IDS vs IPS
IDS (Intrusion Detection System) sú systémy, ktoré zisťujú aktivity, ktoré sú nevhodné, nesprávne alebo neobvyklé v sieti a nahlásia ich. IDS sa okrem toho môže použiť na detekciu toho, či sieť alebo server zaznamenáva neoprávnené narušenie. IPS (Intrusion Prevention System) je systém, ktorý aktívne odpojí spojenia alebo zruší pakety, ak obsahujú neoprávnené údaje. IPS možno vnímať ako rozšírenie IDS.
IDS
IDS monitoruje sieť a zisťuje nevhodné, nesprávne alebo neobvyklé činnosti. Existujú dva hlavné typy IDS. Prvým z nich je systém detekcie narušenia siete (NIDS). Tieto systémy skúmajú prenos v sieti a monitorujú viac hostiteľov na identifikáciu narušenia. Senzory sa používajú na zachytenie prenosu v sieti a každý paket sa analyzuje na identifikáciu škodlivého obsahu. Druhým typom je systém detekcie prienikov (HIDS) založený na hostiteľovi. HIDS sú nasadené v hostiteľských počítačoch alebo serveroch. Analyzujú údaje, ktoré sú pre stroj lokálne, ako sú napríklad systémové protokolové súbory, revízne záznamy a zmeny súborového systému s cieľom identifikovať neobvyklé správanie. HIDS porovnávajú normálny profil hostiteľa s pozorovanými aktivitami na identifikáciu potenciálnych anomálií. Na väčšine miest sú zariadenia nainštalované IDS umiestnené medzi interiérovým smerovačom a bránou firewall alebo mimo interného smerovača. V niektorých prípadoch sú zariadenia s nainštalovaným IDS umiestnené mimo smerovača brány firewall a stravníka s cieľom vidieť celú šírku pokusov o útoky. Výkon je kľúčovým problémom systémov IDS, pretože sa používajú v sieťových zariadeniach s veľkou šírkou pásma. Aj pri vysoko výkonných komponentoch a aktualizovanom softvéri má IDS tendenciu upúšťať pakety, pretože nedokážu zvládnuť veľkú priepustnosť.
IPS
IPS je systém, ktorý aktívne identifikuje útok, ktorý zabráni vniknutiu alebo útoku. IPS sú rozdelené do štyroch kategórií. Prvým je Sieťová prevencia prienikov (NIPS), ktorá monitoruje podozrivú aktivitu celej siete. Druhým typom sú systémy analýzy správania v sieti (NBA), ktoré skúmajú tok prevádzky, aby zistili nezvyčajné toky prenosu, ktoré by mohli byť výsledkom útoku, napríklad distribuované odmietnutie služby (DDoS). Tretím typom sú bezdrôtové systémy prevencie pred prienikom (WIPS), ktoré analyzujú bezdrôtové siete na podozrivý prenos. Štvrtým typom sú hostiteľské systémy prevencie pred narušením (HIPS), kde je nainštalovaný softvérový balík na monitorovanie aktivít jedného hostiteľa. Ako už bolo spomenuté, IPS podniká aktívne kroky, ako napríklad vyhodenie paketov obsahujúcich škodlivé údaje, vynulovanie alebo blokovanie prenosu prichádzajúcich z nevhodnej adresy IP.
Aký je rozdiel medzi IPS a IDS?
IDS je systém, ktorý monitoruje sieť a detekuje neprimerané, nesprávne alebo neobvyklé činnosti, zatiaľ čo IPS je systém, ktorý detekuje narušenie alebo útok a podniká aktívne kroky, aby im zabránil. Hlavný rozdiel medzi nimi je na rozdiel od IDS, IPS aktívne podniká kroky na zabránenie alebo blokovanie detekovaných vniknutí. Tieto preventívne kroky zahŕňajú aktivity, ako je vyradenie škodlivých paketov a resetovanie alebo blokovanie prenosu prichádzajúceho zo škodlivých IP adries. Na IPS sa dá pozerať ako na rozšírenie IDS, ktoré má ďalšie možnosti na zabránenie prieniku pri ich detekcii.