Hvad er lighederne og forskellene mellem IDS og IPS?
Den bedste måde at beskytte en enkelt computer eller et netværk på er at opdage og blokere angreb, før de kan forårsage skade. Derfor kan indtrængningsdetekteringssystemer (IDS) og indtrængningsforebyggelsessystemer (IPS) være et godt supplement til en firewall. Læs videre for at lære mere om IDS og IPS, hvad de har til fælles, og hvad der adskiller dem.
Inden vi går i dybden med forskellene mellem IDS og IPS, vil vi kort præsentere de to systemer. IDS står for Intrusion Detection System, et system, der så tidligt som muligt opdager angreb på en klient eller et netværk. Hvis IDS’et under sin analyse registrerer usædvanlig datatrafik, sender det en advarsel til administratoren. Der findes to forskellige typer IDS: hostbaseret og netværksbaseret. IPS står for intrusion prevention system og henviser til et system, der ikke kun genkender og rapporterer potentielle angreb, men også modvirker dem med aktive reaktioner. IPS bruger også hostbaserede og netværksbaserede sensorer til at evaluere systemdata og netværkspakker.
Hvad har IDS og IPS til fælles?
Det burde allerede være klart, at IDS og IPS ikke er to helt forskellige ting. Der er en række ting, som de to systemer har til fælles. Vi vil se på nogle af dem nedenfor.
Analyse
I mange tilfælde er de metoder, som de to systemer anvender til analyse, næsten eller helt identiske. Både IDS og IPS bruger sensorer på værten, i netværket eller begge dele til at gennemgå systemdata og datapakker i netværket og søge efter trusler. De anvender faste parametre, så de kan opdage afvigelser og samtidig genkende harmløse afvigelser for det, de er. Analysen udføres ved hjælp af misbrugsdetektering eller afvigelsesdetektering. Men det betyder også, at de har potentielle svagheder til fælles. En af disse er, at når det kommer til misbrugsdetektering, kan ukendte trusler overses. Og ved afvigelsesdetektering rapporteres der ofte om harmløse datapakker.
Database
Både IDS og IPS bruger en database, der gør det muligt at identificere trusler hurtigere og mere præcist. Jo mere omfattende biblioteket er, desto højere bliver detekteringsprocenten for hvert system. Derfor kan IDS og IPS ikke betragtes som statiske systemer, men er i virkeligheden fleksible og tilpasningsdygtige systemer, der forbedres med opdateringer.
Brug af kunstig intelligens
Kunstig intelligens spiller en meget vigtig rolle for både IDS og IPS. Moderne systemer forbedrer deres trusselsdetektering og udvider deres databaser ved hjælp af maskinlæring. Dette gør det muligt for dem at forstå nye angrebsmønstre bedre, opdage dem tidligere og rapportere færre harmløse pakker.
Indstillinger
Både IDS og IPS kan tilpasses og skræddersys til et netværks eller et systems behov. Den rette konfiguration sikrer, at processerne ikke forstyrres, og at alle komponenter fungerer problemfrit trods overvågningen. Dette er af stor betydning, da både IDS og IPS scanner og analyserer i realtid.
Automatisering
Både IDS og IPS fungerer automatisk og selvstændigt. Når de først er konfigureret, behøver de ikke at blive overvåget af nogen. De udfører deres opgaver og giver kun besked, hvis der opstår en trussel.
Trusselsdetektering og -advarsler
De to systemer har også den samme grundlæggende funktion, nemlig at de opdager trusler og straks underretter administratoren. Advarslen kan komme i form af en e-mail, en notifikation på en smartphone eller tablet eller som en systemalarm. Derefter kan de ansvarlige beslutte, hvordan de vil forholde sig.
Protokolfunktion
Både IDS og IPS har en protokolfunktion. Det giver dem mulighed for ikke blot at rapportere og imødegå trusler, men også at tilføje dem til deres egne databaser. Det gør dem stærkere med tiden og giver dem mulighed for at identificere og afhjælpe svage punkter.
Kombination med firewalls
Både IDS og IPS skal betragtes som et supplement til en firewall. For at beskytte dit system bedst muligt mod angreb bør du kombinere flere forskellige sikkerhedsforanstaltninger. Hvis du kun bruger ét IDS- eller IPS-system, vil dit netværk eller din computer ikke være tilstrækkeligt beskyttet.
Hvad er forskellen på IDS og IPS?
Som vi har set ovenfor, har de to systemer meget til fælles. Der er dog også en række forhold, der adskiller dem. Nedenfor gennemgår vi nogle af de vigtigste forskelle mellem IDS og IPS.
Reaktioner på trusler
Som nævnt ovenfor overvåger både IDS og IPS et system og rapporterer og logger trusler. Men mens et IDS’ opgave slutter der, går et IPS et skridt videre. IPS er et aktivt sikkerhedssystem, der selvstændigt reagerer på trusler. Det kan indebære, at forbindelser afbrydes, eller at datapakker stoppes og kasseres, hvis de udviser afvigelser. IDS er derimod et passivt system, der udelukkende overvåger og rapporterer trusler.
Positionering
IDS og IPS adskiller sig også med hensyn til placering. IDS placeres enten på en computer eller i netværkets yderkant, hvor det er nemmest at overvåge indgående og udgående datapakker. IPS placeres derimod bag firewallen, hvor det ikke blot kan rapportere trusler, men også standse dem.
Typer
Begge løsninger kan være værtsbaserede (HIPS) eller netværksbaserede (NIPS). Men i modsætning til IDS kan IPS-løsninger også være WiFi-baserede (WIPS).
Autonomi
IPS fungerer stort set selvstændigt og finder løsninger på forskellige former for trusler. IDS overvåger også datapakker selvstændigt, men kan ikke handle på egen hånd, når det opdager trusler. Hvis der udsendes en advarsel, er det administratoren, der iværksætter en reaktion.
Konfiguration
IDS fungerer normalt inline og har derfor ingen negativ indvirkning på netværkets ydeevne. Det kræver dog stadig en vis omtanke, når man foretager konfigurationer. IDS kan for eksempel videresende en trussel, den har opdaget, direkte til routeren eller firewallen og informere administratoren. IPS kan derimod have negative virkninger på netværkets ydeevne. Det gør det desto vigtigere at konfigurere systemet præcist. Hvis det lader farlige datapakker slippe igennem, beskytter det ikke længere dit system. Men hvis det blokerer harmløs trafik, kan hele netværket blive påvirket.