IDS ve IPS
IDS (Saldırı Tespit Sistemi), bir ağda uygunsuz, yanlış veya anormal aktiviteleri tespit eden ve bunları bildiren sistemlerdir. Ayrıca IDS, bir ağın veya sunucunun yetkisiz bir izinsiz giriş yaşayıp yaşamadığını tespit etmek için kullanılabilir. IPS (İzinsiz Giriş Önleme Sistemi), yetkisiz veriler içeriyorsa, bağlantıları etkin bir şekilde kesen veya paketleri bırakan bir sistemdir. IPS, IDS'nin bir uzantısı olarak görülebilir.
IDS
IDS ağı izler ve uygunsuz, yanlış veya anormal aktiviteleri tespit eder. İki ana IDS türü vardır. Birincisi Ağ saldırı tespit sistemi (NIDS). Bu sistemler ağdaki trafiği inceler ve izinsiz girişleri tanımlamak için birden çok ana bilgisayarı izler. Sensörler ağdaki trafiği yakalamak için kullanılır ve her paket kötü niyetli içeriği tanımlamak için analiz edilir. İkinci tip, Host tabanlı saldırı tespit sistemidir (HIDS). HIDS, ana makinelere veya bir sunucuya yerleştirilir. Olağandışı davranışı tanımlamak için sistem günlük dosyaları, denetim izleri ve dosya sistemi değişiklikleri gibi makinede yerel olan verileri analiz ederler. HIDS, potansiyel anomalileri tanımlamak için konağın normal profilini gözlenen aktivitelerle karşılaştırır. Çoğu yerde, IDS yüklü cihazlar, yatılı yönlendirici ile güvenlik duvarı arasına ya da yatılı yönlendiricinin dışına yerleştirilir. Bazı durumlarda IDS yüklü cihazlar, saldırıların tam genişliğini görmek amacıyla güvenlik duvarı ve yatılı yönlendiricinin dışına yerleştirilir. Performans, yüksek bant genişlikli ağ cihazlarında kullanıldıklarından IDS sistemlerinde önemli bir sorundur. Yüksek performanslı bileşenler ve güncellenmiş yazılımla bile IDS, büyük verimi işleyemedikleri için paketleri düşürme eğilimindedir.
IPS
IPS, birini tanımladığında izinsiz girişi veya saldırıyı önlemek için aktif olarak adımlar atan bir sistemdir. IPS dört kategoriye ayrılır. Birincisi, tüm ağı şüpheli etkinlik için izleyen Ağ Tabanlı Saldırı Önleme'dir (NIPS). İkinci tip, dağıtılmış hizmet reddi (DDoS) gibi saldırıların sonucu olabilecek olağandışı trafik akışlarını tespit etmek için trafik akışını inceleyen Ağ Davranışı Analizi (NBA) sistemleridir. Üçüncü tür, kablosuz ağları şüpheli trafik için analiz eden Kablosuz İzinsiz Giriş Önleme Sistemleri'dir (WIPS). Dördüncü tür, tek bir ana bilgisayarın etkinliklerini izlemek için bir yazılım paketinin yüklendiği Ana Bilgisayar Tabanlı Saldırı Önleme Sistemleri'dir (HIPS). Daha önce de belirtildiği gibi, IPS kötü niyetli veriler içeren paketleri bırakmak, rahatsız edici bir IP adresinden gelen trafiği sıfırlamak veya engellemek gibi etkin adımlar atmaktadır..
IPS ve IDS arasındaki fark nedir?
IDS, ağı izleyen ve uygunsuz, yanlış veya anormal aktiviteleri tespit eden bir sistemken, IPS saldırı veya saldırıyı tespit eden ve bunları önlemek için aktif adımlar atan bir sistemdir. İkisi arasındaki ana fark, IDS'den farklıdır, IPS, tespit edilen saldırıları önlemek veya engellemek için aktif olarak adımlar atar. Bu önleme adımları, kötü amaçlı paketleri bırakma ve kötü amaçlı IP adreslerinden gelen trafiği sıfırlama veya engelleme gibi etkinlikleri içerir. IPS, izinsiz girişleri tespit ederken önleme konusunda ek özelliklere sahip olan IDS'nin bir uzantısı olarak görülebilir.