IDS vs IPS
IDS (Intrusion Detection System) sú systémy, ktoré zisťujú aktivity, ktoré sú v sieti nevhodné, nesprávne alebo anomálne, a hlásia ich. Okrem toho je možné IDS použiť na zistenie, či sieť alebo server zaznamenali neoprávnený prienik. IPS (Intrusion Prevention System) je systém, ktorý aktívne odpája spojenia alebo zahodí pakety, ak obsahujú neautorizované dáta. IPS možno považovať za rozšírenie IDS.
IDS
IDS monitoruje sieť a zisťuje nevhodné, nesprávne alebo anomálne aktivity. Existujú dva hlavné typy IDS. Prvým z nich je systém detekcie prienikov do siete (NIDS). Tieto systémy skúmajú prevádzku v sieti a monitorujú viacero hostiteľov, aby identifikovali prieniky. Na zachytenie prevádzky v sieti sa používajú senzory a každý paket sa analyzuje, aby sa identifikoval škodlivý obsah. Druhým typom je Host-based Intrusion Detection System (HIDS). HIDS sú nasadené na hostiteľských počítačoch alebo serveroch. Analyzujú údaje, ktoré sú lokálne pre stroj, ako sú systémové protokolové súbory, auditovacie záznamy a zmeny súborového systému, aby identifikovali neobvyklé správanie. HIDS porovnáva normálny profil hostiteľa s pozorovanými aktivitami, aby sa identifikovali potenciálne anomálie. Vo väčšine miest sú zariadenia nainštalované v IDS umiestnené medzi hraničný smerovač a firewall alebo mimo hraničného smerovača. V niektorých prípadoch sú zariadenia nainštalované v IDS umiestnené mimo firewall a hraničný smerovač s úmyslom vidieť celú šírku pokusov o útok. Výkon je kľúčovým problémom systémov IDS, pretože sa používajú so sieťovými zariadeniami s vysokou šírkou pásma. Aj pri vysokovýkonných komponentoch a aktualizovanom softvéri má IDS tendenciu zahadzovať pakety, pretože nedokážu zvládnuť veľkú priepustnosť.
IPS
IPS je systém, ktorý aktívne podniká kroky na zabránenie prieniku alebo útoku, keď ho identifikuje. IPS sú rozdelené do štyroch kategórií. Prvým je Network-based Intrusion Prevention (NIPS), ktorý monitoruje podozrivú aktivitu celej siete. Druhým typom sú systémy Network Behavior Analysis (NBA), ktoré skúmajú tok prevádzky, aby odhalili nezvyčajné toky prevádzky, ktoré by mohli byť výsledkom útoku, ako je napríklad distribuované odmietnutie služby (DDoS). Tretím typom je Wireless Intrusion Prevention Systems (WIPS), ktorý analyzuje bezdrôtové siete na podozrivú prevádzku. Štvrtým typom je Host-based Intrusion Prevention Systems (HIPS), kde je nainštalovaný softvérový balík na monitorovanie aktivít jedného hostiteľa. Ako už bolo spomenuté, IPS podniká aktívne kroky, ako je zahadzovanie paketov, ktoré obsahujú škodlivé údaje, resetovanie alebo blokovanie prevádzky prichádzajúcej z problematickej IP adresy.
Aký je rozdiel medzi IPS a IDS?
IDS je systém, ktorý monitoruje sieť a zisťuje nevhodné, nesprávne alebo anomálne aktivity, zatiaľ čo IPS je systém, ktorý zisťuje narušenie alebo útok a podniká aktívne kroky, aby im zabránil. Hlavný rozdiel medzi nimi je na rozdiel od IDS, IPS aktívne podniká kroky na zabránenie alebo blokovanie zistených prienikov. Tieto preventívne kroky zahŕňajú činnosti, ako je zhadzovanie škodlivých paketov a resetovanie alebo blokovanie prevádzky prichádzajúcej zo škodlivých adries IP. IPS možno považovať za rozšírenie IDS, ktoré má ďalšie možnosti na zabránenie narušeniam pri ich detekcii.