IDS vs IPS
Az IDS (behatolásérzékelő rendszer) olyan rendszerek, amelyek észlelik a hálózatban nem megfelelő, helytelen vagy rendellenes tevékenységeket, és jelentést készítenek róluk. Ezen felül az IDS felhasználható annak felismerésére, hogy a hálózat vagy a kiszolgáló jogosulatlan behatolást tapasztal-e. Az IPS (behatolás-megelőző rendszer) egy olyan rendszer, amely aktívan leválasztja a kapcsolatokat vagy eldobja a csomagokat, ha azok jogosulatlan adatokat tartalmaznak. Az IPS az IDS kiterjesztéseként tekinthető.
IDS
Az IDS figyeli a hálózatot, és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket. Az IDS két fő típusa létezik. Az első a hálózati behatolásérzékelő rendszer (NIDS). Ezek a rendszerek megvizsgálják a hálózat forgalmát, és több hostot figyelnek a behatolások azonosítására. Az érzékelők segítségével rögzítik a hálózat forgalmát, és minden csomagot elemeznek a rosszindulatú tartalmak azonosítása céljából. A második típus a gazda alapú behatolás-észlelési rendszer (HIDS). A HIDS gazdagépeken vagy kiszolgálón kerül telepítésre. Elemzik a gépen lokális adatokat, például a rendszernaplófájlokat, az ellenőrzési nyomvonalakat és a fájlrendszer változásait a szokatlan viselkedés azonosítása érdekében. A HIDS összehasonlítja a gazda normális profilját a megfigyelt tevékenységekkel a lehetséges rendellenességek azonosítása érdekében. A legtöbb helyen az IDS telepített eszközeit a határoló router és a tűzfal közé vagy a határoló útválasztó közé helyezik. Egyes esetekben az IDS telepített eszközeit a tűzfalakon és a korlát routerén kívül helyezik el, azzal a szándékkal, hogy a támadási kísérletek teljes szélességét látják. A teljesítmény kulcsfontosságú kérdés az IDS rendszereknél, mivel ezeket nagy sávszélességű hálózati eszközökkel használják. Az IDS még a nagy teljesítményű összetevők és a frissített szoftverek ellenére is eldobja a csomagokat, mivel nem tudják kezelni a nagy teljesítményt.
IPS
Az IPS egy olyan rendszer, amely aktívan lépéseket tesz a betolakodás vagy támadás megakadályozására, amikor azonosítja azt. Az IPS négy kategóriába oszlik. Az első a hálózati alapú behatolás-megelőzés (NIPS), amely a teljes hálózatot figyeli a gyanús tevékenységek szempontjából. A második típus a Network Behavior Analysis (NBA) rendszerek, amelyek megvizsgálják a forgalom áramlását, hogy észleljék a szokatlan forgalomáramlásokat, amelyek támadás következményei lehetnek, például az elosztott szolgáltatásmegtagadás (DDoS). A harmadik fajta a vezeték nélküli behatolás-megelőző rendszerek (WIPS), amely a vezeték nélküli hálózatokat elemzi a gyanús forgalom szempontjából. A negyedik típus a gazdagép-alapú behatolásmegelőző rendszerek (HIPS), ahol egy szoftvercsomag van telepítve az egyetlen gazdagép tevékenységeinek figyelésére. Mint korábban említettük, az IPS aktív lépéseket tesz, például rosszindulatú adatokat tartalmazó csomagokat dob, visszaállítja vagy blokkolja a sértő IP-címből származó forgalmat.
Mi a különbség az IPS és az IDS között??
Az IDS egy olyan rendszer, amely figyelemmel kíséri a hálózatot és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket, míg az IPS egy olyan rendszer, amely észleli a behatolást vagy a támadást, és aktív lépéseket tesz azok megelőzésére. A kettő közötti fő különbség eltér az IDS-től, az IPS aktívan lépéseket tesz az észlelt behatolások megakadályozására vagy blokkolására. Ezek a megelőző lépések olyan tevékenységeket foglalnak magukban, mint a rosszindulatú csomagok dobása és a rosszindulatú IP-címekből származó forgalom visszaállítása vagy blokkolása. Az IPS az IDS kiterjesztéseként tekinthető, amely további lehetőségekkel rendelkezik a behatolások megakadályozására, miközben felismeri őket.