نهضرو شويا على هاذ جوج أنظمة لي مهمين فالسيكيريطي ديال الريزو وحتى ديال الهوست ديالنا.
هاد IDS و IPS يمكن ليهم يكونو عبارة عن سوفتوير أو هاردوير. على حسب الحاجة ديال كل شخص.
IDS: Intrusion Detection Systems
هذا الدور ديالو هو يديدكطي أي خطر عندنا فالنيتوورك ديالنا. يعني كيشد گاع الطرافيك لي كيدخل لعندنا وكيحللو مزيان وكيتأكد واش داكشي مافيهش شي فيروسات ولا شي آطاك...
إلى لقى مثلا أنه كاينة شي Attack كيخليها تدووز ماكيقدرش يبلوكيها ولا يدير شي ردة فعل. ولكن كيصيفط Notification للآدمين على حسب الأوتيل لي ديجا حدد ليه يصيفطليه فيها النوتيفيكاسيون..
هاذ الـ IDS ماكيدير حتى شي تأثير على الريزو ديالنا. لأنه كيتعتابر Equipment عادي بحالو بحال السويتش والراوتر.
طريقة الخدمة ديالو، الطرافيك كيدخل من الراوتر مرورا بالفايروول إذا كان عندنا، وكيدوز للسويتش، السويتش بدورو راه كيصيفط كل Packet للهوست لي غادية ليه.. من بعد عااد كيجمع گاع داك الطرافيك لي دخل وكيصيفطو للـ IDS باش يحللو.
يعني إذا كان شي فيروس أو شي هجمة كيف ما بغى يكون نوعها، راها غادية تضرب الريزو كامل عااد غايديدكطيها الـ IDS.
وهاذ الـ IDS وخا يطفى مثلا ولا يخسر ولا يتبلوكا، ماغايديرش شي تأثير على النيتوورك، حيت كيف قلنا الفوق هو كيكون غا مجرد Equipment بحالو بحال السويتش ولا شي PC. هو فقط غا يعطينا التحليل كامل ديال الطرافيك. نوع الهجمة أو الفيروس، البورطات المستخدمة...
IPS : Intrusion Prevention Systems
هذا الدور ديالو هو يديدكطي أي فيروس أو هجمة، ويبلوكيها فالحين. يعني ماشي بحال IDS لي غاكيحلل ويديدكطي وماكيدير حتى ردة فعل. هذا كيحلل ويديديكطي ويدير ردة الفعل. مثلا إذا اكتشف شي هجوم. كيدير لاسورس ديال داك الهجوم فبلاك ليست وكيقطع داك الطرافيك مايبقاش يدخل للريزو. أو كيسد البورط لي كان مفتوح وكيتم استغلالو. لمهم كيدير شي رياكسيون.. وهو كيكون محطوط مباشرة من بعد الراوتر أو الفايروول إذا كان عندنا. يعني هو آخر واحد كيوصلو الطرافيك قبل السويتش والهوستز.. اذن كولشي كيولي يدوز على يدو وهو لي كيقرر شنو لي غايخلي يدوز وشنو لي ماغايدوزش.
كيف شفنا الـ IDS ماكيديرش شي حماية كبيرة للنيتوورك، وكيخاصنا الآدمين ديما يجي ويبقى يراقب گاع دوك الـ Notification لي سجلهم وهذا عمل متعب.. ولكن من مميزاتو أنه ماكيديرش Lood على النيتوورك، وماغايطيحش لينا النيتوورك بسبب شي عطل فيه.
الـ IPS كيدير حماية جيدة للنيتوورك ولكن عندو بعض السلبيات، ألا وهي كيولي النيتوورك ثقيل حيت كيحتاج شويا دالوقت فين يدير التحليل ديالو ويشوف شنو يحبس وشنو يطلق، أيضا إذا خسر أو توقف على العمل فراه غايحبس لينا كولشي حيت على يدو كولشي كيدوز. ويقدر بعض المرات يبلوكي شي طرافيك عادي إذا كان البروسيس ديال داك الطرافيك طالع. فراه كيعتابرو هجمة وكيبلوكيه. ولكن هاذشي كيبقى راجع للكونفيغ لي نتا عاطيه، طبعا كيتبازا عليها.
هاذ الـ IDS و IPS ما هي إلا مكملات للفايروول، يعني مايمكنش تستغنى على الفايروول وتعوضو بهاذو. ومايمكنش تعتامد غا على الفايروول بوحدو وتستغنى على هاذو. طبعا إذا كنتي شركة كبيرة وباغي حماية كبيرة وجيدة فراك غاتخدم بيهم بجوج. باش شي كيكمل شي وكيتعاونو وماكيخليو حتى حاجة دوز.
طريقة العمل ديال هاذ الأنظمة بحالها بحال الـ Anti-virus عندهم واحد الطابل فيها گاع Signatures ديال لي فيروس لي كاينين، وطبعا كل مرة كيزيدو Signatures جداد فيها عن طريق الميزاجورات.. يعني فين ما كيبغي يدخل شي طرافيك جديد كيسكانيه كيدير مقارنة مع المعلومات لي عندو، إذا لقى شي حاجة كتطابق داكشي لي عندو كيبلوكيها.
كيف ما يقدر الآدمن يحدد ليه Strategies يخدم عليهم. إذا حددتي ليه نتا مثلا يبلوكي شي طرافيك معين، راه كيبلوكيه ملي كيتطبق داك الطرافيك..
أيضا تقدر دير فيه فيلطراج ديال الويب، مثلا يمنع شي روكيط جاية من شي موقع بغى يآكسيدي ليه شي يوزر من النيتوورك ديالك.
Configuration :
بالنسبة للـ IDS غاتحتاج فيه بعض الكونفيغ، لأنه كيف قلنا هو غايكون غا عبارة عن Equipment مع الهوستز، وخاص شي طريقة باش السويتش يثيق فيه ويصيفطليه گاع الطرافيك لي جاه. لأن السويتش كيف كنعرفو ماكيخدمش Broadcast وكيصيفط لي روكيط لكل بورط بوحدو..
إذن هنا غانحتاجو شي كونفيغ لي تخليه يعطي للـ IDS الطرافيك. والكوموند ساهلين.
ناخذو الطوبولوجي لتحت باش تفهمو أكثر.
انمشيو للسويتش المود Configuration Global :
S1(config)# monitor session 1 source interface e0/1S1(config)# monitor session 1 destination interface e0/2 {CodeBox}
الشرح:
كنكتبو الكوموند monitor session وكنعطيوها شي رقم لي بغينا هنا كمثال خذيت رقم 1 ومن بعد كنكتبو source يعني آشمن انطيرفاص غادي نصيفطو منها الطرافيك وكنكتبو الكوموند interface ونحددو الرقم ديالها ولي فهاذ المثال هو e0/1
من بعد عاودت نفس الكوموند غير هاذ المرة غانبدل لانطيرفاص ديال الـ Destination لي غايكون هو الـ IDS لي غايستقبل الطرافيك لي دخل للهوست PC1
يعني السويتش اش غايدير فهاذ الحالة. غايجيه شي طرافيك من الفايروول لي فوق منو مباشرة. غايصيفط لكل جهة الطرافيك الخاص بها.. من بعد ماكل واحد غايتلقى الروكيط الخاص به.. غاينوض هاذ PC1 غايهز الروكيط لي وصلاتو وغايعاود يصيفطها للـ IDS باش هاكا يقدر يحللها ويشوف شنو كاين..
حاولت نعطي فكرة مبسطة على هاذ النظامين، فيهم بزاف ما يتقال تقدرو تقلبو كثر وتعمقو اكثر. هذا غا ملخص شامل على الأساسيات.
