شرکت سیسکو برای محافظت سیستم پیشگیری از نفوذ Cisco IOS از طریق بررسی جریان ترافیک در هر دو مسیر و با ترکیبهای مختلفی از LAN Router و WAN Interface به محافظت بیشتر از شبکه در برابر حملات، کمک مینماید.
معرفی Cisco IOS IPS
امروزه مهاجمان از داخل و خارج شبکه قادر به تهدید یا حمله به فضای کسبوکار میباشند. بنابراین امکان وقوع حملات DDoS، حمله به ارتباطات اینترنتی و Exploit نمودن آسیبپذیریهای موجود در شبکه و Host وجود خواهد داشت. در عین حال ویروسها و Wormهای اینترنتی میتوانند ظرف مدت چند دقیقه در سراسر جهان منتشر گردند. معمولا در چنین مواردی، فرصتی برای مداخلات انسانی باقی نمانده و شبکه باید از هوشمندی لازم برخوردار باشد تا این حملات، تهدیدات، Wormها، ویروسها و موارد Exploit را شناسایی و از شدت آنها بکاهد.
این سیستم IPS، یک راهکار مبتنی بر بررسی دقیق Packetها به صورت Inline و درونبرنامهای است که در کاهش طیف وسیعی از حملات شبکه به Cisco IOS Software کمک مینماید. اگرچه بررسی ترافیک در دیتاسنترها و سازمانها به عنوان یک روش متداول برای دفاع در برابر حملات به شمار میرود، توزیع روند دفاعی در سطح شبکه برای توقف ترافیکهای مخرب در نقطه ورودی آنها نیز از اهمیت بسیاری برخوردار است.
مزایا و کاربردهای اصلی Cisco IOS IPS
سیستم پیشگیری از نفوذ Cisco IOS به کاربران کمک میکند تا از شبکه به 5 طریق محافظت نمایند.
در ادامه به بررسی کاربردهای اصلی Cisco IOS IPS مطابق شکل فوق می پردازیم:
1- محافظت از PCهای شعب در برابر Wormهای اینترنت :
استفاده از IPS و فایروال در روتر سیسکو برای محافظت در برابر Wormها
2- انتقال فرآیند محافظت در برابر Wormها به Edge شبکه:
استفاده از IPS در جریان ترافیک از شعب به دفتر مرکزی با هدف توقف Wormها و حملات از سوی PCهای آلوده
3- محافظت از سرورهای شعب:
به کارگیری IPS و فایروال در روتر شعب به منظور محافظت از سرورهای Local شعب در برابر حملات
عدم نیاز به تجهیزات مجزا برای محافظت از سرورها
4- تامین الزامات مربوط به تطبیقپذیری تجهیزات جانبی PCI
5- IPS به صورت Transparent در لایهی 2
مزایای اصلی استفاده از Cisco IOS IPS
- ارائه نوعی محافظت توزیع شده در برابر حملات، Exploitها، Wormها و ویروسهای Exploit کنندهی آسیبپذیری در سیستمعاملها و برنامههای کاربردی در سراسر شبکه
- عدم نیاز به تجهیزات مستقل IPS در شبکههای شعب و کسبوکارهای کوچک و متوسط
- تسهیل هر چه بیشتر روند مدیریت Policyهای IPS با استفاده از یک پردازشگر منحصربهفرد Signature-Event-Action مبتنی بر ارزیابی ریسک
- ارائهی Event Action و یک مجموعه از Signatureهای مربوط به Wormها و حملات با فیلدهای قابل سفارشیسازی
- بررسی جریان ترافیک به صورت Inline با استفاده از ترکیبهای مختلفی از Router LAN و WAN Interface در هر دو مسیر
- قابلیت عملکرد با Cisco IOS Firewall ،Control-Plane Policy و ویژگیهای امنیتی دیگر Cisco IOS Software به منظور محافظت روتر و شبکههای پشت روتر شبکه
- پشتیبانی از بیش از 7 هزار Signature در یک دیتابیس Signature که برای تجهیزات Cisco IPS در دسترس قرار دارد.
| ویژگی | مزایا |
| قابلیت دانلود بستههای IOS IPS Signature در روتر بصورت مستقیم از سایت Cisco.com با نسخههای 15.1 (1)T یا نسخههای بعدیIOS T-train | سهولت استفاده و پیادهسازی که نیاز به دانلود دستی نسخههای بهروزرسانی Signature در سرور Local و سپس در روتر را از بین میبرد.
روترهای متصل به اینترنت میتوانند بهروزرسانیهای Signature را بدون مداخلات انسانی و به صورت خودکار و دورهای دانلود نمایند. |
| ارائهی منظم بهروزرسانی Signatureهای نوع IOS IPS (شامل برخی Signatureها که فضای کمتری را اشغال میکنند) توسط تیم Cisco Signature که با M(1)IOS 15.0 آغاز میشود. | پوشش جامع و موثرتر حملات به صورت پیشفرض
سرعت بالاتر در ارائه جدیدترین Signatureهای تهدیدات |
| موتورهای Signature با قابلیت اشغال فضای کمتر برای Signatureهای پروتکل FTP، HTTP و SMTP و همچنین Regular Expression Table در M(1)15.0 | اسکن ترافیک برای یافتن Signatureهای حملات که حافظه کمتری را بر روی روتر اشغال میکند.
قابلیت محافظت دربرابر تعداد بیشتری از تهدیدات و آسیبپذیریهای معمول |
| (VRF Awareness (Virtual IPS موجود در نسخه 12.4(20)T یا نسخههای بعدی IOS T-Train
|
امکان به کارگیری IPS برروی قسمتهای خاصی از شبکهی مجازی (VRF) در سازمانها همراه با قواعد متفاوتی برای هر VRF و امکان ایجاد تمایز بین هشدارهای IPS و رویدادهای حاصل از هر یک از بخشهای مجازی با استفاده از VRF ID |
| پشتیبانی از Signatureهای مربوط به آسیبپذیریهای موجود در Microsoft SMB و پروتکلهای MSRPC و همچنین signatureهای تهیهشده توسط Vendorها بر اساس توافقنامهی NDA | محافظت کارآمد دربرابر بسیاری از آسیبپذیریهای جدید مایکروسافت و سایر آسیبپذیریها حتی پیش از عرضهی عمومی |
| میزان ارزیابی ریسک در هشدارهای IPS بر اساس شدت و اطمینان از عملکرد Signature و ارزیابی مقدار هدف | امکان مانیتورینگ دقیق و موثرتر رویداد IPS از طریق فیلترینگ یا جداسازی رویدادها با ارزیابی ریسک بالا یا پایین |
| پشتیبانی از SEAP) Signature Event Action Processor) | تطبیق سریع و خودکار فعالیتهای Signature-Event مبتنی بر ارزیابی ریسک برآورده شده برای رویداد |
| بهروزرسانی خودکار Signature از یک سرور HTTPS یا TFTP به صورت Local | محافظت در برابر آخرین تهدیدات به همراه مداخلات کمتر کاربران |
| مکانیسم آمادهسازی Signature از نوع (XML (IDCONF | آمادهسازی کاملا ایمن از طریق Cisco Security Manager 3.1 یا نسخههای بعدی، Cisco Router و Cisco Device Manager 2.4 برروی HTTPS |
| آمادهسازی Signature به صورت مجزا و بر اساس دستهبندی توسط Cisco IOS CLI | تنظیم و سفارشیسازی دقیق Signatureها از طریق Scriptهای سفارشی |
| فرمت یکسان Signature و پایگاهداده طبق آخرین تجهیزات و ماژولهای Cisco IPS | تعاریف متداول پیادهسازی و Signature حملات بین تجهیزات و ماژولهای Cisco IOS IPS |
قابلیت پشتیبانی از پلتفرم
همانطور که در تصویر زیر نمایش داده شده است Cisco IOS IPS در برخی مجموعههای نرمافزاری خاص در روترهای 87x،Integrated Services Routers، SR 520 Secure Router و روترهای 720x و 7301 قابل دسترس میباشد.
قابلیت دسترسپذیری Feature IPS بر اساس انواع تصاویر IOS
IOS IPS علاوه بر IOS IPS 15.0 ، در روترهای 88x و 89x و ISR نسل بعدی با Licenseهای انتخابی نیز پشتیبانی میشود که استفاده از این ویژگیها را در هنگام نصب پشتیبانی مینماید.
قابلیت دسترسپذیری Feature IPS بر اساس Licenseهای مربوط به ویژگیهای انتخابی
ـــــــــــــــــــــــــــــ
