IDS vs IPS – różnice i zastosowanie na praktycznym przykładzie.

Pomimo częstych dyskusji podczas branżowych rozmów na temat tych technologii, wiele osób wciąż ma problem z rozróżnieniem ich funkcjonalności. W tym artykule omówimy podstawowe różnice między IDS i IPS oraz przywołamy jak sprawdzają się one w praktyce.

Aby krótko wyjaśnić różnicę między jednym, a drugim, warto posłużyć się praktyczną metaforą.

Wyobraźmy sobie, że jest dom z monitoringiem i systemem alarmowym. W tym przypadku IDS zadziała jako monitoring, czyli zarejestruje każde podejrzane zachowanie, ale nie wykona proaktywnej reakcji. Natomiast rolę IPS przejmie alarm, ponieważ nie tyle co wykryje intruza, ale natychmiast zablokuje mu wejście do domu.

Tak samo działają systemy IDS i IPS w kontekście cyberbezpieczeństwa.

IDS – Intrusion Detection System

IDSystem służy wykrywania włamań i niepożądanych działań, poprzez obserwacje ruchu sieciowego i informuje o potencjalnych zagrożeniach. Jego zadanie to klasyczny monitoring i analiza ruchu, ale nie bezpośrednie blokowanie ataków.

Co IDS może wykrywać?

• anomalie w ruchu sieciowym,
• nietypowe zachowania userów,
• znane mu wcześniej wzorce ataków (sygnatury).

Po wykryciu takiej aktywności IDS może wygenerować alert, ale nie podejmuje żadnych działań reakcji. Administrator musi sam przeanalizować logi i podjąć odpowiednie kroki.

Najbardziej powszechne rodzaje IDS:

• HIDS (Host-based IDS) – jak nazwa wskazuje, monitoruje aktywność na pojedynczym hoście, typu sprawdzanie logów, podejrzane procesy itp.
• NIDS (Network-based IDS)  – służy do analizy ruchu sieciowego (najczęściej odwzorowanej kopii) w czasie rzeczywistym, aby wychwytywać nieautoryzowane działania na poziomie pakietów.

Główną „wadą” (po prostu nie do tego służy) IDS jest to, że działa tylko pasywnie i nie podejmuje działań zapobiegawczych.

IPS – Intrusion Prevention System

Natomiast IPSystem synergistycznie rozwija funkcjonalności IDS, poprzez dodanie aktywnej reakcji na zagrożenia.

IPS działa na poziomie ruchu sieciowego, gdzie może automatycznie blokować podejrzane działania, celem uniemożliwienia intruzom przejęcia systemów.

Rodzaje IPS:

• HIPS (Host-based IPS) – chroni pojedyncze hosty przed zagrożeniami typu exploity, lub podejrzane procesy.
• NIPS (Network-based IPS) – monitoruje i filtruje ruch sieciowy (najczęściej jego kopie) w czasie rzeczywistym, a następnie może blokować znane zagrożenia.

Zaletami IPS jest niewątpliwie automatyczna reakcja na zagrożenia i blokowanie ataków w czasie rzeczywistym. Trzeba jednak zwrócić uwagę na aspekt tego, że może generować fałszywe alarmy, blokując przy tym legalny ruch, dlatego wymaga precyzyjnej konfiguracji polityk bezpieczeństwa, a tym samym wykwalifikowanej kadry informatycznej.

Praktyczny przykład:

Załóżmy, że w firmowej sieci jest serwer, na który zostaje przeprowadzony atak SQL injection. Jak zareagują kolejno IDS i IPS?

IDS:

1. IDS wykryje podejrzane zapytania SQL w ruchu sieciowym.
2. System wygeneruje alert i informuje administratora.

Admin analizuje logi i ręcznie blokuje atakujący adres IP na zaporze.

IPS:

1. IPS wykrywa atak w czasie rzeczywistym.
2. Automatycznie blokuje pakiety zawierające złośliwe zapytania SQL.

Atak zostaje udaremniony bez konieczności ręcznej interwencji admina.

Można więc przyjąć ogólny wniosek, że IDS ostrzega, IPS działa.

Najlepszym rozwiązaniem jest połączenie IDS i IPS, w którym IDS działa jako system wczesnej detekcji, a IPS automatycznie reaguje na zagrożenia.

Taka konfiguracja występuję w np. rozwiązaniach typu UTM (Unified Threat Management).

Dlatego warto postawić na ochronę swojej sieci. Chcesz kompleksowo zabezpieczyć swoją infrastrukturę? Skontaktuj się z nami!