IDS vs IPS
IDS (Intrusion Detection System) to systemy, które wykrywają niewłaściwe, niepoprawne lub anomalne działania w sieci i zgłaszają je. Ponadto IDS może być używany do wykrywania, czy w sieci lub na serwerze występuje nieautoryzowane włamanie. IPS (Intrusion Prevention System) to system, który aktywnie rozłącza połączenia lub odrzuca pakiety, jeśli zawierają nieautoryzowane dane. IPS można postrzegać jako rozszerzenie IDS.
IDS
IDS monitoruje sieć i wykrywa nieodpowiednie, nieprawidłowe lub anomalne działania. Istnieją dwa główne typy IDS. Pierwszy to system wykrywania włamań sieciowych (NIDS). Systemy te badają ruch w sieci i monitorują wiele hostów w celu identyfikacji włamań. Czujniki są używane do przechwytywania ruchu w sieci, a każdy pakiet jest analizowany w celu zidentyfikowania złośliwej zawartości. Drugi typ to system wykrywania włamań oparty na hoście (HIDS). HIDS są wdrażane na komputerach hosta lub serwerze. Analizują dane lokalne dla maszyny, takie jak pliki dzienników systemowych, ścieżki audytu i zmiany w systemie plików, aby zidentyfikować nietypowe zachowanie. HIDS porównuje normalny profil żywiciela z obserwowanymi czynnościami, aby zidentyfikować potencjalne anomalie. W większości miejscZainstalowane urządzenia IDS są umieszczane pomiędzy routerem granicznym a zaporą lub poza routerem granicznym. W niektórych przypadkach urządzenia zainstalowane przez IDS są umieszczane poza zaporą ogniową i routerem granicznym z zamiarem zobaczenia pełnego zakresu prób ataków. Wydajność jest kluczowym problemem w systemach IDS, ponieważ są one używane z urządzeniami sieciowymi o dużej przepustowości. Nawet z wysokowydajnymi komponentami i zaktualizowanym oprogramowaniem IDS ma tendencję do odrzucania pakietów, ponieważ nie radzą sobie z dużą przepustowością. IDS mają tendencję do odrzucania pakietów, ponieważ nie mogą obsłużyć dużej przepustowości. IDS mają tendencję do odrzucania pakietów, ponieważ nie mogą obsłużyć dużej przepustowości.
IPS
IPS to system, który aktywnie podejmuje kroki w celu zapobieżenia włamaniom lub atakom, gdy je zidentyfikuje. IPS są podzielone na cztery kategorie. Pierwszym z nich jest Network-based Intrusion Prevention (NIPS), który monitoruje całą sieć pod kątem podejrzanej aktywności. Drugi typ to systemy analizy zachowań sieciowych (NBA), które badają przepływ ruchu w celu wykrycia nietypowych przepływów ruchu, które mogą być skutkiem ataku, takiego jak rozproszona odmowa usługi (DDoS). Trzeci rodzaj to bezprzewodowe systemy zapobiegania włamaniom (WIPS), które analizują sieci bezprzewodowe pod kątem podejrzanego ruchu. Czwartym typem są systemy zapobiegania włamaniom oparte na hoście (HIPS), w których jest instalowany pakiet oprogramowania do monitorowania działań pojedynczego hosta. Jak wspomniano wcześniej, IPS podejmuje aktywne działania, takie jak porzucanie pakietów zawierających złośliwe dane,resetowanie lub blokowanie ruchu pochodzącego z niewłaściwego adresu IP.
Jaka jest różnica między IPS a IDS?
IDS to system, który monitoruje sieć i wykrywa nieodpowiednie, niepoprawne lub anomalne działania, podczas gdy IPS to system, który wykrywa włamania lub atak i podejmuje aktywne kroki, aby im zapobiec. Główny szacunek między nimi jest w przeciwieństwie do IDS, IPS aktywnie podejmuje kroki w celu zapobiegania lub blokowania wykrytych włamań. Te kroki zapobiegawcze obejmują działania takie jak upuszczanie złośliwych pakietów i resetowanie lub blokowanie ruchu pochodzącego ze złośliwych adresów IP. IPS można postrzegać jako rozszerzenie systemu IDS, które ma dodatkowe możliwości zapobiegania włamaniom podczas ich wykrywania.