IDS ve IPS
IDS (İzinsiz Giriş Tespit Sistemi), bir ağdaki uygunsuz, hatalı veya anormal etkinlikleri tespit eden ve bunları raporlayan sistemlerdir. Ayrıca, IDS, bir ağın veya sunucunun yetkisiz bir izinsiz giriş yaşayıp yaşamadığını tespit etmek için kullanılabilir. IPS (Saldırı Önleme Sistemi), yetkisiz veriler içeriyorsa, bağlantıları etkin bir şekilde kesen veya paketleri bırakan bir sistemdir. IPS, IDS'nin bir uzantısı olarak görülebilir.
IDS
IDS ağı izler ve uygunsuz, yanlış veya anormal etkinlikleri tespit eder. İki ana IDS türü vardır. Birincisi, Ağa izinsiz giriş tespit sistemidir (NIDS). Bu sistemler ağdaki trafiği inceler ve izinsiz girişleri belirlemek için birden çok ana bilgisayarı izler. Ağdaki trafiği yakalamak için sensörler kullanılır ve kötü amaçlı içeriği belirlemek için her paket analiz edilir. İkinci tip, Host tabanlı saldırı tespit sistemidir (HIDS). HIDS, ana makinelerde veya bir sunucuda dağıtılır. Olağandışı davranışları belirlemek için sistem günlük dosyaları, denetim izleri ve dosya sistemi değişiklikleri gibi makinede yerel olan verileri analiz ederler. HIDS, potansiyel anormallikleri belirlemek için konağın normal profilini gözlemlenen aktivitelerle karşılaştırır. Çoğu yerde, IDS yüklü cihazlar, yatılı yönlendirici ile güvenlik duvarı arasına veya yatılı yönlendiricinin dışına yerleştirilir. Bazı durumlarda, IDS yüklü cihazlar, teşebbüs edilen saldırıların tüm genişliğini görme niyetiyle güvenlik duvarının ve sınırlayıcı yönlendiricinin dışına yerleştirilir. Performans, yüksek bant genişliğine sahip ağ cihazlarıyla kullanıldığından, IDS sistemlerinde önemli bir sorundur. Yüksek performanslı bileşenler ve güncellenmiş yazılımlarla bile, IDS, büyük iş hacmini kaldıramadıkları için paketleri düşürme eğilimindedir.
IPS
IPS, bir izinsiz giriş veya saldırı tespit ettiğinde bunu önlemek için aktif olarak adımlar atan bir sistemdir. IPS dört kategoriye ayrılır. İlki, tüm ağı şüpheli etkinlikler için izleyen Ağ Tabanlı Saldırı Önleme (NIPS)'dir. İkinci tür, dağıtılmış hizmet reddi (DDoS) gibi saldırıların sonucu olabilecek olağandışı trafik akışlarını tespit etmek için trafik akışını inceleyen Ağ Davranışı Analizi (NBA) sistemleridir. Üçüncü tür, kablosuz ağları şüpheli trafik için analiz eden Kablosuz İzinsiz Girişi Önleme Sistemleridir (WIPS). Dördüncü tür, tek bir ana bilgisayarın etkinliklerini izlemek için bir yazılım paketinin yüklendiği Ana Bilgisayar Tabanlı Saldırı Önleme Sistemleridir (HIPS). Daha önce de belirtildiği gibi IPS, kötü amaçlı veri içeren paketleri bırakmak, sorunlu bir IP adresinden gelen trafiği sıfırlamak veya engellemek gibi aktif adımlar atar.
IPS ve IDS arasındaki fark nedir?
Bir IDS, ağı izleyen ve uygunsuz, yanlış veya anormal etkinlikleri tespit eden bir sistemdir; IPS ise izinsiz giriş veya saldırıyı tespit eden ve bunları önlemek için aktif adımlar atan bir sistemdir. İkisi arasındaki temel fark, IDS'den farklı olarak, IPS, tespit edilen izinsiz girişleri önlemek veya engellemek için aktif olarak adımlar atar. Bu önleyici adımlar, kötü amaçlı paketleri bırakmak ve kötü amaçlı IP adreslerinden gelen trafiği sıfırlamak veya engellemek gibi etkinlikleri içerir. IPS, izinsiz girişleri tespit ederken önlemek için ek yeteneklere sahip olan IDS'nin bir uzantısı olarak görülebilir.