IDS versus IPS
IDS (Intrusion Detection System) zijn systemen die activiteiten detecteren die ongepast, incorrect of afwijkend zijn in een netwerk en deze rapporteren. Bovendien kan IDS worden gebruikt om te detecteren of een netwerk of een server een ongeautoriseerde inbraak ervaart. IPS (Intrusion Prevention System) is een systeem dat actief verbindingen verbreekt of pakketten laat vallen als deze ongeautoriseerde gegevens bevatten. IPS kan worden gezien als een uitbreiding van IDS.
IDS
IDS bewaakt het netwerk en detecteert ongepaste, onjuiste of afwijkende activiteiten. Er zijn twee hoofdtypen IDS. De eerste is het Network Intrusion Detection System (NIDS). Deze systemen onderzoeken het verkeer in het netwerk en monitoren meerdere hosts om inbraken te identificeren. Sensoren worden gebruikt om het verkeer in het netwerk vast te leggen en elk pakket wordt geanalyseerd om kwaadaardige inhoud te identificeren. Het tweede type is het Host-based Intrusion Detection System (HIDS). HIDS worden ingezet in hostmachines of een server. Ze analyseren gegevens die lokaal zijn voor de machine, zoals systeemlogbestanden, audittrails en bestandssysteemwijzigingen om ongebruikelijk gedrag te identificeren. HIDS vergelijkt het normale profiel van de gastheer met de waargenomen activiteiten om mogelijke anomalieën te identificeren. Op de meeste plaatsen worden IDS-geïnstalleerde apparaten tussen de boarder-router en de firewall of buiten de boarder-router geplaatst. In sommige gevallen worden IDS-geïnstalleerde apparaten buiten de firewall en boarderrouter geplaatst met de bedoeling om de volledige breedte van poging tot aanvallen te zien. Prestaties zijn een belangrijk probleem bij IDS-systemen, omdat ze worden gebruikt met netwerkapparaten met een hoge bandbreedte. Zelfs met hoogwaardige componenten en bijgewerkte software, hebben IDS de neiging om pakketten te laten vallen omdat ze de grote doorvoer niet aankunnen.
IPS
IPS is een systeem dat actief stappen onderneemt om een inbraak of een aanval te voorkomen wanneer het er een identificeert. IPS zijn onderverdeeld in vier categorieën. De eerste is de Network-based Intrusion Prevention (NIPS), die het hele netwerk controleert op verdachte activiteiten. Het tweede type zijn de Network Behaviour Analysis (NBA)-systemen die de verkeersstroom onderzoeken om ongebruikelijke verkeersstromen te detecteren die het resultaat kunnen zijn van een aanval, zoals gedistribueerde denial of service (DDoS). De derde soort is de Wireless Intrusion Prevention Systems (WIPS), die draadloze netwerken analyseert op verdacht verkeer. Het vierde type is de Host-based Intrusion Prevention Systems (HIPS), waarbij een softwarepakket wordt geïnstalleerd om de activiteiten van een enkele host te monitoren. Zoals eerder vermeld, onderneemt IPS actieve stappen, zoals het verwijderen van pakketten die schadelijke gegevens bevatten, het resetten of blokkeren van verkeer afkomstig van een beledigend IP-adres.
Wat is het verschil tussen IPS en IDS?
Een IDS is een systeem dat het netwerk bewaakt en ongepaste, onjuiste of afwijkende activiteiten detecteert, terwijl een IPS een systeem is dat inbraak of een aanval detecteert en actieve stappen onderneemt om deze te voorkomen. De belangrijkste eerbied tussen de twee is in tegenstelling tot IDS, IPS onderneemt actief stappen om gedetecteerde inbraken te voorkomen of te blokkeren. Deze preventieve stappen omvatten activiteiten zoals het verwijderen van kwaadaardige pakketten en het resetten of blokkeren van verkeer afkomstig van kwaadaardige IP-adressen. IPS kan worden gezien als een uitbreiding van IDS, dat de extra mogelijkheden heeft om indringers te voorkomen terwijl het wordt gedetecteerd.