IDS לעומת IPS
IDS (מערכת זיהוי חדירה) הן מערכות שמזהות פעילויות שאינן הולמות, שגויות או חריגות ברשת ומדווחות עליהן. יתר על כן, ניתן להשתמש ב-IDS כדי לזהות אם רשת או שרת חווים פריצה לא מורשית. IPS (מערכת למניעת חדירה) היא מערכת שמנתקת חיבורים באופן אקטיבי או מפילה מנות, אם הן מכילות נתונים לא מורשים. ניתן לראות את IPS כהרחבה של IDS.
IDS
IDS לפקח על הרשת ולזהות פעילויות לא הולמות, שגויות או חריגות. ישנם שני סוגים עיקריים של IDS. הראשונה היא מערכת זיהוי חדירת רשת (NIDS).מערכות אלו בוחנות את התעבורה ברשת ומנטרות מספר מארחים לזיהוי פריצות. חיישנים משמשים ללכוד את התעבורה ברשת וכל חבילה מנותחת כדי לזהות תוכן זדוני. הסוג השני הוא מערכת זיהוי חדירה מבוססת מארח (HIDS). HIDS פרוסים במכונות מארחות או בשרת. הם מנתחים נתונים מקומיים למכונה כגון קובצי יומן מערכת, מסלולי ביקורת ושינויים במערכת הקבצים כדי לזהות התנהגות חריגה. HIDS משווה את הפרופיל הרגיל של המארח עם הפעילויות הנצפות כדי לזהות חריגות אפשריות. ברוב המקומות, התקנים המותקנים של IDS ממוקמים בין נתב ה-boarder לבין חומת האש או מחוץ לנתב ה-boarder. במקרים מסוימים התקנים המותקנים ב-IDS ממוקמים מחוץ לחומת האש ולנתב הלוח במטרה לראות את מלוא הרוחב של ניסיונות התקפות. ביצועים הם נושא מרכזי במערכות IDS מכיוון שהן משמשות עם התקני רשת ברוחב פס גבוה. אפילו עם רכיבים בעלי ביצועים גבוהים ותוכנה מעודכנת, IDS נוטים להפיל מנות מכיוון שהם לא יכולים להתמודד עם התפוקה הגדולה.
IPS
IPS היא מערכת הנוקטת בצעדים באופן אקטיבי כדי למנוע חדירה או התקפה כאשר היא מזהה אחת כזו. IPS מחולקים לארבע קטגוריות. הראשון הוא ה-Network-based Intrusion Prevention (NIPS), המנטר את כל הרשת לאיתור פעילות חשודה. הסוג השני הוא מערכות Network Behavior Analysis (NBA) שבוחנות את זרימת התעבורה כדי לזהות זרימות תעבורה חריגות שיכולות להיות תוצאות של התקפה כגון מניעת שירות מבוזרת (DDoS). הסוג השלישי הוא Wireless Intrusion Prevention Systems (WIPS), המנתח רשתות אלחוטיות לאיתור תעבורה חשודה. הסוג הרביעי הוא Host-based Intrusion Prevention Systems (HIPS), שבו מותקנת חבילת תוכנה לניטור פעילויות של מארח בודד. כפי שהוזכר קודם לכן, IPS נוקטת בצעדים פעילים כגון הפלת מנות המכילות נתונים זדוניים, איפוס או חסימת תעבורה המגיעה מכתובת IP פוגעת.
מה ההבדל בין IPS ל-IDS?
An IDS היא מערכת שמנטרת את הרשת ומזהה פעילויות לא הולמות, שגויות או חריגות, בעוד ש-IPS היא מערכת שמזהה פריצה או תקיפה ומבצעת צעדים אקטיביים למניעתן. ההערצה העיקרית בין השניים היא שלא כמו IDS, IPS נוקטת באופן אקטיבי בצעדים כדי למנוע או לחסום פריצות שמתגלות. שלבי מניעה אלה כוללים פעילויות כמו הפלת מנות זדוניות ואיפוס או חסימת תעבורה שמגיעה מכתובות IP זדוניות. ניתן לראות את IPS כהרחבה של IDS, שיש לה את היכולות הנוספות למנוע פריצות תוך כדי זיהוין.