IDS vs IPS
IDS (Intrusion Detection System) su sistemi koji otkrivaju aktivnosti koje su neprikladne, netačne ili anomalne u mreži i prijavljuju ih. Nadalje, IDS se može koristiti za otkrivanje da li mreža ili server doživljava neovlašteni upad. IPS (Intrusion Prevention System) je sistem koji aktivno prekida veze ili ispušta pakete ako sadrže neovlaštene podatke. IPS se može posmatrati kao proširenje IDS-a.
IDS
IDS nadgledaju mrežu i otkrivaju neprikladne, netačne ili anomalne aktivnosti. Postoje dvije glavne vrste IDS-a. Prvi je sistem za otkrivanje upada u mrežu (NIDS). Ovi sistemi ispituju promet u mreži i prate višestruke hostove za identifikaciju upada. Senzori se koriste za hvatanje saobraćaja u mreži i svaki paket se analizira kako bi se identificirao zlonamjerni sadržaj. Drugi tip je Host-based Intrusion Detection System (HIDS). HIDS se postavljaju na host mašine ili server. Oni analiziraju podatke koji su lokalni za mašinu, kao što su sistemski log fajlovi, tragovi revizije i promene sistema datoteka kako bi se identifikovalo neobično ponašanje. HIDS upoređuje normalan profil domaćina sa uočenim aktivnostima kako bi identificirao potencijalne anomalije. Na većini mjesta, IDS instalirani uređaji se postavljaju između boarder rutera i firewall-a ili izvan boarder rutera. U nekim slučajevima IDS instalirani uređaji se postavljaju izvan firewall-a i graničnog rutera s namjerom da se vidi puna širina pokušaja napada. Performanse su ključno pitanje kod IDS sistema budući da se koriste sa mrežnim uređajima velikog propusnog opsega. Čak i sa komponentama visokih performansi i ažuriranim softverom, IDS ima tendenciju da ispusti pakete jer ne mogu podnijeti veliku propusnost.
IPS
IPS je sistem koji aktivno preduzima korake da spreči upad ili napad kada ga identifikuje. IPS su podijeljeni u četiri kategorije. Prvi je Mrežna prevencija upada (NIPS), koja nadgleda čitavu mrežu u potrazi za sumnjivim aktivnostima. Drugi tip su sistemi Network Behavior Analysis (NBA) koji ispituju tok saobraćaja kako bi otkrili neobične tokove saobraćaja koji bi mogli biti rezultat napada kao što je distribuirano uskraćivanje usluge (DDoS). Treća vrsta je Wireless Intrusion Prevention Systems (WIPS), koji analizira bežične mreže na sumnjivi promet. Četvrti tip su sistemi za prevenciju intruzija zasnovani na hostu (HIPS), gdje je instaliran softverski paket za praćenje aktivnosti jednog hosta. Kao što je ranije spomenuto, IPS preduzima aktivne korake kao što je ispuštanje paketa koji sadrže zlonamjerne podatke, resetiranje ili blokiranje saobraćaja koji dolazi sa uvredljive IP adrese.
Koja je razlika između IPS-a i IDS-a?
IDS je sistem koji nadgleda mrežu i otkriva neprikladne, pogrešne ili anomalne aktivnosti, dok je IPS sistem koji detektuje upad ili napad i preduzima aktivne korake da ih spreči. Glavna razlika između njih dvoje je za razliku od IDS-a, IPS aktivno poduzima korake da spriječi ili blokira otkrivene upade. Ovi koraci za sprečavanje uključuju aktivnosti poput ispuštanja zlonamjernih paketa i resetiranja ili blokiranja prometa koji dolazi sa zlonamjernih IP adresa. IPS se može posmatrati kao proširenje IDS-a, koji ima dodatne mogućnosti da spriječi upade dok ih detektuje.
