IDS vs IPS
Az IDS (Behatolásérzékelő Rendszer) olyan rendszerek, amelyek felismerik a nem megfelelő, helytelen vagy rendellenes tevékenységeket egy hálózatban, és jelentést készítenek róluk. Ezenkívül az IDS segítségével felismerhető, hogy egy hálózat vagy egy szerver jogosulatlan behatolást tapasztal-e. Az IPS (Behatolásmegelőzési Rendszer) olyan rendszer, amely aktívan bontja a kapcsolatokat, vagy eldobja a csomagokat, ha azok illetéktelen adatokat tartalmaznak. Az IPS az IDS kiterjesztésének tekinthető.
IDS
Az IDS figyeli a hálózatot és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket. Az IDS-nek két fő típusa van. Az első a Network Intrusion Detection System (NIDS). Ezek a rendszerek megvizsgálják a hálózat forgalmát, és több gépet figyelnek a behatolások azonosítására. Az érzékelőket a hálózat forgalmának rögzítésére használják, és minden csomagot elemeznek a rosszindulatú tartalom azonosítására. A második típus a Host-alapú behatolásérzékelő rendszer (HIDS). A HIDS-eket hosztgépekben vagy kiszolgálókon telepítik. A szokatlan viselkedés azonosítása érdekében elemzik a gép helyi adatait, például a rendszer naplófájljait, ellenőrzési nyomvonalait és a fájlrendszer változásait. A HIDS összehasonlítja a gazda normál profilját a megfigyelt aktivitásokkal a lehetséges anomáliák azonosítása érdekében. A legtöbb helyenAz IDS által telepített eszközök a boarder router és a tűzfal közé vagy a boarder routeren kívül helyezkednek el. Bizonyos esetekben az IDS által telepített eszközöket a tűzfal és a router útválasztóján kívül helyezik el, azzal a szándékkal, hogy a támadások teljes terjedelmét láthassák. A teljesítmény kulcskérdés az IDS-rendszereknél, mivel nagy sávszélességű hálózati eszközökkel használják őket. Nagy teljesítményű komponensek és frissített szoftverek ellenére is az IDS hajlamos eldobni a csomagokat, mivel nem képes kezelni a nagy átviteli sebességet. Az IDS általában eldobja a csomagokat, mivel nem képes kezelni a nagy átviteli sebességet. Az IDS általában eldobja a csomagokat, mivel nem képes kezelni a nagy átviteli sebességet.
IPS
Az IPS egy olyan rendszer, amely aktívan lépéseket tesz a behatolás vagy a támadás megelőzésére, amikor azonosítja. Az IPS négy kategóriára oszlik. Az első a hálózati alapú behatolásmegelőzés (NIPS), amely a teljes hálózatot figyeli a gyanús tevékenységek szempontjából. A második típus a Network Behavior Analysis (NBA) rendszer, amely a forgalmi áramlást vizsgálja szokatlan forgalmi áramlások felderítésére, amelyek támadások, például elosztott szolgáltatásmegtagadás (DDoS) következményei lehetnek. A harmadik fajta a vezeték nélküli behatolásmegelőző rendszerek (WIPS), amelyek elemzik a vezeték nélküli hálózatokat a gyanús forgalom szempontjából. A negyedik típus a gazdagép-alapú behatolásmegelőző rendszerek (HIPS), ahol egy szoftvercsomag van telepítve egyetlen gazda tevékenységeinek figyelemmel kísérésére. Mint korábban említettük, az IPS aktív lépéseket tesz, például eldobja a rosszindulatú adatokat tartalmazóa sértő IP-címről érkező forgalom visszaállítása vagy blokkolása.
Mi a különbség az IPS és az IDS között?
Az IDS egy olyan rendszer, amely figyeli a hálózatot és észleli a nem megfelelő, helytelen vagy rendellenes tevékenységeket, míg az IPS egy olyan rendszer, amely észleli a behatolást vagy a támadást, és aktív lépéseket tesz azok megakadályozására. A kettő közötti fő eltérés eltér az IDS-től, az IPS aktívan lépéseket tesz az észlelt behatolások megelőzésére vagy blokkolására. Ezek a megelőző lépések olyan tevékenységeket tartalmaznak, mint a rosszindulatú csomagok eldobása és a rosszindulatú IP-címekről érkező forgalom visszaállítása vagy blokkolása. Az IPS az IDS kiterjesztésének tekinthető, amely további képességekkel rendelkezik a behatolások megelőzésére, miközben észleli azokat.