Diferença entre IDS e IPS

IDS vs IPS

IDS (Sistema de detecção de intrusões) são sistemas que detectam atividades inadequadas, incorretas ou anômalas em uma rede e as relatam. Além disso, o IDS pode ser usado para detectar se uma rede ou um servidor está apresentando uma invasão não autorizada. O IPS (Sistema de prevenção de intrusões) é um sistema que desconecta ativamente as conexões ou descarta pacotes, se eles contiverem dados não autorizados. O IPS pode ser visto como uma extensão do IDS.

IDS

O IDS monitora a rede e detecta atividades inadequadas, incorretas ou anômalas. Existem dois tipos principais de IDS. O primeiro é o NIDS (Network Intrusion Detection System). Esses sistemas examinam o tráfego na rede e monitoram vários hosts para identificar intrusões. Os sensores são usados ​​para capturar o tráfego na rede e cada pacote é analisado para identificar conteúdo malicioso. O segundo tipo é o sistema de detecção de intrusão baseado em host (HIDS). Os HIDS são implantados em máquinas host ou em um servidor. Eles analisam dados locais da máquina, como arquivos de log do sistema, trilhas de auditoria e alterações no sistema de arquivos para identificar comportamentos incomuns. O HIDS compara o perfil normal do hospedeiro com as atividades observadas para identificar possíveis anomalias. Na maioria dos lugares, os dispositivos instalados pelo IDS são colocados entre o roteador de fronteira e o firewall ou fora do roteador de fronteira. Em alguns casos, os dispositivos instalados pelo IDS são colocados fora do firewall e do roteador de fronteira com a intenção de ver toda a extensão de tentativas de ataque. O desempenho é um problema importante nos sistemas IDS, pois eles são usados ​​com dispositivos de rede de alta largura de banda. Mesmo com componentes de alto desempenho e software atualizado, os IDS tendem a descartar pacotes, pois não conseguem lidar com a grande taxa de transferência.

IPS

O IPS é um sistema que executa ativamente medidas para impedir uma invasão ou ataque quando identifica um. O IPS é dividido em quatro categorias. O primeiro é o NIPS (Network Intrusion Prevention), que monitora toda a rede em busca de atividades suspeitas. O segundo tipo são os sistemas de análise de comportamento de rede (NBA) que examinam o fluxo de tráfego para detectar fluxos de tráfego incomuns que podem ser resultados de ataques como DDoS (negação de serviço distribuída). O terceiro tipo é o Wireless Intrusion Prevention Systems (WIPS), que analisa as redes sem fio em busca de tráfego suspeito. O quarto tipo é o HIPS (Host-Intrusion Prevention Systems), em que um pacote de software é instalado para monitorar as atividades de um único host. Como mencionado anteriormente, o IPS executa etapas ativas, como descartar pacotes que contêm dados maliciosos, redefinir ou bloquear o tráfego proveniente de um endereço IP incorreto.

Qual é a diferença entre IPS e IDS?

Um IDS é um sistema que monitora a rede e detecta atividades inadequadas, incorretas ou anômalas, enquanto um IPS é um sistema que detecta invasões ou ataques e toma medidas ativas para evitá-las. Deferência principal entre os dois é diferente do IDS, o IPS toma ativamente medidas para impedir ou bloquear intrusões detectadas. Essas etapas de prevenção incluem atividades como descartar pacotes maliciosos e redefinir ou bloquear o tráfego proveniente de endereços IP maliciosos. O IPS pode ser visto como uma extensão do IDS, que possui recursos adicionais para impedir invasões ao detectá-las.