IDS vs. IPS
IDS (Intrusion Detection System) ovat järjestelmiä, jotka havaitsevat sopimattomat, virheelliset tai epänormaalit toiminnot verkossa ja ilmoittavat niistä. Lisäksi IDS: ää voidaan käyttää havaitsemaan, onko verkossa vai palvelimella luvatonta tunkeutumista. IPS (Intrusion Prevention System) on järjestelmä, joka katkaisee yhteyden aktiivisesti tai pudottaa paketit, jos ne sisältävät luvattomia tietoja. IPS voidaan nähdä IDS: n laajennuksena.
IDS
IDS valvoo verkkoa ja havaitsee sopimattomat, virheelliset tai epänormaalit toiminnot. IDS: ää on kahta päätyyppiä. Ensimmäinen on verkon tunkeutumisen havaitsemisjärjestelmä (NIDS). Nämä järjestelmät tutkivat verkon liikennettä ja seuraavat useita isäntiä tunkeutumisen tunnistamiseksi. Anturien avulla kaapataan verkon liikenne ja jokainen paketti analysoidaan haitallisen sisällön tunnistamiseksi. Toinen tyyppi on isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS). HIDS otetaan käyttöön isäntäkoneissa tai palvelimissa. He analysoivat koneelle paikallisia tietoja, kuten järjestelmälokitiedostot, tarkastusjäljet ja tiedostojärjestelmän muutokset epätavallisen käyttäytymisen tunnistamiseksi. HIDS vertaa isännän normaalia profiilia havaittuihin aktiivisuuksiin mahdollisten poikkeavuuksien tunnistamiseksi. Useimmissa paikoissaIDS-asennetut laitteet sijoitetaan laajan reitittimen ja palomuurin väliin tai laudan reitittimen ulkopuolelle. Joissakin tapauksissa IDS-asennetut laitteet sijoitetaan palomuurin ja laudan reitittimen ulkopuolelle siten, että hyökkäysyritykset nähdään kokonaisuudessaan. Suorituskyky on keskeinen kysymys IDS-järjestelmissä, koska niitä käytetään suuren kaistanleveyden verkkolaitteiden kanssa. Jopa korkean suorituskyvyn komponenttien ja päivitetyn ohjelmiston avulla IDS pyrkii pudottamaan paketteja, koska ne eivät pysty käsittelemään suurta läpimenoa. IDS: llä on tapana pudottaa paketteja, koska ne eivät pysty käsittelemään suurta suoritustehoa. IDS: llä on taipumus pudottaa paketteja, koska ne eivät pysty käsittelemään suurta suoritustehoa.
IPS
IPS on järjestelmä, joka pyrkii aktiivisesti estämään tunkeutumisen tai hyökkäyksen tunnistaessaan sen. IPS on jaettu neljään luokkaan. Ensimmäinen on verkkopohjainen tunkeutumisen ehkäisy (NIPS), joka valvoo koko verkkoa epäilyttävän toiminnan varalta. Toinen tyyppi on Network Behavior Analysis (NBA) -järjestelmät, jotka tutkivat liikennevirtaa havaitsemaan epätavalliset liikennevirrat, jotka voivat olla seurausta hyökkäyksistä, kuten hajautetusta palvelunestosta (DDoS). Kolmas laji on langattomat tunkeutumisen ehkäisyjärjestelmät (WIPS), joka analysoi langattomia verkkoja epäilyttävän liikenteen varalta. Neljäs tyyppi on HIPS (Host-based Intrusion Prevention Systems, HIPS), johon asennetaan ohjelmistopaketti yhden isännän toiminnan seuraamiseksi. Kuten aiemmin mainittiin, IPS ottaa aktiivisia toimenpiteitä, kuten pudottaen haitallisia tietoja sisältäviä paketteja,rikkovan IP-osoitteen tulevan liikenteen nollaus tai estäminen.
Mitä eroa on IPS: llä ja IDS: llä?
IDS on järjestelmä, joka valvoo verkkoa ja havaitsee sopimattomat, virheelliset tai epänormaalit toiminnot, kun taas IPS on järjestelmä, joka havaitsee tunkeutumisen tai hyökkäyksen ja toteuttaa aktiivisia toimia estääkseen ne. Näiden kahden päävierailu on toisin kuin IDS, IPS toteuttaa aktiivisesti toimenpiteitä havaittujen tunkeutumisten estämiseksi tai estämiseksi. Nämä estävät vaiheet sisältävät toimintoja, kuten haitallisten pakettien pudottaminen ja haitallisista IP-osoitteista tulevan liikenteen nollaaminen tai estäminen. IPS: ää voidaan pitää IDS: n laajennuksena, jolla on lisäominaisuudet estää tunkeutumista havaita ne.