Nejlepší způsob, jak chránit jednotlivý počítač nebo síť, je detekovat a blokovat útoky dříve, než mohou způsobit jakékoli škody. Proto mohou být systémy detekce narušení (IDS) a systémy prevence narušení (IPS) dobrým doplňkem k firewallu. Čtěte dál a dozvíte se více o systémech IDS a IPS, o tom, co mají společného a čím se liší.

Než se pustíme do rozdílu mezi IDS a IPS, krátce představíme oba systémy. IDS je zkratka pro intrusion detection system (systém detekce narušení), systém, který co nejdříve rozpozná útoky na klienta nebo síť. Pokud IDS při analýze narazí na neobvyklý datový provoz, odešle varování správci. Existují dva různé typy IDS, hostitelské a síťové. IPS je zkratka pro systém prevence narušení a označuje systém, který nejen rozpoznává a hlásí potenciální útoky, ale také jim aktivně čelí. IPS také používá hostitelské a síťové senzory k vyhodnocování systémových dat a síťových paketů.

Co mají IDS a IPS společného?

Mělo by být již jasné, že IDS a IPS nejsou dva zcela odlišné světy. Existuje řada věcí, které mají oba systémy společné. Některé z nich si níže představíme.

Analýza

V mnoha případech jsou metody, které oba systémy používají k analýze, téměř nebo zcela stejné. IDS i IPS používají senzory na hostiteli, v síti nebo na obou místech k kontrole systémových dat a datových paketů v síti a k vyhledávání hrozeb. Používají pevné parametry, aby mohly detekovat odchylky a zároveň rozpoznat neškodné anomálie. Analýza se provádí pomocí detekce zneužití nebo detekce anomálií. To ale také znamená, že mají společné potenciální slabiny. Jednou z nich je, že pokud jde o detekci zneužití, mohou být přehlédnuty neznámé hrozby. A při detekci anomálií jsou často hlášeny neškodné datové pakety.

Databáze

IDS i IPS využívají databázi, která pomáhá identifikovat hrozby rychleji a přesněji. Čím komplexnější je knihovna, tím vyšší bude úspěšnost každého systému. Proto nelze IDS a IPS chápat jako statické systémy, ale jako proměnlivé a adaptivní systémy, které se díky aktualizacím neustále zlepšují.

Využití umělé inteligence

Umělá inteligence je velmi důležitá jak pro IDS, tak pro IPS. Moderní systémy zlepšují detekci hrozeb a rozšiřují své databáze pomocí strojového učení. To jim umožňuje lépe porozumět novým vzorcům útoků, rozpoznat je dříve a hlásit méně neškodných paketů.

Nastavení

Systémy IDS i IPS lze přizpůsobit a upravit podle potřeb sítě nebo systému. Správná konfigurace zajistí, že procesy nebudou narušeny a že všechny komponenty budou i přes monitorování fungovat hladce. To je velmi důležité, protože systémy IDS i IPS provádějí skenování a analýzu v reálném čase.

Automatizace

IDS i IPS fungují automatizovaně a autonomně. Jakmile jsou nakonfigurovány, není nutné je nikým monitorovat. Plní své úkoly a poskytují zpětnou vazbu pouze v případě hrozby.

Detekce hrozeb a varování

Oba systémy mají také stejnou základní funkci, a to detekci hrozeb a okamžité informování správce. Varování může být zasláno ve formě e-mailu, oznámení na smartphone/tablet nebo jako systémový alarm. Poté mohou odpovědné osoby rozhodnout, jakým způsobem budou postupovat.

Funkce protokolu

IDS i IPS mají protokolovou funkci. Díky ní mohou nejen hlásit/odrážet hrozby, ale také je přidávat do svých vlastních databází. To je časem posiluje a umožňuje jim identifikovat a vylepšovat slabá místa.

Kombinace s firewally

IDS i IPS je třeba chápat jako doplněk k firewallu. Abyste svůj systém co nejlépe ochránili před útoky, měli byste kombinovat řadu bezpečnostních opatření. Pokud používáte pouze jeden systém IDS nebo IPS, vaše síť nebo počítač nebudou dostatečně chráněny.

Čím se liší IDS a IPS od sebe navzájem?

Jak jsme viděli výše, oba systémy mají mnoho společného. Existuje však také řada věcí, které je odlišují. Níže vysvětlujeme některé z nejdůležitějších rozdílů mezi IDS a IPS.

Reakce na hrozby

Jak již bylo zmíněno výše, systémy IDS i IPS monitorují systém a hlásí a zaznamenávají hrozby. Zatímco práce systému IDS tím končí, systém IPS jde ještě dál. IPS je aktivní bezpečnostní systém, který autonomně reaguje na hrozby. To může zahrnovat přerušení připojení nebo zastavení a zahození datových paketů, pokud vykazují abnormality. Systém IDS je naopak pasivní systém, který pouze monitoruje a hlásí hrozby.

Umístění

IDS a IPS se liší také svým umístěním. IDS se umisťuje buď na počítač, nebo na okraj sítě, kde je nejjednodušší monitorovat příchozí a odchozí datové pakety. IPS se naopak umisťuje za firewall, kde může nejen hlásit hrozby, ale také je zastavit.

Typy

Obě řešení mohou být hostitelská (HIPS) nebo síťová (NIPS). Na rozdíl od IDS však řešení IPS mohou být také založena na WiFi (WIPS).

Autonomie

IPS pracuje z větší části autonomně a hledá řešení pro různé druhy hrozeb. IDS také autonomně monitoruje datové pakety, ale při detekci hrozeb nemůže jednat samostatně. Pokud je odesláno varování, je to správce, kdo iniciuje reakci.

Konfigurace

IDS obvykle funguje inline, a proto nemá žádný negativní vliv na výkon sítě. Při nastavování konfigurací je však třeba věnovat určitou pozornost. IDS může například předat detekovanou hrozbu přímo routeru nebo firewallu a informovat správce. IPS naopak může mít negativní vliv na výkon sítě. O to důležitější je tedy přesné nastavení systému. Pokud propustí nebezpečné datové pakety, přestane chránit váš systém. Pokud však zablokuje neškodný provoz, může to mít vliv na celou síť.

Přejít do hlavního menu