IDS vs. IPS
IDS (Intrusion Detection System) er systemer som oppdager aktiviteter som er upassende, feil eller uregelmessige i et nettverk og rapporterer dem. Videre kan IDS brukes til å oppdage om et nettverk eller en server opplever et uautorisert inntrenging. IPS (Intrusion Prevention System) er et system som aktivt kobler fra tilkoblinger eller dropper pakker, hvis de inneholder uautoriserte data. IPS kan sees på som en utvidelse av IDS.
IDS
IDS overvåker nettverket og oppdager upassende, feil eller unormale aktiviteter. Det er to hovedtyper av IDS. Den første er Network Intrusion Detection System (NIDS). Disse systemene undersøker trafikken i nettverket og overvåker flere verter for å identifisere inntrenging. Sensorer brukes til å fange opp trafikken i nettverket og hver pakke analyseres for å identifisere skadelig innhold. Den andre typen er det vertsbaserte inntrengningsdeteksjonssystemet (HIDS). HIDS er distribuert i vertsmaskiner eller en server. De analyserer data som er lokale for maskinen, for eksempel systemloggfiler, revisjonsspor og filsystemendringer for å identifisere uvanlig oppførsel. HIDS sammenligner den normale profilen til verten med de observerte aktivitetene for å identifisere potensielle anomalier. De fleste steder er IDS-installerte enheter plassert mellom grenseruteren og brannmuren eller utenfor grenseruteren. I noen tilfeller plasseres IDS-installerte enheter utenfor brannmuren og grenseruteren med den hensikt å se hele bredden av angrepsforsøk. Ytelse er et nøkkelproblem med IDS-systemer siden de brukes med nettverksenheter med høy båndbredde. Selv med høyytelseskomponenter og oppdatert programvare har IDS en tendens til å droppe pakker siden de ikke kan håndtere den store gjennomstrømningen.
IPS
IPS er et system som aktivt tar skritt for å forhindre inntrenging eller angrep når det identifiserer en. IPS er delt inn i fire kategorier. Den første er Network-based Intrusion Prevention (NIPS), som overvåker hele nettverket for mistenkelig aktivitet. Den andre typen er Network Behavior Analysis (NBA)-systemer som undersøker trafikkflyten for å oppdage uvanlige trafikkstrømmer som kan være resultater av angrep som distribuert denial of service (DDoS). Den tredje typen er Wireless Intrusion Prevention Systems (WIPS), som analyserer trådløse nettverk for mistenkelig trafikk. Den fjerde typen er Host-based Intrusion Prevention Systems (HIPS), der en programvarepakke er installert for å overvåke aktivitetene til en enkelt vert. Som nevnt tidligere tar IPS aktive skritt som å droppe pakker som inneholder skadelig data, tilbakestille eller blokkere trafikk som kommer fra en støtende IP-adresse.
Hva er forskjellen mellom IPS og IDS?
En IDS er et system som overvåker nettverket og oppdager upassende, feil eller unormale aktiviteter, mens en IPS er et system som oppdager inntrenging eller angrep og tar aktive skritt for å forhindre dem. Hovedhensyn mellom de to er i motsetning til IDS, IPS tar aktivt skritt for å forhindre eller blokkere inntrenging som oppdages. Disse forebyggende trinnene inkluderer aktiviteter som å slippe ondsinnede pakker og tilbakestille eller blokkere trafikk som kommer fra ondsinnede IP-adresser. IPS kan sees på som en utvidelse av IDS, som har tilleggsfunksjonene for å forhindre inntrenging mens de oppdages.