IDS proti IPS
IDS (Intrusion Detection System) so sistemi, ki zaznajo dejavnosti, ki so v omrežju neustrezne, nepravilne ali nenormalne, in jih prijavijo. Poleg tega se IDS lahko uporablja za odkrivanje, ali je omrežje ali strežnik izpostavljen nepooblaščenemu vdoru. IPS (Intrusion Prevention System) je sistem, ki aktivno prekine povezave ali odvrže pakete, če vsebujejo nepooblaščene podatke. IPS je mogoče videti kot razširitev IDS.
IDS
IDS nadzira omrežje in odkriva neprimerne, nepravilne ali nenormalne dejavnosti. Obstajata dve glavni vrsti IDS. Prvi je sistem za zaznavanje vdorov v omrežje (NIDS). Ti sistemi pregledujejo promet v omrežju in spremljajo več gostiteljev za prepoznavanje vdorov. Senzorji se uporabljajo za zajemanje prometa v omrežju in vsak paket se analizira za prepoznavanje zlonamerne vsebine. Druga vrsta je gostiteljski sistem za zaznavanje vdorov (HIDS). HIDS so nameščeni v gostiteljskih strojih ali strežniku. Analizirajo podatke, ki so lokalni za stroj, kot so sistemske dnevniške datoteke, revizijske sledi in spremembe datotečnega sistema, da prepoznajo nenavadno vedenje. HIDS primerja normalni profil gostitelja z opazovanimi aktivnostmi, da prepozna morebitne anomalije. Na večini krajev so nameščene naprave IDS nameščene med mejnim usmerjevalnikom in požarnim zidom ali zunaj mejnega usmerjevalnika. V nekaterih primerih so nameščene naprave IDS postavljene izven požarnega zidu in mejnega usmerjevalnika z namenom, da vidijo celotno širino poskusov napadov. Zmogljivost je ključna težava pri sistemih IDS, saj se uporabljajo z omrežnimi napravami z visoko pasovno širino. Tudi z visoko zmogljivimi komponentami in posodobljeno programsko opremo IDS ponavadi zavrže pakete, ker ne zmorejo velikega pretoka.
IPS
IPS je sistem, ki aktivno ukrepa za preprečevanje vdora ali napada, ko ga prepozna. IPS so razdeljeni v štiri kategorije. Prvi je omrežno preprečevanje vdorov (NIPS), ki nadzira celotno omrežje za sumljivo dejavnost. Druga vrsta so sistemi za analizo vedenja omrežja (NBA), ki preučujejo prometni tok, da odkrijejo nenavadne prometne tokove, ki so lahko posledica napada, kot je porazdeljena zavrnitev storitve (DDoS). Tretja vrsta so sistemi za preprečevanje vdorov v brezžično omrežje (WIPS), ki analizirajo brezžična omrežja za sumljiv promet. Četrta vrsta je Host-based Intrusion Prevention Systems (HIPS), kjer je nameščen programski paket za spremljanje dejavnosti posameznega gostitelja. Kot smo že omenili, IPS izvaja aktivne korake, kot je opuščanje paketov, ki vsebujejo zlonamerne podatke, ponastavitev ali blokiranje prometa, ki prihaja iz napačnega naslova IP.
Kakšna je razlika med IPS in IDS?
IDS je sistem, ki nadzoruje omrežje in zazna neprimerne, nepravilne ali nepravilne dejavnosti, medtem ko je IPS sistem, ki zazna vdore ali napade in aktivno ukrepa, da jih prepreči. Glavna razlika med obema je, da za razliko od IDS IPS aktivno ukrepa za preprečevanje ali blokiranje zaznanih vdorov. Ti ukrepi za preprečevanje vključujejo dejavnosti, kot je izpuščanje zlonamernih paketov in ponastavitev ali blokiranje prometa, ki prihaja iz zlonamernih naslovov IP. IPS lahko razumemo kot razširitev IDS, ki ima dodatne zmožnosti za preprečevanje vdorov ob njihovem zaznavanju.
