IDS vs IPS
IDS (sissetungimise tuvastamise süsteem) on süsteemid, mis tuvastavad võrgus sobimatud, valed või anomaalsed tegevused ja teatavad neist. Lisaks saab IDS-i abil tuvastada, kas võrgus või serveris toimub volitamata sissetung. IPS (sissetungimise ennetamise süsteem) on süsteem, mis katkestab aktiivselt ühendused või loobub pakettidest, kui need sisaldavad volitamata andmeid. IPS-i võib vaadelda IDS-i laiendusena.
IDS
IDS jälgib võrku ja tuvastab sobimatud, valed või anomaalsed tegevused. IDS-e on kahte peamist tüüpi. Esimene neist on võrgu sissetungimise tuvastamise süsteem (NIDS). Need süsteemid kontrollivad võrgu liiklust ja jälgivad sissetungide tuvastamiseks mitut masinat. Võrgus liikluse hõivamiseks kasutatakse andureid ja pahatahtliku sisu tuvastamiseks analüüsitakse igat paketti. Teine tüüp on hostipõhine sissetungimise tuvastamise süsteem (HIDS). HIDS võetakse kasutusele hostmasinates või serveris. Nad analüüsivad ebahariliku käitumise tuvastamiseks masinas lokaalseid andmeid, nagu süsteemipäevikufailid, kontrolljäljed ja failisüsteemi muudatused. HIDS võrdleb võimalike kõrvalekallete tuvastamiseks peremeesorganismi normaalset profiili täheldatud tegevustega. Enamikus kohtades paigutatakse IDS-i installitud seadmed piirde marsruuteri ja tulemüüri vahele või väljaspool pardaruuterit. Mõnel juhul paigutatakse IDS-i installitud seadmed tulemüürist ja pardaruuterist väljapoole, eesmärgiga näha rünnakukatsete täielikku ulatust. Toimivus on IDS-süsteemide puhul võtmeküsimus, kuna neid kasutatakse suure ribalaiusega võrguseadmetega. Isegi suure jõudlusega komponentide ja värskendatud tarkvara korral kipuvad IDS-id pakette maha jätma, kuna nad ei suuda suure läbilaskevõimega hakkama saada.
IPS
IPS on süsteem, mis astub aktiivselt samme sissetungimise või rünnaku ärahoidmiseks, kui see tuvastatakse. IPS jaguneb nelja kategooriasse. Esimene neist on võrgupõhine sissetungide ennetamine (NIPS), mis jälgib kogu võrku kahtlase tegevuse suhtes. Teine tüüp on Network Behavior Analysis (NBA) süsteemid, mis uurivad liikluse voogu, et tuvastada ebaharilikke liiklusvooge, mis võivad olla rünnaku tagajärjed, näiteks hajutatud teenuse keelamine (DDoS). Kolmas liik on traadita sissetungimise ennetamise süsteemid (WIPS), mis analüüsib traadita võrke kahtlase liikluse osas. Neljas tüüp on hostipõhised sissetungimise ennetamise süsteemid (HIPS), kuhu on installitud tarkvarapakett ühe masina tegevuse jälgimiseks. Nagu varem mainitud, võtab IPS aktiivseid samme, näiteks loobub pahatahtlikke andmeid sisaldavaid pakette, lähtestab või blokeerib rikkuvalt IP-aadressilt tuleva liikluse.
Mis vahe on IPS ja IDS vahel??
IDS on süsteem, mis jälgib võrku ja tuvastab sobimatuid, valesid või anomaalseid tegevusi, samas kui IPS on süsteem, mis tuvastab sissetungimise või rünnaku ja astub aktiivseid samme nende vältimiseks. Peamine erinevus nende kahe vahel erineb IDS-ist, IPS võtab aktiivselt meetmeid tuvastatud sissetungide vältimiseks või blokeerimiseks. Need takistavad sammud hõlmavad selliseid tegevusi nagu pahatahtlike pakettide kukutamine ja pahatahtlikelt IP-aadressidelt tuleva liikluse lähtestamine või blokeerimine. IPS-i võib vaadelda IDS-i laiendusena, millel on lisavõimalused sissetungide vältimiseks nende tuvastamise ajal.