ایا سیستم IPS فقط برای شناسایی نفوذ از طرف ترافیک ورودی به شبکه است ؟

[mavrick]

سلام بر دوستان
ما دیروز توی مجموعه ای که هستیم TMG رو نصب کردیم و سرویس IPS اون رو هم فعال کردیم و رفتیم جلو
حین انجام کار درباره ماهیت سیستم IPS چند تا سوال برامون پیش اومد که ذهنمون رو درگیر کرد
من از IPS چیزی که میدونستم و خونده بودم و بلد بودم این بود که طبق الگوریتمهایی که داره میتونه اگه نفوذی یا فایل مسئله داری ( اعم از ویروس , malware و ... ) یا ترافیکی که مشکوکه رو شناسایی کرد اونو طبق سیاست ما جلوشو بگیره

حالا بحثی که دیروز برای ما پیش اومد (بحث کلی نه مربوط به TMG فقط ) اینه که وقتی فایروال ه ما داره Nat انجام میده این خودش نوعی امنیت رو برقرر کرده , دیگه چه نیازی به IPS است ؟

بعدشم ایا اصلا IPS فقط برای شناسایی نفوذه ؟ ( توی داکیومنتهای سیسکو و مایکروسافت چیزای دیگه ای هم گفته اما ایا در عمل هست یا فقط در تئوری رو شک کردم )
و اینکه وقتی ما در شبکمون سرور هامون توسط یه فایروال دیگه داره حفاظت میشه , و TMG برای اینترنت دادن به کلاینتها و پرسنله , ایا اصلا لزومی به فعال کردن IPS هست ؟ یعنی ایا IPS لزومی به وجودش با بودن NAT هست میتونه جلوی چه چیزی رو برای کلاینتها بگیره , و ایا برای ترافیک روبه بیرون هم کار داره یا خیر

نمیدونم تونستم سوالم رو برسونم با منظورم یا نه
ممنون میشم که راهنمایی کنید

---

موضوعات مشابه:

• درخواست راهنمایی در مورد سیستم اکاتینگ kerio
• درخواست راهنمایی جهت راه اندازی سیستم صوتی آمفی تئاتر
• درخواست راهنمایی جهت راه اندازی سیستم صوتی آمفی تئاتر
• درخواست راهنمایی سیستم LoboMetrics
• درخواست راهنمایی برای راه اندازی یه سیستم اکانتینگ با نرم افزار IBS

---

[mgholami]

نه كلا روي فعاليتهاي شبكه هم مانيتور انجام ميشه
Intrusion prevention system - Wikipedia, the free encyclopedia

[al1p0ur]

حالا بحثی که دیروز برای ما پیش اومد (بحث کلی نه مربوط به TMG فقط ) اینه که وقتی فایروال ه ما داره Nat انجام میده این خودش نوعی امنیت رو برقرر کرده , دیگه چه نیازی به IPS است ؟

یعنی ایا IPS لزومی به وجودش با بودن NAT هست میتونه جلوی چه چیزی رو برای کلاینتها بگیره , و ایا برای ترافیک روبه بیرون هم کار داره یا خیر

ببینید معمولا روی ترافیک رو به بیرون (مثلا استفاده کلاینت ها از اینترنت) ، IPS ست نمیشه . چون واقعا نیازی نیست (البته به نظر من)
اما بسیاری از نرم افزارهای اینترنتی که کاربر در اینترنت درخواست میکنه ، از حفر ه های امنیتی روی کلاینت استفاده میکنند .
یک مثال میزنم :
چند وقت پیش، برای تست ، من این کار را انجام دادم و روی رول مربوط به اینترنت IPS را فعال کردم .
روزانه حدود 200-300 تا Attack تو لاگ IPS نشون داده میشد . اکثر این لاگ ها به دلیل نداشتن آخرین patch های Update,Security روی کلاینت ها بود . یعنی IPS میگفت این اتک مال این نرم افزار بوده و برای رفع این مشکل فلان پچ رو از ماکروسافت بگیرید و روی کلاینت نصب کنید .

اما برای سرورهایی که در اینترنت Publish میشوند، IPS ، یک نیاز اساسی به شمار میرود .چون مستقیما در دسترس هستند و ترافیکشون باید دقیقا کنترل شود .

البته این بحث خیلی تخصصی هستش که مطمئنم دوستان متخصص در این زمینه به شما کمک خواهند کرد .

بعدشم ایا اصلا IPS فقط برای شناسایی نفوذه ؟ ( توی داکیومنتهای سیسکو و مایکروسافت چیزای دیگه ای هم گفته اما ایا در عمل هست یا فقط در تئوری رو شک کردم )

خیر ، شناسایی و جلوگیری از نفوذ .

و اینکه وقتی ما در شبکمون سرور هامون توسط یه فایروال دیگه داره حفاظت میشه , و TMG برای اینترنت دادن به کلاینتها و پرسنله , ایا اصلا لزومی به فعال کردن IPS هست ؟

خیر ، میتونید غیر فعالش کنید .

[mavrick]

سیاری از نرم افزارهای اینترنتی که کاربر در اینترنت درخواست میکنه ، از حفر ه های امنیتی روی کلاینت استفاده میکنند .

خیر ، میتونید غیر فعالش کنید .

ممنون دوست عزیز از راهنمایی و جوابتون
حالا یه موردی که هنوز برام حل نشده , اونم جمله اخرتون
اگر نرم افزار ها باگ امنیتی دارن و راه نفوذی رو دارن پس بهتره که IPS رو روی TMG فعال کنم که اگر احیانا نفوذی از طریق اونها قراره انجام بشه بتونه شناسایی و جلوگیری کنه
ابا این درست نیست ؟
و اخرش با وجود NAT شدن ای پی ها نفوذ به شبکه داخلی ( منظور کلاینتها ) خیلی مشکل میشه و تقریبا نا ممکنه پس NAT خودش خیلی کار و برای اسون کرده و برای هکر ها سخت ؟

[th95]

اگر نرم افزار ها باگ امنیتی دارن و راه نفوذی رو دارن پس بهتره که IPS رو روی TMG فعال کنم که اگر احیانا نفوذی از طریق اونها قراره انجام بشه بتونه شناسایی و جلوگیری کنه

و اینکه وقتی ما در شبکمون سرور هامون توسط یه فایروال دیگه داره حفاظت میشه , و TMG برای اینترنت دادن به کلاینتها و پرسنله , ایا اصلا لزومی به فعال کردن IPS هست ؟

ساختار شبکه خودتون رو بهتر از همه خودتون میدونید.
اگر شما یک سری سرویس پابلیش شده دارید که توسط یک فایروال سخت افزاری (یا نرم افزاری) قوی تر از TMG محافظت میشن طبیعتا دوباره روی TMG نباید IPS رو فعال کنید. قطعا متوجه هستید که IPS باعث کندی میشه ! طبیعی هم هست میخواد کلی موارد رو روی بسته ها چک کنه !

و اخرش با وجود NAT شدن ای پی ها نفوذ به شبکه داخلی ( منظور کلاینتها ) خیلی مشکل میشه و تقریبا نا ممکنه پس NAT خودش خیلی کار و برای اسون کرده و برای هکر ها سخت ؟

کلا NAT یکی از کاربردهای مهمش افزایش امنیته چون ارتباط مستقیم بین بیرونی ها با کلاینتهای داخل رو قطع میکنه ! اما به نکته ای که آقای علیپور اشاره کرد دقت کنید.
خیلی از مواقع حمله از اون سمته
میدونید یکی از روشهای رایج هک چیه ؟

یک سرور پشت فایروال نشسته و هر هر به شما میخنده چون نمیتونی از فایروال جلوش رد بشی و بهش کانکشن بزنی. اینجور مواقع با ترفندهایی خاص شرایطی رو ایجاد میکنند که خود سرور به شما کانکشن بزنه (چون از اونور محدودیتی نیست) یا اصلا اجبار هم نمیکنه ولی شما بهر حال به اون وصل میشید تا از یک سری اطلاعات و منابعش استفاده کنید ! حالا مهاجم با همین ارتباط برقرار شده سعی میکنه که به شما حمله کنه

نکته دوم که خیلیها بهش دقت نمیکنند اینه که حملات روی همین پورتهای رایج و باز انجام میشه
طرف میگه خوب آقا من که دیتابیس سرورم رو حسابی بستم - فقط پورت 1433 و 1434روش بازه ! پس کسی نمیتونه کاریش کنه
اشتباه همینه ! هزار و یک حمله وجود دارند که از طریق همین پورتهای باز و سرویسهای رایجی مثل SQL انجام میشن
طرف یک Query میفرسته و پشت بندش داستان ادامه پیدا میکنه و یک CmdShell و گرفتن یک یوزر سرویسی درست و حسابی روی سیستم شما
و اینجاست که فایروالها با هم کل میندازن تو چند تا Signature میشناسی ؟ نرخ اپدیتت چقدره ؟ در برابر چند تا حمله همزمان طاقت میاری ؟ IPS Throughput ات چقدره ؟ در برابر حملات چه واکنشی نشون میدی و ...

امیدوارم با سواد کمی که دارم تونسته باشم کمکی بکنم
موفق باشید

[th95]

در تکمیل پاراگراف دوم پست آخر بنده این فایل PDF رو مطالعه کنید.
چند جمله اولش اینه

Most organizations have some type of perimeter protection that limits access to their internal machines from
the Internet [Wilson, 2004]. Even weak perimeter protection schemes, with only ingress filtering on a router
or firewall, will stop most external port scans from penetrating into protected systems. However, a reverse
shell is a program that has the ability to force a system in a protected network to connect to a system
outside that network, subverting the firewall's ingress filters. Once installed, reverse shell...

inside-out-vulnerabilities-reverse-shells_1663.pdf

[mavrick]

اقا یه دنیا تشکر از همه
خیلی نکته یاد گرفتم و تونستم به جواب سوالهام برسم
ممنون

[f14f21]

inside-out-vulnerabilities-reverse-shells_1663.pdf

مقاله بسیار جالبی بود، مخصوصا قسمت ping tunnel

[hadihadi2]

همونطور که استاد عزیر گفتند :

کد:

میدونید یکی از روشهای رایج هک چیه ؟

یک سرور پشت فایروال نشسته و هر هر به شما میخنده چون نمیتونی از فایروال  جلوش رد بشی و بهش کانکشن بزنی. اینجور مواقع با ترفندهایی خاص شرایطی رو  ایجاد میکنند که خود سرور به شما کانکشن بزنه (چون از اونور محدودیتی نیست)  یا اصلا اجبار هم نمیکنه ولی شما بهر حال به اون وصل میشید تا از یک سری  اطلاعات و منابعش استفاده کنید ! حالا مهاجم با همین ارتباط برقرار شده سعی  میکنه که به شما حمله کنه

روشی در بالا اشاره شد به reverse_shell و یا کانکت بک معروفه و یکی از کارایهاش دور زدن فایروال هست روش های دیگه هم برای پرش از روی nat موجود هستند
خیلی اوقات نفوذ گر یه فایل تولید میکنه که کلاینت میتونه اونو مستقیم دانلود کنه یا هکر با استفاده از حملات clinet side مثل xss مثلا از باگ موجود در مروگر کلاینت استفاده کنه (کلیک بر روی یک لینک و نه دانلود مستقیم فایل) و همراه با یه پایلود reverse_shell کنار xss به شبکه شما نفوذ کنه در این مورد تکنیک browser exploitation با فیم ورک حمله متااسپلویت مثال خوب برای مطالعه هست (metasploit browser exploitation ) از یه حمله کلاینت رسیدیم به نفوذ به شبکه.
این یه مثال کوچیک بود این قضیه جای بحث زیاد داره فقط خواستم بگم روی بحث فایروال وnat اینقدر مطمئن نباشید و همونطور اون قضیه پورت های باز که جناب گنجی اشاره کردن..با موبایل دارم پست میزنم خیلی سخته اگر نه بیشتر در خدمت بودم