Millised on IDS-i ja IPS-i sarnasused ja erinevused?
Parim viis ühe arvuti või võrgu kaitsmiseks on rünnakute avastamine ja blokeerimine enne, kui need kahju tekitada jõuavad. Seetõttu võivad sissetungijate avastamissüsteemid (IDS) ja sissetungijate tõkestamissüsteemid (IPS) olla heaks täienduseks tulemüürile. Loe edasi, et teada saada, mis on IDS ja IPS, millised on nende ühisjooned ja millised erinevused.
Enne kui hakkame süvenema IDS-i ja IPS-i erinevustesse, tutvustame lühidalt neid kahte süsteemi. IDS tähendab sissetungijate tuvastamise süsteemi (Intrusion Detection System) – süsteemi, mis tuvastab kliendi või võrgu vastu suunatud rünnakud võimalikult varakult. Kui IDS tuvastab analüüsi käigus ebatavalist andmeliiklust, saadab ta administraatorile hoiatuse. IDS-süsteeme on kahte tüüpi: hostipõhised ja võrgupõhised. IPS tähendab sissetungide tõkestussüsteemi ja viitab süsteemile, mis mitte ainult ei tuvasta ja teata potentsiaalsetest rünnakutest, vaid ka tõkestab neid aktiivsete vastumeetmetega. IPS kasutab samuti hostipõhiseid ja võrgupõhiseid andureid süsteemiandmete ja võrgupakettide hindamiseks.
Mis on IDS-il ja IPS-il ühist?
Peaks juba olema selge, et IDS ja IPS ei ole üksteisest maailmade kaugusel. Nendel kahel süsteemil on mitmeid ühiseid jooni. Allpool vaatame neist mõningaid lähemalt.
Analüüs
Paljudel juhtudel on nende kahe süsteemi analüüsimeetodid peaaegu või täiesti samad. Nii IDS kui ka IPS kasutavad hostis, võrgus või mõlemas asuvaid andureid, et kontrollida süsteemiandmeid ja võrgus liikuvat andmepakette ning otsida ohte. Nad kasutavad kindlaksmääratud parameetreid, et avastada kõrvalekaldeid, samas eristades ohutud kõrvalekalded nendest, mis on ohtlikud. Analüüs viiakse läbi väärkasutuse tuvastamise või anomaaliate tuvastamise abil. See tähendab aga ka, et neil on ühiseid potentsiaalseid nõrku kohti. Üks neist on see, et väärkasutuse tuvastamisel võivad tundmatud ohud jääda märkamata. Anomaaliate tuvastamisel aga teatatakse sageli ohututest andmepakettidest.
Andmebaas
Nii IDS kui ka IPS kasutavad andmebaasi, mis aitab ohte kiiremini ja täpsemalt tuvastada. Mida ulatuslikum on andmebaas, seda suurem on iga süsteemi tuvastamise täpsus. Seetõttu ei saa IDS-i ja IPS-i käsitleda staatiliste süsteemidena, vaid tegelikult on tegemist muutuvate ja kohanevate süsteemidega, mis uuendustega paranevad.
Tehisintellekti kasutamine
Tehisintellekt on väga oluline nii sissetungijate tuvastamise süsteemide (IDS) kui ka sissetungijate tõkestamise süsteemide (IPS) jaoks. Tänapäevased süsteemid parandavad ohu tuvastamist ja laiendavad oma andmebaase masinõppe abil. See võimaldab neil paremini mõista uusi rünnakumustreid, neid varem ära tunda ja vähem ohutuid pakette valesti tuvastada.
Seaded
Nii IDS-i kui ka IPS-i saab kohandada vastavalt võrgu või süsteemi vajadustele. Õige konfiguratsioon tagab, et protsessid ei häiruks ja et kõik komponendid töötaksid jälgimisest hoolimata tõrgeteta. See on äärmiselt oluline, kuna nii IDS kui ka IPS teostavad skannimist ja analüüsi reaalajas.
Automatiseerimine
Nii IDS kui ka IPS töötavad automaatselt ja iseseisvalt. Kui need on kord seadistatud, ei ole vaja neid kellegi poolt jälgida. Nad täidavad oma ülesandeid ja annavad tagasisidet vaid ohu korral.
Ohtude tuvastamine ja hoiatamine
Mõlemal süsteemil on ka sama põhiülesanne: nad tuvastavad ohud ja teavitavad sellest kohe administraatorit. Hoiatus võib tulla e-kirja, nutitelefoni või tahvelarvuti teavituse või süsteemihäire kujul. Seejärel saavad vastutavad isikud otsustada, kuidas edasi toimida.
Protokollifunktsioon
Nii IDS-il kui ka IPS-il on protokollifunktsioon. See võimaldab neil mitte ainult ohte registreerida ja neile vastu astuda, vaid ka neid oma andmebaasidesse lisada. See muudab need süsteemid aja jooksul tugevamaks ning võimaldab neil tuvastada ja parandada nõrku kohti.
Kombinatsioon tulemüüridega
Nii IDS-i kui ka IPS-i tuleks käsitleda tulemüüri täiendustena. Süsteemi rünnakute eest parima kaitse tagamiseks tuleks kombineerida mitmeid turvameetmeid. Kui kasutate ainult ühte IDS-i või IPS-i, ei ole teie võrk ega arvuti piisavalt kaitstud.
Mis eristab IDS-i ja IPS-i üksteisest?
Nagu eespool nägime, on neil kahel süsteemil palju ühist. Siiski on ka mitmeid asju, mis neid eristavad. Allpool selgitame mõningaid olulisemaid erinevusi IDS-i ja IPS-i vahel.
Reageerimine ohtudele
Nagu eespool mainitud, jälgivad nii IDS kui ka IPS süsteemi ning teavitavad ohtudest ja salvestavad need logisse. Kuid kui IDS-i töö piirdub sellega, siis IPS läheb veelgi kaugemale. IPS on aktiivne turvasüsteem, mis reageerib ohtudele iseseisvalt. See võib tähendada ühenduste katkestamist või andmepakettide peatamist ja kõrvaldamist, kui need näitavad kõrvalekaldeid. IDS on seevastu passiivne süsteem, mis ainult jälgib ohte ja teavitab nendest.
Positsioneerimine
IDS ja IPS erinevad üksteisest ka paigutuse poolest. IDS paigaldatakse kas arvutisse või võrgu äärealale, kus sissetulevate ja väljaminevate andmepakettide jälgimine on kõige lihtsam. IPS aga paigutatakse tulemüüri taha, kus see suudab ohte mitte ainult tuvastada, vaid ka tõkestada.
Tüübid
Mõlemad lahendused võivad olla kas serveripõhised (HIPS) või võrgupõhised (NIPS). Erinevalt IDS-ist võivad IPS-lahendused aga olla ka WiFi-põhised (WIPS).
Autonoomsus
IPS töötab enamasti iseseisvalt ja leiab lahendusi mitmesugustele ohtudele. IDS jälgib samuti andmepakette iseseisvalt, kuid ei suuda ohu avastamisel ise meetmeid võtta. Kui saadetakse hoiatus, peab vastumeetmed algatama administraator.
Seadistused
IDS töötab tavaliselt võrgusiseselt ega avalda seetõttu võrgu jõudlusele mingit negatiivset mõju. Siiski tuleb selle seadistamisel siiski mõningaid asjaolusid arvesse võtta. Näiteks võib IDS avastatud ohu edastada otse ruuterile või tulemüürile ja teavitada sellest administraatorit. IPS võib aga võrgu jõudlust negatiivselt mõjutada. Seetõttu on veelgi olulisem süsteemi täpselt konfigureerida. Kui see laseb läbi ohtlikud andmepaketid, ei kaitse see enam teie süsteemi. Kui aga blokeerib ohutut liiklust, võib see mõjutada kogu võrku.