IDS vs IPS
IDS (Intrusion Detection System) ovat järjestelmiä, jotka havaitsevat verkossa sopimattomia, virheellisiä tai poikkeavia toimintoja ja raportoivat niistä. Lisäksi IDS:n avulla voidaan havaita, onko verkkoon tai palvelimeen luvaton tunkeutuminen. IPS (Intrusion Prevention System) on järjestelmä, joka katkaisee aktiivisesti yhteydet tai pudottaa paketteja, jos ne sisältävät luvatonta dataa. IPS voidaan nähdä IDS:n laajennuksena.
IDS
IDS valvoo verkkoa ja havaitsee sopimattomia, virheellisiä tai poikkeavia toimintoja. IDS:itä on kahta päätyyppiä. Ensimmäinen on verkkotunkeutumisen havaitsemisjärjestelmä (NIDS). Nämä järjestelmät tutkivat verkon liikennettä ja valvovat useita isäntiä tunkeutumisen tunnistamiseksi. Antureilla kaapataan liikenne verkossa ja jokainen paketti analysoidaan haitallisen sisällön tunnistamiseksi. Toinen tyyppi on isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS). HIDS otetaan käyttöön isäntäkoneissa tai palvelimessa. Ne analysoivat koneelle paikallisia tietoja, kuten järjestelmän lokitiedostoja, kirjausketjuja ja tiedostojärjestelmän muutoksia tunnistaakseen epätavallisen toiminnan. HIDS vertaa isännän normaalia profiilia havaittuihin toimintoihin mahdollisten poikkeavuuksien tunnistamiseksi. Useimmissa paikoissa IDS-asennetut laitteet sijoitetaan rajareitittimen ja palomuurin väliin tai rajareitittimen ulkopuolelle. Joissakin tapauksissa IDS:n asennetut laitteet sijoitetaan palomuurin ja rajareitittimen ulkopuolelle tarkoituksena nähdä kaikki hyökkäysyritykset. Suorituskyky on keskeinen ongelma IDS-järjestelmissä, koska niitä käytetään suuren kaistanleveyden verkkolaitteiden kanssa. Jopa tehokkailla komponenteilla ja päivitetyillä ohjelmistoilla IDS:llä on taipumus pudottaa paketteja, koska ne eivät pysty käsittelemään suurta suorituskykyä.
IPS
IPS on järjestelmä, joka ryhtyy aktiivisesti toimenpiteisiin tunkeutumisen tai hyökkäyksen estämiseksi, kun se tunnistaa sellaisen. IPS on jaettu neljään kategoriaan. Ensimmäinen on NIPS (Network-based Intrusion Prevention), joka tarkkailee koko verkkoa epäilyttävän toiminnan var alta. Toinen tyyppi on Network Behavior Analysis (NBA) -järjestelmät, jotka tutkivat liikennevirtaa havaitakseen epätavalliset liikennevirrat, jotka voivat johtua hyökkäyksestä, kuten hajautettu palvelunesto (DDoS). Kolmas tyyppi on Wireless Intrusion Prevention Systems (WIPS), joka analysoi langattomien verkkojen epäilyttävän liikenteen. Neljäs tyyppi on Host-based Intrusion Prevention Systems (HIPS), johon asennetaan ohjelmistopaketti valvomaan yksittäisen isännän toimintaa. Kuten aiemmin mainittiin, IPS ryhtyy aktiivisiin toimiin, kuten pudottaa haitallisia tietoja sisältäviä paketteja, nollaa tai estää loukkaavasta IP-osoitteesta tulevan liikenteen.
Mitä eroa on IPS:llä ja IDS:llä?
IDS on järjestelmä, joka valvoo verkkoa ja havaitsee sopimattomia, virheellisiä tai poikkeavia toimintoja, kun taas IPS on järjestelmä, joka havaitsee tunkeutumisen tai hyökkäyksen ja ryhtyy aktiivisiin toimiin niiden estämiseksi. Pääasiallinen kunnioitus näiden kahden välillä on toisin kuin IDS, IPS ryhtyy aktiivisesti toimenpiteisiin estääkseen tai estääkseen havaitut tunkeutumiset. Näitä estäviä vaiheita ovat esimerkiksi haitallisten pakettien pudottaminen ja haitallisista IP-osoitteista tulevan liikenteen nollaus tai estäminen. IPS voidaan nähdä IDS:n laajennuksena, jolla on lisäominaisuudet estämään tunkeutumiset niitä havaitessaan.
