IDS срещу IPS
IDS (система за откриване на проникване) са системи, които откриват дейности, които са неподходящи, неправилни или аномални в мрежата и ги докладват. Освен това IDS може да се използва за откриване дали дадена мрежа или сървър е подложен на неразрешено проникване. IPS (система за предотвратяване на проникване) е система, която активно прекъсва връзките или изхвърля пакети, ако съдържат неоторизирани данни. IPS може да се разглежда като разширение на IDS.
IDS
IDS наблюдава мрежата и открива неподходящи, неправилни или необичайни дейности. Има два основни вида IDS. Първата е системата за откриване на проникване в мрежата (NIDS). Тези системи изследват трафика в мрежата и наблюдават множество хостове за идентифициране на прониквания. Сензорите се използват за улавяне на трафика в мрежата и всеки пакет се анализира, за да се идентифицира злонамерено съдържание. Вторият тип е базираната на хост система за откриване на проникване (HIDS). HIDS се разполагат в хост машини или сървър. Те анализират данни, които са локални за машината, като системни регистрационни файлове, одитни пътеки и промени в файловата система, за да идентифицират необичайно поведение. HIDS сравнява нормалния профил на гостоприемника с наблюдаваните дейности, за да идентифицира потенциални аномалии. На повечето места инсталираните IDS устройства се поставят между граничния рутер и защитната стена или извън граничния рутер. В някои случаи инсталираните IDS устройства се поставят извън защитната стена и граничния рутер с намерението да се види пълната широчина на опитите за атаки. Производителността е ключов проблем при IDS системите, тъй като те се използват с мрежови устройства с висока честотна лента. Дори с компоненти с висока производителност и актуализиран софтуер, IDS са склонни да изпускат пакети, тъй като не могат да се справят с голямата пропускателна способност.
IPS
IPS е система, която активно предприема стъпки за предотвратяване на проникване или атака, когато идентифицира такава. IPS са разделени в четири категории. Първият е Мрежово базирано предотвратяване на проникване (NIPS), което следи цялата мрежа за подозрителна дейност. Вторият тип са системите за анализ на поведението на мрежата (NBA), които изследват трафик потока, за да открият необичайни трафик потоци, които могат да бъдат резултат от атака като разпределен отказ на услуга (DDoS). Третият вид са системите за предотвратяване на безжични прониквания (WIPS), които анализират безжичните мрежи за подозрителен трафик. Четвъртият тип е Host-based Intrusion Prevention Systems (HIPS), където е инсталиран софтуерен пакет за наблюдение на дейностите на един хост. Както бе споменато по-рано, IPS предприема активни стъпки, като например премахване на пакети, които съдържат злонамерени данни, нулиране или блокиране на трафик, идващ от неправилен IP адрес.
Каква е разликата между IPS и IDS?
IDS е система, която наблюдава мрежата и открива неподходящи, неправилни или необичайни дейности, докато IPS е система, която открива проникване или атака и предприема активни стъпки за предотвратяването им. Основната разлика между двете е, че за разлика от IDS, IPS активно предприема стъпки за предотвратяване или блокиране на прониквания, които са открити. Тези стъпки за предотвратяване включват дейности като изпускане на злонамерени пакети и нулиране или блокиране на трафик, идващ от злонамерени IP адреси. IPS може да се разглежда като разширение на IDS, което има допълнителните възможности за предотвратяване на прониквания, докато ги открива.