Differenza tra IDS e IPS

IDS vs IPS

IDS (Intrusion Detection System) sono sistemi che rilevano attività inappropriate, errate o anomale in una rete e le segnalano. Inoltre, IDS può essere utilizzato per rilevare se una rete o un server sta subendo un'intrusione non autorizzata. IPS (Intrusion Prevention System) è un sistema che disconnette attivamente le connessioni o elimina i pacchetti, se contengono dati non autorizzati. IPS può essere visto come un'estensione di IDS.

IDS

Gli ID monitorano la rete e rilevano attività inappropriate, errate o anomale. Esistono due tipi principali di IDS. Il primo è il Network intrusion detection system (NIDS). Questi sistemi esaminano il traffico nella rete e monitorano più host per identificare le intrusioni. I sensori vengono utilizzati per acquisire il traffico nella rete e ogni pacchetto viene analizzato per identificare contenuti dannosi. Il secondo tipo è il sistema di rilevamento delle intrusioni basato su host (HIDS). Gli HID vengono distribuiti su macchine host o su un server. Analizzano i dati locali della macchina come i file di registro di sistema, le tracce di controllo e le modifiche al file system per identificare comportamenti insoliti. HIDS confronta il profilo normale dell'ospite con le attività osservate per identificare potenziali anomalie. Nella maggior parte dei casi, i dispositivi installati IDS sono collocati tra il router boarder e il firewall o all'esterno del router boarder. In alcuni casi i dispositivi IDS installati sono posizionati all'esterno del firewall e del router boarder con l'intenzione di vedere l'intera gamma di tentativi di attacco. Le prestazioni sono un problema chiave con i sistemi IDS poiché vengono utilizzati con dispositivi di rete con larghezza di banda elevata. Anche con componenti ad alte prestazioni e software aggiornato, gli IDS tendono a eliminare pacchetti poiché non possono gestire un throughput elevato.

IPS

IPS è un sistema che prende attivamente misure per prevenire un'intrusione o un attacco quando ne identifica uno. Gli IPS sono divisi in quattro categorie. Il primo è Network Intrusion Prevention (NIPS), che monitora l'intera rete per attività sospette. Il secondo tipo è rappresentato dai sistemi Network Behavior Analysis (NBA) che esaminano il flusso del traffico per rilevare flussi di traffico insoliti che potrebbero essere il risultato di attacchi come DDoS (Distributed Denial of Service). Il terzo tipo è il Wireless Intrusion Prevention Systems (WIPS), che analizza le reti wireless per traffico sospetto. Il quarto tipo è l'HIPS (Intrusion Prevention Systems) basato su host, in cui è installato un pacchetto software per monitorare le attività di un singolo host. Come accennato in precedenza, IPS prende provvedimenti attivi come la caduta di pacchetti contenenti dati dannosi, il ripristino o il blocco del traffico proveniente da un indirizzo IP pericoloso.

Qual è la differenza tra IPS e IDS?

Un IDS è un sistema che monitora la rete e rileva attività inappropriate, errate o anomale, mentre un IPS è un sistema che rileva l'intrusione o un attacco e prende provvedimenti attivi per prevenirli. La deferenza principale tra i due è diversa da IDS, IPS prende attivamente provvedimenti per prevenire o bloccare le intrusioni rilevate. Questi passaggi di prevenzione includono attività come la rimozione di pacchetti dannosi e il ripristino o il blocco del traffico proveniente da indirizzi IP dannosi. IPS può essere visto come un'estensione di IDS, che ha le funzionalità aggiuntive per prevenire le intrusioni durante il rilevamento.