IDS vs IPS
IDS (Intrusion Detection System) on süsteemid, mis tuvastavad võrgus sobimatud, valed või anomaalsed tegevused ja annavad neist teada. Lisaks saab IDS-i kasutada selleks, et tuvastada, kas võrku või serverisse on sattunud volitamata sissetung. IPS (Intrusion Prevention System) on süsteem, mis katkestab aktiivselt ühendused või jätab paketid maha, kui need sisaldavad volitamata andmeid. IPS-i võib vaadelda IDS-i laiendusena.
IDS
IDS jälgib võrku ja tuvastab sobimatud, ebaõiged või anomaalsed tegevused. IDS-e on kahte peamist tüüpi. Esimene neist on võrgu sissetungimise tuvastamise süsteem (NIDS). Need süsteemid uurivad võrguliiklust ja jälgivad sissetungide tuvastamiseks mitut hosti. Võrguliikluse hõivamiseks kasutatakse andureid ja iga paketti analüüsitakse pahatahtliku sisu tuvastamiseks. Teine tüüp on hostipõhine sissetungimise tuvastamise süsteem (HIDS). HIDS-id juurutatakse hostmasinatesse või serverisse. Nad analüüsivad ebatavalise käitumise tuvastamiseks andmeid, mis on masina jaoks lokaalsed, nagu süsteemi logifailid, kontrolljäljed ja failisüsteemi muudatused. HIDS võrdleb võimalike kõrvalekallete tuvastamiseks peremeesorganismi normaalset profiili vaadeldavate tegevustega. Enamikus kohtades paigutatakse IDS-i installitud seadmed piiriruuteri ja tulemüüri vahele või piiriruuterist väljapoole. Mõnel juhul paigutatakse IDS-i installitud seadmed tulemüürist ja piirruuterist väljapoole eesmärgiga näha kõiki ründekatseid. Jõudlus on IDS-süsteemide võtmeprobleem, kuna neid kasutatakse suure ribalaiusega võrguseadmetega. Isegi suure jõudlusega komponentide ja värskendatud tarkvara korral kipub IDS pakette välja jätma, kuna nad ei suuda suure läbilaskevõimega hakkama saada.
IPS
IPS on süsteem, mis astub aktiivselt samme sissetungi või rünnaku ärahoidmiseks, kui ta selle tuvastab. IPS on jagatud nelja kategooriasse. Esimene neist on võrgupõhine sissetungi ennetamine (NIPS), mis jälgib kogu võrku kahtlaste tegevuste suhtes. Teine tüüp on võrgukäitumise analüüsi (NBA) süsteemid, mis uurivad liiklusvoogu, et tuvastada ebatavalisi liiklusvooge, mis võivad olla rünnaku, näiteks hajutatud teenusekeelu (DDoS) tagajärjed. Kolmas tüüp on traadita sissetungi ennetamise süsteemid (WIPS), mis analüüsivad traadita võrke kahtlase liikluse suhtes. Neljas tüüp on hostipõhised sissetungi ennetamise süsteemid (HIPS), kuhu installitakse tarkvarapakett ühe hosti tegevuse jälgimiseks. Nagu varem mainitud, astub IPS aktiivseid samme, näiteks kukutab pahatahtlikke andmeid sisaldavaid pakette, lähtestab või blokeerib rikkuv alt IP-aadressilt tuleva liikluse.
Mis vahe on IPS-il ja IDS-il?
IDS on süsteem, mis jälgib võrku ja tuvastab sobimatud, ebaõiged või anomaalsed tegevused, samas kui IPS on süsteem, mis tuvastab sissetungi või rünnaku ja astub aktiivseid samme nende ärahoidmiseks. Peamine lugupidamine nende kahe vahel seisneb erinev alt IDS-ist, IPS võtab aktiivselt samme tuvastatud sissetungi ärahoidmiseks või blokeerimiseks. Need ennetavad sammud hõlmavad selliseid tegevusi nagu pahatahtlike pakettide kukutamine ja pahatahtlikelt IP-aadressidelt tuleva liikluse lähtestamine või blokeerimine. IPS-i võib vaadelda IDS-i laiendusena, millel on lisavõimalused, et vältida sissetungi nende tuvastamisel.
