IDS vs IPS
IDS (Intrusion Detection System) su sustavi koji otkrivaju aktivnosti koje su neprikladne, netočne ili anomalne u mreži i prijavljuju ih. Nadalje, IDS se može koristiti za otkrivanje je li mreža ili poslužitelj doživio neovlašteni upad. IPS (Intrusion Prevention System) je sustav koji aktivno prekida veze ili odbacuje pakete ako sadrže neovlaštene podatke. IPS se može promatrati kao proširenje IDS-a.
IDS
IDS nadzire mrežu i otkriva neprikladne, netočne ili nenormalne aktivnosti. Postoje dvije glavne vrste IDS-a. Prvi je sustav za otkrivanje upada u mrežu (NIDS). Ovi sustavi ispituju promet u mreži i nadziru više hostova radi identificiranja upada. Senzori se koriste za hvatanje prometa u mreži i svaki paket se analizira kako bi se identificirao zlonamjerni sadržaj. Drugi tip je Host-based intrusion detection system (HIDS). HIDS se postavljaju u host strojeve ili poslužitelj. Oni analiziraju podatke koji su lokalni za stroj, kao što su sistemske log datoteke, tragovi revizije i promjene datotečnog sustava kako bi identificirali neobično ponašanje. HIDS uspoređuje normalni profil domaćina s promatranim aktivnostima kako bi identificirao potencijalne anomalije. Na većini mjesta IDS instalirani uređaji smješteni su između graničnog usmjerivača i vatrozida ili izvan graničnog usmjerivača. U nekim slučajevima IDS instalirani uređaji postavljaju se izvan vatrozida i graničnog usmjerivača s namjerom da se vidi potpuna širina pokušaja napada. Performanse su ključni problem kod IDS sustava budući da se koriste s mrežnim uređajima velike propusnosti. Čak i s komponentama visokih performansi i ažuriranim softverom, IDS ima tendenciju ispuštanja paketa jer ne može podnijeti veliku propusnost.
IPS
IPS je sustav koji aktivno poduzima korake da spriječi upad ili napad kada ga identificira. IPS se dijele u četiri kategorije. Prvi je Network-based Intrusion Prevention (NIPS), koji nadzire cijelu mrežu radi sumnjivih aktivnosti. Drugi tip su sustavi za analizu mrežnog ponašanja (NBA) koji ispituju protok prometa kako bi otkrili neuobičajene tokove prometa koji bi mogli biti rezultat napada kao što je distribuirano uskraćivanje usluge (DDoS). Treća vrsta je Wireless Intrusion Prevention Systems (WIPS), koji analizira bežične mreže u potrazi za sumnjivim prometom. Četvrti tip je Host-based Intrusion Prevention Systems (HIPS), gdje se instalira softverski paket za praćenje aktivnosti jednog glavnog računala. Kao što je ranije spomenuto, IPS poduzima aktivne korake kao što je odbacivanje paketa koji sadrže zlonamjerne podatke, poništavanje ili blokiranje prometa koji dolazi s oštećene IP adrese.
Koja je razlika između IPS-a i IDS-a?
IDS je sustav koji nadzire mrežu i otkriva neprikladne, neispravne ili nepravilne aktivnosti, dok je IPS sustav koji otkriva upad ili napad i poduzima aktivne korake da ih spriječi. Glavna razlika između njih dvoje je da za razliku od IDS-a, IPS aktivno poduzima korake kako bi spriječio ili blokirao upade koji su otkriveni. Ovi koraci za sprječavanje uključuju aktivnosti poput ispuštanja zlonamjernih paketa i resetiranja ili blokiranja prometa koji dolazi sa zlonamjernih IP adresa. IPS se može promatrati kao proširenje IDS-a, koji ima dodatne mogućnosti za sprječavanje upada dok ih otkriva.
