IDS vs. IPS
IDS (Intrusion Detection System) sind Systeme, die unangemessene, falsche oder anomale Aktivitäten in einem Netzwerk erkennen und melden. Darüber hinaus kann IDS verwendet werden, um zu erkennen, ob ein Netzwerk oder ein Server einem unbefugten Eindringen ausgesetzt ist. IPS (Intrusion Prevention System) ist ein System, das Verbindungen aktiv trennt oder Pakete verwirft, wenn sie nicht autorisierte Daten enth alten. IPS kann als Erweiterung von IDS angesehen werden.
IDS
IDS überwacht das Netzwerk und erkennt unangemessene, falsche oder anomale Aktivitäten. Es gibt zwei Haupttypen von IDS. Das erste ist das Network Intrusion Detection System (NIDS). Diese Systeme untersuchen den Datenverkehr im Netzwerk und überwachen mehrere Hosts, um Eindringlinge zu identifizieren. Sensoren werden verwendet, um den Datenverkehr im Netzwerk zu erfassen, und jedes Paket wird analysiert, um schädliche Inh alte zu identifizieren. Der zweite Typ ist das Host-basierte Intrusion Detection System (HIDS). HIDS werden auf Host-Rechnern oder einem Server bereitgestellt. Sie analysieren maschinenlokale Daten wie Systemprotokolldateien, Audit-Trails und Dateisystemänderungen, um ungewöhnliches Verh alten zu erkennen. HIDS vergleichen das normale Profil des Wirts mit den beobachteten Aktivitäten, um potenzielle Anomalien zu identifizieren. An den meisten Orten werden IDS-installierte Geräte zwischen dem Grenzrouter und der Firewall oder außerhalb des Grenzrouters platziert. In einigen Fällen werden IDS-installierte Geräte außerhalb der Firewall und des Boarder-Routers platziert, um die gesamte Breite der versuchten Angriffe zu sehen. Leistung ist ein Schlüsselproblem bei IDS-Systemen, da sie mit Netzwerkgeräten mit hoher Bandbreite verwendet werden. Selbst mit Hochleistungskomponenten und aktualisierter Software neigen IDS dazu, Pakete zu verwerfen, da sie den großen Durchsatz nicht bewältigen können.
IPS
IPS ist ein System, das aktiv Schritte unternimmt, um ein Eindringen oder einen Angriff zu verhindern, wenn es einen erkennt. IPS sind in vier Kategorien unterteilt. Die erste ist Network-based Intrusion Prevention (NIPS), die das gesamte Netzwerk auf verdächtige Aktivitäten überwacht. Der zweite Typ sind die Network Behavior Analysis (NBA)-Systeme, die den Verkehrsfluss untersuchen, um ungewöhnliche Verkehrsflüsse zu erkennen, die das Ergebnis eines Angriffs wie Distributed Denial of Service (DDoS) sein könnten. Die dritte Art sind die Wireless Intrusion Prevention Systems (WIPS), die drahtlose Netzwerke auf verdächtigen Datenverkehr analysieren. Der vierte Typ sind die Host-basierten Intrusion Prevention Systems (HIPS), bei denen ein Softwarepaket installiert wird, um die Aktivitäten eines einzelnen Hosts zu überwachen. Wie bereits erwähnt, ergreift IPS aktive Schritte, z. B. das Verwerfen von Paketen, die bösartige Daten enth alten, das Zurücksetzen oder Blockieren von Datenverkehr, der von einer anstößigen IP-Adresse kommt.
Was ist der Unterschied zwischen IPS und IDS?
Ein IDS ist ein System, das das Netzwerk überwacht und unangemessene, falsche oder anomale Aktivitäten erkennt, während ein IPS ein System ist, das Eindringlinge oder Angriffe erkennt und aktive Schritte unternimmt, um sie zu verhindern. Der Hauptunterschied zwischen den beiden besteht darin, dass IPS im Gegensatz zu IDS aktiv Schritte unternimmt, um erkannte Eindringversuche zu verhindern oder zu blockieren. Zu diesen Verhinderungsmaßnahmen gehören Aktivitäten wie das Verwerfen bösartiger Pakete und das Zurücksetzen oder Blockieren des Datenverkehrs von bösartigen IP-Adressen. IPS kann als eine Erweiterung von IDS angesehen werden, das über zusätzliche Funktionen verfügt, um Eindringlinge zu verhindern und sie gleichzeitig zu erkennen.