IDS vs IPS
Ang IDS (Intrusion Detection System) ay mga system na nagde-detect ng mga aktibidad na hindi naaangkop, mali, o anomalya sa isang network at iniuulat ang mga ito. Higit pa rito, maaaring gamitin ang IDS upang makita kung ang isang network o isang server ay nakakaranas ng hindi awtorisadong panghihimasok. Ang IPS (Intrusion Prevention System) ay isang sistema na aktibong nagdidiskonekta ng mga koneksyon o bumababa ng mga packet, kung naglalaman ang mga ito ng hindi awtorisadong data. Ang IPS ay makikita bilang extension ng IDS.
IDS
Sinusubaybayan ng IDS ang network at natukoy ang mga hindi naaangkop, mali, o maanomalyang aktibidad. Mayroong dalawang pangunahing uri ng IDS. Ang una ay ang Network intrusion detection system (NIDS). Sinusuri ng mga system na ito ang trapiko sa network at sinusubaybayan ang maraming host para sa pagtukoy ng mga panghihimasok. Ginagamit ang mga sensor upang makuha ang trapiko sa network at ang bawat packet ay sinusuri upang matukoy ang nakakahamak na nilalaman. Ang pangalawang uri ay ang Host-based intrusion detection system (HIDS). Ang HIDS ay naka-deploy sa mga host machine o isang server. Sinusuri nila ang data na lokal sa makina gaya ng mga system log file, audit trail at mga pagbabago sa file system para matukoy ang hindi pangkaraniwang gawi. Ihambing ng HIDS ang normal na profile ng host sa mga naobserbahang aktibidad upang matukoy ang mga potensyal na anomalya. Sa karamihan ng mga lugar, inilalagay ang mga device na naka-install na IDS sa pagitan ng boarder router at ng firewall o sa labas ng boarder router. Sa ilang mga kaso, ang mga device na naka-install na IDS ay inilalagay sa labas ng firewall at boarder router na may intensyon na makita ang buong lawak ng mga pagtatangkang pag-atake. Ang pagganap ay isang pangunahing isyu sa mga IDS system dahil ginagamit ang mga ito sa mga device na may mataas na bandwidth network. Kahit na may mataas na pagganap na mga bahagi at na-update na software, ang IDS ay may posibilidad na mag-drop ng mga packet dahil hindi nila mahawakan ang malaking throughput.
IPS
Ang IPS ay isang system na aktibong gumagawa ng mga hakbang upang maiwasan ang panghihimasok o pag-atake kapag natukoy nito ang isa. Ang IPS ay nahahati sa apat na kategorya. Una ay ang Network-based Intrusion Prevention (NIPS), na sinusubaybayan ang buong network para sa kahina-hinalang aktibidad. Ang pangalawang uri ay ang Network Behavior Analysis (NBA) system na sumusuri sa daloy ng trapiko para makita ang mga hindi pangkaraniwang daloy ng trapiko na maaaring resulta ng pag-atake gaya ng distributed denial of service (DDoS). Ang ikatlong uri ay ang Wireless Intrusion Prevention Systems (WIPS), na sinusuri ang mga wireless network para sa kahina-hinalang trapiko. Ang pang-apat na uri ay ang Host-based Intrusion Prevention Systems (HIPS), kung saan naka-install ang isang software package upang subaybayan ang mga aktibidad ng isang host. Gaya ng nabanggit kanina, ang IPS ay nagsasagawa ng mga aktibong hakbang gaya ng pag-drop ng mga packet na naglalaman ng malisyosong data, pag-reset o pagharang sa trapiko na nagmumula sa isang nakakasakit na IP address.
Ano ang pagkakaiba ng IPS at IDS?
Ang IDS ay isang system na sumusubaybay sa network at nagde-detect ng mga hindi naaangkop, mali, o maanomalyang aktibidad, habang ang IPS ay isang system na nakakakita ng panghihimasok o pag-atake at nagsasagawa ng mga aktibong hakbang upang maiwasan ang mga ito. Ang pangunahing pagsang-ayon sa pagitan ng dalawa ay hindi katulad ng IDS, ang IPS ay aktibong gumagawa ng mga hakbang upang maiwasan o harangan ang mga panghihimasok na natukoy. Kasama sa mga hakbang sa pagpigil na ito ang mga aktibidad tulad ng pag-drop ng mga nakakahamak na packet at pag-reset o pagharang sa trapiko na nagmumula sa mga nakakahamak na IP address. Ang IPS ay makikita bilang isang extension ng IDS, na may mga karagdagang kakayahan upang maiwasan ang mga panghihimasok habang nakikita ang mga ito.