IDS kontra IPS
IDS (system wykrywania włamań) to systemy, które wykrywają działania, które są nieodpowiednie, nieprawidłowe lub nietypowe w sieci i zgłaszają je. Co więcej, IDS może być używany do wykrywania, czy sieć lub serwer doświadcza nieautoryzowanego włamania. IPS (Intrusion Prevention System) to system, który aktywnie rozłącza połączenia lub odrzuca pakiety, jeśli zawierają nieautoryzowane dane. IPS może być postrzegany jako rozszerzenie IDS.
IDS
IDS monitoruje sieć i wykrywa nieodpowiednie, nieprawidłowe lub nietypowe działania. Istnieją dwa główne typy IDS. Pierwszym z nich jest system wykrywania włamań do sieci (NIDS). Systemy te badają ruch w sieci i monitorują wiele hostów w celu identyfikacji włamań. Czujniki służą do przechwytywania ruchu w sieci, a każdy pakiet jest analizowany w celu zidentyfikowania złośliwej zawartości. Drugi typ to system wykrywania włamań oparty na hoście (HIDS). HIDS są wdrażane na komputerach hosta lub serwerze. Analizują dane, które są lokalne dla maszyny, takie jak pliki dziennika systemowego, ścieżki audytu i zmiany w systemie plików, aby zidentyfikować nietypowe zachowanie. HIDS porównuje normalny profil gospodarza z obserwowanymi aktywnościami, aby zidentyfikować potencjalne anomalie. W większości miejsc urządzenia zainstalowane przez IDS są umieszczone pomiędzy routerem granicznym a zaporą sieciową lub poza routerem granicznym. W niektórych przypadkach urządzenia zainstalowane przez IDS są umieszczane poza zaporą ogniową i routerem brzegowym z zamiarem zobaczenia pełnego zakresu prób ataków. Wydajność jest kluczowym problemem w systemach IDS, ponieważ są one używane z urządzeniami sieciowymi o dużej przepustowości. Nawet przy komponentach o wysokiej wydajności i zaktualizowanym oprogramowaniu IDS ma tendencję do odrzucania pakietów, ponieważ nie jest w stanie obsłużyć dużej przepustowości.
IPS
IPS to system, który aktywnie podejmuje kroki, aby zapobiec włamaniom lub atakom, gdy je zidentyfikuje. IPS są podzielone na cztery kategorie. Pierwszym z nich jest Network-based Intrusion Prevention (NIPS), który monitoruje całą sieć pod kątem podejrzanej aktywności. Drugi typ to systemy analizy zachowania sieci (NBA), które badają przepływ ruchu w celu wykrycia nietypowych przepływów ruchu, które mogą być wynikiem ataku, takiego jak rozproszona odmowa usługi (DDoS). Trzeci rodzaj to bezprzewodowe systemy zapobiegania włamaniom (WIPS), które analizują sieci bezprzewodowe pod kątem podejrzanego ruchu. Czwarty typ to systemy zapobiegania włamaniom oparte na hoście (HIPS), w których instalowany jest pakiet oprogramowania do monitorowania działań pojedynczego hosta. Jak wspomniano wcześniej, IPS podejmuje aktywne kroki, takie jak odrzucanie pakietów zawierających złośliwe dane, resetowanie lub blokowanie ruchu pochodzącego z obraźliwego adresu IP.
Jaka jest różnica między IPS a IDS?
IDS to system, który monitoruje sieć i wykrywa niewłaściwe, nieprawidłowe lub nietypowe działania, podczas gdy IPS to system, który wykrywa wtargnięcie lub atak i podejmuje aktywne kroki, aby im zapobiec. Główna różnica między nimi jest inna niż IDS, IPS aktywnie podejmuje kroki w celu zapobiegania lub blokowania wykrytych włamań. Te kroki zapobiegawcze obejmują działania takie jak upuszczanie złośliwych pakietów i resetowanie lub blokowanie ruchu pochodzącego ze złośliwych adresów IP. IPS może być postrzegany jako rozszerzenie IDS, które ma dodatkowe możliwości zapobiegania włamaniom podczas ich wykrywania.