IDS vs IPS
IDS (Σύστημα ανίχνευσης εισβολής) είναι συστήματα που εντοπίζουν δραστηριότητες που είναι ακατάλληλες, λανθασμένες ή ανώμαλες σε ένα δίκτυο και τις αναφέρουν. Επιπλέον, το IDS μπορεί να χρησιμοποιηθεί για να ανιχνεύσει εάν ένα δίκτυο ή ένας διακομιστής αντιμετωπίζει μη εξουσιοδοτημένη εισβολή. Το IPS (Intrusion Prevention System) είναι ένα σύστημα που αποσυνδέει ενεργά τις συνδέσεις ή απορρίπτει πακέτα, εάν περιέχουν μη εξουσιοδοτημένα δεδομένα. Το IPS μπορεί να θεωρηθεί ως επέκταση του IDS.
IDS
Το IDS παρακολουθεί το δίκτυο και εντοπίζει ακατάλληλες, εσφαλμένες ή ανώμαλες δραστηριότητες. Υπάρχουν δύο κύριοι τύποι IDS. Το πρώτο είναι το σύστημα ανίχνευσης εισβολής δικτύου (NIDS). Αυτά τα συστήματα εξετάζουν την κίνηση στο δίκτυο και παρακολουθούν πολλαπλούς κεντρικούς υπολογιστές για τον εντοπισμό εισβολών. Οι αισθητήρες χρησιμοποιούνται για την καταγραφή της κίνησης στο δίκτυο και κάθε πακέτο αναλύεται για τον εντοπισμό κακόβουλου περιεχομένου. Ο δεύτερος τύπος είναι το σύστημα ανίχνευσης εισβολής που βασίζεται σε κεντρικό υπολογιστή (HIDS). Τα HIDS αναπτύσσονται σε κεντρικές μηχανές ή σε διακομιστή. Αναλύουν δεδομένα που είναι τοπικά στο μηχάνημα, όπως αρχεία καταγραφής συστήματος, ίχνη ελέγχου και αλλαγές συστήματος αρχείων για να εντοπίσουν ασυνήθιστη συμπεριφορά. Το HIDS συγκρίνει το φυσιολογικό προφίλ του ξενιστή με τις παρατηρούμενες δραστηριότητες για να εντοπίσει πιθανές ανωμαλίες. Στα περισσότερα μέρη, οι εγκατεστημένες συσκευές IDS τοποθετούνται μεταξύ του δρομολογητή boarder και του τείχους προστασίας ή έξω από τον δρομολογητή οικόπεδου. Σε ορισμένες περιπτώσεις, οι εγκατεστημένες συσκευές IDS τοποθετούνται εκτός του τείχους προστασίας και του δρομολογητή οριοθέτησης με σκοπό να δουν το πλήρες εύρος των απόπειρων επιθέσεων. Η απόδοση είναι ένα βασικό ζήτημα με τα συστήματα IDS, καθώς χρησιμοποιούνται με συσκευές δικτύου υψηλού εύρους ζώνης. Ακόμη και με στοιχεία υψηλής απόδοσης και ενημερωμένο λογισμικό, τα IDS τείνουν να απορρίπτουν πακέτα, καθώς δεν μπορούν να χειριστούν τη μεγάλη απόδοση.
IPS
Το IPS είναι ένα σύστημα που λαμβάνει ενεργά μέτρα για να αποτρέψει μια εισβολή ή μια επίθεση όταν την προσδιορίσει. Τα IPS χωρίζονται σε τέσσερις κατηγορίες. Το πρώτο είναι το Network-based Intrusion Prevention (NIPS), το οποίο παρακολουθεί ολόκληρο το δίκτυο για ύποπτη δραστηριότητα. Ο δεύτερος τύπος είναι τα συστήματα ανάλυσης συμπεριφοράς δικτύου (NBA) που εξετάζουν τη ροή κυκλοφορίας για να ανιχνεύσουν ασυνήθιστες ροές κυκλοφορίας που θα μπορούσαν να είναι αποτελέσματα επίθεσης, όπως η κατανεμημένη άρνηση υπηρεσίας (DDoS). Το τρίτο είδος είναι τα Wireless Intrusion Prevention Systems (WIPS), τα οποία αναλύουν ασύρματα δίκτυα για ύποπτη κίνηση. Ο τέταρτος τύπος είναι τα συστήματα πρόληψης εισβολής που βασίζονται σε κεντρικούς υπολογιστές (HIPS), όπου εγκαθίσταται ένα πακέτο λογισμικού για την παρακολούθηση των δραστηριοτήτων ενός μεμονωμένου κεντρικού υπολογιστή. Όπως αναφέρθηκε προηγουμένως, η IPS λαμβάνει ενεργά βήματα, όπως απόρριψη πακέτων που περιέχουν κακόβουλα δεδομένα, επαναφορά ή αποκλεισμό της κυκλοφορίας που προέρχεται από μια προσβλητική διεύθυνση IP.
Ποια είναι η διαφορά μεταξύ IPS και IDS;
Το IDS είναι ένα σύστημα που παρακολουθεί το δίκτυο και εντοπίζει ακατάλληλες, εσφαλμένες ή ανώμαλες δραστηριότητες, ενώ το IPS είναι ένα σύστημα που ανιχνεύει εισβολή ή επίθεση και λαμβάνει ενεργά μέτρα για την αποτροπή τους. Η κύρια διαφορά μεταξύ των δύο είναι σε αντίθεση με το IDS, η IPS λαμβάνει ενεργά μέτρα για την πρόληψη ή τον αποκλεισμό εισβολών που ανιχνεύονται. Αυτά τα βήματα πρόληψης περιλαμβάνουν δραστηριότητες όπως η απόρριψη κακόβουλων πακέτων και η επαναφορά ή ο αποκλεισμός της κυκλοφορίας που προέρχεται από κακόβουλες διευθύνσεις IP. Το IPS μπορεί να θεωρηθεί ως επέκταση του IDS, το οποίο έχει τις πρόσθετες δυνατότητες να αποτρέπει τις εισβολές κατά τον εντοπισμό τους.
