IDS vs IPS
IDS (Intrusion Detection System) jsou systémy, které detekují aktivity, které jsou v síti nevhodné, nesprávné nebo anomální, a hlásí je. Kromě toho lze IDS použít ke zjištění, zda síť nebo server nezaznamenává neoprávněný průnik. IPS (Intrusion Prevention System) je systém, který aktivně odpojuje spojení nebo zahazuje pakety, pokud obsahují neautorizovaná data. IPS lze považovat za rozšíření IDS.
IDS
IDS monitoruje síť a odhaluje nevhodné, nesprávné nebo anomální aktivity. Existují dva hlavní typy IDS. První z nich je Network Intrusion Detection System (NIDS). Tyto systémy zkoumají provoz v síti a monitorují více hostitelů pro identifikaci narušení. K zachycení provozu v síti se používají senzory a každý paket je analyzován, aby se identifikoval škodlivý obsah. Druhým typem je Host-based Intrusion Detection System (HIDS). HIDS jsou nasazeny v hostitelských počítačích nebo na serveru. Analyzují data, která jsou místní pro stroj, jako jsou systémové protokolové soubory, auditní záznamy a změny systému souborů, aby identifikovali neobvyklé chování. HIDS porovná normální profil hostitele s pozorovanými aktivitami, aby identifikoval potenciální anomálie. Na většině míst jsou zařízení nainstalovaná IDS umístěna mezi hraniční směrovač a firewall nebo mimo hraniční směrovač. V některých případech jsou zařízení nainstalovaná IDS umístěna mimo firewall a hraniční router s úmyslem vidět celou šíři pokusů o útok. Výkon je u systémů IDS klíčový problém, protože se používají se síťovými zařízeními s velkou šířkou pásma. I přes vysoce výkonné komponenty a aktualizovaný software má IDS tendenci zahazovat pakety, protože nezvládají velkou propustnost.
IPS
IPS je systém, který aktivně podniká kroky k zabránění průniku nebo útoku, když je identifikuje. IPS jsou rozděleny do čtyř kategorií. První z nich je Network-based Intrusion Prevention (NIPS), která monitoruje celou síť, zda nevykazuje podezřelou aktivitu. Druhým typem jsou systémy Network Behavior Analysis (NBA), které zkoumají tok provozu, aby odhalily neobvyklé toky provozu, které by mohly být výsledkem útoku, jako je distribuované odmítnutí služby (DDoS). Třetím typem je Wireless Intrusion Prevention Systems (WIPS), který analyzuje bezdrátové sítě na podezřelý provoz. Čtvrtým typem je Host-based Intrusion Prevention Systems (HIPS), kde je nainstalován softwarový balíček pro monitorování aktivit jednoho hostitele. Jak již bylo zmíněno dříve, IPS podniká aktivní kroky, jako je zahazování paketů obsahujících škodlivá data, resetování nebo blokování provozu přicházejícího z problematické IP adresy.
Jaký je rozdíl mezi IPS a IDS?
IDS je systém, který monitoruje síť a zjišťuje nevhodné, nesprávné nebo anomální aktivity, zatímco IPS je systém, který detekuje narušení nebo útok a podniká aktivní kroky, aby jim zabránil. Hlavní rozdíl mezi těmito dvěma je na rozdíl od IDS, IPS aktivně podniká kroky k prevenci nebo blokování narušení, která jsou detekována. Tyto preventivní kroky zahrnují činnosti, jako je zahození škodlivých paketů a resetování nebo blokování provozu přicházejícího ze škodlivých IP adres. IPS lze vnímat jako rozšíření IDS, které má další schopnosti, které zabrání průnikům při jejich detekci.