Razlika med IDS in IPS

IDS vs IPS

IDS (Intrusion Detection System) so sistemi, ki v omrežju zaznajo neprimerne, napačne ali nepravilne dejavnosti in o njih poročajo. Poleg tega lahko IDS uporabite za odkrivanje, ali omrežje ali strežnik doživlja nepooblaščen vdor. IPS (Intrusion Prevention System) je sistem, ki aktivno prekine povezave ali izpusti pakete, če vsebujejo nepooblaščene podatke. IPS je mogoče razumeti kot razširitev IDS-ja.

IDS

IDS spremlja omrežje in odkriva neprimerne, nepravilne ali nepravilne dejavnosti. Obstajata dve glavni vrsti IDS. Prvi je mrežni sistem za zaznavanje vdorov (NIDS). Ti sistemi pregledujejo promet v omrežju in spremljajo več gostiteljev zaradi prepoznavanja vdorov. Senzorji se uporabljajo za zajem prometa v omrežju in vsak paket se analizira za prepoznavanje zlonamerne vsebine. Druga vrsta je sistem za zaznavanje vdorov na osnovi gostitelja (HIDS). HIDS so nameščeni v gostiteljskih strojih ali strežniku. Analizirajo lokalne podatke naprave, kot so sistemski dnevniki, revizijske sledi in spremembe datotečnega sistema, da prepoznajo nenavadno vedenje. HIDS primerja običajni profil gostitelja z opaženimi aktivnostmi, da ugotovi morebitne anomalije. V večini krajev so naprave, nameščene za IDS, nameščene med usmerjevalnikom in požarnim zidom ali zunaj usmerjevalnika. V nekaterih primerih naprave, nameščene za IDS, postavijo zunaj požarnega zidu in usmerjevalnika, da bi videli celoten obseg poskusov napadov. Zmogljivost je ključna težava pri sistemih IDS, saj se uporabljajo pri omrežnih napravah z visoko pasovno širino. Tudi pri visoko zmogljivih komponentah in posodobljeni programski opremi IDS ponavadi izpušča pakete, saj ne zmore velikega pretoka.

IPS

IPS je sistem, ki aktivno ukrepa, da prepreči vdor ali napad, ko ga prepozna. IPS so razdeljeni v štiri kategorije. Prvi je mrežno preprečevanje vdorov (NIPS), ki spremlja celotno omrežje zaradi sumljivih dejavnosti. Druga vrsta so sistemi Network Behavior Analysis (NBA), ki preučujejo prometni tok, da zaznajo nenavadne prometne tokove, ki bi lahko bili posledica napada, kot je razdeljeno zavrnitev storitve (DDoS). Tretja vrsta so brezžični sistemi za preprečevanje vdorov (WIPS), ki analizirajo brezžična omrežja zaradi sumljivega prometa. Četrta vrsta so sistemi za preprečevanje vdorov na osnovi gostitelja (HIPS), kjer je nameščen programski paket za spremljanje dejavnosti enega samega gostitelja. Kot smo že omenili, IPS izvaja aktivne korake, kot so spuščanje paketov, ki vsebujejo zlonamerne podatke, ponastavitev ali blokiranje prometa, ki prihaja iz kršitve IP naslova.

Kakšna je razlika med IPS in IDS?

IDS je sistem, ki nadzoruje omrežje in zazna neprimerne, nepravilne ali nepravilne dejavnosti, medtem ko je IPS sistem, ki zazna vdore ali napade in izvaja aktivne ukrepe, da jih prepreči. Za razliko od IDS-ja se glavno spoštuje, IPS aktivno sprejema ukrepe za preprečevanje ali blokiranje vdorov, ki jih odkrije. Ti koraki za preprečevanje vključujejo dejavnosti, kot so opuščanje zlonamernih paketov in ponastavitev ali blokiranje prometa, ki prihaja iz zlonamernih naslovov IP. IPS je mogoče razumeti kot razširitev IDS, ki ima dodatne zmogljivosti za preprečevanje vdorov, medtem ko jih zazna.