Diferença entre IDS e IPS

Anonim

IDS vs IPS

IDS (Intrusion Detection System) são sistemas que detectam atividades inadequadas, incorretas ou anômalas em uma rede e denunciam-nas. Além disso, IDS pode ser usado para detectar se uma rede ou um servidor está sofrendo uma intrusão não autorizada. IPS (Intrusion Prevention System) é um sistema que desconecta ativamente as conexões ou descarta pacotes, se contiverem dados não autorizados. O IPS pode ser visto como uma extensão do IDS.

IDS

IDS monitoram a rede e detectam atividades inadequadas, incorretas ou anômalas. Existem dois tipos principais de IDS. O primeiro é o sistema de detecção de intrusão de rede (NIDS). Esses sistemas examinam o tráfego na rede e monitoram vários hosts para identificar intrusões. Os sensores são usados ​​para capturar o tráfego na rede e cada pacote é analisado para identificar conteúdos maliciosos. O segundo tipo é o sistema de detecção de intrusão baseado em host (HIDS). HIDS são implantados em máquinas host ou em um servidor. Eles analisam dados que são locais para a máquina, como arquivos de log do sistema, trilhas de auditoria e alterações no sistema de arquivos para identificar comportamentos incomuns. HIDS compara o perfil normal do hospedeiro com as atividades observadas para identificar possíveis anomalias. Na maioria dos lugares, os dispositivos IDS instalados são colocados entre o roteador do boarder e o firewall ou fora do roteador do boarder. Em alguns casos, os dispositivos IDS instalados são colocados fora do firewall e do roteador boarder com a intenção de ver a amplitude total dos ataques tentados. O desempenho é um problema fundamental com os sistemas IDS, uma vez que eles são usados ​​com dispositivos de rede de alta largura de banda. Mesmo com componentes de alto desempenho e software atualizado, o IDS tende a soltar pacotes, pois eles não conseguem lidar com o grande débito.

IPS

IPS é um sistema que toma ativamente medidas para evitar uma intrusão ou um ataque quando ele identifica um. IPS são divididos em quatro categorias. A primeira é a prevenção de intrusão baseada em rede (NIPS), que monitora toda a rede para atividades suspeitas. O segundo tipo é o sistema de Análise de Comportamento de Rede (NBA) que examina o fluxo de tráfego para detectar fluxos de tráfego incomuns que podem ser resultados de ataque, como negação de serviço distribuída (DDoS). O terceiro tipo é o Wireless Intrusion Prevention Systems (WIPS), que analisa redes sem fio para tráfego suspeito. O quarto tipo é o Host-based Intrusion Prevention Systems (HIPS), onde um pacote de software é instalado para monitorar atividades de um único host. Conforme mencionado anteriormente, o IPS usa etapas ativas, como descartar pacotes que contenham dados maliciosos, redefinição ou bloqueio de tráfego provenientes de um endereço IP ofensivo.

Qual a diferença entre IPS e IDS?

Um IDS é um sistema que monitora a rede e detecta atividades inadequadas, incorretas ou anômalas, enquanto um IPS é um sistema que detecta intrusão ou ataque e toma medidas ativas para evitar. A deferência principal entre os dois é diferente do IDS, o IPS adota ativamente medidas para prevenir ou bloquear intrusões detectadas. Essas etapas de prevenção incluem atividades como descartar pacotes maliciosos e redefinir ou bloquear o tráfego provenientes de endereços IP mal-intencionados. O IPS pode ser visto como uma extensão do IDS, que possui os recursos adicionais para evitar intrusões enquanto os detecta.