IDS vs IPS
IDS (Intrusion Detection System) jsou systémy, které detekují činnosti, které jsou v síti nevhodné, nesprávné nebo anomální, a hlásí je. Kromě toho lze IDS použít k detekci, zda síť nebo server dochází k neoprávněnému vniknutí. IPS (Intrusion Prevention System) je systém, který aktivně odpojuje připojení nebo ruší pakety, pokud obsahují neautorizovaná data. IPS lze považovat za rozšíření IDS.
IDS
IDS monitoruje síť a detekuje nevhodné, nesprávné nebo neobvyklé aktivity. Existují dva hlavní typy IDS. Prvním z nich je systém detekce narušení sítě (NIDS). Tyto systémy zkoumají provoz v síti a monitorují více hostitelů za účelem identifikace průniků. Senzory se používají k zachycení provozu v síti a každý paket je analyzován za účelem identifikace škodlivého obsahu. Druhým typem je hostitelský systém detekce narušení (HIDS). HIDS jsou nasazeny v hostitelských počítačích nebo na serveru. Analyzují data, která jsou pro stroj lokální, jako jsou soubory systémových protokolů, záznamy auditů a změny systému souborů, aby identifikovaly neobvyklé chování. HIDS porovnávají normální profil hostitele s pozorovanými aktivitami a identifikují potenciální anomálie. Na většině místZařízení nainstalovaná IDS jsou umístěna mezi hraničním směrovačem a bránou firewall nebo mimo hraniční směrovač. V některých případech jsou zařízení nainstalovaná IDS umístěna mimo bránu firewall a hraniční směrovač s úmyslem vidět celou šíři pokusů o útok. Výkon je klíčovým problémem systémů IDS, protože se používají u síťových zařízení s velkou šířkou pásma. Dokonce is vysoce výkonnými komponentami a aktualizovaným softwarem mají IDS tendenci upouštět pakety, protože nemohou zvládnout velkou propustnost. IDS mají tendenci zahodit pakety, protože nemohou zpracovat velkou propustnost. IDS mají tendenci zahodit pakety, protože nemohou zpracovat velkou propustnost.
IPS
IPS je systém, který aktivně podniká kroky k zabránění vniknutí nebo útoku, pokud jej identifikuje. IPS jsou rozděleny do čtyř kategorií. Prvním z nich je Network-based Intrusion Prevention (NIPS), který monitoruje celou síť kvůli podezřelé aktivitě. Druhým typem jsou systémy Network Behavior Analysis (NBA), které zkoumají tok provozu a detekují neobvyklé toky provozu, které mohou být výsledkem útoku, jako je distribuované odmítnutí služby (DDoS). Třetím druhem je Wireless Intrusion Prevention Systems (WIPS), který analyzuje bezdrátové sítě na podezřelý provoz. Čtvrtý typ je Host-based Intrusion Prevention Systems (HIPS), kde je nainstalován softwarový balíček pro sledování aktivit jednoho hostitele. Jak již bylo zmíněno dříve, IPS provádí aktivní kroky, jako je například vyřazování paketů, které obsahují škodlivá data,resetování nebo blokování provozu přicházejícího z nevhodné adresy IP.
Jaký je rozdíl mezi IPS a IDS?
IDS je systém, který monitoruje síť a detekuje nevhodné, nesprávné nebo neobvyklé aktivity, zatímco IPS je systém, který detekuje vniknutí nebo útok a podniká aktivní kroky k jejich prevenci. Hlavní úcta mezi nimi je na rozdíl od IDS, IPS aktivně podniká kroky k zabránění nebo blokování detekovaných narušení. Mezi tyto preventivní kroky patří aktivity, jako je zabíjení škodlivých paketů a resetování nebo blokování provozu přicházejícího ze škodlivých IP adres. Na IPS lze pohlížet jako na rozšíření IDS, které má další možnosti, jak zabránit jejich narušení při jejich detekci.