IDS vs IPS
IDS (Intrusion Detection System) sunt sisteme care detectează activități inadecvate, incorecte sau anormale într-o rețea și le raportează. În plus, IDS poate fi utilizat pentru a detecta dacă o rețea sau un server se confruntă cu o intruziune neautorizată. IPS (Intrusion Prevention System) este un sistem care deconectează activ conexiunile sau lasă pachetele, dacă acestea conțin date neautorizate. IPS poate fi văzut ca o extensie a IDS.
IDS
IDS monitorizează rețeaua și detectează activități necorespunzătoare, incorecte sau anormale. Există două tipuri principale de IDS. Primul este sistemul de detectare a intruziunilor în rețea (NIDS). Aceste sisteme examinează traficul din rețea și monitorizează mai multe gazde pentru identificarea intruziunilor. Senzorii sunt utilizați pentru a captura traficul din rețea și fiecare pachet este analizat pentru a identifica conținutul rău intenționat. Al doilea tip este sistemul de detectare a intruziunilor bazat pe gazdă (HIDS). HIDS sunt implementate pe mașini gazdă sau pe un server. Aceștia analizează date care sunt locale pentru mașină, cum ar fi fișierele de jurnal de sistem, traseele de audit și modificările sistemului de fișiere pentru a identifica comportamentul neobișnuit. HIDS compară profilul normal al gazdei cu activitățile observate pentru a identifica potențialele anomalii. În majoritatea locurilor,Dispozitivele instalate IDS sunt plasate între routerul de bord și firewall sau în afara routerului de bord. În unele cazuri, dispozitivele instalate IDS sunt plasate în afara firewallului și a routerului de bord, cu intenția de a vedea întreaga gamă de încercări de atac. Performanța este o problemă cheie cu sistemele IDS, deoarece acestea sunt utilizate cu dispozitive de rețea cu lățime de bandă mare. Chiar și cu componente de înaltă performanță și software actualizat, IDS au tendința de a renunța la pachete, deoarece acestea nu pot gestiona debitul mare. IDS au tendința de a renunța la pachete deoarece nu pot face față volumului mare. IDS au tendința de a renunța la pachete deoarece nu pot face față volumului mare.
IPS
IPS este un sistem care ia măsuri active pentru a preveni o intruziune sau un atac atunci când identifică unul. IPS sunt împărțite în patru categorii. Primul este prevenirea intruziunilor bazate pe rețea (NIPS), care monitorizează întreaga rețea pentru activități suspecte. Al doilea tip este sistemul de analiză a comportamentului în rețea (NBA) care examinează fluxul de trafic pentru a detecta fluxuri neobișnuite de trafic care ar putea fi rezultatele atacului, cum ar fi refuzul de serviciu distribuit (DDoS). Al treilea tip este Wireless Intrusion Prevention Systems (WIPS), care analizează rețelele fără fir pentru traficul suspect. Al patrulea tip este Sistemele de prevenire a intruziunilor bazate pe gazdă (HIPS), unde este instalat un pachet software pentru a monitoriza activitățile unei singure gazde. După cum sa menționat anterior, IPS ia măsuri active, cum ar fi eliminarea pachetelor care conțin date rău intenționate,resetarea sau blocarea traficului provenit de la o adresă IP ofensatoare.
Care este diferența dintre IPS și IDS?
Un IDS este un sistem care monitorizează rețeaua și detectează activități neadecvate, incorecte sau anormale, în timp ce un IPS este un sistem care detectează intruziunea sau un atac și ia măsuri active pentru a le preveni. Principala deferență dintre cele două este diferită de IDS, IPS ia activ măsuri pentru a preveni sau bloca intruziunile care sunt detectate. Acești pași de prevenire includ activități precum renunțarea la pachete dăunătoare și resetarea sau blocarea traficului provenit de la adrese IP dăunătoare. IPS poate fi văzut ca o extensie a IDS, care are capacități suplimentare pentru a preveni intruziunile în timp ce le detectează.