Den beste måten å beskytte en enkelt datamaskin eller et nettverk på, er å oppdage og blokkere angrep før de rekker å forårsake skade. Derfor kan systemer for inntrengingsdeteksjon (IDS) og systemer for inntrengingsforebygging (IPS) være et godt supplement til en brannmur. Les videre for å lære mer om IDS og IPS, hva de har til felles og hva som skiller dem fra hverandre.

Før vi går nærmere inn på forskjellene mellom IDS og IPS, skal vi kort presentere de to systemene. IDS står for «intrusion detection system», et system som oppdager angrep på en klient eller et nettverk så tidlig som mulig. Hvis IDS-systemet oppdager uvanlig datatrafikk under analysen, sender det en advarsel til administratoren. Det finnes to forskjellige typer IDS: vertsbasert og nettverksbasert. IPS står for intrusion prevention system og refererer til et system som ikke bare oppdager og rapporterer potensielle angrep, men også motvirker dem med aktive tiltak. IPS bruker også vertsbaserte og nettverksbaserte sensorer for å evaluere systemdata og nettverkspakker.

Hva har IDS og IPS til felles?

Det bør allerede være klart at IDS og IPS ikke er to helt forskjellige ting. Det er en rekke ting de to systemene har til felles. Vi skal se på noen av disse nedenfor.

Analyse

I mange tilfeller er analysemetodene som de to systemene benytter, nesten eller helt identiske. Både IDS og IPS bruker sensorer på verten, i nettverket eller begge deler for å undersøke systemdata og datapakker i nettverket og søke etter trusler. De benytter faste parametere slik at de kan oppdage avvik, samtidig som de gjenkjenner ufarlige avvik for det de er. Analysen utføres ved hjelp av misbruksdeteksjon eller anomalideteksjon. Men dette betyr også at de har potensielle svake punkter til felles. Et av disse er at når det gjelder misbruksdeteksjon, kan ukjente trusler overses. Og ved anomalideteksjon rapporteres ofte ufarlige datapakker.

Database

Både IDS og IPS bruker en database som bidrar til å identifisere trusler raskere og mer nøyaktig. Jo mer omfattende biblioteket er, desto høyere blir treffprosenten for hvert system. Det er derfor IDS og IPS ikke kan betraktes som statiske systemer, men er i realiteten dynamiske og tilpasningsdyktige systemer som forbedres gjennom oppdateringer.

Bruk av kunstig intelligens

Kunstig intelligens er svært viktig for både IDS og IPS. Moderne systemer forbedrer sin trusseloppdagelse og utvider databasene sine ved hjelp av maskinlæring. Dette gjør at de bedre kan forstå nye angrepsmønstre, oppdage dem tidligere og rapportere færre ufarlige pakker.

Innstillinger

Både IDS og IPS kan tilpasses og tilpasses behovene til et nettverk eller et system. Riktig konfigurasjon sikrer at prosesser ikke forstyrres og at alle komponenter fungerer problemfritt til tross for overvåkingen. Dette er svært viktig, ettersom både IDS og IPS skanner og analyserer i sanntid.

Automatisering

Både IDS og IPS fungerer automatisk og selvstendig. Når de først er konfigurert, trenger de ikke å overvåkes av noen. De utfører oppgavene sine og gir kun tilbakemelding dersom det oppstår en trussel.

Trusseloppdagelse og varsling

De to systemene har også samme grunnleggende funksjon, nemlig at de oppdager trusler og varsler administratoren umiddelbart. Varselet kan komme i form av en e-post, en melding på smarttelefonen eller nettbrettet, eller som en systemalarm. Deretter kan de ansvarlige bestemme hvordan de ønsker å gå videre.

Protokollfunksjon

Både IDS og IPS har en protokollfunksjon. Dette gjør at de ikke bare kan rapportere og avverge trusler, men også legge dem til i sine egne databaser. Dette gjør dem stadig mer effektive og gjør det mulig for dem å identifisere og forbedre svake punkter.

Kombinasjon med brannmurer

Både IDS og IPS bør betraktes som et supplement til en brannmur. For å beskytte systemet ditt best mulig mot angrep, bør du kombinere flere sikkerhetstiltak. Hvis du bare bruker ett av systemene, vil verken nettverket eller datamaskinen din være tilstrekkelig beskyttet.

Hva skiller IDS og IPS fra hverandre?

Som vi har sett ovenfor, har de to systemene mye til felles. Det er imidlertid også en rekke ting som skiller dem fra hverandre. Nedenfor forklarer vi noen av de viktigste forskjellene mellom IDS og IPS.

Reaksjoner på trusler

Som nevnt ovenfor overvåker både IDS og IPS et system og rapporterer og loggfører trusler. Men mens IDS’ oppgave stopper der, går IPS et skritt videre. IPS er et aktivt sikkerhetssystem som reagerer selvstendig på trusler. Dette kan innebære å avbryte tilkoblinger eller stoppe og forkaste datapakker dersom de viser tegn på avvik. IDS er derimot et passivt system som kun overvåker og rapporterer trusler.

Posisjonering

IDS og IPS skiller seg også fra hverandre når det gjelder plassering. IDS plasseres enten på en datamaskin eller i utkanten av nettverket, der det er enklest å overvåke innkommende og utgående datapakker. IPS plasseres derimot bak brannmuren, der det ikke bare kan rapportere om trusler, men også stoppe dem.

Typer

Begge løsningene kan være vertsbaserte (HIPS) eller nettverksbaserte (NIPS). Men i motsetning til IDS kan IPS-løsninger også være WiFi-baserte (WIPS).

Autonomi

IPS fungerer for det meste selvstendig og finner løsninger på ulike typer trusler. IDS overvåker også datapakker selvstendig, men kan ikke iverksette tiltak på egen hånd når det oppdager trusler. Hvis det sendes ut en advarsel, er det administratoren som må iverksette tiltak.

Konfigurasjon

IDS fungerer vanligvis inline og har derfor ingen negativ innvirkning på nettverksytelsen. Det krever likevel litt omtanke når man skal foreta konfigurasjoner. IDS kan for eksempel videresende en trussel den har oppdaget direkte til ruteren eller brannmuren og informere administratoren. IPS, derimot, kan ha negative effekter på nettverksytelsen. Det gjør det desto viktigere å konfigurere systemet nøyaktig. Hvis det slipper farlige datapakker gjennom, beskytter det ikke lenger systemet ditt. Men hvis det blokkerer ufarlig trafikk, kan hele nettverket bli påvirket.

Go to Main Menu