Diferența dintre IDS și IPS

IDS vs IPS

IDS (Sistem de detecție a intruziunilor) sunt sisteme care detectează activități inadecvate, incorecte sau anormale într-o rețea și le raportează. Mai mult, IDS poate fi folosit pentru a detecta dacă o rețea sau un server se confruntă cu o intruziune neautorizată. IPS (Sistem de prevenire a intruziunilor) este un sistem care deconectează în mod activ conexiunile sau scade pachetele, dacă acestea conțin date neautorizate. IPS poate fi văzută ca o extensie a IDS.

IDS

IDS monitorizează rețeaua și detectează activități necorespunzătoare, incorecte sau anormale. Există două tipuri principale de IDS. Primul este sistemul de detectare a intruziunilor în rețea (NIDS). Aceste sisteme examinează traficul din rețea și monitorizează mai multe gazde pentru identificarea intruziunilor. Senzorii sunt utilizați pentru captarea traficului în rețea și fiecare pachet este analizat pentru a identifica conținutul rău intenționat. Cel de-al doilea tip este sistemul de detectare a intruziunilor bazate pe gazdă (HIDS). HIDS sunt implementate în mașini gazdă sau pe un server. Ei analizează date care sunt locale pentru mașină, cum ar fi fișiere log de sistem, trasee de audit și modificări ale sistemului de fișiere pentru a identifica un comportament neobișnuit. HIDS compară profilul normal al gazdei cu activitățile observate pentru identificarea potențialelor anomalii. În majoritatea locațiilor, dispozitivele instalate IDS sunt amplasate între ruterul de bord și firewall-ul sau în afara routerului de la bord. În unele cazuri, dispozitivele instalate IDS sunt plasate în afara paravanului de protecție și a ruterului frontal, cu intenția de a vedea amploarea atacurilor încercate. Performanța este o problemă cheie cu sistemele IDS, deoarece acestea sunt utilizate cu dispozitive de rețea de mare lățime de bandă. Chiar și cu componentele de înaltă performanță și software-ul actualizat, IDS tind să renunțe la pachete, deoarece nu pot suporta performanțele mari.

IPS

IPS este un sistem care ia măsuri în mod activ pentru a preveni o intruziune sau un atac atunci când identifică unul. IPS sunt împărțite în patru categorii. Prima este Network Prevention Intrusion Prevention (NIPS), care monitorizeaza intreaga retea pentru o activitate suspecta. Al doilea tip este sistemul de analiză a comportamentului la rețea (NBA), care examinează fluxul de trafic pentru a detecta fluxurile neobișnuite de trafic care ar putea fi rezultatul unui atac, cum ar fi DDoS (Denial of Service Distributed). Al treilea tip este Sistemele de prevenire a intruziunii wireless (WIPS), care analizează rețelele wireless pentru trafic suspecte. Cel de-al patrulea tip sunt sistemele de prevenire a intruziunilor (HIPS), unde se instalează un pachet software pentru a monitoriza activitățile unei singure gazde. După cum am menționat mai devreme, IPS ia pași activi, cum ar fi abandonarea pachetelor care conțin date rău intenționate, resetarea sau blocarea traficului provenit de la o adresă IP ofensator.

Care este diferența dintre IPS și IDS?

Un IDS este un sistem care monitorizează rețeaua și detectează activități inadecvate, incorecte sau anormale, în timp ce un IPS este un sistem care detectează intruziunea sau un atac și ia pași activi pentru ai preveni. Principala deferență între cele două este spre deosebire de IDS, IPS ia măsuri în mod activ pentru a preveni sau a bloca intruziunile detectate. Acești pași preventivi includ activități cum ar fi renunțarea la pachetele rău intenționate și resetarea sau blocarea traficului provenind de la adresele IP rău intenționate. IPS poate fi văzută ca o extensie a IDS, care are capacități suplimentare pentru a preveni intruziunile în timp ce le detectează.