Melyek az IDS és az IPS közötti hasonlóságok és különbségek?
Az egyetlen számítógép vagy hálózat védelmének legjobb módja az, ha a támadásokat még azelőtt észleli és blokkolja, hogy azok kárt okozhatnának. Éppen ezért a behatolás-érzékelő rendszerek (IDS) és a behatolás-megelőző rendszerek (IPS) jó kiegészítői lehetnek a tűzfalaknak. Olvassa tovább, hogy megtudja, mi a közös és mi a különbség az IDS és az IPS között.
Mielőtt elmélyülnénk az IDS és az IPS közötti különbségekben, röviden bemutatjuk a két rendszert. Az IDS a behatolás-érzékelő rendszer (intrusion detection system) rövidítése, amely a lehető leghamarabb felismeri a kliensre vagy a hálózatra irányuló támadásokat. Ha az IDS elemzése során szokatlan adatforgalmat észlel, figyelmeztetést küld az adminisztrátornak. Kétféle IDS létezik: a gazdagép-alapú és a hálózat-alapú. Az IPS a behatolás-megelőző rendszer rövidítése, amely nemcsak felismeri és jelenti a potenciális támadásokat, hanem aktív válaszokkal is ellensúlyozza azokat. Az IPS szintén gazdagép-alapú és hálózat-alapú érzékelőket használ a rendszeradatok és a hálózati csomagok értékeléséhez.
Mi a közös az IDS és az IPS között?
Már most egyértelműnek kell lennie, hogy az IDS és az IPS nem állnak egymástól távol. Számos közös vonásuk van. Az alábbiakban néhányat megvizsgálunk közülük.
Elemzés
Sok esetben a két rendszer által az elemzéshez használt módszerek szinte vagy teljesen megegyeznek. Az IDS és az IPS egyaránt érzékelőket használ a gazdagépen, a hálózatban vagy mindkettőben, hogy ellenőrizze a rendszer adatait és a hálózat adatcsomagjait, és felderítse a fenyegetéseket. Fix paramétereket használnak, hogy észlelhessék az eltéréseket, ugyanakkor felismerjék a ártalmatlan anomáliákat is. Az elemzés visszaélés- vagy anomália-felismeréssel történik. Ez azonban azt is jelenti, hogy közös potenciális gyenge pontjaik vannak. Az egyik ilyen, hogy a visszaélés-felismerés során az ismeretlen fenyegetések figyelmen kívül maradhatnak. Az anomália-felismerés során pedig gyakran jelentik a ártalmatlan adatcsomagokat.
Adatbázis
Az IDS és az IPS egyaránt olyan adatbázist használ, amely segít a fenyegetések gyorsabb és pontosabb azonosításában. Minél átfogóbb a könyvtár, annál magasabb lesz az egyes rendszerek találati aránya. Ezért az IDS és az IPS nem tekinthető statikus rendszernek, hanem valójában változó és alkalmazkodó rendszernek, amely a frissítésekkel folyamatosan javul.
Mesterséges intelligencia használata
A mesterséges intelligencia mind az IDS, mind az IPS számára nagyon fontos. A modern rendszerek gépi tanulás segítségével javítják a fenyegetések észlelését és bővítik adatbázisaikat. Ez lehetővé teszi számukra, hogy jobban megértsék az új támadási mintákat, hamarabb felismerjék azokat, és kevesebb ártalmatlan csomagot jelentsenek.
Beállítások
Az IDS és az IPS egyaránt testreszabható és a hálózat vagy rendszer igényeihez igazítható. A megfelelő konfiguráció biztosítja, hogy a folyamatok ne szakadjanak meg, és hogy az összes komponens a felügyelet ellenére is zökkenőmentesen működjön. Ez rendkívül fontos, mivel mind az IDS, mind az IPS valós időben végzi a vizsgálatot és az elemzést.
Automatizálás
Az IDS és az IPS egyaránt automatizáltan és autonóm módon működik. Miután beállították őket, nincs szükség emberi felügyeletre. Elvégzik a feladataikat, és csak fenyegetés esetén adnak visszajelzést.
Fenyegetés észlelése és figyelmeztetés
A két rendszer alapvető funkciója is megegyezik: felismerik a fenyegetéseket és azonnal értesítik az adminisztrátort. A figyelmeztetés e-mailben, okostelefonon/táblagépen megjelen ő értesítésként vagy rendszerriasztásként érkezhet. Ezután a felelős személyek dönthetnek a további lépésekről.
Protokoll funkció
Az IDS és az IPS egyaránt rendelkezik protokoll funkcióval. Ez lehetővé teszi számukra, hogy ne csak jelentsék/hárítsák el a fenyegetéseket, hanem azokat saját adatbázisaikba is felvegyék. Ez idővel erősebbé teszi őket, és lehetővé teszi számukra a gyenge pontok azonosítását és javítását.
Tűzfalakkal való kombináció
Az IDS és az IPS egyaránt a tűzfal kiegészítőjeként értelmezendő. A rendszer támadások elleni legjobb védelme érdekében több biztonsági intézkedést kell kombinálni. Ha csak egy IDS-t vagy IPS-t használ, hálózata vagy számítógépe nem lesz megfelelően védett.
Mi különbözteti meg az IDS-t és az IPS-t egymástól?
Mint fent láttuk, a két rendszernek sok közös vonása van. Ugyanakkor számos olyan tényező is van, amely megkülönbözteti őket egymástól. Az alábbiakban bemutatjuk az IDS és az IPS közötti legfontosabb különbségeket.
Válaszok a fenyegetésekre
Mint már említettük, mind az IDS, mind az IPS figyelemmel kíséri a rendszert, és jelentést készít a fenyegetésekről, valamint naplózza azokat. Az IDS munkája azonban ezzel véget ér, míg az IPS ennél tovább megy. Az IPS egy aktív biztonsági rendszer, amely önállóan reagál a fenyegetésekre. Ez magában foglalhatja a kapcsolatok megszakítását vagy az adatcsomagok leállítását és eldobását, ha azok rendellenességeket mutatnak. Az IDS viszont egy passzív rendszer, amely csak figyelemmel kíséri és jelentést készít a fenyegetésekről.
Pozicionálás
Az IDS és az IPS elhelyezkedésükben is különböznek egymástól. Az IDS vagy egy számítógépre, vagy a hálózat szélére kerül, ahol a bejövő és kimenő adatcsomagok figyelése a legegyszerűbb. Az IPS viszont a tűzfal mögött helyezkedik el, ahol nemcsak jelentheti a fenyegetéseket, hanem meg is állíthatja azokat.
Típusok
Mindkét megoldás lehet hosztalapú (HIPS) vagy hálózatalapú (NIPS). Az IDS-től eltérően azonban az IPS-megoldások WiFi-alapúak is lehetnek (WIPS).
Autonómia
Az IPS többnyire önállóan működik, és megoldásokat talál a különféle fenyegetésekre. Az IDS szintén önállóan figyeli az adatcsomagokat, de fenyegetés észlelése esetén nem tud önállóan cselekedni. Ha figyelmeztetés érkezik, az adminisztrátor kezdeményezi a válaszlépéseket.
Konfiguráció
Az IDS általában inline módon működik, ezért nincs negatív hatása a hálózat teljesítményére. A konfiguráció beállításakor azonban még mindig megfontolásra szorul. Az IDS például közvetlenül továbbíthatja az észlelt fenyegetést a routernek vagy a tűzfalnak, és értesítheti az adminisztrátort. Az IPS viszont negatív hatással lehet a hálózat teljesítményére. Ezért még fontosabb, hogy a rendszert pontosan konfiguráljuk. Ha veszélyes adatcsomagokat enged át, akkor már nem védi a rendszert. Ha azonban ártalmatlan forgalmat blokkol, az egész hálózatot érintheti.