Διαφορά μεταξύ IDS και IPS
Επιπλέον, το IDS μπορεί να χρησιμοποιηθεί για να ανιχνεύσει αν ένα δίκτυο ή ένας διακομιστής αντιμετωπίζουν μη εξουσιοδοτημένη διείσδυση. Το IPS (Σύστημα πρόληψης εισβολής) είναι ένα σύστημα που αποσυνδέει ενεργά τις συνδέσεις ή τα πακέτα, εάν περιέχουν μη εξουσιοδοτημένα δεδομένα. Το IPS μπορεί να θεωρηθεί ως επέκταση του IDS.
IDS
Η IDS παρακολουθεί το δίκτυο και ανιχνεύει ακατάλληλες, εσφαλμένες ή ανώμαλες δραστηριότητες. Υπάρχουν δύο κύριοι τύποι IDS. Το πρώτο είναι το σύστημα ανίχνευσης εισβολής δικτύου (NIDS). Αυτά τα συστήματα εξετάζουν την κίνηση στο δίκτυο και παρακολουθούν πολλούς κεντρικούς υπολογιστές για τον εντοπισμό εισβολών. Οι αισθητήρες χρησιμοποιούνται για τη λήψη της κίνησης στο δίκτυο και κάθε πακέτο αναλύεται για τον εντοπισμό κακόβουλου περιεχομένου. Ο δεύτερος τύπος είναι το σύστημα ανίχνευσης εισβολής βασισμένο σε Host (HIDS). Τα HIDS αναπτύσσονται σε κεντρικές μηχανές ή σε διακομιστές. Αναλύουν τα δεδομένα που είναι τοπικά στο μηχάνημα, όπως αρχεία καταγραφής συστήματος, διαδρομές ελέγχου και αλλαγές συστήματος αρχείων για τον εντοπισμό ασυνήθιστης συμπεριφοράς. Το HIDS συγκρίνει το φυσιολογικό προφίλ του ξενιστή με τις παρατηρούμενες δραστηριότητες για τον εντοπισμό δυνητικών ανωμαλιών. Στα περισσότερα μέρη, οι εγκατεστημένες συσκευές IDS τοποθετούνται μεταξύ του δρομολογητή και του τείχους προστασίας ή έξω από το δρομολογητή. Σε ορισμένες περιπτώσεις, οι εγκατεστημένες συσκευές IDS τοποθετούνται εκτός του τείχους προστασίας και του δρομολογητή της πλατφόρμας με την πρόθεση να δουν το πλήρες εύρος των δοκιμασμένων επιθέσεων. Η απόδοση είναι ένα βασικό ζήτημα με τα συστήματα IDS, καθώς χρησιμοποιούνται με συσκευές δικτύου μεγάλου εύρους ζώνης. Ακόμη και με εξαρτήματα υψηλής απόδοσης και ενημερωμένο λογισμικό, τα IDS τείνουν να αποβάλλουν τα πακέτα, επειδή δεν μπορούν να χειριστούν τη μεγάλη απόδοση.
- IPSΤο IPS είναι ένα σύστημα που λαμβάνει ενεργά μέτρα για την αποτροπή μιας εισβολής ή μιας επίθεσης όταν εντοπίζει ένα. Τα IPS χωρίζονται σε τέσσερις κατηγορίες. Το πρώτο είναι η πρόληψη της εισβολής με βάση το δίκτυο (NIPS), η οποία παρακολουθεί ολόκληρο το δίκτυο για ύποπτη δραστηριότητα. Ο δεύτερος τύπος είναι τα συστήματα ανάλυσης συμπεριφοράς δικτύου (NBA) που εξετάζουν τη ροή της κυκλοφορίας για τον εντοπισμό ασυνήθιστων κυκλοφοριακών ροών που θα μπορούσαν να είναι αποτέλεσμα επίθεσης, όπως η κατανεμημένη άρνηση εξυπηρέτησης (DDoS). Το τρίτο είδος είναι τα συστήματα πρόληψης ασύρματης εισβολής (WIPS), τα οποία αναλύουν ασύρματα δίκτυα για ύποπτη κυκλοφορία. Ο τέταρτος τύπος είναι τα συστήματα πρόληψης εισβολής βασισμένα σε κεντρικό υπολογιστή (HIPS), όπου εγκαθίσταται ένα πακέτο λογισμικού για την παρακολούθηση δραστηριοτήτων ενός μόνο κεντρικού υπολογιστή. Όπως αναφέρθηκε προηγουμένως, το IPS λαμβάνει ενεργά βήματα, όπως η απόρριψη πακέτων που περιέχουν κακόβουλα δεδομένα, επαναφορά ή αποκλεισμό της επισκεψιμότητας που προέρχεται από μια παραβατική διεύθυνση IP.
Ένα IDS είναι ένα σύστημα που παρακολουθεί το δίκτυο και ανιχνεύει ακατάλληλες, λανθασμένες ή ανώμαλες δραστηριότητες, ενώ ένα IPS είναι ένα σύστημα που ανιχνεύει εισβολή ή επίθεση και λαμβάνει ενεργά μέτρα για να τα αποτρέψει. Η κύρια εκτίμηση μεταξύ των δύο είναι αντίθετη με την IDS, η IPS λαμβάνει ενεργά μέτρα για την αποτροπή ή την παρεμπόδιση εισβολών που εντοπίζονται. Αυτά τα βήματα πρόληψης περιλαμβάνουν δραστηριότητες όπως η απομάκρυνση κακόβουλων πακέτων και η επαναφορά ή η παρεμπόδιση της επισκεψιμότητας που προέρχεται από κακόβουλες διευθύνσεις IP. Το IPS μπορεί να θεωρηθεί ως επέκταση του IDS, το οποίο διαθέτει τις πρόσθετες δυνατότητες για την αποφυγή εισβολών κατά την ανίχνευσή τους.
