IDS vs IPS
Az IDS (Intrusion Detection System) olyan rendszerek, amelyek észlelik a nem megfelelő, helytelen vagy rendellenes tevékenységeket a hálózatban, és jelentik azokat. Ezenkívül az IDS használható annak észlelésére, hogy egy hálózat vagy egy szerver tapasztal-e jogosulatlan behatolást. Az IPS (Intrusion Prevention System) egy olyan rendszer, amely aktívan megszakítja a kapcsolatokat vagy eldobja a csomagokat, ha azok jogosulatlan adatokat tartalmaznak. Az IPS az IDS kiterjesztésének tekinthető.
IDS
Az IDS figyeli a hálózatot, és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket. Az IDS-nek két fő típusa van. Az első a hálózati behatolásérzékelő rendszer (NIDS). Ezek a rendszerek megvizsgálják a hálózat forgalmat, és több gazdagépet figyelnek a behatolások azonosítása érdekében. Érzékelőket használnak a hálózat forgalmának rögzítésére, és minden egyes csomagot elemzi a rosszindulatú tartalom azonosítása. A második típus a gazdagép alapú behatolásérzékelő rendszer (HIDS). A HIDS-eket gazdagépen vagy szerveren telepítik. A szokatlan viselkedés azonosítása érdekében elemzik a gép helyi adatait, például a rendszernaplófájlokat, az ellenőrzési nyomvonalakat és a fájlrendszer változásait. A HIDS összehasonlítja a gazdaszervezet normál profilját a megfigyelt tevékenységekkel, hogy azonosítsa a lehetséges anomáliákat. A legtöbb helyen az IDS-be telepített eszközöket a határrouter és a tűzfal közé, vagy a határútválasztón kívül helyezik el. Egyes esetekben az IDS-be telepített eszközöket a tűzfalon és a határforgalom-útválasztón kívül helyezik el azzal a szándékkal, hogy lássák a támadási kísérletek teljes skáláját. A teljesítmény kulcskérdés az IDS-rendszereknél, mivel nagy sávszélességű hálózati eszközökkel használják őket. Még a nagy teljesítményű összetevők és a frissített szoftverek esetén is az IDS hajlamos eldobni a csomagokat, mivel nem tudják kezelni a nagy átviteli sebességet.
IPS
Az IPS egy olyan rendszer, amely aktívan lépéseket tesz a behatolás vagy támadás megelőzése érdekében, amikor azonosít egyet. Az IPS négy kategóriába sorolható. Az első a Network-based Intrusion Prevention (NIPS), amely a teljes hálózaton figyeli a gyanús tevékenységeket. A második típus a Network Behavior Analysis (NBA) rendszerek, amelyek a forgalom áramlását vizsgálják, hogy észleljék a szokatlan forgalomfolyamokat, amelyek támadások, például elosztott szolgáltatásmegtagadás (DDoS) következményei lehetnek. A harmadik típus a Wireless Intrusion Prevention Systems (WIPS), amely elemzi a vezeték nélküli hálózatokat a gyanús forgalom szempontjából. A negyedik típus a Host-based Intrusion Prevention Systems (HIPS), ahol egy szoftvercsomag van telepítve egyetlen gazdagép tevékenységeinek figyelésére. Ahogy korábban említettük, az IPS aktív lépéseket tesz, például eldobja a rosszindulatú adatokat tartalmazó csomagokat, visszaállítja vagy blokkolja a sértő IP-címről érkező forgalmat.
Mi a különbség az IPS és az IDS között?
Az IDS egy olyan rendszer, amely figyeli a hálózatot, és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket, míg az IPS egy olyan rendszer, amely észleli a behatolást vagy támadást, és aktív lépéseket tesz ezek megelőzésére. A kettő közötti fő különbség az IDS-től eltérően, az IPS aktívan lépéseket tesz az észlelt behatolások megelőzésére vagy blokkolására. Ezek a megelőzési lépések magukban foglalják az olyan tevékenységeket, mint a rosszindulatú csomagok eldobása és a rosszindulatú IP-címekről érkező forgalom visszaállítása vagy blokkolása. Az IPS az IDS kiterjesztésének tekinthető, amely további képességekkel rendelkezik, hogy megakadályozza a behatolásokat azok észlelése közben.
