IDS versus IPS
IDS (Intrusion Detection System) zijn systemen die activiteiten die ongepast, incorrect of abnormaal zijn in een netwerk detecteren en rapporteren. Bovendien kan IDS worden gebruikt om te detecteren of een netwerk of een server een ongeoorloofde inbraak ondervindt. IPS (Intrusion Prevention System) is een systeem dat verbindingen verbreekt of pakketten verwijdert, als deze ongeautoriseerde gegevens bevatten. IPS kan worden gezien als een uitbreiding van IDS.
IDS
IDS bewaakt het netwerk en detecteert ongepaste, onjuiste of abnormale activiteiten. Er zijn twee hoofdtypen IDS. De eerste is het netwerkinbraakdetectiesysteem (NIDS). Deze systemen onderzoeken het verkeer in het netwerk en bewaken meerdere hosts voor het identificeren van indringers. Sensoren worden gebruikt om het verkeer in het netwerk vast te leggen en elk pakket wordt geanalyseerd om kwaadwillende inhoud te identificeren. Het tweede type is het Host-gebaseerde inbraakdetectiesysteem (HIDS). HIDS worden geïmplementeerd in hostmachines of een server. Ze analyseren gegevens die lokaal zijn voor de machine, zoals systeemlogbestanden, audit trails en veranderingen in bestandssysteem om ongebruikelijk gedrag te identificeren. HIDS vergelijkt het normale profiel van de gastheer met de waargenomen activiteiten om mogelijke anomalieën te identificeren. Op de meeste plaatsen worden door IDS geïnstalleerde apparaten geplaatst tussen de grensrouter en de firewall of buiten de grensrouter. In sommige gevallen worden door IDS geïnstalleerde apparaten buiten de firewall en de boarder-router geplaatst met de bedoeling om de volledige breedte van gepoogde aanvallen te zien. Prestaties zijn een belangrijk probleem bij IDS-systemen omdat ze worden gebruikt met netwerkapparaten met hoge bandbreedte. Zelfs met hoogwaardige componenten en bijgewerkte software hebben IDS de neiging pakketten te laten vallen, omdat ze de grote doorvoer niet aankunnen.
IPS
IPS is een systeem dat actief stappen onderneemt om een inbraak of een aanval te voorkomen wanneer deze wordt geïdentificeerd. IPS zijn onderverdeeld in vier categorieën. De eerste is de Network-based Intrusion Prevention (NIPS), die het hele netwerk controleert op verdachte activiteiten. Het tweede type is de Network Behavior Analysis (NBA) -systeem dat de verkeersstroom onderzoekt om ongebruikelijke verkeersstromen te detecteren die het resultaat van een aanval kunnen zijn, zoals distributed denial of service (DDoS). De derde soort is de Wireless Intrusion Prevention Systems (WIPS), die draadloze netwerken analyseert op verdacht verkeer. Het vierde type is de Host-based Intrusion Prevention Systems (HIPS), waarbij een softwarepakket is geïnstalleerd om activiteiten van één enkele host te monitoren. Zoals eerder vermeld, neemt IPS actieve stappen, zoals het laten vallen van pakketten die kwaadaardige gegevens bevatten, het resetten of blokkeren van verkeer afkomstig van een inbreukmakend IP-adres.
Wat is het verschil tussen IPS en IDS?
Een IDS is een systeem dat het netwerk controleert en ongepaste, onjuiste of abnormale activiteiten detecteert, terwijl een IPS een systeem is dat inbraak of een aanval detecteert en actieve stappen onderneemt om deze te voorkomen. Belangrijkste respect tussen de twee is anders dan bij IDS, IPS neemt actief stappen om intrusies die worden gedetecteerd te voorkomen of te blokkeren. Deze preventiestappen omvatten activiteiten zoals het verwijderen van kwaadwillende pakketten en het opnieuw instellen of blokkeren van verkeer afkomstig van kwaadwillende IP-adressen. IPS kan worden gezien als een uitbreiding van IDS, met de extra mogelijkheden om inbraken te voorkomen en ze te detecteren.