IDS vs IPS
IDS (Sistema de detecció d'intrusions) són sistemes que detecten activitats inadequades, incorrectes o anòmales en una xarxa i les denuncien. A més, l'IDS es pot utilitzar per detectar si una xarxa o un servidor està experimentant una intrusió no autoritzada. IPS (Intrusion Prevention System) és un sistema que desconnecta activament connexions o deixa caure paquets, si contenen dades no autoritzades. IPS es pot veure com una extensió d'IDS.
IDS
IDS supervisa la xarxa i detecta activitats inadequades, incorrectes o anòmales. Hi ha dos tipus principals d'IDS. El primer és el sistema de detecció d'intrusions en xarxa (NIDS). Aquests sistemes examinen el trànsit a la xarxa i controlen diversos hosts per identificar intrusions. S'utilitzen sensors per capturar el trànsit a la xarxa i cada paquet s'analitza per identificar contingut maliciós. El segon tipus és el sistema de detecció d'intrusions basat en host (HIDS). Els HIDS es despleguen en màquines host o en un servidor. Analitzen dades locals a la màquina, com ara fitxers de registre del sistema, pistes d'auditoria i canvis del sistema de fitxers per identificar comportaments inusuals. HIDS compara el perfil normal de l'hoste amb les activitats observades per identificar possibles anomalies. En la majoria de llocs, els dispositius instal·lats amb IDS es col·loquen entre l'encaminador de la frontera i el tallafoc o fora de l'encaminador de la frontera. En alguns casos, els dispositius instal·lats amb IDS es col·loquen fora del tallafoc i de l'encaminador de frontera amb la intenció de veure tota l'amplitud dels intents d'atac. El rendiment és un problema clau amb els sistemes IDS, ja que s'utilitzen amb dispositius de xarxa d'ample de banda elevat. Fins i tot amb components d' alt rendiment i programari actualitzat, IDS tendeix a deixar caure paquets ja que no poden gestionar el gran rendiment.
IPS
IPS és un sistema que pren mesures activament per evitar una intrusió o un atac quan n'identifica un. Els IPS es divideixen en quatre categories. El primer és la prevenció d'intrusions basada en xarxa (NIPS), que supervisa tota la xarxa per detectar activitats sospitoses. El segon tipus són els sistemes d'anàlisi del comportament de la xarxa (NBA) que examinen el flux de trànsit per detectar fluxos de trànsit inusuals que podrien ser el resultat d'un atac com ara la denegació de servei distribuïda (DDoS). El tercer tipus són els sistemes de prevenció d'intrusions sense fil (WIPS), que analitza les xarxes sense fil per a trànsit sospitós. El quart tipus són els sistemes de prevenció d'intrusions basats en host (HIPS), on s'instal·la un paquet de programari per supervisar les activitats d'un sol amfitrió. Com s'ha esmentat anteriorment, IPS pren passos actius, com ara deixar caure paquets que contenen dades malicioses, restablir o bloquejar el trànsit procedent d'una adreça IP ofensiva.
Quina diferència hi ha entre IPS i IDS?
Un IDS és un sistema que monitoritza la xarxa i detecta activitats inadequades, incorrectes o anòmales, mentre que un IPS és un sistema que detecta intrusions o atacs i pren mesures actives per prevenir-les. La principal deferència entre els dos és a diferència d'IDS, IPS pren activament mesures per prevenir o bloquejar les intrusions que es detecten. Aquests passos de prevenció inclouen activitats com deixar caure paquets maliciosos i restablir o bloquejar el trànsit procedent d'adreces IP malicioses. L'IPS es pot veure com una extensió de l'IDS, que té les capacitats addicionals per evitar intrusions mentre les detecta.
