IDS vs IPS
IDS (Intrusion Detection System) er systemer som oppdager aktiviteter som er upassende, feil eller uregelmessige i et nettverk og rapporterer dem. Videre kan IDS brukes til å oppdage om et nettverk eller en server opplever et uautorisert innbrudd. IPS (Intrusion Prevention System) er et system som aktivt kobler fra tilkoblinger eller dråper pakker hvis de inneholder uautoriserte data. IPS kan ses som en forlengelse av IDS.
IDS
IDS overvåker nettverket og oppdager upassende, ukorrekte eller uregelmessige aktiviteter. Det er to hovedtyper av IDS. Den første er nettverksinnbruddssystemet (NIDS). Disse systemene undersøker trafikken i nettverket og overvåker flere verter for å identifisere inntrengninger. Sensorer brukes til å fange trafikken i nettverket, og hver pakke analyseres for å identifisere skadelig innhold. Den andre typen er det vertsbaserte inntrengingsdeteksjonssystemet (HIDS). HIDS er distribuert i vertsmaskiner eller en server. De analyserer data som er lokale for maskinen, for eksempel systemloggfiler, revisjonsstier og filsystemendringer for å identifisere uvanlig oppførsel. HIDS sammenligner vertsens normale profil med de observerte aktivitetene for å identifisere potensielle anomalier. I de fleste tilfeller plasseres IDS-installerte enheter mellom boarder-ruteren og brannmuren eller utenfor boarder-ruteren. I noen tilfeller er IDS-installerte enheter plassert utenfor brannmuren og boarder-ruteren med intensjonen om å se hele bredden av forsøksangrep. Ytelse er et sentralt problem med IDS-systemer, siden de brukes sammen med høybåndsbrettverksenheter. Selv med høypresterende komponenter og oppdatert programvare, har IDS en tendens til å slippe pakker, siden de ikke klarer å håndtere den store gjennomstrømningen.
IPS
IPS er et system som aktivt tar skritt for å hindre et innbrudd eller et angrep når det identifiserer en. IPS er delt inn i fire kategorier. Den første er nettverksbasert inntrengningsforebygging (NIPS), som overvåker hele nettverket for mistenkelig aktivitet. Den andre typen er NBA-systemene (Network Adaptive Analysis) som undersøker trafikkstrømmen for å oppdage uvanlige trafikkflyter som kan være resultat av angrep som distribuert tjenestenekt (DDoS). Den tredje typen er WIPS (Wireless Intrusion Prevention Systems), som analyserer trådløse nettverk for mistenkelig trafikk. Den fjerde typen er Host-Based Intrusion Prevention Systems (HIPS), der en programvarepakke er installert for å overvåke aktiviteter av en enkelt vert. Som nevnt tidligere tar IPS aktive tiltak som å slippe pakker som inneholder skadelige data, tilbakestille eller blokkere trafikk som kommer fra en fornærmende IP-adresse.
Hva er forskjellen mellom IPS og IDS?
Et IDS er et system som overvåker nettverket og oppdager upassende, ukorrekte eller uregelmessige aktiviteter, mens en IPS er et system som oppdager inntrenging eller et angrep, og tar aktive skritt for å forhindre dem. Hovedbetydningen mellom de to er ulikt IDS, IPS tar aktivt skritt for å hindre eller blokkere inntrengninger som oppdages. Disse hindre trinnene inkluderer aktiviteter som å droppe skadelige pakker og tilbakestille eller blokkere trafikk som kommer fra ondsinnede IP-adresser. IPS kan ses som en forlengelse av IDS, som har de ekstra funksjonene for å hindre inntrengninger mens de oppdages.