IDS vs IPS
IDS (Intrusion Detection System) sono sistemi che rilevano le attività inadeguate, errate o anomale in una rete e le segnalano. Inoltre, IDS può essere utilizzato per rilevare se una rete o un server sta subendo un'intrusione non autorizzata. IPS (Intrusion Prevention System) è un sistema che disconnette attivamente le connessioni o rilascia pacchetti, se contengono dati non autorizzati. IPS può essere visto come un'estensione di IDS.
IDS
IDS monitora la rete e rileva attività inappropriate, errate o anomale. Esistono due tipi principali di IDS. Il primo è il sistema di rilevamento delle intrusioni di rete (NIDS). Questi sistemi esaminano il traffico nella rete e monitorano più host per identificare le intrusioni. I sensori vengono utilizzati per acquisire il traffico nella rete e ogni pacchetto viene analizzato per identificare il contenuto dannoso. Il secondo tipo è il sistema di rilevamento delle intrusioni basato su host (HIDS). HIDS sono distribuiti in macchine host o in un server. Analizzano i dati locali sulla macchina come file di registro di sistema, audit trail e modifiche al file system per identificare comportamenti insoliti. HIDS confronta il profilo normale dell'ospite con le attività osservate per identificare potenziali anomalie. Nella maggior parte dei luoghi, i dispositivi installati IDS sono posizionati tra il router di bordo e il firewall o all'esterno del router di bordo. In alcuni casi i dispositivi installati da IDS vengono posizionati all'esterno del firewall e del router boarder con l'intento di vedere l'intera portata dei tentativi di attacco. Le prestazioni sono un problema chiave con i sistemi IDS poiché vengono utilizzati con dispositivi di rete a larghezza di banda elevata. Anche con componenti ad alte prestazioni e software aggiornato, l'IDS tende a eliminare i pacchetti poiché non è in grado di gestire l'elevata velocità effettiva.
IPS
IPS è un sistema che adotta attivamente misure per prevenire un'intrusione o un attacco quando ne identifica uno. Gli IPS sono divisi in quattro categorie. Il primo è il Network-based Intrusion Prevention (NIPS), che monitora l'intera rete alla ricerca di attività sospette. Il secondo tipo sono i sistemi Network Behavior Analysis (NBA) che esaminano il flusso di traffico per rilevare flussi di traffico insoliti che potrebbero essere il risultato di attacchi come il DDoS (Distributed Denial of Service). Il terzo tipo è il Wireless Intrusion Prevention Systems (WIPS), che analizza le reti wireless per il traffico sospetto. Il quarto tipo è il sistema di prevenzione delle intrusioni basato su host (HIPS), in cui viene installato un pacchetto software per monitorare le attività di un singolo host. Come accennato in precedenza, IPS adotta misure attive come l'eliminazione di pacchetti che contengono dati dannosi, il ripristino o il blocco del traffico proveniente da un indirizzo IP offensivo.
Qual è la differenza tra IPS e IDS?
Un IDS è un sistema che monitora la rete e rileva attività inappropriate, errate o anomale, mentre un IPS è un sistema che rileva un'intrusione o un attacco e adotta misure attive per prevenirli. La principale deferenza tra i due è a differenza di IDS, IPS adotta attivamente misure per prevenire o bloccare le intrusioni rilevate. Questi passaggi di prevenzione includono attività come l'eliminazione di pacchetti dannosi e il ripristino o il blocco del traffico proveniente da indirizzi IP dannosi. IPS può essere visto come un'estensione di IDS, che ha le capacità aggiuntive per prevenire le intrusioni mentre le rileva.