IDS vs IPS
IDS (Intrusion Detection System) sunt sisteme care detectează activități nepotrivite, incorecte sau anormale într-o rețea și le raportează. Mai mult, IDS poate fi folosit pentru a detecta dacă o rețea sau un server se confruntă cu o intruziune neautorizată. IPS (Intrusion Prevention System) este un sistem care deconectează activ conexiunile sau elimină pachete, dacă acestea conțin date neautorizate. IPS poate fi văzut ca o extensie a IDS.
IDS
IDS monitorizează rețeaua și detectează activități neadecvate, incorecte sau anormale. Există două tipuri principale de IDS. Primul este sistemul de detectare a intruziunilor în rețea (NIDS). Aceste sisteme examinează traficul din rețea și monitorizează mai multe gazde pentru identificarea intruziunilor. Senzorii sunt utilizați pentru a capta traficul din rețea și fiecare pachet este analizat pentru a identifica conținutul rău intenționat. Al doilea tip este sistemul de detectare a intruziunilor bazat pe gazdă (HIDS). HIDS-urile sunt implementate în mașini gazdă sau pe un server. Aceștia analizează datele locale ale mașinii, cum ar fi fișierele jurnal de sistem, pistele de audit și modificările sistemului de fișiere pentru a identifica comportamentul neobișnuit. HIDS compară profilul normal al gazdei cu activitățile observate pentru a identifica potențialele anomalii. În majoritatea locurilor, dispozitivele instalate IDS sunt plasate între routerul de bord și paravanul de protecție sau în afara routerului de bord. În unele cazuri, dispozitivele instalate IDS sunt plasate în afara paravanului de protecție și a router-ului de bord, cu intenția de a vedea întreaga amploare a încercărilor de atac. Performanța este o problemă cheie cu sistemele IDS, deoarece acestea sunt utilizate cu dispozitive de rețea cu lățime de bandă mare. Chiar și cu componente de în altă performanță și software actualizat, IDS tind să renunțe la pachete, deoarece nu pot gestiona un debit mare.
IPS
IPS este un sistem care ia în mod activ măsuri pentru a preveni o intruziune sau un atac atunci când identifică unul. IPS sunt împărțite în patru categorii. Primul este Network-based Intrusion Prevention (NIPS), care monitorizează întreaga rețea pentru activități suspecte. Al doilea tip este sistemele de analiză a comportamentului rețelei (NBA) care examinează fluxul de trafic pentru a detecta fluxuri de trafic neobișnuite care ar putea fi rezultatul unui atac, cum ar fi refuzul de serviciu distribuit (DDoS). Al treilea tip este Wireless Intrusion Prevention Systems (WIPS), care analizează rețelele wireless pentru trafic suspect. Al patrulea tip este Sistemele de prevenire a intruziunilor bazate pe gazdă (HIPS), unde este instalat un pachet software pentru a monitoriza activitățile unei singure gazde. După cum am menționat mai devreme, IPS ia pași activi, cum ar fi eliminarea pachetelor care conțin date rău intenționate, resetarea sau blocarea traficului provenit de la o adresă IP ofensătoare.
Care este diferența dintre IPS și IDS?
Un IDS este un sistem care monitorizează rețeaua și detectează activități inadecvate, incorecte sau anormale, în timp ce un IPS este un sistem care detectează intruziunea sau un atac și ia măsuri active pentru a le preveni. Principala deferență între cele două este spre deosebire de IDS, IPS ia în mod activ măsuri pentru a preveni sau a bloca intruziunile care sunt detectate. Acești pași de prevenire includ activități precum eliminarea pachetelor rău intenționate și resetarea sau blocarea traficului provenit de la adrese IP rău intenționate. IPS poate fi văzut ca o extensie a IDS, care are capabilități suplimentare de a preveni intruziunile în timp ce le detectează.
