IDS vs. IPS
IDS (Intrusion Detection System) sind Systeme, die unangemessene, falsche oder anomale Aktivitäten in einem Netzwerk erkennen und diese melden. Darüber hinaus kann IDS verwendet werden, um festzustellen, ob ein Netzwerk oder ein Server einen unbefugten Zugriff hat. IPS (Intrusion Prevention System) ist ein System, das aktiv Verbindungen trennt oder Pakete verwirft, wenn sie nicht autorisierte Daten enthalten. IPS kann als Erweiterung von IDS betrachtet werden.
IDS
IDS überwachen das Netzwerk und erkennen unangemessene, falsche oder anomale Aktivitäten. Es gibt zwei Haupttypen von IDS. Das erste ist das Network Intrusion Detection System (NIDS). Diese Systeme untersuchen den Datenverkehr im Netzwerk und überwachen mehrere Hosts, um Eindringlinge zu erkennen. Sensoren erfassen den Verkehr im Netzwerk und jedes Paket wird analysiert, um schädliche Inhalte zu identifizieren. Der zweite Typ ist das Host-basierte Intrusion Detection System (HIDS). HIDS werden auf Hostcomputern oder einem Server bereitgestellt. Sie analysieren Daten, die auf dem Computer lokal sind, wie Systemprotokolldateien, Prüfprotokolle und Dateisystemänderungen, um ungewöhnliches Verhalten zu erkennen. HIDS vergleicht das normale Profil des Wirts mit den beobachteten Aktivitäten, um mögliche Anomalien zu identifizieren. An den meisten Orten werden installierte IDS-Geräte zwischen dem Boarder-Router und der Firewall oder außerhalb des Boarder-Routers platziert. In einigen Fällen werden von IDS installierte Geräte außerhalb der Firewall und des Boarder-Routers platziert, sodass Sie die gesamte Bandbreite der versuchten Angriffe sehen können. Die Leistung ist bei IDS-Systemen ein Schlüsselproblem, da sie mit Netzwerkgeräten mit hoher Bandbreite verwendet werden. IDS neigt auch bei Hochleistungskomponenten und aktualisierter Software dazu, Pakete zu verwerfen, da sie den hohen Durchsatz nicht verarbeiten können.
IPS
IPS ist ein System, das aktiv Schritte unternimmt, um ein Eindringen oder einen Angriff zu verhindern, wenn es eines identifiziert. IPS sind in vier Kategorien unterteilt. Der erste ist der Network-based Intrusion Prevention (NIPS), der das gesamte Netzwerk auf verdächtige Aktivitäten überwacht. Der zweite Typ ist das Network Behavior Analysis (NBA) -System, das den Verkehrsfluss untersucht, um ungewöhnliche Verkehrsflüsse zu erkennen, die Folge von Angriffen sein können, wie etwa Distributed Denial of Service (DDoS). Die dritte Art ist das Wireless Intrusion Prevention System (WIPS), das drahtlose Netzwerke auf verdächtigen Datenverkehr analysiert. Der vierte Typ ist das Host-based Intrusion Prevention System (HIPS), bei dem ein Softwarepaket zur Überwachung der Aktivitäten eines einzelnen Hosts installiert wird. Wie bereits erwähnt, unternimmt IPS aktive Schritte, z. B. das Löschen von Paketen, die schädliche Daten enthalten, das Zurücksetzen oder Blockieren des von einer fehlerhaften IP-Adresse kommenden Datenverkehrs.
Was ist der Unterschied zwischen IPS und IDS??
Ein IDS ist ein System, das das Netzwerk überwacht und unangemessene, falsche oder anomale Aktivitäten erkennt, während ein IPS ein System ist, das einen Angriff oder einen Angriff erkennt und aktive Schritte unternimmt, um sie zu verhindern. Der Hauptunterschied zwischen den beiden ist im Gegensatz zu IDS, IPS unternimmt aktiv Schritte, um festgestellte Eindringlinge zu verhindern oder zu blockieren. Zu diesen Verhinderungsschritten gehören Aktivitäten wie das Löschen bösartiger Pakete und das Zurücksetzen oder Blockieren des Datenverkehrs von bösartigen IP-Adressen. IPS kann als eine Erweiterung von IDS angesehen werden, die die zusätzlichen Funktionen bietet, um Eindringlinge während der Erkennung zu verhindern.