IDS vs IPS
IDS (Intrusion Detection System) são sistemas que detectam atividades inadequadas, incorretas ou anômalas em uma rede e as relatam. Além disso, o IDS pode ser usado para detectar se uma rede ou um servidor está passando por uma intrusão não autorizada. O IPS (Intrusion Prevention System) é um sistema que desconecta ativamente conexões ou descarta pacotes, se eles contiverem dados não autorizados. O IPS pode ser visto como uma extensão do IDS.
IDS
IDS monitoram a rede e detectam atividades inadequadas, incorretas ou anômalas. Existem dois tipos principais de IDS. O primeiro é o sistema de detecção de intrusão de rede (NIDS). Esses sistemas examinam o tráfego na rede e monitoram vários hosts para identificar intrusões. Sensores são usados para capturar o tráfego na rede e cada pacote é analisado para identificar conteúdo malicioso. O segundo tipo é o sistema de detecção de intrusão baseado em host (HIDS). HIDS são implantados em máquinas host ou em um servidor. Eles analisam dados locais da máquina, como arquivos de log do sistema, trilhas de auditoria e alterações no sistema de arquivos para identificar comportamentos incomuns. O HIDS compara o perfil normal do hospedeiro com as atividades observadas para identificar possíveis anomalias. Na maioria dos lugares, os dispositivos IDS instalados são colocados entre o roteador de fronteira e o firewall ou fora do roteador de fronteira. Em alguns casos, os dispositivos IDS instalados são colocados fora do firewall e do roteador de fronteira com a intenção de ver toda a amplitude das tentativas de ataques. O desempenho é uma questão fundamental com os sistemas IDS, pois eles são usados com dispositivos de rede de alta largura de banda. Mesmo com componentes de alto desempenho e software atualizado, o IDS tende a descartar pacotes, pois não consegue lidar com a grande taxa de transferência.
IPS
IPS é um sistema que ativamente toma medidas para prevenir uma intrusão ou um ataque quando identifica um. Os IPS são divididos em quatro categorias. O primeiro é o Network-based Intrusion Prevention (NIPS), que monitora toda a rede em busca de atividades suspeitas. O segundo tipo são os sistemas de Análise de Comportamento de Rede (NBA) que examinam o fluxo de tráfego para detectar fluxos de tráfego incomuns que podem ser resultados de ataques como negação de serviço distribuída (DDoS). O terceiro tipo é o Wireless Intrusion Prevention Systems (WIPS), que analisa redes sem fio em busca de tráfego suspeito. O quarto tipo é o Host-based Intrusion Prevention Systems (HIPS), onde um pacote de software é instalado para monitorar as atividades de um único host. Conforme mencionado anteriormente, o IPS executa etapas ativas, como descartar pacotes que contêm dados maliciosos, redefinir ou bloquear o tráfego proveniente de um endereço IP incorreto.
Qual é a diferença entre IPS e IDS?
Um IDS é um sistema que monitora a rede e detecta atividades inadequadas, incorretas ou anômalas, enquanto um IPS é um sistema que detecta invasões ou ataques e toma medidas ativas para evitá-los. A principal deferência entre os dois é diferente do IDS, o IPS toma medidas ativamente para prevenir ou bloquear intrusões que são detectadas. Essas etapas de prevenção incluem atividades como descartar pacotes maliciosos e redefinir ou bloquear o tráfego proveniente de endereços IP maliciosos. O IPS pode ser visto como uma extensão do IDS, que possui recursos adicionais para evitar invasões enquanto as detecta.