- بدايةً أنواع الـ Hardware Security Devices :
IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)
Hardware Firewall
أولاً : Intrusion Detection System (IDS)
الـ IDS هو عِبارةٌ عَن نِظامِ حِمايةٍ تَستَطيعُ تشبِيهَه بمضادِ الفيروسات الموجودِ على جِهازِكَ ، يقومُ بتحليلِ كُل الـ traffic المارُ عَبْرَ الشبكةِ مِن خِلالِ إرسالِ نُسخةٍ من هذا الترافيك إليه. وتتركز وَظيفتُه الأساسيةُ على التحليلِ العملِي فَقَطْ وذَلكَ إعتماداً على Rules يُمكنُ تَحميلُها مِنَ الإنترنت أو إعدادُها يدوياً بالإضافةِ إلى قواعدِ بَياناتٍ تَحْوي معلومات عن الفيروسات و الديدان التي إستطاعت النفاذُ مِنْ خلالِ جدارِ الحمايةِ الموجودِ على الشبكةِ والذي سَنَتَحَدَثُ عَنْه بعدَ قليلٍ و تَعْمَدُ إليه عَمَلُ النظامِ على مقارنةِ الـ Signature الخاصِ بكل فيروسٍ والتي تَكونُ مُخَزَنَةٌ في قاعدةِ البيانات. و لَكِنْ مَا يُعِيبُ هَذا النظامَ أنه لا يقومُ بأي رَدَةِ فِعْلٍ تِجاهَ هَذه الفيروسات فكلُ مَا يقومُ بِه هو إرسالُ تحذيرٍ إلى مديرِ الشَبكةِ بوجودِ شيءٍ غَيرِ طَبيعي في الترافيك المار ، و مِنْ هُنَا نَستَطِيعُ أن نَسْتَنْتِجَ أن كلمة “detection” لا تُعْنِي إلا الكَشفُ. و قد تَتَساءلُ عَنْ استفادتك من هَذِه العَمليةِ ؟ بكلامٍ آخرِ .. ماذا سَأستَفِيدُ إذا دَخَلَ الفيروسُ إلى الشبكةِ ؟
للإجابةِ على هَذَا السؤالِ يَجِبُ أَنْ نَعْلَمَ أولاً أَنَّ هَذَا النَوعِ مِنَ الأنظمةِ مفيدٌ في عدةِ حالات :
· الحالةِ الأولى : كشفِ الثغراتِ الموجودةِ في أنظمةِ الحمايةِ.
· الحالةِ الثانيةِ : أرشفةِ كُلَ أنواعِ التهديداتِ التي تحدثُ للشبكةِ.
· الحالةِ الثالثةِ : تحديدِ الأخطاءِ التي وَقعَ فِيها مسئولو الحمايةِ و تَصْحِيحِها.
و مَا يُميزُ هَذَا النَوعِ أيضاً هو إمكانيةُ وَضْعِه بَعيداً عَنْ المَسارِ الحَقِيقِي للترافيك بِحَيثُ لا يؤثرُ عَلَى سرعةِ نقلِ البيانات ..
لمحةُ تاريخيةٌ B| هَذا النظامُ يُعَدُ نَظاماً قديماً جداً بَدأ مشروعُ تطويرِه أولَ مَرةٍ عامَ 1984م وأُعْلِنَ عَنْ أولِ نظام IDS عامَ 1986م .
ثانياً : Intrusion Prevention Systems (IPS)
الـ IPS هو نُسخةٌ مُطَورةٌ مِنَ النظامِ السَابقِ ؛ فَهو يَقومُ بعمليةِ الكَشفِ أولاً ” Detection ” وبعدها يَقومُ بتنفيذِ ردةِ فِعلٍ معينةٍ Prevention مثل عمل Drop للباكيت الضارةِ لِذَا يتوجَبُ وضعُه على ممرِ الترافيك مباشرةً. و ما يميزُه أيضاً هو طريقةُ الإستجابةِ للترافيك الخطرِ ؛ فهو يستطيعُ أنْ يمنعَه و يستطيعُ أيضاً أنْ يقومَ بإرسالِ إعداداتٍ لأجهزةِ الأمنِ الموجودةِ على الشبكة مثل الجدرانِ الناريةِ أو الروترات لكي تقومَ بإيقافِه.
- إذاً ما هي أهميةُ أستخدامِ أنظمةِ كشفِ التسللِ ومنعِ الإختراقِ (IPS,IDS) داخلَ الشبكاتِ ؟
النقطةُ الأولى: محاولةُ إحباطِ الهجماتِ المتوقعةِ على الشبكة.
انظمةُ الـ IPS,IDS هي أنظمةُ حمايةٍ تستخدمُ طرقاً متنوعةً لكشفِ حركةِ الـ Malware, worms, Trojan horses, viruses, Botnet, rootkit, Spyware وغَيرِها من التهديداتِ التي مِنْ المُمكنِ أنْ تَضُرَ بالشبكةِ , هَذِه الأنظمةُ متطورةٌ بما يَكفي لإتخاذِ إجراءاتٍ تلقائيةٍ ضِدَ التهديداتِ والمخاطرِ الأمنيةِ التي تواجِهُهَا ، فمِنَ الممكنِ أَنْ تقومَ بعضُ المنتجاتِ بوقفِ هجومٍ ما بواسطةِ إعادةِ توجيهِ الهجومِ على مكانٍ معينٍ مثل الجدارِ الناري أو الراوتر وذلك لمنعِ وصولِ المهاجمِ إلى الشبكةِ ، وهناك منتجاتٌ أخرى تقومُ بتشغيلِ مَلَفٍ تنفيذي على الذي يحاولُ إيجادَ ثغراتٍ داخلَ الشبكةِ ، وهناكَ منتجاتٌ تقومُ بالقضاءِ على البرمجياتِ الخبيثةِ التي يُرسِلُها المهاجمُ إلى الضحيةِ مثل حذفِ ملفٍ مصابٍ مرفقٍ في رسالةٍ إلكترونيةٍ ، وكُلُ ما سَبق مِنْ إجراءاتٍ وسياساتٍ تستطيعُ أن تقومَ بتطبيقها يدوياً .
النقطةُ الثانيةُ : تنبيهُ مسئولِ الشبكةِ عنِ الأحداثِ الأمنيةِ المحتملةِ.
الوظيفةُ الأساسيةُ لأنظمةِ كشفِ التسللِ (IDS) هي تحذيرُ المسئولِ عنِ الشبكةِ مِنْ وجودِ تهديداتٍ للشبكةِ أو إنتهاكاتٍ للسياسةِ الأمنيةِ وعلى ذلك يقومُ المسئولُ بإتخاذِ التدابيرِ المناسبةِ وفقاً للمعلوماتِ المتاحةِ لَه
النقطةُ الثالثةُ : فرضُ سياساتٍ قويةٍ لحمايةِ الشبكةِ.
لا تُسْتَخْدَمُ هذه الأنظمةِ لحمايةِ المؤسسةِ التي تعملُ بها مِنَ المتسللينَ مِنَ الخارجِ فقط ، ولكنْ مِنَ الممكنِ أنْ يكونَ الخطرُ داخلي سواء كان موظفينَ حاليينَ أو سابقينَ ساخطينَ على وضعٍ ما و يرغبونَ في الإنتقامِ و ما أكثرُ الأمثلةَ المتعلقةَ بهذه النقطةِ فقط ــ ويمكنكم العودةَ لتقاريرِ CSO magazine السنويةِ المخصصةِ في هذه النقطةِ لمعرفةِ حَجمِ المخاطرِ التي تواجهُ الشبكةَ داخلياً ــ ولهذا لابد أنْ يكونَ المسئولونَ في الشبكةِ على درايةٍ بمثلِ هذه التهديداتِ وكيفيةِ التعاملِ معها مثلَ تطبيقِ إعداداتٍ و وضعِ سياساتٍ لتحديدِ الإنتهاكاتِ الأمنيةِ و مراقبةِ حركةِ الترافيك سواءٌ منَ الداخلِ أو الخارجِ وأيضاً يُفَضَلُ عَمَلُ إعداداتٍ مماثلةٍ على الجدرانِ النارية.
النقطةُ الرابعةُ :مراقبةُ البرامجِ التي يستخدِمُها الموظفونَ على الإنترنت.
تستطيعُ أنظمةُ IPS,IDS أنْ تساعِدَك على إكتشافِ البرامجِ التي تتعاملُ معَ الإنترنت مثل برامج التحميلِ بكافةِ أنواعِها وبرامج المحادثةِ ومواقع البثِ المباشرِ والفيديو والتي يستخدمُها الموظفونَ أياً كانتْ أنواعُها أو إصدارتُها ؛ وذلك لأن الشركةَ لا تريدُ إهدارَ الـBandwidth على أشياءٍ غيرِ مهمةٍ وأيضاً لتأمينِ وحمايةِ الشبكةِ ، فنحن لا نعلمُ ما الذي يفعلُه الموظفونَ عِنْدَ إستخدامِهم للإنترنت ومعَ قلةِ وعيهم مِنَ الناحِيةِ الأمنيةِ فمنَ المتوقعِ أنْ يكونوا أكثر عُرضةٍ للإصابةِ بالفيروساتِ أو ما شابهُها.
النقطةُ الخامسةُ :سيكونُ المسئولُ أكثرَ وعياً بفَهمِ نشاطِ الشبكةِ.