IDS vs. IPS
IDS (Intrusion Detection System) er systemer, der registrerer aktiviteter, der er upassende, forkerte eller anomale i et netværk og rapporterer dem. Ydermere kan IDS bruges til at registrere, om et netværk eller en server oplever en uautoriseret indtrængen. IPS (Intrusion Prevention System) er et system, der aktivt afbryder forbindelser eller dropper pakker, hvis de indeholder uautoriserede data. IPS kan ses som en forlængelse af IDS.
IDS
IDS overvåger netværket og opdager upassende, forkerte eller unormale aktiviteter. Der er to hovedtyper af IDS. Den første er Network Intrusion Detection System (NIDS). Disse systemer undersøger trafikken i netværket og overvåger flere værter for at identificere indtrængen. Sensorer bruges til at fange trafikken i netværket, og hver pakke analyseres for at identificere skadeligt indhold. Den anden type er det værtsbaserede intrusion detection system (HIDS). HIDS er installeret i værtsmaskiner eller en server. De analyserer data, der er lokale for maskinen, såsom systemlogfiler, revisionsspor og filsystemændringer for at identificere usædvanlig adfærd. HIDS sammenligner værtens normale profil med de observerede aktiviteter for at identificere potentielle anomalier. De fleste steder er IDS-installerede enheder placeret mellem boarder-routeren og firewallen eller uden for boarder-routeren. I nogle tilfælde placeres IDS-installerede enheder uden for firewallen og boarder-routeren med den hensigt at se hele bredden af angrebsforsøg. Ydeevne er et nøgleproblem med IDS-systemer, da de bruges med netværksenheder med høj båndbredde. Selv med højtydende komponenter og opdateret software har IDS en tendens til at droppe pakker, da de ikke kan håndtere den store gennemstrømning.
IPS
IPS er et system, der aktivt tager skridt til at forhindre en indtrængen eller et angreb, når det identificerer et. IPS er opdelt i fire kategorier. Den første er Network-based Intrusion Prevention (NIPS), som overvåger hele netværket for mistænkelig aktivitet. Den anden type er Network Behavior Analysis (NBA) systemer, der undersøger trafikstrømmen for at detektere usædvanlige trafikstrømme, som kunne være resultater af angreb såsom distribueret denial of service (DDoS). Den tredje slags er Wireless Intrusion Prevention Systems (WIPS), som analyserer trådløse netværk for mistænkelig trafik. Den fjerde type er Host-based Intrusion Prevention Systems (HIPS), hvor en softwarepakke er installeret til at overvåge aktiviteter af en enkelt vært. Som tidligere nævnt tager IPS aktive skridt såsom at droppe pakker, der indeholder ondsindede data, nulstille eller blokere trafik, der kommer fra en fornærmende IP-adresse.
Hvad er forskellen mellem IPS og IDS?
En IDS er et system, der overvåger netværket og registrerer upassende, forkerte eller unormale aktiviteter, mens en IPS er et system, der registrerer indtrængen eller et angreb og tager aktive skridt for at forhindre dem. Hovedhensyn mellem de to er i modsætning til IDS, IPS tager aktivt skridt til at forhindre eller blokere indtrængen, der opdages. Disse forebyggende trin omfatter aktiviteter som at droppe ondsindede pakker og nulstille eller blokere trafik, der kommer fra ondsindede IP-adresser. IPS kan ses som en udvidelse af IDS, som har de yderligere muligheder for at forhindre indtrængen, mens de detekteres.
