IDS vs IPS
IDS (Intrusion Detection System) არის სისტემები, რომლებიც აღმოაჩენენ შეუსაბამო, არასწორი ან ანომალიურ აქტივობებს ქსელში და აცნობებენ მათ. გარდა ამისა, IDS შეიძლება გამოყენებულ იქნას იმის დასადგენად, არის თუ არა ქსელი ან სერვერი განიცდის არაავტორიზებული შეჭრას. IPS (Intrusion Prevention System) არის სისტემა, რომელიც აქტიურად წყვეტს კავშირებს ან ტოვებს პაკეტებს, თუ ისინი შეიცავს არაავტორიზებულ მონაცემებს. IPS შეიძლება ჩაითვალოს IDS-ის გაფართოებად.
IDS
IDS აკონტროლებს ქსელს და აღმოაჩენს შეუსაბამო, არასწორ ან ანომალიურ აქტივობებს. IDS-ის ორი ძირითადი ტიპი არსებობს. პირველი არის ქსელის შეჭრის გამოვლენის სისტემა (NIDS).ეს სისტემები იკვლევენ ტრაფიკს ქსელში და აკვირდებიან მრავალ ჰოსტს შეჭრის იდენტიფიცირებისთვის. სენსორები გამოიყენება ქსელში ტრაფიკის დასაფიქსირებლად და თითოეული პაკეტი ანალიზდება მავნე შინაარსის იდენტიფიცირებისთვის. მეორე ტიპი არის ჰოსტზე დაფუძნებული შეჭრის გამოვლენის სისტემა (HIDS). HIDS განლაგებულია მასპინძელ მანქანებში ან სერვერზე. ისინი აანალიზებენ მონაცემებს, რომლებიც ლოკალურია აპარატისთვის, როგორიცაა სისტემის ჟურნალის ფაილები, აუდიტის ბილიკები და ფაილური სისტემის ცვლილებები უჩვეულო ქცევის დასადგენად. HIDS ადარებს მასპინძლის ნორმალურ პროფილს დაკვირვებულ აქტივობებს პოტენციური ანომალიების გამოსავლენად. უმეტეს ადგილებში IDS დაინსტალირებული მოწყობილობები მოთავსებულია ბორდერის როუტერსა და ბუხარს შორის ან ბორდერის როუტერის გარეთ. ზოგიერთ შემთხვევაში IDS დაინსტალირებული მოწყობილობები მოთავსებულია firewall-ისა და საზღვრის როუტერის მიღმა იმ მიზნით, რომ ნახოთ თავდასხმების მცდელობის მთელი სიგანი. შესრულება არის IDS სისტემების მთავარი პრობლემა, რადგან ისინი გამოიყენება მაღალი გამტარუნარიანობის ქსელის მოწყობილობებთან. მაღალი ხარისხის კომპონენტებისა და განახლებული პროგრამული უზრუნველყოფის პირობებშიც კი, IDS-ები ამცირებენ პაკეტებს, რადგან ისინი ვერ უმკლავდებიან დიდ გამტარუნარიანობას.
IPS
IPS არის სისტემა, რომელიც აქტიურად დგამს ზომებს შეჭრის ან თავდასხმის თავიდან ასაცილებლად, როდესაც ის იდენტიფიცირებს. IPS იყოფა ოთხ კატეგორიად. პირველი არის ქსელზე დაფუძნებული შეჭრის პრევენცია (NIPS), რომელიც აკონტროლებს მთელ ქსელს საეჭვო აქტივობაზე. მეორე ტიპი არის ქსელის ქცევის ანალიზის (NBA) სისტემები, რომლებიც იკვლევენ ტრაფიკის ნაკადს უჩვეულო ტრაფიკის ნაკადების გამოსავლენად, რაც შეიძლება იყოს თავდასხმის შედეგი, როგორიცაა სერვისის განაწილებული უარის თქმა (DDoS). მესამე ტიპი არის უსადენო შეჭრის პრევენციის სისტემები (WIPS), რომელიც აანალიზებს უკაბელო ქსელებს საეჭვო ტრაფიკისთვის. მეოთხე ტიპი არის ჰოსტზე დაფუძნებული შეჭრის პრევენციის სისტემები (HIPS), სადაც დამონტაჟებულია პროგრამული პაკეტი ერთი ჰოსტის აქტივობების მონიტორინგისთვის. როგორც უკვე აღვნიშნეთ, IPS იღებს აქტიურ ნაბიჯებს, როგორიცაა მავნე მონაცემების შემცველი პაკეტების ჩამოგდება, შეურაცხმყოფელი IP მისამართიდან მომდინარე ტრაფიკის გადატვირთვა ან დაბლოკვა.
რა განსხვავებაა IPS-სა და IDS-ს შორის?
IDS არის სისტემა, რომელიც აკონტროლებს ქსელს და აღმოაჩენს შეუსაბამო, არასწორ ან ანომალიურ აქტივობებს, ხოლო IPS არის სისტემა, რომელიც აღმოაჩენს შეჭრას ან თავდასხმას და იღებს აქტიურ ნაბიჯებს მათ თავიდან ასაცილებლად. ამ ორს შორის მთავარი განსხვავება IDS-სგან განსხვავებით, IPS აქტიურად დგამს ზომებს აღმოჩენილი შეღწევების თავიდან ასაცილებლად ან დაბლოკვის მიზნით. ეს პრევენციული ნაბიჯები მოიცავს აქტივობებს, როგორიცაა მავნე პაკეტების ჩამოგდება და მავნე IP მისამართებიდან მომდინარე ტრაფიკის გადატვირთვა ან დაბლოკვა. IPS შეიძლება ჩაითვალოს IDS-ის გაფართოებად, რომელსაც აქვს დამატებითი შესაძლებლობები, რათა თავიდან აიცილოს შეჭრა მათი აღმოჩენისას.