IDS versus IPS
IDS (Intrusion Detection System) zijn systemen die activiteiten detecteren die ongepast, incorrect of afwijkend zijn in een netwerk en deze rapporteren. Bovendien kan IDS worden gebruikt om te detecteren of een netwerk of een server te maken heeft met een ongeautoriseerde inbraak. IPS (Intrusion Prevention System) is een systeem dat actief verbindingen verbreekt of pakketten verbreekt als deze ongeautoriseerde gegevens bevatten. IPS kan worden gezien als een verlengstuk van IDS.
IDS
IDS bewaakt het netwerk en detecteert ongepaste, onjuiste of abnormale activiteiten. Er zijn twee hoofdtypen IDS. De eerste is het Network Intrusion Detection System (NIDS). Deze systemen onderzoeken het verkeer in het netwerk en bewaken meerdere hosts om indringers te identificeren. Sensoren worden gebruikt om het verkeer in het netwerk vast te leggen en elk pakket wordt geanalyseerd om kwaadaardige inhoud te identificeren. Het tweede type is het Host-based Intrusion Detection System (HIDS). HIDS worden ingezet op hostmachines of een server. Ze analyseren gegevens die zich lokaal op de machine bevinden, zoals systeemlogbestanden, audittrails en bestandssysteemwijzigingen om ongebruikelijk gedrag te identificeren. HIDS vergelijkt het normale profiel van de gastheer met de waargenomen activiteiten om mogelijke afwijkingen te identificeren. Op de meeste plaatsenIDS geïnstalleerde apparaten worden tussen de boarderrouter en de firewall of buiten de boarderrouter geplaatst. In sommige gevallen worden IDS-geïnstalleerde apparaten buiten de firewall en de grensrouter geplaatst met de bedoeling om de volledige breedte van pogingen tot aanvallen te zien. Prestaties zijn een belangrijk probleem bij IDS-systemen, aangezien ze worden gebruikt met netwerkapparaten met een hoge bandbreedte. Zelfs met hoogwaardige componenten en bijgewerkte software, heeft IDS de neiging om pakketten te laten vallen omdat ze de grote doorvoer niet aankunnen. IDS hebben de neiging om pakketten te laten vallen omdat ze de grote doorvoer niet aankunnen. IDS hebben de neiging om pakketten te laten vallen omdat ze de grote doorvoer niet aankunnen.
IPS
IPS is een systeem dat actief stappen onderneemt om een inbraak of aanval te voorkomen wanneer het er een identificeert. IPS is onderverdeeld in vier categorieën. De eerste is de Network-based Intrusion Prevention (NIPS), die het hele netwerk controleert op verdachte activiteiten. Het tweede type zijn de Network Behavior Analysis (NBA) -systemen die de verkeersstroom onderzoeken om ongebruikelijke verkeersstromen te detecteren die het gevolg kunnen zijn van aanvallen zoals gedistribueerde denial of service (DDoS). De derde soort is de Wireless Intrusion Prevention Systems (WIPS), die draadloze netwerken analyseert op verdacht verkeer. Het vierde type is de Host-based Intrusion Prevention Systems (HIPS), waar een softwarepakket is geïnstalleerd om de activiteiten van een enkele host te bewaken. Zoals eerder vermeld, neemt IPS actieve stappen, zoals het laten vallen van pakketten die kwaadaardige gegevens bevatten,het resetten of blokkeren van verkeer afkomstig van een aanstootgevend IP-adres.
Wat is het verschil tussen IPS en IDS?
Een IDS is een systeem dat het netwerk bewaakt en ongepaste, onjuiste of abnormale activiteiten detecteert, terwijl een IPS een systeem is dat indringing of een aanval detecteert en actieve stappen onderneemt om deze te voorkomen. De belangrijkste eerbied tussen de twee is in tegenstelling tot IDS, IPS onderneemt actief stappen om gedetecteerde inbraken te voorkomen of te blokkeren. Deze preventieve stappen omvatten activiteiten zoals het laten vallen van kwaadaardige pakketten en het resetten of blokkeren van verkeer afkomstig van kwaadaardige IP-adressen. IPS kan worden gezien als een uitbreiding van IDS, dat de extra mogelijkheden heeft om inbraken te voorkomen terwijl ze worden gedetecteerd.