IDS vs IPS
IDS (Sistemi i zbulimit të ndërhyrjeve) janë sisteme që zbulojnë aktivitetet që janë të papërshtatshme, të pasakta ose anormale në një rrjet dhe i raportojnë ato. Për më tepër, IDS mund të përdoret për të zbuluar nëse një rrjet ose një server po përjeton një ndërhyrje të paautorizuar. IPS (Intrusion Prevention System) është një sistem që shkëput në mënyrë aktive lidhjet ose lëshon paketat, nëse ato përmbajnë të dhëna të paautorizuara. IPS mund të shihet si një shtesë e IDS.
IDS
IDS monitoron rrjetin dhe zbulon aktivitete të papërshtatshme, të pasakta ose anormale. Ekzistojnë dy lloje kryesore të IDS. E para është sistemi i zbulimit të ndërhyrjeve në rrjet (NIDS). Këto sisteme ekzaminojnë trafikun në rrjet dhe monitorojnë hoste të shumtë për identifikimin e ndërhyrjeve. Sensorët përdoren për të kapur trafikun në rrjet dhe çdo paketë analizohet për të identifikuar përmbajtjen me qëllim të keq. Lloji i dytë është sistemi i zbulimit të ndërhyrjeve të bazuar në Host (HIDS). HIDS vendosen në makinat pritëse ose në një server. Ata analizojnë të dhënat që janë lokale për makinën, si skedarët e regjistrave të sistemit, gjurmët e auditimit dhe ndryshimet e sistemit të skedarëve për të identifikuar sjelljen e pazakontë. HIDS krahason profilin normal të pritësit me aktivitetet e vëzhguara për të identifikuar anomalitë e mundshme. Në shumicën e vendeve, pajisjet e instaluara IDS vendosen midis ruterit të kufirit dhe murit të zjarrit ose jashtë ruterit të kufirit. Në disa raste, pajisjet e instaluara IDS vendosen jashtë murit të zjarrit dhe ruterit të kufirit me synimin për të parë gjerësinë e plotë të sulmeve të tentuara. Performanca është një çështje kyçe me sistemet IDS pasi ato përdoren me pajisje rrjeti me gjerësi të lartë bande. Edhe me komponentë me performancë të lartë dhe softuer të përditësuar, IDS priren të heqin paketat pasi ato nuk mund të përballojnë xhiron e madhe.
IPS
IPS është një sistem që në mënyrë aktive merr hapa për të parandaluar një ndërhyrje ose një sulm kur identifikon një të tillë. IPS-të ndahen në katër kategori. E para është Parandalimi i Intrusionit i bazuar në Rrjet (NIPS), i cili monitoron të gjithë rrjetin për aktivitete të dyshimta. Lloji i dytë janë sistemet e Analizës së Sjelljes së Rrjetit (NBA) që ekzaminojnë fluksin e trafikut për të zbuluar flukset e pazakonta të trafikut që mund të jenë rezultate të sulmit siç është mohimi i shpërndarë i shërbimit (DDoS). Lloji i tretë është Sistemet e Parandalimit të Ndërhyrjeve me valë (WIPS), i cili analizon rrjetet me valë për trafik të dyshimtë. Lloji i katërt është Sistemet e Parandalimit të Ndërhyrjeve të bazuara në Host (HIPS), ku instalohet një paketë softuerike për të monitoruar aktivitetet e një hosti të vetëm. Siç u përmend më herët, IPS ndërmerr hapa aktivë si heqja e paketave që përmbajnë të dhëna me qëllim të keq, rivendosja ose bllokimi i trafikut që vjen nga një adresë IP ofenduese.
Cili është ndryshimi midis IPS dhe IDS?
Një IDS është një sistem që monitoron rrjetin dhe zbulon aktivitete të papërshtatshme, të pasakta ose anormale, ndërsa një IPS është një sistem që zbulon ndërhyrjen ose një sulm dhe merr hapa aktivë për t'i parandaluar ato. Dallimi kryesor midis të dyve është ndryshe nga IDS, IPS merr në mënyrë aktive hapa për të parandaluar ose bllokuar ndërhyrjet që zbulohen. Këto hapa parandalues përfshijnë aktivitete si heqja e paketave me qëllim të keq dhe rivendosja ose bllokimi i trafikut që vjen nga adresat IP me qëllim të keq. IPS mund të shihet si një zgjatim i IDS, i cili ka aftësi shtesë për të parandaluar ndërhyrjet gjatë zbulimit të tyre.
