصول ذخیره کند. شکل ظاهری امضای حملات کاملا ساده و قابل فهم برای راهبر سیستم است. راهبر سیستم علاوه بر امضاها، می تواند پارامترها و ویژگی های متنوعی مربوط به پروتکل، نشست، برنامه و جریان داده را به دلخواه تنظیم نموده و حملات مربوط به این پارامترها را شناسایی نماید.
برتری های DIPS نسبت به نرم افزارهای متن باز:
1- متن بازها قابل استفاده به صورت یک محصول تجاری قابل اتکا نیستند:
یک سازمان نمی تواند بدون توجه به همه جنبه های تجاری، اقدام به استفاده از محصولات شبکه و امنیت نماید. با فرض اینکه قابلیت های نرم افزارهای متن باز از جمله Snort، متناسب با نیازهای واقعی سازمان باشد (که اینگونه نیست)، اما این نرم افزارها را نمی توان به عنوان یک محصول قابل اتکا به شمار آورد. زیرا این محصولات نیاز به توسعه دارند، رابط کاربری آنها ضعیف است و اساسا سخت افزاری و مبتنی بر Appliance نیستند. برای استفاده از متن بازها باید دانش کار سیستمی با لینوکس داشته باشید و در حالی که یک محصول تجاری مناسب نباید وابسته به دانش سیستمی راهبر مربوطه باشد. نداشتن خدمات پشتیبانی و اشکال زدایی از دیگر مشکلات نرم افزارهای متن باز است.
2- کارایی پایین نرم افزارهای متن باز:
تست های مستند ما در آزمایشگاه شرکت و نیز تست های معتبر بین المللی نشان دهنده پایین بودن کارایی Snort نسبت به نیازهای سازمان های بزرگ است. مثلا گذردهی Snort در حالت عادی و نه در صورت فعال بودن همه امکانات، کمتر از 200 مگابیت بر ثانیه است که به هیچ وجه با ابعاد شبکه سازمان های امروزی همخوانی ندارد. نصب DIPS در سازمان های بزرگ نشان داده است که گذردهی آن قابل مقایسه با Snort نیست.
3- عدم تناسب معماری متن بازها با نیازهای سازمان های بزرگ:
مطالعه اسناد و کدهای منبع Snort نشان می دهد که این نرم افزار از ابتدا برای استفاده در سازمان های بزرگ طراحی نشده و ویژگی های ترافیک معمول امروزی را پوشش نمی دهد. به عنوان مثال، طراحی ماژول های داخلی Snort مطلقا بهینه نبوده و منجر به هدر رفتن حافظه و پردازنده می شود. همچنین اکثر قریب به اتفاق وظایف Snort در لایه کاربر، نه در هسته سیستم عامل انجام می شود که خلاف اصول پیاده سازی کارا است. علاوه بر این، الگوریتم های بازسازی ترافیک لایه هفت و DPI نرم افزار Snort به شدت غیربهینه هستند. علاوه بر این، پیاده سازی اصلی Snort مبتنی بر شناسایی است و پیشگیری در آن به صورت اولیه تعبیه نشده است. به همین دلیل برای تبدیل آن به IPS نیاز به افزونه های نرم افزاری وجود دارد.
4- عدم پیاده سازی مناسب الگوریتم های داخلی در متن بازها:
بسیاری از الگوریتم های Snort که برای عملکرد IPS لازم هستند به صورت بهینه پیاده سازی نشده اند. در نتیجه هم باعث افت کارایی شده و هم در پیکربندی ها، کاربر را با محدودیت مواجه می کنند. در حالی که این محدودیت ها در استانداردهای امروزی IPS ها قابل توجیه نمی باشد.
5- فقدان امکانات گزارش، داشبورد و غیره در متن بازها:
یکی از چالش های استفاده مفید از محصولات IPS آن است که حجم بسیار وسیعی از قواعد و تنوع حملات منجر به ثبت لاگ های بسیار زیاد شده و عملا تحلیل لاگ ها را به خصوص در شبکه های متوسط و بزرگ غیر ممکن می کند. یک نقطه قوت IPS های برتر دنیا نسبت به محصولات رایگان موجود، ارائه انواع گزارش ها، نمودارها و داشبوردهای تحلیلی، آماری و real time است که منجر به قابل استفاده شدن لاگ های IPS برای راهبر سیستم می شود.
محصول DIPS با توجه به نکته فوق، مجهز به ده ها نواع گزارش داشبورد و نمودار با پارامترهای مختلف است که وضعیت شبکه و حملات را بر اساس طیف وسیعی از ابعاد و پارامترها نمایش می دهد.
کلیه ضعف های برشمرده در بالا، در طراحی و پیاده سازی DIPS پوشش داده شده است و به همین دلیل، محصول DIPS در تست های انجام شده، کارایی و دیگر ویژگی های متناسب با سازمان های بزرگ را به خوبی نشان می دهد. بومی بودن محصول DIPS بر اساس شواهد و مدارک معتبر، قابل اثبات بوده و مراحل ثبت آن به عنوان محصول بومی انجام شده است. به منظور مشاهده ساختار کاملا متفاوت قواعد در DIPS نسبت به Snort و دیگر نرم افزارهای رایگان، در تصویر زیر قابل مشاهده است:

شکل 1 - ساختار متنی قواعد DIPS