IDS срещу IPS
IDS (система за откриване на проникване) са системи, които откриват неподходящи, неправилни или аномални дейности в мрежа и ги докладват. Освен това, IDS може да се използва за откриване дали мрежа или сървър изпитва неразрешено проникване. IPS (Intrusion Prevention System) е система, която активно прекъсва връзките или пуска пакети, ако те съдържат неоторизирани данни. IPS може да се разглежда като разширение на IDS.
IDS
IDS наблюдава мрежата и открива неподходящи, неправилни или аномални дейности. Има два основни типа IDS. Първият е мрежата за откриване на проникване (NIDS). Тези системи изследват трафика в мрежата и наблюдават множество хостове за идентифициране на прониквания. Сензорите се използват за улавяне на трафика в мрежата и всеки пакет се анализира, за да се идентифицира злонамерено съдържание. Вторият тип е базираната на хоста система за откриване на проникване (HIDS). HIDS се разполагат в хост машини или сървър. Те анализират данни, които са локални за машината, като системни регистрационни файлове, следи за одит и промени в файловата система, за да идентифицират необичайно поведение. HIDS сравнява нормалния профил на гостоприемника с наблюдаваните дейности, за да идентифицира потенциални аномалии. На повечето места,Инсталираните IDS устройства се поставят между граничния рутер и защитната стена или извън граничния рутер. В някои случаи инсталираните IDS устройства се поставят извън защитната стена и маршрутизатора с намерение да се види пълната ширина на опитите за атаки. Производителността е ключов проблем при IDS системите, тъй като те се използват с мрежови устройства с висока честотна лента. Дори с високопроизводителни компоненти и актуализиран софтуер, IDS са склонни да пускат пакети, тъй като не могат да се справят с голямата производителност. IDS са склонни да пускат пакети, тъй като не могат да се справят с голямата производителност. IDS са склонни да пускат пакети, тъй като не могат да се справят с голямата производителност.
IPS
IPS е система, която активно предприема стъпки за предотвратяване на проникване или атака, когато идентифицира такава. IPS са разделени на четири категории. Първият е мрежовото предотвратяване на проникването (NIPS), което наблюдава цялата мрежа за подозрителна дейност. Вторият тип са системите за мрежово поведение (NBA), които изследват потока на трафика, за да открият необичайни потоци от трафик, които биха могли да бъдат резултат от атака, като разпределено отказване на услуга (DDoS). Третият вид са безжичните системи за предотвратяване на проникване (WIPS), които анализират безжичните мрежи за подозрителен трафик. Четвъртият тип са базираните на хоста системи за предотвратяване на проникване (HIPS), където е инсталиран софтуерен пакет за наблюдение на дейностите на един хост. Както споменахме по-рано, IPS предприема активни стъпки като отпадане на пакети, които съдържат злонамерени данни,нулиране или блокиране на трафика, идващ от нарушаващ IP адрес.
Каква е разликата между IPS и IDS?
IDS е система, която наблюдава мрежата и открива неподходящи, неправилни или аномални дейности, докато IPS е система, която открива проникване или атака и предприема активни стъпки за предотвратяването им. Основното уважение между двете е за разлика от IDS, IPS активно предприема стъпки за предотвратяване или блокиране на открити прониквания. Тези стъпки за предотвратяване включват дейности като пускане на злонамерени пакети и нулиране или блокиране на трафика, идващ от злонамерени IP адреси. IPS може да се разглежда като разширение на IDS, което има допълнителните възможности за предотвратяване на прониквания, докато ги открива.