IDS vs IPS
Gli IDS (Intrusion Detection System) sono sistemi che rilevano attività inappropriate, errate o anomale in una rete e le segnalano. Inoltre, IDS può essere utilizzato per rilevare se una rete o un server sta subendo un'intrusione non autorizzata. IPS (Intrusion Prevention System) è un sistema che disconnette attivamente le connessioni o rilascia pacchetti, se contengono dati non autorizzati. L'IPS può essere visto come un'estensione di IDS.
IDS
IDS monitora la rete e rileva attività inappropriate, errate o anomale. Esistono due tipi principali di IDS. Il primo è il sistema di rilevamento delle intrusioni di rete (NIDS). Questi sistemi esaminano il traffico nella rete e monitorano più host per identificare le intrusioni. I sensori vengono utilizzati per catturare il traffico nella rete e ogni pacchetto viene analizzato per identificare il contenuto dannoso. Il secondo tipo è il sistema di rilevamento delle intrusioni basato su host (HIDS). Gli HIDS vengono distribuiti su macchine host o un server. Analizzano i dati che sono locali alla macchina come file di registro di sistema, tracce di controllo e modifiche al file system per identificare comportamenti insoliti. HIDS confronta il profilo normale dell'ospite con le attività osservate per identificare potenziali anomalie. Nella maggior parte dei posti,I dispositivi IDS installati vengono posizionati tra il router boarder e il firewall o all'esterno del router boarder. In alcuni casi i dispositivi IDS installati sono posizionati all'esterno del firewall e del router boarder con l'intenzione di vedere l'intera gamma di tentativi di attacco. Le prestazioni sono un problema chiave con i sistemi IDS poiché vengono utilizzati con dispositivi di rete a larghezza di banda elevata. Anche con componenti ad alte prestazioni e software aggiornato, gli IDS tendono a eliminare i pacchetti poiché non sono in grado di gestire il throughput elevato. Gli IDS tendono a eliminare i pacchetti poiché non sono in grado di gestire il throughput elevato. Gli IDS tendono a eliminare i pacchetti poiché non sono in grado di gestire il throughput elevato.
IPS
L'IPS è un sistema che adotta attivamente misure per prevenire un'intrusione o un attacco quando ne identifica uno. Gli IPS sono suddivisi in quattro categorie. Il primo è il Network-based Intrusion Prevention (NIPS), che monitora l'intera rete per attività sospette. Il secondo tipo è costituito dai sistemi NBA (Network Behavior Analysis) che esaminano il flusso di traffico per rilevare flussi di traffico insoliti che potrebbero essere risultati di attacchi come DDoS (Distributed Denial of Service). Il terzo tipo è il Wireless Intrusion Prevention Systems (WIPS), che analizza le reti wireless per il traffico sospetto. Il quarto tipo è il sistema HIPS (Host-based Intrusion Prevention Systems), in cui è installato un pacchetto software per monitorare le attività di un singolo host. Come accennato in precedenza, IPS esegue passaggi attivi come l'eliminazione di pacchetti che contengono dati dannosi,reimpostare o bloccare il traffico proveniente da un indirizzo IP offensivo.
Qual è la differenza tra IPS e IDS?
Un IDS è un sistema che monitora la rete e rileva attività inappropriate, errate o anomale, mentre un IPS è un sistema che rileva intrusioni o attacchi e adotta misure attive per prevenirli. La principale deferenza tra i due è diversa da IDS, IPS prende attivamente provvedimenti per prevenire o bloccare le intrusioni rilevate. Questi passaggi di prevenzione includono attività come l'eliminazione di pacchetti dannosi e il ripristino o il blocco del traffico proveniente da indirizzi IP dannosi. IPS può essere visto come un'estensione di IDS, che ha le capacità aggiuntive per prevenire le intrusioni durante il loro rilevamento.