برای دریافت مدرک این دوره، باید کلیه بخش های آن را خریداری کنید
تعداد قسمت ها: 64
قسمت های خریداری شده: 0
قیمت: 514,575 تومان
با تخفیف مدرس: 385,950 تومان
با تخفیف وب سایت: 360,225 تومان
خرید این دوره لینک های دانلوددر توسینسو تدریس کنید
و
با دانش خود درآمد کسب کنید
در ادامه معرفی سخت افزارهای شبکه به معرفی یک سخت افزار امنیتی دیگر به غیر از فایروال می پردازیم ، سخت افزاری که آن را به عنوان سیستم تشخیص نفوذ ( Intrusion Detection System ) و یا سیستم جلوگیری از نفوذ (Intrusion Prevention System ) می شناسند . این سخت افزار یا نرم افزار برای شناسایی حملات هکری و اجرا شدن کدهای مخرب بر روی شبکه شما استفاده می شود و مکانیزم کاری شبیه به آنتی ویروس دارد ، در این ویدیو ما ابتدا IDS و IPS را معرفی می کنیم ، نحوه قرارگیری آنها در شبکه را به شما معرفی می کنیم ، نحوه شناسایی حملات و مکانیزم شناسایی آنها را معرفی می کنیم ، به بررسی تفاوت های آنها می پردازیم ، تفاوت NIDS و HIDS را تشریح می کنیم و در نهایت یک لینوکس که در آن یک نرم افزار IDS ساده نصب شده است و یک حمله بر روی آن انجام شده است را برای باز شدن دید شما نسبت به این سخت افزار به شما نمایش می دهیم امیدوارم مورد توجه شما قرار بگیرد. ITPRO باشید
سلام.
IPSها همیشه IDS نیز هستن؟
قطعا همیشه هستند ، چون تا Detection یا شناسایی نباشه Prevention یا جلوگیری هم وجود نداره
راست میگین...سوال بجایی نبود نباید میپرسیدمD:
سلام محمد جان
یه سوال داشتم مثل همیشه :دی
الان ما یه چیزی داریم به عنوان WAF (Web Application Firewall) که اکثرا به عنوان یه ماژول روی وب سرور نصب می شن.
می خواستم ببینم که استفاده از لفظ فایروال واسه اینا درسته؟ یا بهتره اینا جزو همون IPS ها حساب کنیم؟
فایروال ها اکثرا روی لبه شبکه یا همون EDGE قرار میگیرن تا حایل بین شبکه داخلی و بیرونی باشن و بتونن ترافیک شبکه رو مانیتور کنن.
اکثرا فعالیتشون هم به نظرم روی پورت ها هست و بررسی دقیق ندارن که بیان داخل پکت ها رو انالیز کنن !
اما WAF ها رول هایی دارن که مطابق اونا محتویات پکت بررسی میشه ! و از طرفی روی لبه شبکه هم قرار نمیگیرن.
ممنون میشم اگه این موضوع رو یکم شفاف سازی کنین.
تشکر
اولین نکته اینکه WAF فقط یک ماژول روی وب سرور نیست و البته WAF های ارزون و نرم افزاری روی وب سرور نصب میشن ، WAF های قوی و سخت افزاری که در لایه Edge شبکه قرار می گیرند خیلی قدرتمند و گرونقیمت هستند مثل FortiWeb ... لفظ فایروال واقعا درسته چون ما رو از دسترسی غیرمجاز خارجی محافظت می کنن ، طبیعتا ما می تونیم NWAF و HWAF داشته باشیم که روی شبکه و روی Host نصب میشن ، WAF های درست و حسابی اتفاقا در لایه Edge قرار می گیرند و ترافیک لایه هفت رو بررسی می کنن و حتی قابلیت واکاوی اطلاعات داخل HTTPS رو هم در مواقعی دارند ، دستگاه زیر یک WAF ناقابل هست با نزدیک 100 تا 200 میلیون تومن قیمت :
خیلی ممنون از پاسخ خوبت
میشه گفت IPS ها هم نوعی فایروال هستن؟ چون به هر حال اونام ما رو از دسترسی غیر مجاز حفظ می کنن ؟!
IPS چون میتونه جلوی اجرای کدهای مخرب رو بگیره هم می تونه نقش فایروال رو داشته باشه ، بحث همون هست که فایروال در چند لایه میتونه کار کنه ، اون هم Rule داره تو IPS مثل Firewall ... در هر صورت دستگاه امنیتی هر چیزی باشه جلوی ورود آلودگی رو میگیره و یک فایروال محسوب میشه ولی خوب ما اینها رو تفکیک شده میگیم که مفاهیم قاطی نشه ...
درسته !
خیلی ممنونم از پاسخ گویی خوبت ..
مشتاقانه منتظر اموزش های جالب بعدی هستیم استاد
IDS رو میشه به یه طوطی سخنگو هم تشبیه کرد... .
؟
و یا سگی که پارس میکنه اما نمیتونه گاز بگیره...
این خوب تره بنظرم..
سگی که پشت فنس ها نشسته و پارس می کنه ، همه رو خبر می کنه اما خودش نمیتونه دزد رو بگیره ...
داره یواش یواش تبدیل به داستان میشه خخخ
سلام
مرسی از اطلاعات مفیدتون
یک سوال
اگر ips ها همون ids هایی هستن که محافظت هم میکنن اصلا دلیل وجود ids چیه؟
خب هرجا که خواستیم ids بذاریم ips میذاریم دیگه
کسی نمیگه در کنار IPS باید IDS هم باشه در ضمن اگه IDS نبود IPS ای هم نبود.
اینطوره آقای نصیری؟
بنده هم نگفتم کنار ips ها ids باشه
گفتم اگر ips داره همه کار رو میکنه دیگه چرا شرکت ها دستگاه ids میزنن و بقیه هم میخرن
خیر امید جان اینطور نیست چون IPS ها به تنهایی قابل نوشتن هستند و ربط خاصی به IDS ها ندارند و دلیل چیز دیگه ایه و در اصل میشه از IPS و IDS ها همزمان استفاده کرد و این بستگی به طراحی شبکه ما داره
خانم فروتن دلیل به وجود اومدن IDS ها در اصل برای استفاده در جاهایی هست که نمیشه جلوگیری کرد.
وقتی یک نفر از خارج شبکه به داخل شبکه ورود میکنه همونطور که مهندس نصیری گفتن میتونید اطلاعاتش رو عبور بدید از یک IPS و اون IPS هم جلوگیری کنه و به اصطلاح در قسمت DMZ که هم از خارج و هم از داخل اطلاعات میگیره و میده استفاده میشه یا پشت فایروال ورودی در لبه شبکه
ولی حالا شما فکر کنید در شبکه داخلی میشه از IPS ها استفاده کرد؟
مشخصا خیر به این دلیل که اگر بخوایم از IPS ها در شبکه داخلی استفاده کنیم باید سر راه هر دستگاه یک IPS بگذاریم که خب شدنی نیست (بحثمون سخت افزاری هاست)
پس وقتی به یک سوییچ فرضا 15 دستگاه وصل هست میایم پورت 16 ام رو تبدیل به اسپن پورت میکنیم تا IDS بتونه کار کنه
حالا دلیل چیه؟
مهم ترین دلیل جرم شناسی هست
با توجه به لاگ های دقیقی که میندازه اگر حمله ای صورت بگیره در شبکه داخلی میتونیم بفهمیم که کی بوده و چه کاری کرده و خیلی وقت ها شبکه ها از یک سوییچ ساخته نشدن که اونوقت دستگاه های دیگه ای به نام vampire tap میاد داخل قضیه که از بحثمون خیلی بالا تر هست فعلا
امیدوارم مفید بوده باشه
ممنون آقای خادمی،استفاده کردیم...
امیر جان این هم یه طراحی ساده از استفاده همزمان هردو
خیلی پیچیده تر هست ولی خب این دیگه ساده ترین حالته
عالی بود مصطفی جان!حال کردم
ضمنا امید نه،امیر :)
شرمنده چند جا داشتم پیام میدادم قاطی شد :)))
وظیفس
خیلی عالی بود مصطفی عزیز ، من چند نکته رو هم اضافه می کنم ، ببینید در پاسخ به خانم فروزان یه جمله رو تصور کنید فارق از ابعاد فنی چون بالاخره کسیکه یک IPS قوی خریداری کرده هر جوری هست تو شبکه جاش می کنه یا حداقل نوع نرم افزاریش رو روی سرورها نصب می کنه و Hos Based استفاده می کنه ، خانم فروزان پراید هم ماشینه ، لامبورگینی هم ماشینه ! خوب شما چرا از پراید استفاده می کنید وقتی لامبورگینی هست ؟ آیا امکانات لازم رو نمیده به شما ؟ هر چی میخاین نداره ؟ پس بیایم و دست از استفاده از پراید برداریم و لامبورگینی استفاده کنیم ! متوجه شدید ؟ الان شما IDS هایی که بر پایه نرم افزار SNORT هستند رو با انواع و اقسام اشکال می تونید بصورت کاملا رایگان استفاده کنید هم روی Host ها و هم در لایه شبکه و هیچ هزینه ای نکنید که برای خیلی جاها مهمه ... اما برای یک IPS من هنوز یک IPS قدرتمند و رایگان ندیدم و بعضا باید میلیون ها تومان هزینه پرداخت بشه ، برخی جاها اصلا مکانیزم کاری متفاوت هست شما نمیخاین که جلوی حمله رو بگیرید چون میخاین روی حمله مطالعه کنید مثلا ما بعدا متوجه میشیم تو حوزه امنیت که مفهومی داریم به نام Honeypot که برای مطالعه روی هکرها و گول زدنشون هست اونجا میشه از IDS ها استفاده کرد و فقط حملات رو تشخیص داد نه جلوش رو گرفت چون هدف جلوگیری نیست . در کل الان اکثرا تجهیزات ما ترکیبی هستند و این نرم افزارهای رایگان هستند که بیشتر بصورت IDS ارائه میشن ... امیدوارم توی هر ویدیو چنین بحثی بشه چون بحث در ویدیوهای بعدی هم خواهد بود. سپاسگزارم
سلام استاد؛ این درس هم بسیار بسیار عالی بود. دست مریزاد.
فقط برای من یه سوال پیش اومده. الان می بینم تو بحث هک مثلا میگن سایت هدف proxy less (درست میگم یا اینکه برنامه ای که نوشته شده این قابلیت رو داره یعنی؟)هستش. یعنی منظورشون همین بحثها هستش؟ یعنی اینکه طرف نیومده و IPS رو تو هاستینگ بزاره یا اینکه اون قابلیت تشخیص رو نداره؟
الان یه هاست چجوری تشخیص میده که از یک مبدا خاصی داره با IP های مختلف حمله صورت میگیره؟ آیا Mac address رو برمیداره و از روی اون میفهمه؟ یا اینکه این سوالم اصلا به این بحث مربوط نمیشه؟
نحوه تشخیص حملات بیشتر از روی Signature هست نه آدرس ها ، خیلی پیچیدگی داره ، الان نمیشه در اینجا بحثش رو کرد ، چند مطلب در وب سایت در خصوص مکانیزم کاری IPS و IDS وجود داره که پیشنهاد می کنم حتما مطالعه کنید.
سلام
در سناریوی زیر چرا یک IPS رو بروی روتر1 نمیذاریم و در قالب HIDS با نصب نرم افزار بروی هر سیستم داخل شبکه اینو پیاده سازی می کنیم؟
با نصب بروی روتر ما یه بار این کارو انجام میدیم، اما اونطور لقمه رو دوره سرمون چند بار تاب میدیم مهندس نصیری عزیز، نظرتون؟
خوب شما چرا تو شبکتون آنتی ویروس رو کلاینت ها نصب می کنید ؟ نمیشه یه آنتی ویروس روی روتر بزارید که همه شبکه رو محافظت کنه ؟ این دقیقا پاسخ سئوال شماست ، خوب روتر حملات بیرونی رو محافظت می کنه اگه حمله از داخل سازمان دهی بشه چطور ؟ اگه بودجه IPS تحت شبکه نداشته باشیم چطور ؟ اگه ...
چرا شما در آموزش نتورک+ به جای اینکه به مقوله آی پی، سابنتینگ، سوکت، کوچک و بزرگ کردن سابنت، نت، پت و کلا مقوله های زیر بنایی به مباحث حرفه ای مثل آی دی اس، آی پی اس و... میپردازین؟
دوست من ، من دارم طبق سیلابس استاندارد بین المللی خود شرکت Comptia که در ویدیوی اول بررسی کردیم جلو میرم ، در خصوص NAT و PAT قطعا در آینده صحبت میشه ، اما ما داریم درست میگیم اگر جای دیگه داره روش دیگه ای رو تدریس می کنه خوب قطعا اون سیلابسش مشکل داره ، دوره نتورک پلاس دوره ای نیست که بخوایم به افراد Subnetting و Supernetting و ... در حد زیاد بپردازیم چون گیج کننده میشه ، من میدونم برداشت شما از کجا اومده ، الان متاسفانه داخل ایران استادی که سیسکو بلد هست به جای نتورک پلاس همش بحث IP می کنه ... خروجیش مشخصه چیه ...
استاد یه سوال
شما جایی که میخواستید بگید که چه کاریه به خود IDSهم میگفتیم بیاد جلوگیری هم بکنه ولی ما چون ids در خارج از شبکه ما هست ما چیزی رو میخوایم که جایی باشه که ترافیک ورودی و خروجی هست یعنی وسط مسیر!
خب من الان متوجه نمیشم...خب IDS رو بذاریم وسط مسیر! نمیشه؟
مگه وقتی ترافیک از بیرون بیاد بالاخره نمیاد داخل سوییچ تا بعدش به کلاینت ها و سرور ها برسه؟ خب ids میتونست قبل از اینکه روی بقیه پورت های سوییچ ترافیک ارسال بشه جلوش رو هم بگیره! نمیشد؟
چرا میشه ، ولی خوب اینکار رو نمی کنیم معمولا به دلیل اینکه شبکه رو کند می کنه ، منطقش اینه که در گذرگاه ترافیکی باشه ، می تونیم اینکار رو هم بکنیم اما ریسک کندی ترافیک رو هر کسی به عهده نمیگیره ... حرف شما درست هست ... اما ما IDS رو دستگاه تجزیه و تحلیل میدونیم و گزارش دهی تا جلوگیری ... به خاطر همینم وسط مسیر نمیزاریمش ولی IPS برعکس ... در همین حالتی که شما گفتید قرار میگیره چون غیر این باشه اصلا نمیتونه جلوی ترافیک مزاحم رو بگیره.
بعد این IPS که یه دستش میخوره به فایروال و یه دستش به سوییچ با کار فایروال تداخل نداره؟
اول کدوم میان داخل مدار؟ یعنی وقتی ترافیک از بیرون میاد قبل از اینکه به فایروال برسه میرسه به IPS اونجا اگر تشخیص و جلوگیری انجام شد بعد میاد داخل فایروال؟ چطوریه؟
یا IPS هایی که به صورت ماژولار روی UTM نصب میشن ...چطور تداخل کاریشون با فایروال در بحث تشخیص و جلوگیری چطوریه؟
یعنی یه جورایی مثل گارد دو لایه عمل میکنن؟ خخخخخ
چون مثلا در بجث نرم افزاری گفته میشه دو فایروال رو روی یه سیستم عامل ویندوز نصب نکنید چون ممکنه باهم تداخل پیدا کنن...میخوام ببینم اینجا کلا چطوریه...چون این رو هم خوب نفهمیدم
معمولا IPS ها بصورت ماژول سخت افزاری روی روترها و فایروال ها قرار میگیرند ، تداخل کاری ندارن ، ترافیک ابتدا وارد IPS میشه و بعد اگر موردی بود جلوگیری و بعد به سمت فایروال میره یا می تونه پشت فایروال هم باشه ، همون گارد دو لایه مثال خوبیه ، خوب بله اگر دو فایروال با تداخل کاری یکسان کنار هم باشند مشکل ساز میشن ، اینها تداخل کاری ندارند بلکه مکمل هستند. فایروال ترافیک مجاز رو عبور میده به سمت IPS و IPS تشخیص میده آیا مشکلی داخلش وجود داره یا نه ... اگر نداشت در هر دو مرحله فرآیند ورود و خروج ترافیک انجام میشه.
دوست عزیز alimahboubi ، میتونید فایروال رو به عنوان یک نگهبان در ورودی یک شرکت یا سازمان در نظر بگیرید که افرادی که وارد سازمان میشن رو احراز هویت و در صورت نیاز بازرسی میکنه.که این دو در کنار هم مکمل های خوبی واسه همن.فایروال ترافیک رو از لحاظ نوع و قانونی که براش تعریف کردیم اجازه ورود و خروج میده اما IPS ترافیک رو از لحاظ سلامت محتوا بررسی میکنه.
سلام مهندس وقتتون بخیر
توی ویدیویی که مربوط به ids و ips میشه یه سوالی برام پیش اومد ، دستگاه utm که گفتین داخلش این دو سرویس هستن حتما باید توی مسیر محیط dmz نصب بشه ؟؟ چون شما گفتین که برای شبکه داخلی میشه از host base استفاده کرد آیا نمیشه بعد از روتر و قبل از اینکه ترافیک بخواد وارد شبکه داخلی بشه دستگاه رو نصب کرد که نیازی به host base نباشه ؟؟ (داخل عکس کشیدم )
چرا میشه نصب کرد و مشکلی نیست ، این یک پیشنهاد هست ، اما دقت کنید وقتی حمله داخلی باشه دیگه نمیشه با اونیکه در DMZ هست چک کرد.
وای مهندس این تا آخر فیلم ها همش تئوری هست ؟ یعنی بقیه دوره های شبکه هم همینطوریه ؟ 😃 بابا کمی عملیاتی کار کنیم
ببینید اساسا ماهیت دوره نتورک پلاس یک کتاب کاملا تئوری هست ، ولی ما قصد داریم به شما کارهای عملی رو هم نشون بدیم ، تا حدی که در توان باشه شما تازه قسمت پانزدهم هستید تا قسمت صدم کلی راه هست .... الان طبیعتا تو این دوره تنظیمات آموزش داده نمیشه که بخایم بگیم فلان کار رو انجام بدیم ، در حد توان دانشجوهای این دوره هست ، یعنی واقعا انتظار دارید الان برای شما IPS و IDS در این دوره آموزش داده بشه ؟ شما مگه الان حملات رو میشناسید ؟ مگه لینوکس رو میشناسید ؟ مگه پیکربندی وب سرور بلد هستید ؟ به همین دلیل بسیاری از کارگاه ها به شکل نمایش هست که برای شما جا بیوفته مثلا منظور از این حمله اینجوری هست.
سلام.
ببخشید یه سوال داشتم
چرا با وجود بودن فایروال ما باید از IDS یا IPS استفاده کرد؟
فایروال و IDS و IPS مکمل های همدیگه هستند ... IDS/IPS محتوای ترافیک رو از لحاظ سلامت بررسی می کنه اما فایروال کاری نداره که توی ترافیک شبکه چی میگذره ولی میاد بر اساس قوانین Rule هایی که براش نوشته شده اجازه یا عدم اجازه ورود و خروج ترافیک ها رو میده.
دوست عزیز شما اگر کامنت هایی که در بالا گذاشته شدن رو میخوندید جواب تون رو میگرفتید ... مهندس نصیری ممکن هست فرصت نکنن و به سئوال ها جواب بدن. باز من از حضورتون معذرت میخوام که به سئوالتون جواب دادم. متشکرم
جناب egraphican آقای مهندس کریم پور از مدیرهای وب سایت هستن ، توی این وب سایت وقتی کسی می تونه پاسخی بده مجوز داره که پاسخ بده ، اگر نادرست باشه استاد میاد میگه این مسئله درست نیست و پاسخ درست این هست ، اگر درست باشه فقط پسند میزنه و نیازی نیست که پاسخ اضافه ای بده ، اگر ببینیم پاسخ دوستان اشتباه هست قطعا پاسخ درست رو ارائه می کنیم . اینجا کسی غیر از من که مالک ویدیو هستم موظف به پاسخگویی نیست پس لطف دوستان هست که همکاری می کنند ، در پاسخ به سئوالتون ضمن اینکه پاسخ مهندس کریم پور کاملا درست هست باید بگم که مفهوم UTM رو بررسی کنید متوجه میشید که دیگه رسما چیزی به نام فایروال خالی وجود نداره و یک پکیج امنیتی دیگه وجود داره به نام UTM که برای هر نوع تهدید یک نوع ابزار یا ماژول داره که برای شناسایی تهدیدات و جلوگیری مثلا IPS و IDS استفاده می کنیم.
ممنونم. و بابت پستم از اقای کریم پور معذرت میخوام.
میشه از وضعیت استفاده IPS و IDS ها در ایران بفرمایید .
اینکه آیا اصلا استفاده میکنند ؟ معمولا چه جاهایی استفاده میکنند و ...
و چه کسی تشخیص میده که باید IPS استفاده بشه ؟
خیلی رک و صریح میگم که در بیشتر از 90 درصد شبکه های ایرانی سرویس IDS و IPS با اینکه روی UTM ها وجود داره فعال نمیشه ، چند دلیل داره عدم استفاده ازش ، اول اینکه ممکنه اینترنت شما کند بشه یا شبکه داخلی بسته به تنظیمات اشتباه ، دوم اینکه سواد پیاده سازی وجود نداره و هر کسی که فروخته میگن نصبشم بکنه ، چهارم اینکه برای کلاس کاری میگن IPS هم داره همین ! نقش هویج رو داره در خیلی از سازمانهامون
ممنونم که تجربه ها رو به اشتراک میذارید .
یه سوال داشتم
اگه Host based IDS بر روی کامپیوترها و کلاینت ها قرار می گیرن برای جلوگیری از حمله های شبکه پس فرقشون با انتی ویروس ها چیست؟
ممنون میشم
عزیز من دو نوع حمله متفاوت هستن ، نفوذ الزاما بدافزار نیست که مثل فایل قابل شناسایی باشه ، یک ساختار فعالیتی هست .
سلام استاد وقت بخیر
چرا این جمله را نوشتید و بعد برابر قرار دادید با HIDS؟
network intrusion prevention system = HIDS
آخه network هست و H نوشتید! و Prevention هست و D نوشتید!
و گفتید فقط دو مفهوم HIDS و NIDS ?!
شاید من این دو تا مفهوم رو متوجه نشدم میشه بیشتر توضیح بدین
متشکرم
شاید اشتباه تایپی باشه ! طبیعتا HIDS مخفف Host Based Intrusion Detection System هست و NIDS هم Network Based Intrusion Detection system ... کامل توی ویدیو توضیح دادم
احتمالا تایپی هست ! پس میشه NIPS?!
فقط جهت اصلاح گفتم :)
سلام جناب نصیری عزیز .
نمیشد بین روتر 1 و سوئیچ 2 IPS رو قرار داد ؟!
اگر میشد پس دیگه دلیلی وجود نداشت که بیایم و به طور مستقل روی هر پی سی یک IPS نصب کنیم .
با اینکار اگر چیز مخربی خواست به بیرون بره و یا از بیرون بیاد جلوش گرفته میشد ؟!
آیا IPS و IDS های سخت افزاری مثل فایروال ها نوعی اپلاینس هستن !؟
سلام